Kryptererede filer - hvor sikre er de ?

I anden anledning har jeg haft brug for at interessere mig for sikker opbevaring af data - det program de fleste anbefaler er TrueCrypt, meget let at bruge og du kan udstyre dine filer med så langt et password du ønsker.

Filerne kan derefter behandles som alle andre filer (mailes, kopieres etc.) men kun åbnes af parter med det relevante password.

Programmet er uden tvivl sikkert nok til mit brug (beskyttelse af data i fald opbevaringsmediet bliver stjålet); datatilsynet godkender det til det formål.

Mit spørgsmål er mere nørdet -hvor sikre er de her krypteringer overfor tredjemand med lidt mere vilje, tid og ressourcer end en tilfældig tyveknægt ?

Almindeligvis antages det vist i øjeblikket at en 6 cifret kode kan knækkes med et "brute force" angreb selv fra en nogenlunde anstændig almindelig PC i løbet af nogle timer, når man bevæger sig op i 8 cifre bliver det svært og 10 cifre er stort set umuligt lige nu. 12-14-16-18 cifre , glem det.....
Selv en nogenlunde begavet 10 klasses dreng kan altså kryptere en fil, så en forsknings computer skal tygge på den en uges tid før den er læsbar.

Men kan det virkelig være så sikkert ? Og hvis det er, hvad er så værdien af CIA og lignende organisationers overvågningsprogrammer af internettet etc.
Altså selvfølgelig skal de nok få åbnet de filer, de ved, der er noget i. Det er trods alt bare et spørgsmål om nok tid og computerkraft.
Men hvad med alt den generelle overvågning og screening ?
Det eneste, de kan se, er al den almindelige korrespondance - den ondartede vil være stort set ulæselig (hvis vi forudsætter bare et minimum af kompetence niveau hos de slemme).

Mvh
Cirb

Som du selv er inde på så er password længden vigtig, men den er ligegyldig hvis du har brugt en svag eller usikker krypteringsalgoritme. Nu nævner du dog Truecrypt, og det er et af verdens bedste krypteringsprogrammer. Hvis du bruger Truecrypts mulighed for triple kryptering, eksempelvis AES-Twofish-Serpent, så skal en angriber bryde tre af verdens stærkeste krypteringsalgoritmer før de når dine data.

Sådan en kryptering med et stærkt password, det findes der ikke nok computerkraft i verden til at bryde i vores levetid. Derfor er det svageste led personen der har krypteret de pågældende data, og det er også oftest sådan at eksempelvis CIA får adgang til krypterede data.

Derfor er det nye hit blandt eksempelvis terrorister, at benytte steganografi, som er en metode til at skjule data i data. På den måde kan man eksempelvis skjule hemmelige dokumenter i en uskyldig videofil, og dermed ved ingen at man i det hele taget har noget at skjule.

BehnReady skrev:

Sådan en kryptering med et stærkt password, det findes der ikke nok computerkraft i verden til at bryde i vores levetid. Derfor er det svageste led personen der har krypteret de pågældende data, og det er også oftest sådan at eksempelvis CIA får adgang til krypterede data.

Derfor er det nye hit blandt eksempelvis terrorister, at benytte steganografi, som er en metode til at skjule data i data. På den måde kan man eksempelvis skjule hemmelige dokumenter i en uskyldig videofil, og dermed ved ingen at man i det hele taget har noget at skjule.

Men så er alle deres internet overvågnings programmer jo værdiløse...

Filer kan udveksles fuldstændigt frit via nettet over hele verdenen uden at CIA kan komme bare i nærheden af deres indhold. Terroristerne skal bare sørge for at sende fil og password af to forskellige veje - de eneste som overvågningen reelt kan holde øje med er alle os andre...

Mvh
Cirb

Cirb skrev:

BehnReady skrev:

Sådan en kryptering med et stærkt password, det findes der ikke nok computerkraft i verden til at bryde i vores levetid. Derfor er det svageste led personen der har krypteret de pågældende data, og det er også oftest sådan at eksempelvis CIA får adgang til krypterede data.

Derfor er det nye hit blandt eksempelvis terrorister, at benytte steganografi, som er en metode til at skjule data i data. På den måde kan man eksempelvis skjule hemmelige dokumenter i en uskyldig videofil, og dermed ved ingen at man i det hele taget har noget at skjule.

Men så er alle deres internet overvågnings programmer jo værdiløse...

Filer kan udveksles fuldstændigt frit via nettet over hele verdenen uden at CIA kan komme bare i nærheden af deres indhold. Terroristerne skal bare sørge for at sende fil og password af to forskellige veje - de eneste som overvågningen reelt kan holde øje med er alle os andre...

Mvh
Cirb

Hovedpunktet i enhver kodebrydning er luskefisenes dumhed og klodsethed.

Næh brug du min metode til at gemme hemmeligheder: Neddyp dem i nonsens.

@BehnReady

Iøvrigt.

Tak for info

Mvh
Cirb

Cirb skrev:

Men så er alle deres internet overvågnings programmer jo værdiløse...

Filer kan udveksles fuldstændigt frit via nettet over hele verdenen uden at CIA kan komme bare i nærheden af deres indhold. Terroristerne skal bare sørge for at sende fil og password af to forskellige veje - de eneste som overvågningen reelt kan holde øje med er alle os andre...

Mvh
Cirb

Jeg tror bestemt ikke det er værdiløst, for 95% af de kriminelle er for dumme til at bruge ordentlig kryptering, eller også begår de fodfejl der gør deres kryptering nytteløs. De sidste få procent får man som regel fat på med regulær efterretningsarbejde.

Også bare det at man benytter kryptering i udpræget grad, vil jo i nogle tilfælde rette myndighedernes øjne på dig, for hvad er det man vil skjule?
Eksempelvis har lande som Iran jo anholdt folk bare for at benytte Tor netværket, som ellers skulle sikre anonym deling af informationer.

Men det er bare mine formodninger, jeg er ikke ekspert på området. Jeg arbejder dog med IT-sikkerhed til dagligt, og har en stor interesse for området.

Thomas skrev:
Hovedpunktet i enhver kodebrydning er luskefisenes dumhed og klodsethed.

Netop.

Thomas skrev:
Næh brug du min metode til at gemme hemmeligheder: Neddyp dem i nonsens.

Din helt egen variant af steganografi

BehnReady skrev:

Thomas skrev:
Hovedpunktet i enhver kodebrydning er luskefisenes dumhed og klodsethed.

Netop.

Thomas skrev:
Næh brug du min metode til at gemme hemmeligheder: Neddyp dem i nonsens.

Din helt egen variant af steganografi

Njarrr - tillid til klaptorskene vil læse alt - også det rigtige -og dumme sig med appel.

Kan også anbefale TrueCrypt. Det er Open Source og dermed kan der - så længe nogen ellers er i stand til at checke det - ikke placeres "bagdøre" på samme måde som det helt sikkert sker i lukkede sikkerhedsprodukter fra USA og Israel. Hvis du har evnerne, kan du downloade sourcekoden, kigge i den og bygge TrueCrypt selv derhjemme.

TrueCrypt understøtter også "plausible deiniability", som er meget smart i de tilfælde hvor myndighederne benytter sig af omvendt bevisbyrde. Det fungerer på den måde, at du opretter to volumes med hvert sit password. Taster du det ene password, får du adgang til familiens feriebilleder m.v., taster du det andet, får du fat i dine hemmelige sager. Så hvis du på et tidspunkt bliver tvunget til at oplyse passwordet (det ER trods alt mystisk med en 200 GB fil med random data), kan du nøjes med at oplyse det forkerte.

Plausible deniability er måske ikke så relevant i DK hvor vi for det meste (!) er uskyldige indtil andet er bevist.

Du kan som supplement til passwordet anvende tilfældige "key files", som er tilfældige stumper af udvalgte filer (eksempelvis familiebilleder) fra din disk eller memory card. Men det er lidt farligt, for mister du disse filer, mister du også dine krypterede data.

Egentlig burde man som standard kryptere ALT. Hvis man kun skjuler hemmeligheder, står de og lyser op. "En 200 GB fil med random data, siger du? Det må du lige forklare nærmere...".

Cirb skrev:
Men så er alle deres internet overvågnings programmer jo værdiløse...

Nej, det er de ikke. Hvis din Windows-maskine er 0wned af et overvågningsprogram, så er dit password det også. Og alle dine filer. Game over.

Sikkerhed er end-to-end. Svageste led i kæden og den slags ...

mkof skrev:Kan også anbefale TrueCrypt. Det er Open Source og dermed kan der - så længe nogen ellers er i stand til at checke det - ikke placeres "bagdøre" på samme måde som det helt sikkert sker i lukkede sikkerhedsprodukter fra USA og Israel. Hvis du har evnerne, kan du downloade sourcekoden, kigge i den og bygge TrueCrypt selv derhjemme.

TrueCrypt understøtter også "plausible deiniability", som er meget smart i de tilfælde hvor myndighederne benytter sig af omvendt bevisbyrde. Det fungerer på den måde, at du opretter to volumes med hvert sit password. Taster du det ene password, får du adgang til familiens feriebilleder m.v., taster du det andet, får du fat i dine hemmelige sager. Så hvis du på et tidspunkt bliver tvunget til at oplyse passwordet (det ER trods alt mystisk med en 200 GB fil med random data), kan du nøjes med at oplyse det forkerte.

Plausible deniability er måske ikke så relevant i DK hvor vi for det meste (!) er uskyldige indtil andet er bevist.

Du kan som supplement til passwordet anvende tilfældige "key files", som er tilfældige stumper af udvalgte filer (eksempelvis familiebilleder) fra din disk eller memory card. Men det er lidt farligt, for mister du disse filer, mister du også dine krypterede data.

Egentlig burde man som standard kryptere ALT. Hvis man kun skjuler hemmeligheder, står de og lyser op. "En 200 GB fil med random data, siger du? Det må du lige forklare nærmere...".

CIA og div offentlige myndigheder i DK er mere end velkomne til mine data.
Det er kun den tilfældige tyveknægt eller nysgerrige pilfinger jeg har brug for at sikre mig mod - og det lyder som om at jeg vist er mere end rigeligt dækket ind der

Hele CIA diskussionen kom udelukkende fordi det undrede mig hvad hele pointen var med myndigheds overvågning af data - når (hvis?) noget så sikkert som TrueCrypt er almindeligt tilgængeligt .

Mvh
Cirb

De ville også gerne have TrueCrypt og lign. til at gå væk, kan du godt regne med. Systemer til kryptografi har engang været underlagt våbenloven, og dermed haft strenge eksportrestriktioner fra USA.

PGP (Pretty Good Privacy) kunne eksempelvis ikke lægges frit til download dengang. Det løste forfatteren af programmet ved at printe hele kildekoden som bog. Så måtte den eksporteres til Europa, hvor nogle andre folk scannede bogen og kompilerede programmet ... Sand historie.

[quote="Cirb"]

CIA og div offentlige myndigheder i DK er mere end velkomne til mine data.
Det er kun den tilfældige tyveknægt eller nysgerrige pilfinger jeg har brug for at sikre mig mod - og det lyder som om at jeg vist er mere end rigeligt dækket ind der

Hele CIA diskussionen kom udelukkende fordi det undrede mig hvad hele pointen var med myndigheds overvågning af data - når (hvis?) noget så sikkert som TrueCrypt er almindeligt tilgængeligt .

Mvh
Cirb[/quote

Mit problem er nærmest at jeg bliver banned, når jeg skriver noget interessant.

Thomas skrev:
Mit problem er nærmest at jeg bliver banned, når jeg skriver noget interessant.

Sandheden er et problem for dem, der lever af løgnen.