TrueCrypt 5.0 klar

[Carl Sagan]

Hvordan regner man ut hvor mange bit passordet er?

[Kahuna]

bit per tegn = ln(x)/ln(2)

x er antall mulige tegn du kan bruke i passordet ditt.(store og små bokstaver, tall, spesialtegn osv)

ln er den naturlige logaritmen(men en logaritme annen base enn e vil også funke)

Med store og små bokstaver, tall og mellomrom blir x=29+29+10+1=69

Det gir da 6.1 bit per tegn. Med 8 tegns passord får du da et passord på 48 bit.

[Kuza]

Strong Password Generator

 

Ganske grei den der, viser bits også.

[Langbein]

Morsom tråd på en helt vanlig artikkel

 

Ser at folk nevner "BACKUP!", samtidig som man krypterer på død og liv alt. Kanskje spesifisere at backupen også burde krypteres eller tas det for gitt?

 

"NEKTER å gi ifra meg nøkkelen, men der borte ligger backup/tape'en ukryptert"

Det har ikke slått deg at de fleste brukere faktisk IKKE krypterer av fare for inkriminerende bevis? Og da kan det faktisk være helt naturlig å ha ikke-kryptert backup.

 

F.eks om man har en del private opplysninger på laptopen sin, så kan kryptering være smart i tilfelle laptopen skulle bli stjålet. Men samtidig kan man ha backup som er mye tryggere plassert, på en server, eller enda bedre: backup-medier låst inn i en safe. Dermed blir dataene sikret på andre måter, slik at kryptering kanskje ikke er nødvendig lenger

[Thorsen]

Oppfordrer folk som vurderer å bruke kryptering til å først nøye gjennomgå følgene av en slik operasjon. Ikke bare reduseres skrive/lese ytelse betraktelig men å gjennopprett korrupt data kan bli veldig vanskelig, for ikke å si umulig.

Det trenger ikke være sant, prosessorbruken ved skriving/lesing stiger bare dramatisk, men hastighetstallene kan godt være de samme da vanlige harddisker er store flaskehalser i vanlige systemer.

 

Jeg har AES 256 kryptert 7 av 10 eller 8 av 11 disker i min maskin ( usikker på hvor mange jeg har, tre er hvertfall ikke kryptert ) med Truecrypt ( 4.2 ) og vil nok bruke 5 til å også kryptere systempartisjon ved neste install av Windows, og samtidig kryptere de siste to diskene. Viktige ting blir axcrypt kryptert og lastet opp på en webserver, og alt annet holder jeg rede på ved å til tider generere fillister med tree.exe > partisjon.txt.

 

 

Joda, men nå er det ikke akkurat deg jeg ville nå med den lille advarselen min.

Det er forskjell på de som krypterer og har "god" kjennskap til dette, kontra de som leser en kort pressemelding om et program på hw.no og bestemmer seg for at dette sikkert hadde vært tøft å bruke.

 

Når det i artikkelen står:

Nå er TrueCrypt blitt oppdatert til versjon 5.0, og den kanskje største nyheten denne gangen er muligheten til å kryptere systempartisjonen. Dermed får man ikke tilgang til PC-en, med mindre man har det riktige passordet ved oppstarten av PC-en.

 

Er det ikke nødvendigvis slik at alle samtidig forstår alle aspekter ved kryptering.

 

Vi ser jo allerede en del tråder her på forumet med temaet:

 

"Jeg har glemt windows passordet og kommer ikke inn på pcen"

 

Gudene vet hvordan de har klart å glemme passordet, men konsekvensene hadde vært mye større om det var passordet til krypteringen (som de taster ved oppstart av systempartisjonen) som var glemt.

[hernil]

Gidder noen å forklare hva som skjer hvis jeg krypterer systemdisken min? Den vil vel ikke kunne leses hvis jeg putter den i en annen maskin uten å skrive passordet (da ville jo poenget være borte)? Og hva kan gå galt? La oss si at jeg garantert husker passordet og brenner en recovery cd (med truecrypt), er jeg da sikker på at ingenting går galt da? Type Windows går til hel*ete osv. Hva er worst case scenario? Hvordan er det med ytelse med forskjellige kryptering, serpent, twofish, aes osv?

 

Takker for svar.

[JohndoeMAKT]

Jeg skal se om jeg kan forklare litt.

 

La oss si at du har en normal ukryptert disk med Windows installert. Dersom jeg hadde ønsket tilgang å logge inn i Windows er det bare å under oppstart sette i en CD med et lite program som overskriver en SAM-fil hvor jeg selv kan endre passord på en hvilken som helst bruker i Windows. Ved neste omstart av maskinen kan jeg skrive det nye passordet og er inne. Dersom jeg av andre grunner ikke kan logge inn eller at jeg ikke vil endre et passord fordi innbruddet ikke skal kunne oppdages kan jeg starte Windows ( eller et annet OS ) fra en annen disk og ha din disk tilkoblet uten å starte fra den. Jeg vil da i de fleste tilfeller ha tilgang til alle filer på din disk samt at jeg kan skaffe meg tilgang til hver brukers register. Jeg kan også ganske enkelt f.eks legge til en trojan eller en keylogger eller bruke andre triks som gjør at jeg veldig lett kan logge inn på din maskin uten å kunne rett passord.

 

Du er aldri sikker på at ingenting vil gå galt, og logisk sett stiger sjansene for nettopp det i det du kompliserer systemet. Jeg vil si at en god ting er å aldri lagre en fil det er kritisk å mist på ett lagringsmedie. Om du følger den regelen slik at å miste 100% av alle data kun er et tap av tid det tar å gjenopprette, gjeninstallere og nedlaste på nytt vil jeg si at å kryptere på denne måten godt kan prøves om du har behovet, men om du planlegger å lagre kritiske filer som eneste kopi bør du heller holde deg unna slik at du beholder mulighet for å bruke recoveryprogrammer og slikt.

 

Worst case scenario er at litt data på disken blir korrupt av en eller annen grunn og har en kaskadeeffekt som gjør at når disken mountes er det bare garbage der. For de fleste vil da alt være tapt og en omformat og clean restore er løsningen.

 

Når jeg tok ytelsestesten i TC et par år siden og landet på AES var det den som var raskest, omtrent 25% raskere enn Serpent og like rask som Twofish om jeg husker rett.

[Thorsen]

Tror ytelse på de forskjellige algoritmene varierer fra system til system, noen talloperasjoner er amd raskere på enn intel og vica versa. Men nå har truecrypt en fin benchmark mulighet der du kan teste de forskjellige algoritmene på ditt system.

 

Legger ved et eksempel fra hvordan det virker på en eldre amd basert maskin her:

 

Endret 11. februar 2008 av Thorsen

[loathsome]

Bruker TC5 til å kryptere jobbfiler og andre småsaker på laptopen sammen med et par random keyfiles, og det funker fett. Hele disken gidder jeg ikke kryptere, da det bare er en brøkdel av den som er av den sensitive arten.

[JohndoeMAKT]

Xeon Prestonia ( Pentium 4 basert ) som for øyeblikket kjører 2.4 GHz.

 

http://spackfish.com/hw/bilder/kryptobenchmark.PNG

 

Du ser også at jeg blandet Twofish og Serpent.

Du ser også at det er den gamle Blowfish jeg tenkte på som var omtrent like rask som AES mens både Twofish og Serpent ligger langt bak. Det er egentlig litt rart hvor effektiv AES er på mitt system.

 

Thorsen: Navn og frekvens på din prosessor?

Endret 10. februar 2008 av JohndoeMAKT

[mandela]

Bruker TC5 til å kryptere jobbfiler og andre småsaker på laptopen sammen med et par random keyfiles, og det funker fett. Hele disken gidder jeg ikke kryptere, da det bare er en brøkdel av den som er av den sensitive arten.

Har selv kun 100mb med småfiler som ligger spredt i dokumentmappa + e-post som jeg krypterer, og da ser jeg ikke poenget med å ta i bruk et så tungt program som TrueCrypt (bruker den kun på usb-penner).

Jeg bruker heller dscrypt for å kryptere enkeltfiler. Eneste ulempen jeg ser med dette programmet er at filnavn ikke endres (bra for brukervennlighet, kanskje ikke så bra for sikkerhet) og at det kun finnes for windows plattformen http://members.ozemail.com.au/~nulifetv/freezip/freeware/

Endret 10. februar 2008 av mandela

[Thorsen]

På den nevnte maskinen kjører det en gammel AMD Athlon XP 3000+ (socket A) på 2,28Ghz.

TrueCrypt v 4.3

 

Mulig jeg laster ned den nyeste versjonen av TrueCrypt senere og tester om den er noe raskere.

[Thorsen]

Sånn der var 5.0 installert. Kjørte en ny bench, ikke noen store forskjeller, men det ser ut som om AES dekryptering har blitt forbedret kraftig. På den andre siden har også Serpent dårligere resultater enn med v4.3. Det som er synn dog er at du ikke kan kjøre 4.3 og 5.0 samtidig (fungerte ikke her i alle fall).

Endret 15. februar 2008 av Thorsen

[Garegaupa]

Det kan hende dette er eit dumt spørsmål, men eg vil gjerne vere heilt sikker på dette: Sett at eg krypterer heile systempartisjonen min med TrueCrypt, og så har eit program på maskinen som tek automatisk backup til faste tider: Vil dei filene eg tek backup av vere krypterte slik at viss noko skulle gå gale med TrueCrypt, eller eg rotar bort passordet, så vil både filene på PC-en og backupen vere tapt? Eller er det slik at når eg slår på PC-en og loggar på med passord på TrueCrypt så er filene dekrypterte slik at ein eventuell backup vil vere ukryptert og kunne brukast til å gjenopprette filene uavhengig av kva som måtte skje med TrueCrypt?

[Thorsen]

Det kan hende dette er eit dumt spørsmål, men eg vil gjerne vere heilt sikker på dette: Sett at eg krypterer heile systempartisjonen min med TrueCrypt, og så har eit program på maskinen som tek automatisk backup til faste tider: Vil dei filene eg tek backup av vere krypterte slik at viss noko skulle gå gale med TrueCrypt, eller eg rotar bort passordet, så vil både filene på PC-en og backupen vere tapt? Eller er det slik at når eg slår på PC-en og loggar på med passord på TrueCrypt så er filene dekrypterte slik at ein eventuell backup vil vere ukryptert og kunne brukast til å gjenopprette filene uavhengig av kva som måtte skje med TrueCrypt?

 

Dersom du kopierer fra en partisjon som er kryptert til en partisjon som er ukrypert vil filene også dekrypteres. Filene dekrypteres "on the fly" i leseprosessen.

[Garegaupa]

Okay. Og dette gjeld sjølv om eg brukar eit program for automatisk backup, i dette høvet Mamut Online Backup?

[JohndoeMAKT]

Så lenge du under oppstart har dekryptert disken vil alle programmer lese den som normalt.

[Garegaupa]

Det høyrast bra ut! Takk for hjelpa, båe to!

[G]

Tidligere nevnte jeg ett spørsmål om faren for å miste alle data dersom en liten bit av partisjonen skulle tilkludres av feil på harddisken f.eks. Eller at RAM f.eks. roter det til (bør jeg nevne at det finnes ECC RAM som sjekker paritet?)

 

Jeg tenkte som så at når en ZIP-fil får feil, så kan du gjerne få vite at den har feil. Men du kan gjerne glemme å skulle gjenopprette feilene, fordi du ikke vil få ut inntakte data. Med kryptering så tenker jeg som så at sekvensen som behøves for å åpne opp dataene igjen, blir brutt ved diskfeil. Ergo får du problemer med å åpne samtlige data. Sett at denne tankegangen holder vann:

 

Kan det være ett behov for å pakke partisjonen inn i en slags innpakning, gjerne i form av "Striping" (forøvrig ett RAID uttrykk)? Og/eller en konvolutt rundt partisjonen som har paritetskontrollering? Jeg synes ikke noen i denne tråden så langt har forklart om hvilke tiltak som er gjort, som gjerne allerede eksisterer for slike krypteringløsninger. "Striping" og konvolutt er bare noen strøtanker. Konvolutten vil jo kun fortelle deg at det er feil på partisjonen din. Å få en metode for gjennopprettelse er vel den største utfordringen. Spesiellt kanskje når partisjonen er det ytterste laget i løsningen. Mulig det finnes enkle løsninger som kan la partisjonen fortsette å være det ytterste laget i løsningen, men har det blitt laget noe slikt?

[JohndoeMAKT]

Det finnes nok flere lag paritetsskjekking på en disk, både i hardware og software, så det er nok både unødvendig og utenfor applikasjonens scope å lete etter datafeil.