mboost-dp1
Flickr - bongo vongo
Har altid være et godt program, men automount tilføjer lige det sidste jeg manglede... Nu mangler jeg bare at blive paranoid nok så jeg begynder at bruge det. Kan man tage kurser i paranoia?
Sku ærgeligt at det kun er AES der er hardware-accelereret. Jeg benytter Twofish krypteringen med TrueCrypt pga. det (teoretisk) højere sikkerhedsniveau.
Edit: Har lige opgraderet, og det ser ud til at min CPU ikke understøtter hardware-accelereret AES alligevel, selvom det er en i5? Må være et begrænset antal modeller der understøtter det.
Edit 2: Liste over CPU'er der understøtter det her:
http://www.truecrypt.org/docs/?s=version-history
Edit: Har lige opgraderet, og det ser ud til at min CPU ikke understøtter hardware-accelereret AES alligevel, selvom det er en i5? Må være et begrænset antal modeller der understøtter det.
Edit 2: Liste over CPU'er der understøtter det her:
http://www.truecrypt.org/docs/?s=version-history
Gav et forkert link i post #4. Du skal kigge her...
http://www.truecrypt.org/docs/?s=hardware-accelera...
...for en liste over understøttede CPU'er. Har selv in Core i5 430M, men kun 520M og 540M er understøttede blandt bærbare Intel CPU'er :)
http://www.truecrypt.org/docs/?s=hardware-accelera...
...for en liste over understøttede CPU'er. Har selv in Core i5 430M, men kun 520M og 540M er understøttede blandt bærbare Intel CPU'er :)
JewleBewle (3) skrev:Har altid være et godt program, men automount tilføjer lige det sidste jeg manglede... Nu mangler jeg bare at blive paranoid nok så jeg begynder at bruge det. Kan man tage kurser i paranoia?
Man behøver vel ikke være specielt paranoid for at bruge det, netop fordi det næsten er usynligt under brug når det først er sat op. Med OS kryptering skal du bare taste kodeord under opstart, og derefter mærker du intet til at du kører med kryptering.. Så fordi generne er så små, og så nemt at opsætte, så burde det efterhånden kunne brede sig til en stor del af befolkningen.
Selv om man måske ikke ligefrem er paranoid, så kan man vel godt tænke lidt over om man har noget liggende på sin pc som man ikke vil have kommer i hænderne på f.eks. en tyv. Det har de fleste sikkert, og det kan være billeder, personlige dokumenter eller bare gemte formularer (inkl. kodeord) i browseren. Så er det altså nemt at man kan sikre de informationer 100% blot ved at skulle indtaste ét kodeord under opstart.
For øvrigt så undrer jeg mig lidt over at Truecrypt skriver:
Partition/device-hosted volumes can now be created on drives that use a sector size of 4096, 2048, or 1024 bytes (Windows, Linux). Note: Previously only file-hosted volumes were supported on such drives.
Jeg kører med 6.2 og bruger netop en partition-hosted volume på en WD20EARS som kører med 4k sektorer.. Jeg håber da ikke at den pludseligt ikke kan læse den mere hvis jeg opgraderer til 7.0 fordi den nu håndterer disken anderledes..
#9
Ret sikkert!
FAQ 2:
http://www.truecrypt.org/faq
http://g1.globo.com/English/noticia/2010/06/not-ev...
Hvis FBI ikke engang selv kan dekryptere, så må det jo være ret sikkert! ;)
Ret sikkert!
FAQ 2:
http://www.truecrypt.org/faq
http://g1.globo.com/English/noticia/2010/06/not-ev...
Hvis FBI ikke engang selv kan dekryptere, så må det jo være ret sikkert! ;)
Digitex (9) skrev:Hmm... Et krypteringsprogram, som er open source? Hvor sikkert er det så lige?
Jeg stoler noget mere på sikkerheden i det frem for andre lignende programmer, netop for det er open source.
Sikkerheden ligger i krypteringsmetoden, AES, Twofish osv., ikke i security through obscurity. Sidstnævnte handler om at man lukker øjnene over for eventuelle fejl og håber på at folk ikke finder dem. I open source kan alle kigge efter fejl, og derfor er der god sandsynlighed for at alle grelle fejl er rettet.
AvatarIsm (8) skrev:Kan nogen fortælle her om der er stor performance lag ved at bruge TrueCrypt 7.
Hvor meget bruger den af resourcer/memory?
Jeg kører med AES/Twofish kryptering på samtlige diske i min computer og med en 3.16GHz Core 2 Duo E8500 kan jeg kopiere med ca. 60 MB/s fra én disk til en anden (dvs. dekryptering+kryptering). RAM forbruget kan jeg ikke lige huske, men det er ikke noget særligt den bruger.
Jeg kører med samme kryptering på min systemdisk (Intel SSD), og jeg kan ikke rigtigt mærke nogen forskel fra dengang jeg ikke kørte med kryptering, på trods af at sådan en SSD ikke har det specielt godt hastighedsmæssigt med at være 100% fyldt.
AvatarIsm (10) skrev:#9
http://g1.globo.com/English/noticia/2010/06/not-ev...
Hvis FBI ikke engang selv kan dekryptere, så må det jo være ret sikkert! ;)
Ja, og som man kan se, så har de brugt en brute force metode (dictionary) i forsøget på at komme igennem, og den metode kan ingen kryptering jo vide sig sikker imod. Så må man bare sørge for at vælge sine passwords med omhu. :-)
Er det ikke NSA, som råder over de store brute-force-maskiner?AvatarIsm (10) skrev:http://g1.globo.com/English/noticia/2010/06/not-even-fbi-can-de-crypt-files-daniel-dantas.html
Hvis FBI ikke engang selv kan dekryptere, så må det jo være ret sikkert! ;)
Daniel-Dane (12) skrev:Er det ikke NSA, som råder over de store brute-force-maskiner?AvatarIsm (10) skrev:http://g1.globo.com/English/noticia/2010/06/not-even-fbi-can-de-crypt-files-daniel-dantas.html
Hvis FBI ikke engang selv kan dekryptere, så må det jo være ret sikkert! ;)
Ligegyldigt. Er din adgangskode stærk nok, så bryder de den aldrig medmindre en svaghed bliver opdaget i krypteringsalgoritmen.
AvatarIsm (8) skrev:Kan nogen fortælle her om der er stor performance lag ved at bruge TrueCrypt 7.
Hvor meget bruger den af resourcer/memory?
Det kommer an på hvad du skal bruge det til. TrueCrypt benytter CPU-kraft proportionelt til hvor meget du læser/skriver til forskellige harddiske (krypteringslagoritmen har også betydning, samt om den krypterede fil du læser allerede ligger på et krypteret medie så det skal dekrypteres flere gange).
Toms Hardware har lavet performance tests på TrueCrypt med PC Mark Vantage. Du kan se resultaterne her:
http://www.tomshardware.com/reviews/truecrypt-secu...
HenrikH (14) skrev:Eller man benytter en key-file, eller anden form for token, udover kodeord ;-)
Et smart trick er at have en samling af nøglefiler, f.eks. en 20 stks. liggende i en mappe (husk at have backups). Tricket er at du ikke skal bruge alle nøglefilerne, dvs. at de fleste af dem vil fungere som decoys. Udover din adgangskode skal computeren også teste ikke kun hvilke nøglefiler du har brugt, men også hvilket rækkefølge de er brugt i. Det gør bruteforce attacks stort set umulige så længe din adgangskode stadigvæk er lang nok.
TrueCrypt understøtter desværre ikke Keyfiles i fuld systemkryptering endnu.
Sgu surt at finde ud af at flagskibet indenfor i5 (750'eren) ikke understøtter AES-NI. :(
Relateret : Hvor lang bør man holde sin krypteringsnøgle? Jeg bruger pt. en 11 tegn lang kode på min bærbar, bestående af tal, små og store bogstaver (ikke startbogstabet self.) - Er den "sikker" i forhold til statslige bruteforce midler, eller skal man højere op (Shift tegn osv)
Relateret : Hvor lang bør man holde sin krypteringsnøgle? Jeg bruger pt. en 11 tegn lang kode på min bærbar, bestående af tal, små og store bogstaver (ikke startbogstabet self.) - Er den "sikker" i forhold til statslige bruteforce midler, eller skal man højere op (Shift tegn osv)
#16
Din kode har ikke noget med længden af din krypteringsnøgle at gøre. Hvis du bruger AES er din nøgle enten 128, 192 eller 256 bit afhængig af, hvilken version du har valgt. Og den længde har den uanset, hvor langt dit kodeord er. Din kode har dermed ikke noget at sige i forhold til, hvor sikker krypteringen er overfor angreb på algoritmen.
Men vælger du navnet på din hund, som kodeord, er det jo ret sandsynligt, at nogle kan få adgang til din data, men så har de gjort det ved at GÆTTE dit håbløse kodeord, og IKKE ved at bryde krypteringen.
Så for kort at svare på dit spørgsmål, så jo længere og mere kompliceret dit kodeord er, des sværere er det for nogle at gætte det, og dermed få adgang til din data.
Din kode har ikke noget med længden af din krypteringsnøgle at gøre. Hvis du bruger AES er din nøgle enten 128, 192 eller 256 bit afhængig af, hvilken version du har valgt. Og den længde har den uanset, hvor langt dit kodeord er. Din kode har dermed ikke noget at sige i forhold til, hvor sikker krypteringen er overfor angreb på algoritmen.
Men vælger du navnet på din hund, som kodeord, er det jo ret sandsynligt, at nogle kan få adgang til din data, men så har de gjort det ved at GÆTTE dit håbløse kodeord, og IKKE ved at bryde krypteringen.
Så for kort at svare på dit spørgsmål, så jo længere og mere kompliceret dit kodeord er, des sværere er det for nogle at gætte det, og dermed få adgang til din data.
#4
Hvad basere du på, at Twofish skulle være mere sikker en AES? Den blev trods alt kun nr. 3 i konkurrence, men langt færre point end Rijndael og Serpent.
Hvad basere du på, at Twofish skulle være mere sikker en AES? Den blev trods alt kun nr. 3 i konkurrence, men langt færre point end Rijndael og Serpent.
squad2nd (5) skrev:[...]Eneste nederen er at at dens "encrypted OS" kun virker på Windows... så man kan ikke få ens Linux system krypteret.
Nu understøtter de fleste større distributioner full disk kryptering. Eksempelvis (K)Ubuntu 10.04 har det som en valgmulighed, hvis du bruger deres "Alternate" installations CD, eller DVD'en.
http://www.phoronix.net/image.php?id=ubuntu_hdd_en...
levellerdk (18) skrev:#4
Hvad basere du på, at Twofish skulle være mere sikker en AES? Den blev trods alt kun nr. 3 i konkurrence, men langt færre point end Rijndael og Serpent.
Rijndael (AES oprindelige navn) blev ikke valgt på baggrund af at være den mest sikre algoritme. Enhver kan lave en algoritme der er monstersikker, men langsom udover alle grænser. Hvis man ikke tager hardwareacceleration i betragtning (min CPU understøtter det alligevel ikke fandt jeg jo ud af), så er Twofish en meget lille smule langsommere end AES.
Først og fremmest er det værd at huske på at alle algoritmer i AES konkurrencen var relativt nye, hvilket gør det umuligt at vurdere præcist hvor sikre de er. Hvis de dengang havde haft de samme informationer tilgængelig som jeg har i dag ville valget måske ikke have set sådan ud.
Rijndael er den af de to cifre der er tættest på at blive brudt. Der er kørt forskellige teoretiske angreb på både Rijndael og Twofish, og det bedste angreb på Twofish. Jeg skal ikke udelukke at dette er fordi at Rijndael blev valgt som AES, og at Twofish ville have fået samme behandling hvis den havde vundet, men de to cifre virker på meget forskellige måder. Twofish bl.a. virker ved at bruge halvdelen af "nøglen" som nøgle, og den anden halvdel af nøglen til at scramble krypteringsalgoritmen. Dengang jeg skulle vælge algoritme (startede kryptering med Twofish for lidt over et år siden) læste jeg forskellige steder på nettet at folk generelt anså denne approach for den mest sikre.
Skal jeg være helt ærlig forstår jeg faktisk ikke hvor Rijndael blev valgt over Twofish. Performanceforskellen mellem de to cifre er minimal, og Twofish er umiddelbart den mest sikre, ihvertfald ud fra kendte angreb.
Det mest interessante er at Twofish faktisk kun blev nummer 3 i AES konkurrencen som du nævnte. Serpent-algoritmen blev nummer to, og Serpent-algoritmen er, for at sige det mildt, voldhamrende langsom. I TrueCrypt Benchmark er algoritmen 40% langsommere end Twofish og AES på 4 logiske kerner, hvilket er uacceptabelt for at sige det mildt. Selv hvis Rijndael virkelig er det bedste valg, burde Twofish som minimum ligge nr. 2.
Min konklusion er at AES-valget ikke nødvendigvis blev foretaget af folk som har dybt indgående forstand på kryptografi (valget blev foretaget ved stemme), så der er ingen garanti for at Rijndael er den bedste algoritme. Jeg foretog mit valg baseret på research på nettet. Som nævnt tidligere havde de dengang ikke adgang til samme informationer omkring de forskellige algoritmers sikkerhed som vi har nu.
Dette gælder forresten kun min bærbare computer, pga. performance. På min eksterne harddisk hvor performance ikke er så vigtigt kører jeg AES-Twofish kombineret :)
@16 : Tak for forklaringen. Var faktisk af den tro at længden på ens password betød noget for den direkte sikkerhed, og ikke bare "Hah! jeg gættede dit password" :)
Danke schon.
Danke schon.
Start med at fylde din harddisk op med data der er meget følsomme og meget pinlige for dig. Sørg dernæst for at miste harddisken så du ikke ved om der er nogen der har fundet dine data og er begyndt at sprede kopier af dem. Det skal nok hjælpe på din paranoia. Du kan også begynde at holde øje med hvor mange der egentlig prøver på at angribe din computer over internettet. Hvis du stadig ikke er paranoid nok, så skriv dig din personlige server applikation til at køre og være fuldt tilgængeligt fra internettet og få dernæst en sikkerhedsekspert til at tage et kig på den. Hvis det stadigvæk ikke har hjulpet dig til at blive paranoid nok, så tror jeg ikke det lykkes før du faktisk har prøvet at dine data falder i de forkerte hænder.JewleBewle (3) skrev:Kan man tage kurser i paranoia?
Det burde sagtens kunne sættes op. Man skal bare installere truecrypt på det ramdisk image der bruges til opstart. Det kræver dog at man kender både sin distribution og truecrypt godt nok til at vide hvordan man får truecrypt installeret i ramdisk imaget.squad2nd (5) skrev:Eneste nederen er at at dens "encrypted OS" kun virker på Windows... så man kan ikke få ens Linux system krypteret.
Om man også kan kryptere ramdisk imaget ved jeg ikke, men det er under alle omstændigheder noget som kræver en helt anden metode end den som truecrypt anvender.
Er de store brute force maskiner ikke kun til DES? Jeg tør godt forsikre jer for at der ikke er nogen som har computerkraft til at brute force 128 bits.Daniel-Dane (12) skrev:Er det ikke NSA, som råder over de store brute-force-maskiner?
Jeg går ud fra du mener hvor langt dit password bør være.HerrMansen (16) skrev:Hvor lang bør man holde sin krypteringsnøgle? Jeg bruger pt. en 11 tegn lang kode på min bærbar, bestående af tal, små og store bogstaver (ikke startbogstabet self.)
11 tegn betyder at det helt sikkert er nemmere at brute force dit password end en 128 bits nøgle. Hvis du bruger både store og små bogstaver og tal og vælger dem helt tilfældigt, så er der 62 mulige tegn, det vil sige knap 6 bits entropi per tegn. Det vil sige du skal op på 22 tegn før dit password er mere sikkert end en 128 bits nøgle.
Hvis du bruger flere forskellige tegn kan mindre end 22 tegn gøre det. Hvis du bruger 85 forskellige tegn, så er en længde på 20 nok til at opnå 128 bits entropi. Mindre end 20 tegn i længden vil aldrig kunne nå op på 128 bits entropi hvis man holder sig til tegn der kan skrives i 7 bit ascii.
Hvis man vælger tilfældige tegn fra hele unicode tegnsættet, så vil et kortere password kunne opnå 128 bits entropi. Men den slags er nok upraktisk at indtaste.
Fordi at så lange passwords kan være svære at taste uden fejl er jeg gået i gang med at skrive et program der kan generere passwords med fejlkorrigerende koder. Det betyder selvfølgelig at passwords på den måde bliver længere. Mit program genererer passwords der er 32 tegn lange og har 130 bits entropi. Til gengæld regner jeg med at kunne få det til at virke med op til fire tastefejl.
JewleBewle (3) skrev:Nu mangler jeg bare at blive paranoid nok så jeg begynder at bruge det. Kan man tage kurser i paranoia?
Start med at tage stoffer, f.eks. cocain. Opbyg et godt solidt misbrug, og stop igen. Vupti, du tror at der er monstre og andet godt omkring dig, 24/7 :-)
kasperd (23) skrev:Er de store brute force maskiner ikke kun til DES? Jeg tør godt forsikre jer for at der ikke er nogen som har computerkraft til at brute force 128 bits.
De kan stadigvæk bruges til forsøg på simpel passwordcracking, f.eks. med dictionary attacks, evt. blandet med lidt tilfældige tegn. Selv folk med lange passwords bruger ofte et par ord fra en ordbog i.
Athinira (15) skrev:Et smart trick er at have en samling af nøglefiler, f.eks. en 20 stks. liggende i en mappe (husk at have backups). Tricket er at du ikke skal bruge alle nøglefilerne, dvs. at de fleste af dem vil fungere som decoys.
Jeg sværger nu mere til den, med at vælge diverse forskellige ting som nøglefiler.
En datafil fra et ældre spil jeg spiller fra tid til anden.
En sjov billedefil jeg har liggende i en mappe med en masse af sådanne.
En MP3 fil.
En lille video.
Et gammelt tekstdokument omhandlende et tilfældigt emne.
Et program som Winamp jeg bruger i en ældre udgave og aldrig opdaterer.
Den slags er noget bedre end en mappe med nøglefiler -_-
kasperd (23) skrev:Du kan også begynde at holde øje med hvor mange der egentlig prøver på at angribe din computer over internettet.
Men husk nu for alt i verden lige at åbne alle indgående porte først :-D
HenrikH (28) skrev:Jeg sværger nu mere til den, med at vælge diverse forskellige ting som nøglefiler.
En datafil fra et ældre spil jeg spiller fra tid til anden.
En sjov billedefil jeg har liggende i en mappe med en masse af sådanne.
En MP3 fil.
En lille video.
Et gammelt tekstdokument omhandlende et tilfældigt emne.
Et program som Winamp jeg bruger i en ældre udgave og aldrig opdaterer.
Den slags er noget bedre end en mappe med nøglefiler -_-
Det er ikke meget bedre, højest "marginalt" bedre (20 nøglefiler er nok til at gøre en simpel adgangskode på 6-8 tegn næsten ubrydelig pga. de mange kombinationer der er). Derudover er der risiko for at data kan ændres i nogle af de filtyper du nævner. En MP3 fil kan have sine ID3 koder ændret af et program, selv hvis du forsøger at undgå at indlæse den i programmet. Tekstdokumenter (især officefiler) har samme risiko.
20 nøglefiler er mere end rigeligt, og der er ikke risiko for ændringer, samt at de er meget nemmere at tage backup af. Men hvis du er så sikkerhedsparanoid kan du jo altid bruge 40 eller 60 nøglefiler i stedet ;-)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund