Verschlüsselung: Versteckte Container durch neuen Angriff verwundbar

[gullinews]

Viele Festplatten-Verschlüsselungsprogramme wie beispielsweise das sehr populäre TrueCrypt bieten die Möglichkeit an, sogenannte versteckte Container zu erstellen, die bei einer Untersuchung der Festplatte nicht auffindbar sein sollen. Das funktioniert offenbar nicht so zuverlässig, wie es sich die Benutzer wünschen, wenn man den neuesten Untersuchungen eines deutschen Wissenschaftlers glauben darf.

Beim Erstellen eines versteckten Containers wird zunächst ein äußerer, sichtbarer Container angelegt. Dieser wird mit Zufallsdaten komplett gefüllt, so dass immer der gesamte Speicherplatz belegt ist. Innerhalb dieser Zufallsdaten kann dann der innere, versteckte Container verborgen werden, ohne dass seine Existenz erkennbar oder nachweisbar wäre. Zugriff darauf bekommt nur, wer das zweite, zum äußeren Container unterschiedliche Passwort kennt. So zumindest sollte es funktionieren - ganz so einfach ist es aber offenbar nicht. Ein neuartiger Angriff macht derartige Container verwundbar.

weiterlesen

[xzeNji]

Wenn da wirklich was dran ist... Oha!
Die, die sich sicher fühlen sollten sich also nun Gedanken machen.

[PSP-ZockerSCENE]

Mir hat eh schon immer die normale Verschlüsselung gereicht außerdem lässt sich die "Verwundbarkeit" ja wohl wieder umkehren

[cronjob]

ähh ja klar wen man genug backups zur verfügung hat ist das logisch.
Angenommen
1) man macht seine Backups nich mit einer 1zu1 bitweisen kopie der verschlüsselten Container sonder speichert seine Daten in einem extra angelgten Backupcontainer
2) man macht kein Backup seiner Versteckten Container
3) man leugnet versteckte Container zu haben, da ich mir bei diesem "Angriff" nur etwas statistischer Natur vorstellen kann

hat man nichts zu befürchten und hält die plausible deniability aufrecht.
Richtig?

[Sleepy_Bo]

Für die meisten Belange der Benutzer in diesem Forum dürfte es sowieso genügen, wenn die Verschlüsselung sicher ist.

Soweit ich weiß, kann einen die Polizei/Staatsanwaltschaft nicht dazu zwingen, die Festplatte zu entschlüsseln und damit Beweise gegen sich selbst zu vorzulegen.

Oder hat da jemand anderweitige Vermutungen?

[..::shiFt::..]

Oder hat da jemand anderweitige Vermutungen?

News lesen?

So hat beispielsweise England mit dem RIPA-Gesetz die Regelung eingeführt, dass man für die Weigerung, seine Passwörter an die Polizei herauszugeben, bis zu fünf Jahre in Haft kommen kann.

[Ihrgendwehr]

Seine Methode funktioniert bei allen Programmen, die symmetrische Verschlüsselung und immer denselben Key benutzen. Das umfasst die Mehrheit der gebräuchlichen Verschlüsselungsprogramme.

Aber z.B. nicht TrueCrypt wenn man es ordnungsgemäß verwendet!

Ich zitiere aus dem Handbuch:
http://www.truecrypt.org/docs/?s=how...ck-up-securely

IMPORTANT: If you store the backup volume in any location that an adversary can repeatedly access (for example, on a device kept in a bank's safe deposit box), you should repeat all of the above steps (including the step 1) each time you want to back up the volume (see below).

Nehmt also bitte wieder das TC-Logo da aus der News raus...

[Rostbeef]

oder man macht zwei versteckte container...
wissen die dann ja nicht

[Surrender]

Zum Glück ist eine gefakte pagefile.sys kein versteckter Container, da diese ja offensichtlich auf C:\ liegt.
Wer den RAM hat braucht keine pagefile und das M$ dazu zu bringen, dass es anzeigt eine zu verwenden ist auch nicht so schwer...
Schön das es TC nicht direkt betrifft und selbst wenn würde es nicht lange zum Fix dauern.
Liebe hochstudierte MegaSuperDuper Staatsdekrypterinformatikspezialisten ihr dürft wieder den Finger in die Nase stecken und bruteforcen bis die CPU s dampfen...
Ich könnte natürlich auch einen Kostenersparnissvorschlag an diverse Organe senden indem ein automatisiertes Clusternetz mit ganz wenig Personal genauso effizient ist...
Das spart Steuergelder, kostet nur überflüssige Jobs und ist gut für uns alle!

[TCPA]

bei wem Space keine Rolex spielt, der kann doch offizielle FAKE - Container anlegen.

[bogomips]

Die Überschrift ist schonmal falsch.
Nicht verwundbar, sondern auffindbar.
Na und? Dann bekommen die Britenbullen, die den user zwingen können, eben das pw für den inneren Container. Aber nicht das, für den inneren im inneren usw.
Man kann schließlich beliebig viele schachteln.
Ich fühle mich und bin mit TC absolut sicher.
greetz an alle paranoiden.

[RiffRaff]

Oder man sagt den Offiziellen:
"Ja, ich habe dort einen versteckten Container gehabt - aber das Passwort....puhh, das habe ich vor ewigen Zeiten schon vergessen gehabt, sorry :-( "
Was wollen sie denn dann machen? In den Kopf können sie (glaube ich) nocht nicht sehen

[Noop]

Mal als Ansatz, der jemand anders bei Lust und Laune weiterdenken könnte:
Man sagt nur das Passwort für die hidden Partition. Wenn die nach dem PW der normalen Partition fragen sagt man, das man auf die normale Partition seit ewig nicht mehr gemountet hat, und daher das Passwort vergessen hat, da eh nichts wichtiges drauf sei. Das wäre sogar glaubwürdig weil das auch in wirklichkeit sehr oft passiert. Und im echt packt man seine wirklich geheimen Sachen in die normale Partition rein.

Ein sehr interessanter, aber leider noch nie vollständig publikumsreif verwirklichter Ansatz wäre auch das Rubberhose-Projekt.
http://iq.org/~proff/rubberhose.org/
Mit Rubberhose kann man soviele versteckte Volumes anlegen, wie man möchte, man weiß also nie, wieviele versteckte Volumes es gibt

[flippy08]

Eben, man kanndas PW doch einfach vergessen, und selbst wenn du in UK Wohnst: Tu einfach so als ob du "nix zu verbergen hast" und den netten Beamten helfen möchtest. Man labert sie vorher einfach ein wenig zu das man auf die Platte schon weig nicht zugeriffen hat (HDD's kosten ja nix mehr) und gibt ein Passwort zur verschlüsselung ein (natürlich nicht das richtige ) und tut ganz verwundert das es nicht geht: Merkwürdig, warum geht das den nicht....
Da werden die dich kaum 5 Jahre wegsperen

[OwenBurnett]

Den perversen Briten ist jeder Grund recht einen für 5 Jahre einzukerkern...

[Sleepy_Bo]

News lesen?

Das gilt für England, ich denke nicht, dass der Großteil der Forennutzer hier aus England sind...

Ich fragte damit, ob einen die deutsche Staatsanwaltschaft/Polizei zur Herausgabe eines Passwortes zwingen kann...

[fexbest]

Ich würde die News auch nicht überdramatisieren, denn:
- geht diese ganze Methode eh nur, wenn man den Container 1:1 kopiert
- erkennt man selbst aus mehreren Backups nicht sofort, dass es ein inneres Volume gibt, sondern erst nach einiger Zeit Rechnerei (wie lange das dauert, wird nicht genannt, aber ich denke, dass ein normaler PC damit sicher ein paar Tage braucht)
- beweist das nur die Existenz eines Containers und nicht dessen Inhalt
- kann man immernoch sagen "ich hatte ein inneres Volume, keine Ahnung mehr, was das PW ist"

Zu diesem englischem Gesetz:
Ist eigentlich bekannt, dass irgendjemand deswegen schonmal verknackt worden? Ich glaube nicht, denn es heisst ja immer noch "Im Zweifel für den Angeklagten". Ich habe außerdem eben nochmal nachgesehen, selbst bei Benutzung ändert Windows das "geändert am" Datum eines Truecrypt Archives nicht, d.h. es entspricht immer dem Datum der Erstellung, wodurch ein Passwort vergessen plausibel erklärt werden kann.

[-Icarus-]

Das gilt für England, ich denke nicht, dass der Großteil der Forennutzer hier aus England sind...

Ich fragte damit, ob einen die deutsche Staatsanwaltschaft/Polizei zur Herausgabe eines Passwortes zwingen kann...

Nein!
Noch haben achtet der deutsche Staat einige Prinzipien eines Rechtsstaates. Du hast als Beschuldigter/Angeklagter das Recht zu schweigen. Das schließt natürlich Passwörter mit ein.
Aber wenn schon England solche Reglungen einführt bin ich mal gespannt wie lange noch.

[Noop]

- kann man immernoch sagen "ich hatte ein inneres Volume, keine Ahnung mehr, was das PW ist"

Was antwortest du dann, wenn sie dich fragen, warum der Inhalt des Containers zwischen dem Backup vor 2 Wochen und dem Backup vor einer Woche verändert wurde?

Wenn Sektoren in Bereichen verändert werden, wo eigendlich nur Datenmüll sein sollte und die Änderungen auch nur Fragmentweise vorgenommen werden in der Art wie bei einem Filesystem typisch, kann man mit hoher Sicherheit auf ein verstecktes Volume schließen.

Abgesehen davon, in Deutschland ist sowas wegen ein kleinen bis mittelgroßen Fisch nicht praktikabel, da die Behörden mehrmals heimlich in die Wohnung einbrechen müssten und jedesmal eben mal unauffällig 100-10000 Giga je nach Ausrüstung spiegeln müssen, so in der Art "Heimliche Offline-Durchsuchung". Die einzige Situation wäre die, wenn man seine Backup-Festplatte bei einem unvertrauenswürdigen Freund deponiert und die Backups regelmäßig aktualisiert.

[Hollii]

nachweisen / hinweisen
Nachweis / Hinweis

is ja alles dasselbe - oder das gleiche?