• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Gibt es Filesystem Software die passwortgeschützte Daten nach x Fehleingaben löschen kann

Goetz-Expat

Neu angemeldet

Registriert
10 Jan. 2016
Beiträge
1.069
Dateien mittels Passwort schützen ist ja gang und gäbe - nutze ich ja auch für sensible Daten.
Aber - gegen BruteForce ist kein Kraut gewachsen ...

Ich bin jetzt nicht so im Linux bereich aktiv - aber weder für OSX noch Windows ist mir bisher ein Tool begegnet, dass sich ins Dateisystem einklinkt und dann den Schutz übernimmt und überwacht.

Sprich, ich installiere ein Tool, das sich ins Dateisystem einklinkt (zB FUSE beim Mac) welches dann passwortgeschützte Dateien, Ordner, Festplatten erzeugen kann - aber diese nach x Fehlversuchen auch heimlich sicher löscht.

Idealerweise kann ich auch festlegen, ob nach diversen Fehlversuchen erst noch ein Warnhinweis eingeblendet werden soll oder nicht. Falls ein Ermittler BruteForce macht wäre ein Warnhinweis ja dumm ....
Nach dann x (konfigurierbar) Fehlversuchen erscheint beim Anwender zwar weiterhin das "Bitte Passwort eingeben" Fenster - im Hintergrund wird aber die Datei, der Ordner, das Filesystem heimlich sicher gelöscht.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Goetz-Expat: Das ist technisch nicht möglich. Bzw. schon möglich, aber nur Schlangenöl. Denn was mach ich als Angreifer sicher nicht, wenn ich ne Datei knacken will? Sie auf deinem System in deinem Betriebssystem zu knacken versuchen. Ich kopier mir die verschlüsselten Daten in meinen RAM und fang dann an zu crunchen. Da bringt dein Tool dann genau gar nichts.

Insofern: Nette Idee, aber nicht durchdacht.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
Wenn so eine Lösung verbreitet währe - würde ich darauf warten das sich einer den Spaß macht eine "Cooles-Game.exe" zu schreiben die einfach 10x falsch das Passwort eingibt - von allen Dateien auf der Platte die verschlüsselt sind - und warten wie viele das Downloaden und starten ;D
 

gelöschter Benutzer

Guest

G
Du kannst eine VM erstellen und mit LUKS verschlüssen und dann für LUKS einen NUKE key erstellen wie zbsp. Password. Da Password bestimmt in einem Dictionary attack als mögliches Password vorkommen wird, wird alles gelöscht, wenn der Angreifer es probiert.

Das kannst du auch auf die ganze OS anwenden, wenn man das will. Mit LVM kein Problem.
 

BurnerR

Bot #0384479

Registriert
20 Juli 2013
Beiträge
5.504
Benutz einfach ein sicheres Passwort, dann bist du ziemlich sicher gegen Bruteforce.
Das hier war z.B. eines, bevor ich es hier reingeschrieben habe:
"Ichbinzuoftaufngb.toaktivaberegalichmageshier"

Du kannst eine VM erstellen und mit LUKS verschlüssen und dann für LUKS einen NUKE key erstellen wie zbsp. Password. Da Password bestimmt in einem Dictionary attack als mögliches Password vorkommen wird, wird alles gelöscht, wenn der Angreifer es probiert.
Nichts ändert etwas an dem Problem, das Metal_Warrior beschrieben hat. Man arbeitet auf einer Bitweisen 1:1 Kopie und nicht auf den originalen Dateien.
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Tollwut: Nein, er hat schon recht. Vermute ich als Angreifer derartige Sicherheitsmaßnahmen, verhindere ich deren Ausführung, indem ich mir zur Not ein Tool schreibe, das selbst entschlüsselt, ohne die normalen Hooks zu nehmen. Das LUKS-Protokoll ist offen, die Nuke-Tools ebenfalls. Es ist also kein Problem, die fraglichen Codezeilen zu entfernen.
Selbst wenn das nicht gehen sollte, aus Gründen, werde ich damit fertig. Es brütet ja nicht nur ein Prozessor daran, sondern eine ganze Latte. D. h. die Datei ist unzählige Male im RAM. Jetzt kann ich zum Beispiel jede Stunde ein Diff zwischen den Dateien fahren, das mir binäre Veränderungen anzeigt. Existieren keine, mache ich weiter. Zeigt eine Datei bei einer dieser Prüfungen eine Veränderung an, lasse ich den entsprechenden Schlüsselraum, den die darauf brütende Maschine durchsucht hat, nochmal durchlaufen, nur diesmal lasse ich alle Minute prüfen, so lange bis ich den Nuke-Key gefunden habe. Den ignoriere ich dann und durchsuche nochmal den Schlüsselraum - für den Fall, dass der korrekte Schlüssel "nebendran" liegt und nur wegen des Nukes nicht funktioniert hat.

Wie du es auch drehst und wendest - die Idee verletzt ein grundlegendes Gesetz der Kryptographie: Die Sicherheit darf ausschließlich an der Komplexität des Schlüssels hängen, nicht an Geheimhaltung des Algorithmus, Obfuscation oder anderer Hilfsmittel, weil alle diese Dinge entfernt werden können. Nur der Schlüssel, der ist kritisch, weil individuell.

Und davon abgesehen ist es auch egal. Wer AES mit halbwegs erträglicher Schlüssellänge nutzt, hat wohl für die nächsten 30 Jahre keine Probleme, weil selbst dann eine komplette Schlüsselraumprüfung noch immer mehrere Milliarden Jahre dauern wird.
 

Goetz-Expat

Neu angemeldet

Registriert
10 Jan. 2016
Beiträge
1.069
  • Thread Starter Thread Starter
  • #8
AES ist nett - aber in 30 Jahren bin ich erst 83 und lebe vielleicht ja noch ... Lol
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Goetz-Expat: ...dann formatierst du die Festplatte auf einen neuen Algorithmus, falls AES bis dahin schon in den Bereich "mehrere tausend Jahre mit Supercomputern" gekommen ist. Denn ich verrate dir ein Geheimnis: Festplatten leben üblicherweise auch nur um die 10 Jahre...
 

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
@Goetz-Expat: Ich glaub am sichersten wäre wohl für Deine Zwecke Suicide Linux. Kann man bestimmt auch so konfigurieren, dass
  • es nicht gleich beim ersten falschen Versuch losschlägt.
  • nicht ein fehlerhaftes oder nicht existentes Kommando der Ausslöser ist sondern ein Rückgabestatus != 0

Probier's mal aus. Verschieb aber vorher sämtliche wichtige Daten auf das Suicide Linux und lösch die Backups. Damit steigt automatisch der Konzentrations- und Sorgfaltswille.
 

gelöschter Benutzer

Guest

G
@Metal_Warrior:

RAM verschlüsseln. RAM-Cache beim poweroff überschreiben. RAM braucht man nicht. CPU/GPU Rechenpower ist relevant. Beim Rest weiss ich nicht was du sagen willst. Was für ein Tool? Wie soll das die I/O Ressources nutzen? Warum sollte man sich selber entschlüsseln, wenn man denn Passphrase hat?
 

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
Eine SmartCard klingt sehr nach dem, was du haben willst: sie streckt dein Passwort auf 4096bit RSA oder 512bit ECC, was nicht realistisch zu bruteforcen ist und wenn dir jemand den Chip wegnimmt: der wehrt sich will nach drei Fehlversuchen ein Owner-Passwort. Jemand müsste dir schon den Chip wegnehmen und das Passwort (PIN) aus dir rausfoltern um an die Daten zu kommen. Wenn du drei falsche nennst und das owner nicht kennst, ist der Chip quasi genuked. Vielleicht können Experten mit einem Elektronenmikroskop da noch was machen, aber ansonsten. :D
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@gelöschter Benutzer: Wenn du keine Ahnung hast, wie man eine passwortgeschützte Datei knackt, dann halt doch einfach den Rand, anstatt hier alles reinzuschmeißen, was du mal in einer ComputerBILD gelesen hast. Buzzword-Bingo kannst du bei Twitter spielen...
 

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
@Goetz-Expat: sobald jemand physischen zugriff auf die (verschlüsselten) daten hat, kann er diese kopieren und dann bruteforcen soviel und solange er will, egal welche "sicherheitsmaßnahmen" deine software hat, weil der bösewicht seine eigene software nutzen kann.. was du willst ist "sichere hardware", die die daten garnicht erst rausgibt, ob verschlüsselt oder nicht.. die smartcard wurde bereits erwähnt und tut genau das, nämlich den physischen zugriff auf die daten verhindern und nur über das eigene interface erlauben.. problematisch ist, dass die dinger in der regel nicht die speicherkapazität für deine urlaubsfotos haben ;), sondern (wie ebenfalls bereits erwähnt) in erster linie dazu gedacht sind, einen sehr langen schlüssel zu speichern und diesen mit einem einfachen passwort (oder PIN) zu versehen.. die so verschlüsselten daten können ruhig kopiert werden, weil darauf kein realistischer bruteforce-angriff möglich ist.. ich meine aber auch gehört zu haben, dass es ähnlich "gesicherte" speichermedien (wie SD-karten) gibt oder sowas zumindest geplant ist.. es ist trotzdem nicht unmöglich, solche "secure"-chips auszulesen (schichtweise in säure auflösen und unterm mikroskop die bits auslesen), auch wenn diese chips gewisse schutzmechanismen dagegen haben - kommt auf das labor und den willen (also das kleingeld) an, wird aber sicherlich >99,9% der angreifer überfordern..

oder du speicherst die daten einfach nicht bei dir daheim, dann können sie auch nicht zum bruteforcen mitgenommen werden ;).. mach dir ne eigene "cloud" in einem land auf, das nicht an deinen drogen-warlord ausliefert, und fertig - hat ja eh jede holzhütte nen glasfaseranschluss dort :D..
 
Oben