Truecrypt/Bitlocker-HDDs schnell entschlüsseln

bingo88

bingo88

PCGH-Community-Veteran(in)
Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Für knapp 800 US$ bietet Passware nun ein Programm an (Passware Kit Forensic 9.7), welches primär für Strafverfolgungsbehörden gedacht ist. Neu an dieser Version ist, dass selbst mittels Truecrypt bzw. Bitlocker verschlüsselte Festplatten geknackt werden können - allerdings muss zuvor per Firewire ein Image des laufenden(!) Systems gezogen werden!

Das Programm kann noch weitere Daten entschlüsseln (PDF, Office, etc.) und nutzt dabei Hauptspeicher- als auch Bruteforce-Attacken, welche auch von der GPU beschleunigt werden können.

Das zeigt mal wieder, dass selbst als relativ sicher geltende Systeme zu knacken sind...

http://scr3.golem.de/screenshots/1003/passware-kit-forensic/3-FireWireMemoryImagingProcess.png

Quelle: Golem.de, Bild: Golem.de Bildergalerie

PS: Ist meine erste News, bitte seid nachsichtig, wenn ich Müll gebaut hab :ugly:

EDIT: Irgendwie schaffe ich es nicht, das Bild einzufügen! Im Editor ist es da, Vorschau und Speichern nur noch der Link :(
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Hmm... schön. Aber wohl eher für Firmen interessant, gibt für Privatleute ja eigentlich keinen Grund die Festplatten zu verschlüsseln, wenn man nicht gerade 800 GB Kinderpornos drauf hat...
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Hier waren aber schon Leute mit dem Problem unterwegs. Angesichts des Preises hast du aber vermutlich recht :D
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Naja, und ein Image des laufenden Systems kann man auch nicht mal eben ziehen. Heißt wenn man eine Festplatte verliert sind die Daten immer noch sicher.
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Als Geschäftsmann, der auf seinem Reise-Notebook sehr vertrauliche Daten über die Firma hält.
Oder man möchte seine Privatfotos auf einer externen Festplatte/Stick vor Langfingern schützen.

Letzteres benutze ich seit einigen Jahren.

Ich hoffe Truecrypt bringt ein (Sicherheits)-update heraus. Sonst ist die Verschlüsselung für die Katz´
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

X Broster schrieb:
Als Geschäftsmann, der auf seinem Reise-Notebook sehr vertrauliche Daten über die Firma hält.
Oder man möchte seine Privatfotos auf einer externen Festplatte/Stick vor Langfingern schützen.

Letzteres benutze ich seit einigen Jahren.

Ich hoffe Truecrypt bringt ein (Sicherheits)-update heraus. Sonst ist die Verschlüsselung für die Katz´
Zum Vergrößern anklicken....

Ein Geschätsmann hat sein Gerät wenn es möglich ist es zu klauen wahrscheinlich nicht an.
Wie die News besagt: Image vom laufenden System! Das bekommt man so schnell nicht. Die Daten sind zwar noch 30-90s nach dem Ausschalten von einem PC noch wiederherstellbar.
Wenn dein PC an ist, ist die Verschlüsselung so oder so nicht 100% sicher. Da man den Key aus dem Speicher klauen kann, ich schätze dass diese Firma ein Verfahren hat, in dem sie einfach ein Speicherdump erstellen und daraus dann den gerade genutzten Key extrahieren.
Ohne Key bleibt im Normalfall nur Bruteforce und dass kann dauern ;)
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

xEbo schrieb:
Ein Geschätsmann hat sein Gerät wenn es möglich ist es zu klauen wahrscheinlich nicht an.
Wie die News besagt: Image vom laufenden System! Das bekommt man so schnell nicht. Die Daten sind zwar noch 30-90s nach dem Ausschalten von einem PC noch wiederherstellbar.
Wenn dein PC an ist, ist die Verschlüsselung so oder so nicht 100% sicher. Da man den Key aus dem Speicher klauen kann, ich schätze dass diese Firma ein Verfahren hat, in dem sie einfach ein Speicherdump erstellen und daraus dann den gerade genutzten Key extrahieren.
Ohne Key bleibt im Normalfall nur Bruteforce und dass kann dauern ;)
Zum Vergrößern anklicken....
Ja das wird so in die Richtung gehen. Truecrypt kann ja z. B. AES, was meines Wissens an sich noch nicht geknackt wurde. Wenn man aber den Schlüssel aus dem Speicher klaut, warum dann den Algorithmus knacken? :devil:
Wobei die Verbreitung von Firewire doch auch eher dürftig ist, oder?
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Die Algorithmen die TrueCrypt benutzt (AES, Twofish und Serpent) sind allesamt als extrem sicher eingestuft und faktisch auch mit extremen Aufwand nicht knackbar. Einzige Möglichkeit ist das Passwort herauszufinden und dafür gibt es viele Wege (Speicherdumps, Keylogger uvm.) - genau deshalb gehts auch nur auf laufenden systemen.

Wenn du eine *.tc Datei einfach so auf einen Stick tust und sie jemand in die Hände bekommt wird er niemals an deine Daten gelangen können da er keine Möglichkeit hat an dein PW zu gelangen ohne laufendes System - und Twofish etc. per Bruteforce knacken... selbst mit mehreren Petaflops an Rechenlesitung würde es Jahre dauern bis man da unter Umständen was vorweisen könnte - der Algorithmus ist einfach in "Rückrichtung" extrem komplex ohne richtiges PW. Ich habe von 2^59 Versuchen pro Zeichen gehört die erforderlich wären - und zwar für Zeichen der Daten, nicht des Passwortes! Kann man ja ausrechnen wie viele Versuche alleine für 1MB Daten nötig wären...
604.462.909.807.314.587.353.088 Bruteforce Versuche für EIN MEGABYTE :ugly:
Da stirbt auch der beste Supercomputer den Heldentod.

Insgesamt gesehen ist der Algorithmus selbst unknackbar, Schwachstellen sind nur unsichere (da zu einfache) Passwörter sowie die Methode des Auslesens vom RAM im laufenden Betrieb. Wenn man also ein sicheres PW hat (Bruteforce unmöglich machen) und der "Gegner" keinen unmittelbaren physischen Zugang zum laufenden PC mit gemountetem Image (!) hat so ist TrueCrypt absolut bombensicher.
 
Zuletzt bearbeitet:
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Incredible Alk schrieb:
Die Algorithmen die TrueCrypt benutzt (AES, Twofish und Serpent) sind allesamt als extrem sicher eingestuft und faktisch auch mit extremen Aufwand nicht knackbar. Einzige Möglichkeit ist das Passwort herauszufinden und dafür gibt es viele Wege (Speicherdumps, Keylogger uvm.) - genau deshalb gehts auch nur auf laufenden systemen.

Wenn du eine *.tc Datei einfach so auf einen Stick tust und sie jemand in die Hände bekommt wird er niemals an deine Daten gelangen können da er keine Möglichkeit hat an dein PW zu gelangen ohne laufendes System - und Twofish etc. per Bruteforce knacken... selbst mit mehreren Petaflops an Rechenlesitung würde es Jahre dauern bis man da unter Umständen was vorweisen könnte - der Algorithmus ist einfach in "Rückrichtung" extrem komplex ohne richtiges PW. Ich habe von 2^59 Versuchen pro Zeichen gehört die erforderlich wären - und zwar für Zeichen der Daten, nicht des Passwortes! Kann man ja ausrechnen wie viele Versuche alleine für 1MB Daten nötig wären...
604.462.909.807.314.587.353.088 Bruteforce Versuche für EIN MEGABYTE :ugly:
Da stirbt auch der beste Supercomputer den Heldentod.

Insgesamt gesehen ist der Algorithmus selbst unknackbar, Schwachstellen sind nur unsichere (da zu einfache) Passwörter sowie die Methode des Auslesens vom RAM im laufenden Betrieb. Wenn man also ein sicheres PW hat (Bruteforce unmöglich machen) und der "Gegner" keinen unmittelbaren physischen Zugang zum laufenden PC mit gemountetem Image (!) hat so ist TrueCrypt absolut bombensicher.
Zum Vergrößern anklicken....
Ich kenn mich mit der Geschichte auch etwas aus, und dem kann ich nichts hinzufügen! :daumen:
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Incredible Alk schrieb:
Insgesamt gesehen ist der Algorithmus selbst unknackbar, Schwachstellen sind nur unsichere (da zu einfache) Passwörter sowie die Methode des Auslesens vom RAM im laufenden Betrieb. Wenn man also ein sicheres PW hat (Bruteforce unmöglich machen) und der "Gegner" keinen unmittelbaren physischen Zugang zum laufenden PC mit gemountetem Image (!) hat so ist TrueCrypt absolut bombensicher.
Zum Vergrößern anklicken....
Ich bin geneigt, dem zuzustimmen. Die Algorithmen, die TrueCrypt benutzt, kann man nicht "mal eben so" knacken.
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Gezielte Panikmacherei - mehr ist es nicht.
Die "Überschrift" wie auch der Text scheint mir Bildniveau z sein.

Und desto mehr ihr verschlüsselt habt, desto schwieriger wird es ein "image" zu ziehen - lasst mal 3 TB verschlüsselt sein - da kann man nicht so einfach nen BackUp ziehen - per Firewire 400 fangen die gar nicht erst an.... .

Weiß jetzt auch nicht wer meinte das manden Key nach 60-90 sec NACH!!! auschalten des PC noch auslesen kann - ist doch auch totaler quatsch - bei einem Neustart wird der RAM schon komplett geleert bzw. neu beschrieben - da noch was rauszulesen wird lustig, da das richtige rauszulesen viel Spass - brauch ja nur eine Zahl anders sein - schon ergibt das PW keinen Sinn bzw. keine Datein mehr.

Panikmacherei - mehr nicht.
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Snake7 schrieb:
Und desto mehr ihr verschlüsselt habt, desto schwieriger wird es ein "image" zu ziehen - lasst mal 3 TB verschlüsselt sein - da kann man nicht so einfach nen BackUp ziehen - per Firewire 400 fangen die gar nicht erst an.... .

Weiß jetzt auch nicht wer meinte das manden Key nach 60-90 sec NACH!!! auschalten des PC noch auslesen kann - ist doch auch totaler quatsch - bei einem Neustart wird der RAM schon komplett geleert bzw. neu beschrieben - da noch was rauszulesen wird lustig, da das richtige rauszulesen viel Spass - brauch ja nur eine Zahl anders sein - schon ergibt das PW keinen Sinn bzw. keine Datein mehr.
Zum Vergrößern anklicken....

Zwei Sachen zur Richtigstellung, da du das Prinzip anscheinend nicht richtig verstanden hast:


  • Kopiert wird nicht das Image bzw. die Imagedatei, sondern ein Abbild des RAMs vom PC. Aus diesem wird dann der key ausgelesen. Im RAM muss ja während des Betriebes (mit gemountetem Image) eine Version des Schlüssels vorhanden sein, da dein System sonst ja selbst nicht auf die Daten zugreifen könnte.

  • Dass einige Zeit nach dem Ausschalten des PCs noch Daten im RAM vorhanden sein können, ist auch richtig. Mittels so einiger Kondensatoren, sowohl im Netzteil selbst, als auch im Versorgungsteil des Mainboards, wird genügend Energie gespeichert, dass viele Komponenten auch nach dem Abschalten des PCs eine kurze Zeitspanne noch versorgt werden.
    Im Regelfall ist die Dauer aber so kurz, dass ich das nicht als Sicherheitsrisiko ansehen würde. ;)
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Incredible Alk schrieb:
Die Algorithmen die TrueCrypt benutzt (AES, Twofish und Serpent) sind allesamt als extrem sicher eingestuft und faktisch auch mit extremen Aufwand nicht knackbar. Einzige Möglichkeit ist das Passwort herauszufinden und dafür gibt es viele Wege (Speicherdumps, Keylogger uvm.) - genau deshalb gehts auch nur auf laufenden systemen.

Wenn du eine *.tc Datei einfach so auf einen Stick tust und sie jemand in die Hände bekommt wird er niemals an deine Daten gelangen können da er keine Möglichkeit hat an dein PW zu gelangen ohne laufendes System - und Twofish etc. per Bruteforce knacken... selbst mit mehreren Petaflops an Rechenlesitung würde es Jahre dauern bis man da unter Umständen was vorweisen könnte - der Algorithmus ist einfach in "Rückrichtung" extrem komplex ohne richtiges PW. Ich habe von 2^59 Versuchen pro Zeichen gehört die erforderlich wären - und zwar für Zeichen der Daten, nicht des Passwortes! Kann man ja ausrechnen wie viele Versuche alleine für 1MB Daten nötig wären...
604.462.909.807.314.587.353.088 Bruteforce Versuche für EIN MEGABYTE :ugly:
Da stirbt auch der beste Supercomputer den Heldentod.

Insgesamt gesehen ist der Algorithmus selbst unknackbar, Schwachstellen sind nur unsichere (da zu einfache) Passwörter sowie die Methode des Auslesens vom RAM im laufenden Betrieb. Wenn man also ein sicheres PW hat (Bruteforce unmöglich machen) und der "Gegner" keinen unmittelbaren physischen Zugang zum laufenden PC mit gemountetem Image (!) hat so ist TrueCrypt absolut bombensicher.
Zum Vergrößern anklicken....

Jepp, dem kann ich auch nur Zustimmen.:daumen:

Das eigentliche "Sicherheitsproblem" dabei sitzt nur vor dem Bildschirm. Der sicherste Algorithmus ist nur solange sicher, wie man seine(n) Key(s) bzw. Schlüssel geheimhält und diese entsprechend wählt (groß/kleinbuchstaben gemischt mit Zahlen). Das mit dem Ram auslesen NACH Power Off soll möglich sein, wird in gewissen "anderen" Boards (u.a. gulli) auch diskutiert.
Den Rechner abschmieren lassen (stecker raus) sofort Ram raus, Eisspray rauf und so wird bis zu 60 Sekunden der Inhalt erhalten. Cold Boot Attacks.
Selbst probiert habe ich das nicht, aber das sind Sachen die schon 2008 durch die Onlinepresse ging .-) Mit Panikmache hat das nix zu tun, zeigt nur die Möglichkeiten...

z.B.
Perfider Angriff: Festplattenverschlüsselung durch Speicherattacke zu knacken - computerwoche.de
oder
Physical memory attacks via Firewire/DMA - Part 1: Overview and Mitigation (Update) | Uwe Hermann

Video zu cold boot attack:
Center for Information Technology Policy » Lest We Remember: Cold Boot Attacks on Encryption Keys

MFG
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Thornscape schrieb:
Zwei Sachen zur Richtigstellung, da du das Prinzip anscheinend nicht richtig verstanden hast:


  • Kopiert wird nicht das Image bzw. die Imagedatei, sondern ein Abbild des RAMs vom PC. Aus diesem wird dann der key ausgelesen. Im RAM muss ja während des Betriebes (mit gemountetem Image) eine Version des Schlüssels vorhanden sein, da dein System sonst ja selbst nicht auf die Daten zugreifen könnte.

  • Dass einige Zeit nach dem Ausschalten des PCs noch Daten im RAM vorhanden sein können, ist auch richtig. Mittels so einiger Kondensatoren, sowohl im Netzteil selbst, als auch im Versorgungsteil des Mainboards, wird genügend Energie gespeichert, dass viele Komponenten auch nach dem Abschalten des PCs eine kurze Zeitspanne noch versorgt werden.
    Im Regelfall ist die Dauer aber so kurz, dass ich das nicht als Sicherheitsrisiko ansehen würde. ;)
Zum Vergrößern anklicken....

Zu1. - Dann wurde das im Text zu zweideutig erklärt bzw.falsch beschrieben.

Zu 2. - bei meinem Home-Server wäre diesse Zeitspanne keine 3 sek... .
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Snake7 schrieb:
Zu1. - Dann wurde das im Text zu zweideutig erklärt bzw.falsch beschrieben.

Zu 2. - bei meinem Home-Server wäre diesse Zeitspanne keine 3 sek... .
Zum Vergrößern anklicken....

Allerdings ist zu beachten, was schon einen Beitrag über dir steht. Es ist teils auch noch Stunden später möglich Daten auszulesen.
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Naja Stunden wohl eher doch in den seltensten Fällen, aber der Erhalt der Daten Aufgrund gewisser Eigenschaften des Siliziums bei Kälte ist sehr hoch. Daher ist der Einwand, der Spannungshaltung einiger Kondensatoren und der "möglichen" verlängerten Versorgungsspannung der Rams ist schon etwas weit hergeholt 8aber nicht unmöglich:ugly:). Viele MBs haben eine LED auf dem Board neben dem Ram, die angibt wenn die Spannung nach NT-Off (Switch) weg ist, bei evtl. Arbeiten am Ram oder anderen Komponenten zum wechseln.
Abweich vom Thema

@Topic
Nur eine weitere Möglichkeit, ein PW aus dem Ram zu holen und mit einem System-Image an verschlüsselte Daten und Inhalte zu gelangen.
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Um das Silizium erstmal frosten zu können, müssen die eh erstmal das Gehäuse öffnen - und das dauert je nach Gehäuseart etc. teilweise länger als die Zeit haben... .
 
AW: Truecrypt/Bitlocker-HDDs schnell entschlüsseln

Das RAM-Dumpen klappt nur bei eingeschaltetem PC. Bei ausgeschaltetem PC muss man wieder auf Brute-Force zurückgreifen, was je nach Passwort und Angriffsmethode ne Weile dauern kann :devil:
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

Incredible Alk
Blog Alkis Blog #48 - Der Backup Blog
Antworten
10
Aufrufe
4K
roheed
roheed
Oben Unten
Zurück