# Truecrypt/Bitlocker-HDDs schnell entschlüsseln



## bingo88 (30. März 2010)

*Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Für knapp 800 US$ bietet Passware nun ein Programm an (Passware Kit Forensic 9.7), welches primär für Strafverfolgungsbehörden gedacht ist. Neu an dieser Version ist, dass selbst mittels Truecrypt bzw. Bitlocker verschlüsselte Festplatten geknackt werden können - allerdings muss zuvor per Firewire ein Image des laufenden(!) Systems gezogen werden!

Das Programm kann noch weitere Daten entschlüsseln (PDF, Office, etc.) und nutzt dabei Hauptspeicher- als auch Bruteforce-Attacken, welche auch von der GPU beschleunigt werden können.

Das zeigt mal wieder, dass selbst als relativ sicher geltende Systeme zu knacken sind...

http://scr3.golem.de/screenshots/1003/passware-kit-forensic/3-FireWireMemoryImagingProcess.png

Quelle: Golem.de, Bild: Golem.de Bildergalerie

PS: Ist meine erste News, bitte seid nachsichtig, wenn ich Müll gebaut hab 

EDIT: Irgendwie schaffe ich es nicht, das Bild einzufügen! Im Editor ist es da, Vorschau und Speichern nur noch der Link


----------



## Rotax (30. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Hmm... schön. Aber wohl eher für Firmen interessant, gibt für Privatleute ja eigentlich keinen Grund die Festplatten zu verschlüsseln, wenn man nicht gerade 800 GB Kinderpornos drauf hat...


----------



## bingo88 (30. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Hier waren aber schon Leute mit dem Problem unterwegs. Angesichts des Preises hast du aber vermutlich recht


----------



## Autokiller677 (30. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Naja, und ein Image des laufenden Systems kann man auch nicht mal eben ziehen. Heißt wenn man eine Festplatte verliert sind die Daten immer noch sicher.


----------



## X Broster (30. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Als Geschäftsmann, der auf seinem Reise-Notebook sehr vertrauliche Daten über die Firma hält. 
Oder man möchte seine Privatfotos auf einer externen Festplatte/Stick vor Langfingern schützen.

Letzteres benutze ich seit einigen Jahren.

Ich hoffe Truecrypt bringt ein (Sicherheits)-update heraus. Sonst ist die Verschlüsselung für die Katz´


----------



## xEbo (30. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



X Broster schrieb:


> Als Geschäftsmann, der auf seinem Reise-Notebook sehr vertrauliche Daten über die Firma hält.
> Oder man möchte seine Privatfotos auf einer externen Festplatte/Stick vor Langfingern schützen.
> 
> Letzteres benutze ich seit einigen Jahren.
> ...



Ein Geschätsmann hat sein Gerät wenn es möglich ist es zu klauen wahrscheinlich nicht an.
Wie die News besagt: Image vom laufenden System! Das bekommt man so schnell nicht. Die Daten sind zwar noch 30-90s nach dem Ausschalten von einem PC noch wiederherstellbar. 
Wenn dein PC an ist, ist die Verschlüsselung so oder so nicht 100% sicher. Da man den Key aus dem Speicher klauen kann, ich schätze dass diese Firma ein Verfahren hat, in dem sie einfach ein Speicherdump erstellen und daraus dann den gerade genutzten Key extrahieren. 
Ohne Key bleibt im Normalfall nur Bruteforce und dass kann dauern


----------



## bingo88 (30. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



xEbo schrieb:


> Ein Geschätsmann hat sein Gerät wenn es möglich ist es zu klauen wahrscheinlich nicht an.
> Wie die News besagt: Image vom laufenden System! Das bekommt man so schnell nicht. Die Daten sind zwar noch 30-90s nach dem Ausschalten von einem PC noch wiederherstellbar.
> Wenn dein PC an ist, ist die Verschlüsselung so oder so nicht 100% sicher. Da man den Key aus dem Speicher klauen kann, ich schätze dass diese Firma ein Verfahren hat, in dem sie einfach ein Speicherdump erstellen und daraus dann den gerade genutzten Key extrahieren.
> Ohne Key bleibt im Normalfall nur Bruteforce und dass kann dauern


Ja das wird so in die Richtung gehen. Truecrypt kann ja z. B. AES, was meines Wissens an sich noch nicht geknackt wurde. Wenn man aber den Schlüssel aus dem Speicher klaut, warum dann den Algorithmus knacken? 
Wobei die Verbreitung von Firewire doch auch eher dürftig ist, oder?


----------



## Incredible Alk (30. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Die Algorithmen die TrueCrypt benutzt (AES, Twofish und Serpent) sind allesamt als extrem sicher eingestuft und faktisch auch mit extremen Aufwand nicht knackbar. Einzige Möglichkeit ist das Passwort herauszufinden und dafür gibt es viele Wege (Speicherdumps, Keylogger uvm.) - genau deshalb gehts auch nur auf laufenden systemen.

Wenn du eine *.tc Datei einfach so auf einen Stick tust und sie jemand in die Hände bekommt wird er niemals an deine Daten gelangen können da er keine Möglichkeit hat an dein PW zu gelangen ohne laufendes System - und Twofish etc. per Bruteforce knacken... selbst mit mehreren Petaflops an Rechenlesitung würde es Jahre dauern bis man da unter Umständen was vorweisen könnte - der Algorithmus ist einfach in "Rückrichtung" extrem komplex ohne richtiges PW. Ich habe von 2^59 Versuchen pro Zeichen gehört die erforderlich wären - und zwar für Zeichen der Daten, nicht des Passwortes! Kann man ja ausrechnen wie viele Versuche alleine für 1MB Daten nötig wären...  
604.462.909.807.314.587.353.088 Bruteforce Versuche für EIN MEGABYTE 
Da stirbt auch der beste Supercomputer den Heldentod.

Insgesamt gesehen ist der Algorithmus selbst unknackbar, Schwachstellen sind nur unsichere (da zu einfache) Passwörter sowie die Methode des Auslesens vom RAM im laufenden Betrieb. Wenn man also ein sicheres PW hat (Bruteforce unmöglich machen) und der "Gegner" keinen unmittelbaren physischen Zugang zum laufenden PC mit gemountetem Image (!) hat so ist TrueCrypt absolut bombensicher.


----------



## marbo (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Firewire abschalten


----------



## Brehministrator (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Incredible Alk schrieb:


> Die Algorithmen die TrueCrypt benutzt (AES, Twofish und Serpent) sind allesamt als extrem sicher eingestuft und faktisch auch mit extremen Aufwand nicht knackbar. Einzige Möglichkeit ist das Passwort herauszufinden und dafür gibt es viele Wege (Speicherdumps, Keylogger uvm.) - genau deshalb gehts auch nur auf laufenden systemen.
> 
> Wenn du eine *.tc Datei einfach so auf einen Stick tust und sie jemand in die Hände bekommt wird er niemals an deine Daten gelangen können da er keine Möglichkeit hat an dein PW zu gelangen ohne laufendes System - und Twofish etc. per Bruteforce knacken... selbst mit mehreren Petaflops an Rechenlesitung würde es Jahre dauern bis man da unter Umständen was vorweisen könnte - der Algorithmus ist einfach in "Rückrichtung" extrem komplex ohne richtiges PW. Ich habe von 2^59 Versuchen pro Zeichen gehört die erforderlich wären - und zwar für Zeichen der Daten, nicht des Passwortes! Kann man ja ausrechnen wie viele Versuche alleine für 1MB Daten nötig wären...
> 604.462.909.807.314.587.353.088 Bruteforce Versuche für EIN MEGABYTE
> ...


Ich kenn mich mit der Geschichte auch etwas aus, und dem kann ich nichts hinzufügen!


----------



## The_Final (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Incredible Alk schrieb:


> Insgesamt gesehen ist der Algorithmus selbst unknackbar, Schwachstellen sind nur unsichere (da zu einfache) Passwörter sowie die Methode des Auslesens vom RAM im laufenden Betrieb. Wenn man also ein sicheres PW hat (Bruteforce unmöglich machen) und der "Gegner" keinen unmittelbaren physischen Zugang zum laufenden PC mit gemountetem Image (!) hat so ist TrueCrypt absolut bombensicher.


Ich bin geneigt, dem zuzustimmen. Die Algorithmen, die TrueCrypt benutzt, kann man nicht "mal eben so" knacken.


----------



## Snake7 (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Gezielte Panikmacherei - mehr ist es nicht.
Die "Überschrift" wie auch der Text scheint mir Bildniveau z sein.

Und desto mehr ihr verschlüsselt habt, desto schwieriger wird es ein "image" zu ziehen - lasst mal 3 TB verschlüsselt sein - da kann man nicht so einfach nen BackUp ziehen - per Firewire 400 fangen die gar nicht erst an.... .

Weiß jetzt auch nicht wer meinte das manden Key nach 60-90 sec NACH!!! auschalten des PC noch auslesen kann - ist doch auch totaler quatsch - bei einem Neustart wird der RAM schon komplett geleert bzw. neu beschrieben - da noch was rauszulesen wird lustig, da das richtige rauszulesen viel Spass - brauch ja nur eine Zahl anders sein - schon ergibt das PW keinen Sinn bzw. keine Datein mehr.

Panikmacherei - mehr nicht.


----------



## meppusch (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



xEbo schrieb:


> Ein Geschätsmann hat sein Gerät wenn es möglich ist es zu klauen wahrscheinlich nicht an.


Oh nein, ich kenne viele Apple-Freaks die ihr Mac-Book nur zuklappen um es schnell wieder im Betrieb zu haben...


----------



## Thornscape (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Snake7 schrieb:


> Und desto mehr ihr verschlüsselt habt, desto schwieriger wird es ein "image" zu ziehen - lasst mal 3 TB verschlüsselt sein - da kann man nicht so einfach nen BackUp ziehen - per Firewire 400 fangen die gar nicht erst an.... .
> 
> Weiß jetzt auch nicht wer meinte das manden Key nach 60-90 sec NACH!!! auschalten des PC noch auslesen kann - ist doch auch totaler quatsch - bei einem Neustart wird der RAM schon komplett geleert bzw. neu beschrieben - da noch was rauszulesen wird lustig, da das richtige rauszulesen viel Spass - brauch ja nur eine Zahl anders sein - schon ergibt das PW keinen Sinn bzw. keine Datein mehr.



Zwei Sachen zur Richtigstellung, da du das Prinzip anscheinend nicht richtig verstanden hast:



Kopiert wird nicht das Image bzw. die Imagedatei, sondern ein Abbild des RAMs vom PC. Aus diesem wird dann der key ausgelesen. Im RAM muss ja während des Betriebes (mit gemountetem Image) eine Version des Schlüssels vorhanden sein, da dein System sonst ja selbst nicht auf die Daten zugreifen könnte.


Dass einige Zeit nach dem Ausschalten des PCs noch Daten im RAM vorhanden sein können, ist auch richtig. Mittels so einiger Kondensatoren, sowohl im Netzteil selbst, als auch im Versorgungsteil des Mainboards, wird genügend Energie gespeichert, dass viele Komponenten auch nach dem Abschalten des PCs eine kurze Zeitspanne noch versorgt werden.
Im Regelfall ist die Dauer aber so kurz, dass ich das nicht als Sicherheitsrisiko ansehen würde.


----------



## Gadteman (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Incredible Alk schrieb:


> Die Algorithmen die TrueCrypt benutzt (AES, Twofish und Serpent) sind allesamt als extrem sicher eingestuft und faktisch auch mit extremen Aufwand nicht knackbar. Einzige Möglichkeit ist das Passwort herauszufinden und dafür gibt es viele Wege (Speicherdumps, Keylogger uvm.) - genau deshalb gehts auch nur auf laufenden systemen.
> 
> Wenn du eine *.tc Datei einfach so auf einen Stick tust und sie jemand in die Hände bekommt wird er niemals an deine Daten gelangen können da er keine Möglichkeit hat an dein PW zu gelangen ohne laufendes System - und Twofish etc. per Bruteforce knacken... selbst mit mehreren Petaflops an Rechenlesitung würde es Jahre dauern bis man da unter Umständen was vorweisen könnte - der Algorithmus ist einfach in "Rückrichtung" extrem komplex ohne richtiges PW. Ich habe von 2^59 Versuchen pro Zeichen gehört die erforderlich wären - und zwar für Zeichen der Daten, nicht des Passwortes! Kann man ja ausrechnen wie viele Versuche alleine für 1MB Daten nötig wären...
> 604.462.909.807.314.587.353.088 Bruteforce Versuche für EIN MEGABYTE
> ...



Jepp, dem kann ich auch nur Zustimmen.

Das eigentliche "Sicherheitsproblem" dabei sitzt nur vor dem Bildschirm. Der sicherste Algorithmus ist nur solange sicher, wie man seine(n) Key(s) bzw. Schlüssel geheimhält und diese entsprechend wählt (groß/kleinbuchstaben gemischt mit Zahlen). Das mit dem Ram auslesen NACH Power Off soll möglich sein, wird in gewissen "anderen" Boards (u.a. gulli) auch diskutiert.
Den Rechner abschmieren lassen (stecker raus) sofort Ram raus, Eisspray rauf und so wird bis zu 60 Sekunden der Inhalt erhalten. Cold Boot Attacks.
Selbst probiert habe ich das nicht, aber das sind Sachen die schon 2008 durch die Onlinepresse ging .-) Mit Panikmache hat das nix zu tun, zeigt nur die Möglichkeiten...

z.B.
Perfider Angriff: Festplattenverschlüsselung durch Speicherattacke zu knacken - computerwoche.de
oder
Physical memory attacks via Firewire/DMA - Part 1: Overview and Mitigation (Update) | Uwe Hermann

Video zu cold boot attack:
Center for Information Technology Policy » Lest We Remember: Cold Boot Attacks on Encryption Keys

MFG


----------



## Snake7 (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Thornscape schrieb:


> Zwei Sachen zur Richtigstellung, da du das Prinzip anscheinend nicht richtig verstanden hast:
> 
> 
> 
> ...



Zu1. - Dann wurde das im Text zu zweideutig erklärt bzw.falsch beschrieben.

Zu 2. - bei meinem Home-Server wäre diesse Zeitspanne keine 3 sek... .


----------



## Thornscape (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Snake7 schrieb:


> Zu1. - Dann wurde das im Text zu zweideutig erklärt bzw.falsch beschrieben.
> 
> Zu 2. - bei meinem Home-Server wäre diesse Zeitspanne keine 3 sek... .



Allerdings ist zu beachten, was schon einen Beitrag über dir steht. Es ist teils auch noch Stunden später möglich Daten auszulesen.


----------



## Gadteman (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Naja Stunden wohl eher doch in den seltensten Fällen, aber der Erhalt der Daten Aufgrund gewisser Eigenschaften des Siliziums bei Kälte ist sehr hoch. Daher ist der Einwand, der Spannungshaltung einiger Kondensatoren und der "möglichen" verlängerten Versorgungsspannung der Rams ist schon etwas weit hergeholt 8aber nicht unmöglich). Viele MBs haben eine LED auf dem Board neben dem Ram, die angibt wenn die Spannung nach NT-Off (Switch) weg ist, bei evtl. Arbeiten am Ram oder anderen Komponenten zum wechseln.
Abweich vom Thema

@Topic
Nur eine weitere Möglichkeit, ein PW aus dem Ram zu holen und mit einem System-Image an verschlüsselte Daten und Inhalte zu gelangen.


----------



## Snake7 (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Um das Silizium erstmal frosten zu können, müssen die eh erstmal das Gehäuse öffnen - und das dauert je nach Gehäuseart etc. teilweise länger als die Zeit haben... .


----------



## bingo88 (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Das RAM-Dumpen klappt nur bei eingeschaltetem PC. Bei ausgeschaltetem PC muss man wieder auf Brute-Force zurückgreifen, was je nach Passwort und Angriffsmethode ne Weile dauern kann


----------



## Incredible Alk (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Mit dem Cooldown da für die RAMs haben wir folgendes:

RAM ist prinzipiell flüchtig, die Daten sind nach kappen des Stromes binnen weniger Sekunden restlos verloren. Dieser zeitraum wird einerseits von noch vorhandener Restenergie des MBs in Kondensatoren erhöht (bei meinem MB dauert es über 10s bis die LEDs erlöschen nachdem ich den Strom kappe) und kann andererseits durch sehr niedrige Temperaturen stark verlängert werden (bis über eine Stunde).

Daraus resultiert für diese Methode: Theoretisch machbar aber den will ich sehen, der einen PC innerhalb von 10-15s aus der Ecke holt, aufmacht und den RAM auf -200°C runterkühlt.
Das mag in Versuchsaufbauten funktionieren aber praxisnah ist es ganz sicher nicht.


----------



## HCN (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Im Prinzip ist Truecrypt auch nicht sooo der hit, weil man ja am Anfang den Schlüssel eingeben muss.

Wenn da jemand nen Hardwarekeylooger mit Funk (hab ich schon billig im Inet gesehen) in deine Tastatur einbaut ist das ganze auch fürn arsch und wenn cih sehe wie ein Schlüsseldienst innerhalb von 2 sekunden in den meisten Wohnungen drin ist, na dann Prost.



> Theoretisch machbar aber den will ich sehen, der einen PC innerhalb von 10-15s aus der Ecke holt, aufmacht und den RAM auf -200°C runterkühlt.


 
Man kann ja das Gehäuse schonmal aufmachen, das Dewar daneben stellen, die Halterungen leicht lockern und dann musst du nur noch den Stecker ziehen, die Riegel raus reissen und ins Dewar schmeißen.


----------



## bishop (31. März 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



HCN schrieb:


> Im Prinzip ist Truecrypt auch nicht sooo der hit, weil man ja am Anfang den Schlüssel eingeben muss.
> 
> Wenn da jemand nen Hardwarekeylooger mit Funk (hab ich schon billig im Inet gesehen) in deine Tastatur einbaut ist das ganze auch fürn arsch und wenn cih sehe wie ein Schlüsseldienst innerhalb von 2 sekunden in den meisten Wohnungen drin ist, na dann Prost.



ich musste hier an das hier denken  sry für OT


----------



## Incredible Alk (1. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



HCN schrieb:


> Im Prinzip ist Truecrypt auch nicht sooo der hit, weil man ja am Anfang den Schlüssel eingeben muss.



Muss man nicht, ne Keyfile aufm Stick geht auch aber ich find das unsicherer, den Stick kann man klauen, dein Hirn weniger.

und wie zur Hölle willste denn deinem PC das PW mitteilen ohne es einzutippen? Fingerabdruck? Netzhautscan? DNA-Test? 

Find ich etwas aufwendig um das ganze sicher und reproduktiv zu machen denk ich


----------



## Autokiller677 (2. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



HCN schrieb:


> Man kann ja das Gehäuse schonmal aufmachen, das Dewar daneben stellen, die Halterungen leicht lockern und dann musst du nur noch den Stecker ziehen, die Riegel raus reissen und ins Dewar schmeißen.


Wenn man als Datendieb soweit kommt, dass man, während der PC mit eingegebenen Kennwort läuft, den PC aufschrauben kann und einen Dewar daneben stellen kann, kann man sich das ganze auch sparen und direkt vom laufenden System ein RAM Abbild machen.

Das heißt wiederum, dass die ganze Diskussion wie lange man Daten aus dem RAM mit welchen Mitteln konservieren kann relativ sinnlos ist, weil der Dieb in den ersten 10s nach dem ausschalten am PC sein muss.

Ergo: entweder der Dieb kommt irgendwie ans laufende System und kann sich so den Dewar sparen oder er kann das Ding zwar entwenden, aber nix damit anfangen weil verschlüsselt.


----------



## Nasenbaer (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Rotax schrieb:


> Hmm... schön. Aber wohl eher für Firmen interessant, gibt für Privatleute ja eigentlich keinen Grund die Festplatten zu verschlüsseln, wenn man nicht gerade 800 GB Kinderpornos drauf hat...


Achso und wenn einem das Notebook gestohlen wird? Ich möchte nicht, dass dann jeder auf meine Daten Zugriff hat. Bspw. E-Mails, die deine Kontodaten enthalten (bei Bezahlbestätigung) oder der eigene Lebenslauf oder ne Datei mit CD-Keys der Spiele, die man so hat.
Es gibt ne Menge Zeugs, das man vor Fremden Blicken verbergen will. Die Fremden müssen ja nicht immer Polizei und Co sein.


----------



## Spieler911 GTA4 (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Nasenbaer schrieb:


> Achso und wenn einem das Notebook gestohlen wird? Ich möchte nicht, dass dann jeder auf meine Daten Zugriff hat. Bspw. E-Mails, die deine Kontodaten enthalten (bei Bezahlbestätigung) oder der eigene Lebenslauf oder ne Datei mit CD-Keys der Spiele, die man so hat.
> Es gibt ne Menge Zeugs, das man vor Fremden Blicken verbergen will. Die Fremden müssen ja nicht immer Polizei und Co sein.


 
Das Email Passwort wird man auf einem Laptop wenn man MSN hat wohl jedesmal von Hand eingeben nehme ich mal an...
CD Keys würd ich gar net im PC aufbewahren ausdrucken verstecken fertig....


----------



## Nasenbaer (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Spieler911 GTA4 schrieb:


> Das Email Passwort wird man auf einem Laptop wenn man MSN hat wohl jedesmal von Hand eingeben nehme ich mal an...
> CD Keys würd ich gar net im PC aufbewahren ausdrucken verstecken fertig....


Wazu ein E-Mail-Passwort? Die meisten werden POP3-Server nutzen und dann werden die E-Mails unverschlüsselt auf der lokalen Platte abgelegt. Aber bei IMAP-Servern haste lokal meistens nur die E-Mail-Header - POP3 ist aber weiter verbreitet.
Ich habe aber CD-Keys auf'm gespeichert. Zwar in einer PW-geschützen extra Datei, sodass TrueCrypt und der Dateiverschlüsselungsmechanismus überwunden werden müssen aber vorhanden sind sie dennoch.

Das sollten auch nur einige Beispiele sein. Viele haben irgendwelche persönlichen Daten gespeichert, die man vielleicht noch der Polizei offenbaren würde aber sicher nicht wildfremden Dieben.


----------



## Meph (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Incredible Alk schrieb:


> Muss man nicht, ne Keyfile aufm Stick geht auch aber ich find das unsicherer, den Stick kann man klauen, dein Hirn weniger.



Aber man kann Keyfile und PW kombinieren.
Keyfile irgendwo sichern z.B. ein spezielles Foto das man unter hunderten lagert (externe Platte mit Bilderordner)
und gleichzeitig unter ähnlichen Fotos auf nem USB-Stick...

-> Wenn der USB-Stick geklaut wird, fehlt das PW und wenn jemand nen Keylogger nutzt fehlt die Schlüsseldatei 

-e-
Dass man private Daten veschlüsseln sollte ist ja klar


----------



## Luckysh0t (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

dann darf man aber nicht vergessen die keyfile zu kopieren und dasheim oder sonst wo aufzubewahren weil sonst kommt man ja selbst auch nicht mehr ran xd 

die keyfile kann man ja spaßeshalber auch nochmal verschlüsseln xd zb mit axcrypt 

und wie schaut es aus wenn man neben der datenplatte auch die os hd  mit zb truecrypt verschlüsselt hat ? kan ma des so einstellen das wenn von mir aus der pc im standy etc ist auch das tc pw wieder eingegeben werden muss ?

vorrausgesetz man hat mittlerweile eine lösung für dieses bootkit gefunden was der eine mal gebastelt hat


----------



## GR-Thunderstorm (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Was wäre, wenn man mit TrueCrypt die System-HDD verschlüsselt? Werden dann alle Daten beim Arbeiten auch verschlüsselt in den RAM gelegt?


----------



## Neander (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Wenn du die System HDD verschlüsselst, bekommst vor dem Booten eine Abfrage des PW und dann werden deine Daten geöffnet ich denke das die Daten während des Arbeitens  auch erst verschlüsselt werden, wenn der Computer wieder heruntergefahren wird.

Auch wenn der PC in Standby etc. gesetzt wird, kommt nur nochmals die Windows PW Abfrage, denn die Festplatte ist ja noch "geöffnet" und wird erst beim Herunterfahren "geschlossen"


----------



## Luckysh0t (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

hm na dann wäre zu schön gewesen wenn das auch während des betriebs verschlüsselt wäre   ghet sowas den eig überhaupt ?


----------



## The_Final (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Wenn die Systemplatte verschlüsselt ist, sind die Daten auf der HDD immer verschlüsselt, im RAM jedoch liegen die Daten unverschlüsselt vor; anders wären sie ja auch für das System selbst nicht lesbar.  Dasselbe gilt für alle gemounteten Truecrypt-Laufwerke.


----------



## Luckysh0t (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

wenn ma mal darüber nachdenkt ergibt das sinn xd


----------



## Nasenbaer (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Luckysh0t schrieb:


> die keyfile kann man ja spaßeshalber auch nochmal verschlüsseln xd zb mit axcrypt
> 
> und wie schaut es aus wenn man neben der datenplatte auch die os hd  mit zb truecrypt verschlüsselt hat ? kan ma des so einstellen das wenn von mir aus der pc im standy etc ist auch das tc pw wieder eingegeben werden muss ?
> 
> vorrausgesetz man hat mittlerweile eine lösung für dieses bootkit gefunden was der eine mal gebastelt hat


Also das Keyfile würe ich nicht nochmal verschlüsseln. Das macht die Datei unnötig verdächtig. Besser ist es einen Ordner mit etlichen MP3 oder Bildern zu haben und eine davon ist dient als Keyfile. Naklar man dann alle Dateien automatisch durchtesten und sollte man sich nur aufs Keyfile ohne PW verlassen, dann ist es auch schnell knackbar. Ist aber besser als eine Datei zu nehmen, die keinen Sinn zu erfüllen scheint - wie bei verschlüsselten Dateien üblich.

So ein Keyfile ohne zusätzliches PW ist aber natürlich praktisch, wenn man nen HTPC ohne Tastatur hat - jedes mal per Remotedesktop anmelden wäre etwas nervig.


TruceCrypt bietet nicht die Möglichkeit, dass man nach StandBy das PW erneut eingeben muss - jedenfalls für die Systemplatte. Andere Platten kann man automatisch aushängen lassen bevor der PC in standby geht.


----------



## The_Final (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Nasenbaer schrieb:


> TruceCrypt bietet nicht die Möglichkeit, dass man nach StandBy das PW erneut eingeben muss - jedenfalls für die Systemplatte. Andere Platten kann man automatisch aushängen lassen bevor der PC in standby geht.


Das wäre auch schwer sinnvoll realisierbar. Damit das System wieder verschlüsselt ist, müsste man es komplett aus dem RAM entfernen, was weiter bedeutet, das System müsste komplett neu gestartet werden - nicht gerade der Sinn des Standby-Modus'.


----------



## Nasenbaer (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



The_Final schrieb:


> Das wäre auch schwer sinnvoll realisierbar. Damit das System wieder verschlüsselt ist, müsste man es komplett aus dem RAM entfernen, was weiter bedeutet, das System müsste komplett neu gestartet werden - nicht gerade der Sinn des Standby-Modus'.


Da hast du vollkommen Recht. Einzige Alternative wäre der Ruhezustand, der aber das schneller wiederwachen vom StandBy zunichte macht. Was bleibt ist dann das erhalten der offenen Anwendungen.


----------



## The_Final (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Nasenbaer schrieb:


> Da hast du vollkommen Recht. Einzige Alternative wäre der Ruhezustand, der aber das schneller wiederwachen vom StandBy zunichte macht. Was bleibt ist dann das erhalten der offenen Anwendungen.


Das sollte doch auch eigentlich reichen. Das Booten des Systems dauert nun wirklich nicht so lange, dass es ein entscheidender Faktor wäre.


----------



## Nasenbaer (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



The_Final schrieb:


> Das sollte doch auch eigentlich reichen. Das Booten des Systems dauert nun wirklich nicht so lange, dass es ein entscheidender Faktor wäre.


Soll ja auch ungeduldige Menschen geben. ^^


----------



## HCN (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Beim kexfile aber dran denken das auch Tags von mp3 und andere etxtra Sachen dazu zählen.

Ein Kumpel von mir hat sich malsein System zerlegt, weil er den Auto seines MP3 Keyfiles geändert hatte.


----------



## The_Final (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



HCN schrieb:


> Beim kexfile aber dran denken das auch Tags von mp3 und andere etxtra Sachen dazu zählen.
> 
> Ein Kumpel von mir hat sich malsein System zerlegt, weil er den Auto seines MP3 Keyfiles geändert hatte.


Dass man beim Keyfile nichts ändern darf, sollte eigentlich klar sein.  Außer, man verändert es absichtlich, um so das Keyfile für potenzielle "Angreifer" wertlos zu machen. Dann muss man aber auch die Möglichkeit haben, es vor dem Einsatz wieder in den ursprünglichen Zustand zurückzuversetzen.


----------



## Nasenbaer (3. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



HCN schrieb:


> Beim kexfile aber dran denken das auch Tags von mp3 und andere etxtra Sachen dazu zählen.
> 
> Ein Kumpel von mir hat sich malsein System zerlegt, weil er den Auto seines MP3 Keyfiles geändert hatte.


Das ist natürlich gefährlich - richtig.


----------



## Lyran (4. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Angenommen eine externe Festplatte welche mit TrueCrypt verschlüsselt ist wurde gestohlen und soll geknackt werden. Ist das mit dem Tool möglich? Das Image ist ja nicht gemountet also kann man auch nichts aus dem Ram des Rechners auslesen an dem sie dranhängt oder?


----------



## Incredible Alk (4. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*



Lyran schrieb:


> Angenommen eine externe Festplatte welche mit TrueCrypt verschlüsselt ist wurde gestohlen und soll geknackt werden. Ist das mit dem Tool möglich? Das Image ist ja nicht gemountet also kann man auch nichts aus dem Ram des Rechners auslesen an dem sie dranhängt oder?



Sofern es keine Möglichkeit gibt an dein PW zu kommen mit anderen Methoden ist die Platte absolut knacksicher sofern dein PW mehr als sagen wir mal 10-12 Zeichen hat (und das PW in keinem Wörterbuch steht).


----------



## rebel4life (4. April 2010)

*AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln*

Hatten wir doch schon:

gulli.com - news - TrueCrypt geknackt - oder auch nicht


----------

