[linux-l] Sicherheit oder irgendwas, hauptsache einfach?

Mike Dornberger Mike.Dornberger at gmx.de
Do Jun 15 20:25:55 CEST 2006


Hallo,

On Thu, Jun 15, 2006 at 04:36:31PM +0200, Lutz Willek wrote:
> Benjamin Schieder schrieb:
> >Mike Dornberger wrote:

> Welche Art der Verschlüsselung jetzt wirklich ultimativ 100%ig 
> unschlagbar sicher ist: -keine Ahnung. Dazu müsste man sich intensiv mit 
> allen möglichen Verschlüsselungsmöglichkeiten auseinandersetzen, den 
[...]

Kurz und grün: Keine. Schließlich kann man auch durch puren Zufall den
richtigen Schlüssel erraten. Zugegebenermaßen ist die Wahrscheinlichkeit
verschwindend gering - nur deshalb macht man das ganze ja. Auch das stumpfe
Durchprobieren führt letztendlich zum Erfolg - es ist nur eine Frage der Zeit
und/oder der verfügbaren Rechenleistung. :)

Da viele Algorithmen auf Zerlegung von großen Zahlen in Primzahlen beruhen,
besteht die Gefahr, daß diese unsicher werden, falls es gelingt, daß
Faktorisierungsproblem z. B. mittels Quantencomputern zu lösen.

> >>Aber ganz unabhängig davon: Wenn du ein Exploit im Kernel hast, hast du 
> >>doch
> >>mit allen Crypto-Systemen ein Problem.
> 
> Oh ja das vergessen fast alle bei dieser Diskussion. Auch ein Keylogger 
> im System und und und. "Wirklich sicher sind nur kalte Platten" habe ich 
> vor kurzen jemand sagen hören. Da ist viel Wahrheit drin.

Nun, man kann das beliebig auf die Spitze treiben und sagen: Wirklich sicher
ist nur das, was du nicht aufschreibst oder aussprichst. Und wer weiß:
Vielleicht schreitet die Wissenschaft mal wirklich soweit voran, daß man
Gedanken messen kann. Von außen. Ohne daß du es merkst. Also: Nicht mal ein
Geheimnis einfallen lassen. ;)

> Na ja, für mich ist auch noch was anderes wichtig, was machste wenn Dein 
> System abraucht? Mit fast jeder Linux-Live CD und passenden Schlüssel 
> kommst Du an Deine Daten ran. Oder USB-Platte verschlüsseln. Da hab ich 
> keinen Bock, erst beim Kumpel einen Kernel zu kompilieren, bevor ich Ihm 
> meine gespeicherten Daten geben kann. Das sind im groben die Gründe, 
> warum ich den Devicemapper allen anderen Möglichkeiten vorziehe.

Du willst wirklich auf einem Rechner, den du nicht hinreichend (sagen wir:
in Bezug auf dein Paranoia-Level *g*) genau kontrollierst, deine geheimen,
vierfach verschlüsselten Daten einlesen? ;)

Und wie schon aufgezeigt, mit aespipe (+ dd oder ähnlichem) kannst du die
Datei und/oder Device auch entschlüsseln, entweder in-place oder sonstwohin,
wo genug Platz ist. Nur mal so, falls der Kumpel kein Linux mit device
mapper/dm-crypt, sondern ein Windows oder BSD oder Sun Solaris, ... hat.

Nunja, ich hab mich allerdings auch schon geärgert, daß es keinen
Loop-Treiber für Windows gibt (der mir bekannt ist). Da würd' ich mir
vielleicht mal noch die Mühe machen, den loop-AES-Krams da reinzubekommen.
Aber im Moment hab ich für sowas leider auch keine Zeit.

[Vortrag]
> Also bleibt noch etwas Zeit für Fragen. Am Sonntag wollte ich mich mal 
> in einer ruhigen Minute hinsetzen und das Skript für nächsten Mittwoch 
> schreiben. Also wenn bis dahin diese Diskussion noch munter weiter geht 
> fände ich das toll. Dann weiß ich zumindest, was Ihr für Fragen und 
> Probleme habt, dann wirds für alle nächsten Mittwoch spannender.

Falls nicht eh schon geplant: Gehe auch mal darauf ein, daß der Mensch/
Anwender oftmals das schwächste Glied ist und die schönste Verschlüsselung/
Sicherheit "kaputt macht".

Vor einigen wenigen Jahren hatte ich mal folgendes erlebt. Ein Dr. der
Physik hatte versehentlich sein Paßwort beim Usernamen mit hingeschrieben.
(Mehrere Studenten aus dem Praktikum standen drum herum.) Danach meinte er
trocken: "Mist, jetzt muß ich mir 'ne and're Frau suchen." Andererseits hat
er immer darauf geachtet, daß ihm niemand beim Tippen auf die Finger schaut:
"Da schauen sie mal da hinten oben an die Decke." meinte er immer. :) Es war
übrigens ein Paßwort für den Novell-Client.

Ich habe es bis dahin nicht glauben wollen, daß es so viele Leute gibt, die
schlechte Paßwörter einsetzen. Also gerade auch bei denen, "die das denken
gelernt haben" (sage ich mal ketzerisch). (Stichwort hierzu: Social
Engineering)

Viele denken ja sowas, wie: "Hey, jetzt habe ich nen Fingerabdruck- und
Netzhautscanner! Jetzt habe ich die Ultimative Sicherheit[TM] erreicht!"
ohne nochmal genau darüber nachzudenken.

Wichtig ist vielleicht auch, daß du erwähnst, daß sobald die Platte
gemountet ist, der Schutz durch die Verschlüsselung nahezu aufgehoben ist -
jedenfalls wenn es jemanden gelingt, in das laufende System einzudringen.
Die schlechten Account-Paßwörter von oben lassen wieder grüßen, z. B. Von
ausnutzbaren Lücken in laufenden Programmen (Servern) oder dem Kernel mal
ganz zu schweigen. Keylogger hast du ja selbst schon angesprochen, bzw.
kamen schonmal. Im übrigen nicht nur als Programm: Die Signale, die von der
Tastatur kommen, könnten ja auch aufgezeichnet/per Funk weitergegeben
werden.

Naja, wird schon wieder zu lang, die E-Mail. :)

Grüße,
 Mike




Mehr Informationen über die Mailingliste linux-l