Verschlüsselungsmöglichkeiten

@Tala

entschuldige meine flapsige Ausdruksweise. Was ich sagen wollte ist, offensichtlich ist es möglich, das nach einem UEFI Update das TPM dies Systemintegrität nicht geprüft werden muss. Nur weil das update irgendwie signiert ist.
Damit wird zumindest eine kleine Hintertür aufgemacht und der Verschlüsselungsschutz auf kosten der Bequemlichkeit eingeschränkt.

Die meisten Privatanwender dürften bei einem simplen Diebstahl weiterhin sicher sein, da die Interessen anderswo liegen. Aber für die Insdrustrie würde ich das so nicht implementieren.


Leider ändert das wieder nichts an der tatsache. Wenn ich momentan mein System überhaupt etwas sicher machen will, brauche ich schon Win Pro und TPM und muss zur Sicherheit trotzdem immer eine Tastatur mitschleppen.
Kann man TrueCrypt auf einem Tablet nur über einen "USB-Dongle" oder noch besser über ein Keyfile auf einer SD-Karte starten, ohne Eingabe im Pre-Boot?

Zu Hause brauche ich den Schutz nicht zwingend, wenn es auch schön wäre und für unterwegs kann man den Dongle auch rausnehmen und separat mitführen.

Zitat von dering

Kann man TrueCrypt auf einem Tablet nur über einen "USB-Dongle" oder noch besser über ein Keyfile auf einer SD-Karte starten, ohne Eingabe im Pre-Boot?

Habe ich so noch nie probiert, ich nutze immer doppelte Sicherung mit PW und Stick.

Zitat von dering

Zu Hause brauche ich den Schutz nicht zwingend, wenn es auch schön wäre und für unterwegs kann man den Dongle auch rausnehmen und separat mitführen.

Den Stick benötige ich nur zum Booten und danach nicht mehr, sobald die Notebooks laufen ist der Stick versorgt.

Dank der SSD schalte ich die Geräte immer ganz ab um so ein auslesen des Schlüssels zu verhindern.
Ein neues starten dauert ja dank der SSD auch nur ein paar Sekunden.

Das könnte mit Windows 8 schon wieder schwierig werden, da das ja im Normalfall gar nicht mehr richtig runter fährt.
Wie wäre das denn eigentlich mit Fingerabdruck Scannern? Könnte ein solcher in ein Tablet eingebaut (gibt's glaub ich schon) eine adäquate Alternative zu einer Passworteingabe darstellen?

Fingerabdruckscanner sind nett, aber zu schnell zu fälschen/kopieren. Zumal der Scanner quasi ja schon vor allen anderen Komponenten aktiv sein müsste.

Bei einer vollständigen Systemverschlüssrlung sollte das "nicht vollständige Herunterfahren" von Win 8 auch kein Problem sein. Das Speicherabbild ist ja trotzdem verschlüsselt auf der HDD und der Arbeitsspeicher ist Spannungslos.

Mein alter IBM/Lenovo hatte einen Fingerscanner, der schon während des Bootens funktionierte. Ich hab den aber auch eher als Spielzeug angesehen

@Al Falcone
Hast du zufällig das Thema, dass die TouchCover Tastatur nicht zur Eingabe von TrueCrypt Passwörtern im Preboot taugt, weiter verfolgt?
Also, ob es Einstellmöglichkeiten in der Software gibt?



<Edit>
Vorlegenden link habe ich gerade gefunden.
Ich hoffe er lässt sich öffnen, da ich gerade alles mit dem iPhone mache

http://www.microsoft.com/Surface/en-US/support/surface-with-windows-rt/warranty-service-and-recovery/windows-rt-stops-responding

In dem Artikel wird immer von "Tap or Click" gesprochen. Demnach könnte man davon ausgehen, das es zumindest in der Bitlocker Umgebung eine Onscreen Tastatur bzw. das Typecover funktioniert
(Die Beschreibung ist zwar für RT, sollte aber auch bei Win 8 so umgesetzt sein, vermute ich)

Mmh, da muss man vorsichtig sein. Surface und Surface Pro heißen zwar ähnlich und sehen vielleicht noch ähnlich aus, aber das war's dann schon fast mit den Gemeinsamkeiten. Bei Windows RT nennt sich das dann auch nicht umsonst Device Encryption, nicht Bitlocker. In wieweit die Verschlüsselung ähnlich ist kann Al Falcone vielleicht besser beantworten.

Interessant zu wissen wäre übrigens wie man beim Pro das UEFI steuert, funktioniert da touch schon oder geht das nur mit Tastatur?

Kann ich frühstens am Montag wieder testen, da der Chef Coder das Teil am Wochenende nun bei sich hat.

Sehr interessant das Video

(Entschuldigt den blöden stummellink, ich Brauch endlich ein Tablet und hab kein Bock alles mit den iPhone zu machen )

Ab ca. 2:10 sieht man sehr gut, dass es eine Touchscreen Eingabe für den Bitlocker Volumen Key gibt!

<Edit>
Kein Stummel Link, anscheint wurde das Video automatisch eingebunden, sehr gut

Mmh, da muss man vorsichtig sein. Surface und Surface Pro heißen zwar ähnlich und sehen vielleicht noch ähnlich aus, aber das war's dann schon fast mit den Gemeinsamkeiten. Bei Windows RT nennt sich das dann auch nicht umsonst Device Encryption, nicht Bitlocker.

Also die Gemeinsamkeiten sind eher verblüffend. RT ist ein penibel für ARM kompiliertes Windows 8. Wie durch den Jailbreak herausgekommen ist, sind sogar die meisten Desktop libraries alle vorhanden.
Und ja, Windows RT hat den von Windows 8 Pro bekannten Bitlocker an Board inclusive TPM und secure boot.

@Dering danke für den Video Link

Komisch gibt es da Unterschiede die Länderspezifisch sind?

Aber es wird da nur der Bitlocker PIN unterstützt, keine Buchstaben. Also fällt dies auch durch!

Was dort gezeigt wird, ist die Eingabe des Wiederstellungsschlüssels. Der wird von Bitlocker während des Einrichtprozesses automatisch generiert und ist 58 stellig.
Daher ist schon ein gewisses Maß an Sicherheit da.
Den muss man immer eingeben, wenn das TPM die Integrität des Bootvorgangs anzweifelt.

Offensichtlich kann man auch ein Wiederstellungskennwort haben. Ich weiß aber noch nicht, wie man das setzten kann.

Ja schon klar, aber ein rein Numerischer Code ist extrem unsicher egal ob 6, 10, oder 100 Stellen. Das meinte ich damit. Es gibt zig Rainbow Table womit man solche Numerischen Codes innert Minuten knackt.

Ja schon klar, aber ein rein Numerischer Code ist extrem unsicher egal ob 6, 10, oder 100 Stellen. Das meinte ich damit. Es gibt zig Rainbow Table womit man solche Numerischen Codes innert Minuten knackt.

Langsam werden deine Behauptungen aber abenteuerlich:

- Alphabet Kardinalität und Länge stehen in einem direkten Zusammenhang, die Passwordlänge ist ist demnach abhängig von der Kardinalität bei identischer Sicherheit
- Rainbow Tables sind allgemein anwendbar, auch hier hängt die Größe der Table direkt von der Kardinalität des Alphabets und der Password Länge ab
- Bei Numerischen Passwordlängen von 56 Zeichen ist die Anwenung von Rainbow Tables nicht praktikabel, bei Kettenlängen von 10^28 wär die Tabelle immernoch 10^28 Einträge groß und man müsste selbst wenn der hash gefunden würde noch 10^28 weitere hashes berechnen - viel Spass damit...
- Gegenmassnahmen sind zum Beispiel die Verwendung von Salt. Auch das ist wiederum unabhängig von der Frage der Kardinalität des Alphabets.

Ich kann die gerne mal ein 256bit hash geben und du sagst mir einen Tag später mein 56Zeichen Numerisches Password... Das können wir am Anfang mal ohne Salt ausprobieren um es dir einfacher zu machen...

ich hab das auch mal so grob überschlagen. Wenn ich also ich mit einfachen mathematischen Kenntnissen die Zeit überschlage rechne ich wie folgt:

10^58 Möglichkeiten gibt es. Wenn ich jetzt einfach mal in den Raum stelle, es würde eine Möglichkeit geben 1x10^24 Passworte pro sec zu probieren, würde das immer noch grob 1,5x10^38 (zahl mit 38 Nullen !!!) brauchen um die ersten 50% aller Möglichkeiten zu probieren.

(10^58)/(10^24) *50% <- das dann auf Jahre hochrechnen

Sehe ich da was falsch? Für mich hat das schon ein gewisses Maß an Sicherheit.

Der Speicher im RT ist doch von Haus aus mit Bitlocker verschlüsselt. Über was diskutiert ihr hier eigentlich?

@Setter
Über die grundsätzliche Möglichkeiten ein Win 8 (nicht RT) Tablet ohne Tastatur zu schützen

Zitat von dering

ich hab das auch mal so grob überschlagen. Wenn ich also ich mit einfachen mathematischen Kenntnissen die Zeit überschlage rechne ich wie folgt:

10^58 Möglichkeiten gibt es. Wenn ich jetzt einfach mal in den Raum stelle, es würde eine Möglichkeit geben 1x10^24 Passworte pro sec zu probieren, würde das immer noch grob 1,5x10^38 (zahl mit 38 Nullen !!!) brauchen um die ersten 50% aller Möglichkeiten zu probieren.

(10^58)/(10^24) *50% <- das dann auf Jahre hochrechnen

Sehe ich da was falsch? Für mich hat das schon ein gewisses Maß an Sicherheit.

Theoretisch ja aber praktisch nein, denn mit den Rainbow Tables kannst Du das locker machen.

Ich knacke auf meinem i7 mit 8GB RAM ein 60 stelliges REIN numerisches PW ~45 Minuten. Es kommt bloss auf das optimale Werkzeug und seine Plug-Ins an das man einsetzt.

Ich kann Dir gerne näheres dazu erläutern aber nicht hier im Public Bereich. Denn eine Anleitung zum Hacken gebe ich nicht!

10^58 Möglichkeiten gibt es. Wenn ich jetzt einfach mal in den Raum stelle, es würde eine Möglichkeit geben 1x10^24 Passworte pro sec zu probieren, würde das immer noch grob 1,5x10^38 (zahl mit 38 Nullen !!!) brauchen um die ersten 50% aller Möglichkeiten zu probieren.

Grundsätzlich richtig. Grob würde eine einzelne CPU maximal 10^9 hashes pro Sekunde berechen können (an einem guten Tag mit Rückenwind und das aufgerundet). Wenn wir also nun 10^6 CPUs hätten würd man etwa auf 10^15 pro Sekunde kommen. Mit Rainbow-Tables kann man nun einen Kompromiss zwischen Rechenleistung und Speicher finden. Eine komplette Tabelle würde demnach 10^56 Einträge haben mit allen möglichen Passwörtern. Nun ist die Idee, dass man nicht alle Einträge abspeichert sondern nur eine Teilemenge, und die restliche Teilmenge berechnet (das nennt man Rainbow-Tables). Mein Beispiel von oben hat nun angenommen, dass man alle 10^28 Tabellen Einträge nur noch ein Eintrag hat. Damit hätte die Tabelle immernoch 10^28 Einträge. Ein Eintrag besteht aus einem Password (56 Byte) und einem Hash(32 Byte). Wir reden hier von einer Rainbow Table der Größe 10^28*88Byte = 88*10^16 TB. Unter dieser Bedingung könnte man sich darauf beschränken im Mittel "nur" noch 10^28 hashes zu berechnen. Das wäre dann mit 1Mio CPUs "nurnoch" 10^13 Sekunden oder "nurnoch" 1Mio Jahre.
Natürlich habe ich die Zeit die Rainbow-Table auszurechen noch nicht bedacht, eine solche Rainbow-Table existiert noch nicht... wenn sie Al Falcone nicht aus dem Hut zaubert

die Rainbow Tables kann man ohne Probleme kaufen ask google

Meinst Du, Tala, echt ich würde diese einfach weiter geben? Nicht wirklich, damit könnte ich extrem viel verdienen aber ich nutze diese lieber für mich selber.


z.B.
http://project-rainbowcrack.com/table.htm
http://www.osforensics.com/download.html
http://www.ethicalhacker.net/content/view/94/24/
http://www.codinghorror.com/blog/200...-cracking.html
http://www.rainbowtables.net/products.php

die Rainbow Tables kann man ohne Probleme kaufen ask Google

Klar kann man die kaufen, aber keine für Password Längen von 56. Hatte ich aber oben auch schon vorgerechnet. Wir reden hier von Password Längen von 15 und drunter, für rein numerische Passwörter natürlich etwas mehr.

Ebenfalls oben erwähnt habe ich, dass normalerweise die Passwörter "gesalted" werden. Ein Salt verlängert die effektive Passwordlänge gegen Rainbow-Table Attacken. Ferner erfordert ein alphnumerischer Salt, welchem man einem numerischen Password hinzufügt, dass auch eine alphanumerische Rainbow-Table benutzt werden muss.