Verschlüsselung
Verschlüsselung
Moin!
Endlich gibt es ein gutes Programm zum sehr sehr sicheren* Ver- und Entschlüsseln von Buchstaben und Zahlen, also Texten bis zu 20.000 Zeichen das sind etwa 11 Seiten:
http://home.no.net/fenja256/asencry/index.php
Zum Erstellen des Einmalschlüssels (One-Time-Pad) gibt es bei http://www.random.org/ unter String bzw. Integer die nötigen Hilfestellungen.
Bleibt nur noch die Frage wie der Einmalschlüssel absolut sicher seinen Empfänger erreicht.
*sehr sehr sicher = wenn der Schlüssel sehr sehr zufällig ist. Übrigens PGP und dessen Derivate sind mittlerweile unsicher.
Gruß
vglzlj
Endlich gibt es ein gutes Programm zum sehr sehr sicheren* Ver- und Entschlüsseln von Buchstaben und Zahlen, also Texten bis zu 20.000 Zeichen das sind etwa 11 Seiten:
http://home.no.net/fenja256/asencry/index.php
Zum Erstellen des Einmalschlüssels (One-Time-Pad) gibt es bei http://www.random.org/ unter String bzw. Integer die nötigen Hilfestellungen.
Bleibt nur noch die Frage wie der Einmalschlüssel absolut sicher seinen Empfänger erreicht.
*sehr sehr sicher = wenn der Schlüssel sehr sehr zufällig ist. Übrigens PGP und dessen Derivate sind mittlerweile unsicher.
Gruß
vglzlj
Moin!
Ich würde dem 'Service' da nicht einfach so vertrauen. Die Webseite macht einen wenig seriösen Eindruck auf mich. Ich bevorzuge truecrypt, wobei ich mit TrueCrypt zunächst einen Container erstellen müsste, um eine Textdatei zu verschlüsseln...
Edit: Ok, laut wikipedia soll das ganze gut sein, aber bei dem Programm auf http://home.no.net/fenja256/asencry/ kann ich nicht in den Quelltext gucken, hab also keine Ahnung, was das noch alles so anstellt... da könnte der Autor vieles erzählen, einen Master-key einbauen etc.pp.
Gruß aus Hamburg,
matthias
Ich würde dem 'Service' da nicht einfach so vertrauen. Die Webseite macht einen wenig seriösen Eindruck auf mich. Ich bevorzuge truecrypt, wobei ich mit TrueCrypt zunächst einen Container erstellen müsste, um eine Textdatei zu verschlüsseln...
Edit: Ok, laut wikipedia soll das ganze gut sein, aber bei dem Programm auf http://home.no.net/fenja256/asencry/ kann ich nicht in den Quelltext gucken, hab also keine Ahnung, was das noch alles so anstellt... da könnte der Autor vieles erzählen, einen Master-key einbauen etc.pp.
Gruß aus Hamburg,
matthias
Moin Matthias!matthias hat geschrieben: Ich würde dem 'Service' da nicht einfach so vertrauen.
...da könnte der Autor vieles erzählen, einen Master-key einbauen etc.pp.
zu a) Richtig, aber die Technik ist so einfach, dass man das Ergebnis kurzerhand auf dem Papier selbst prüfen kann. (natürlich nicht bei allen 20.000 Zeichen, aber stichprobenartig)
zu b) Er könnte keinen Master-key einbauen, da das System sonst nicht funktioniert!
Es handelt sich ja um eine Vigenère- bzw. Cäsar-Verschlüsselung, wobei das Schlüsselwort genauso lang oder länger als die Nachricht ist. Wichtig ist die Zufälligkeit und Einmaligkeit des Schlüssels. Die Einfachheit der Verschlüsselung schützt vor Manipulationen. Es kann keiner einen Master-key einbauen oder sonstwie an den Orginaltext kommen - es sei denn der Schlüssel war/ist schlecht!
Gruß
Thomas
Das ist leider so nicht richtig. Ein Problem bei dieser Art Software liegt in der Möglichkeit von Seitenkanälen. Soll bedeuten, das es möglicherweise korrekt verschlüsselt. Aber woher nimmst Du das Vertrauen, dass nicht der Schlüssel auf einem anderen Weg zum Angreifer kommt? Dafür gibt es unzählige Möglichkeiten.Krakau hat geschrieben:
Moin Matthias!
zu a) Richtig, aber die Technik ist so einfach, dass man das Ergebnis kurzerhand auf dem Papier selbst prüfen kann. (natürlich nicht bei allen 20.000 Zeichen, aber stichprobenartig)
zu b) Er könnte keinen Master-key einbauen, da das System sonst nicht funktioniert!
Es handelt sich ja um eine Vigenère- bzw. Cäsar-Verschlüsselung, wobei das Schlüsselwort genauso lang oder länger als die Nachricht ist. Wichtig ist die Zufälligkeit und Einmaligkeit des Schlüssels. Die Einfachheit der Verschlüsselung schützt vor Manipulationen. Es kann keiner einen Master-key einbauen oder sonstwie an den Orginaltext kommen - es sei denn der Schlüssel war/ist schlecht!
Gruß
Thomas
By the way: Das mit der Cäsar-Verschlüsselung ist leider auch nicht korrekt, da es sich bei AES nicht um ein Substitutionsverfahren handelt, sondern um einen symetrischen Block-Algorithmus mit Ableitung der Strochschlüssels durch Permutation.
Aber egal, wie kommst Du darauf, das PGP nicht mehr sicher sein soll?
Grüße,
Dominik
Moin Dominik!dominik hat geschrieben: Das ist leider so nicht richtig. Ein Problem bei dieser Art Software liegt in der Möglichkeit von Seitenkanälen. Soll bedeuten, das es möglicherweise korrekt verschlüsselt. Aber woher nimmst Du das Vertrauen, dass nicht der Schlüssel auf einem anderen Weg zum Angreifer kommt? Dafür gibt es unzählige Möglichkeiten.
... da es sich bei AES nicht um ein Substitutionsverfahren handelt, sondern um einen symetrischen Block-Algorithmus mit Ableitung der Strochschlüssels durch Permutation.
Klar kann jemand mit einer Software immer die Schlüssel auf verschiedene Wege unbemerkt weitergeben. Soweit ich dieses Programm getestet habe ist es nicht der Fall. Fragt sich auch an wen der Schlüssel gesendet werden sollte (NSA?). Bei diesem Programm wird ja der verschlüsselte Text nicht aus der Software heraus versand, sondern per copy & paste. Der Schlüssel wird so jedenfalls nicht ohne weiteres weitergegeben!
Übrigens AES ist nicht ASEncry wie Du richtig erkannt hast. Daher hier nochmal als Zitat von der Webseite:
PGP ist insofern nicht sicher, da bereits 1994 eine RSA-129 in 8 Monaten von 600 Freiwilligen dekodiert wurde. Eine RSA-1024 wurde 2007 innerhalb eines Monats entschlüsselt. Fragt sich was die z.B. NSA so anstellt.ASEncry stands for "absolutely secure encryption" and uses one time pad encryption.
Use Ascencry to encrypt text to and from applications by using simple cut and paste.
Gruß
Thomas
Moin!
Wenn man lediglich verhindern möchte, dass nicht jeder x-Beliebige die Nachricht mitlesen kann, dann sollte RSA-1024 oder RSA-2048 genügen, wobei sich selbst die NSA wahrscheinlich nur im Verdachtsfall hier ransetzen würde.
Gruß aus Hamburg,
matthias
Hast du Wireshark oder einen anderen Sniffer hierfür genutzt oder wie sah dein Test aus?Krakau hat geschrieben:Soweit ich dieses Programm getestet habe ist es nicht der Fall.
Nichtsdestotrotz könnte die Software den Text oder den Schlüssel an irgendeinen Server senden. Dies könnte auch noch schön getarnt sein. Ich erinnere mich an irgendeine Software, die 2O7.com (o.Ä.) anfunken wollte und mit einer entsprechenden Subdomain ist dies nicht einmal auffällig.Krakau hat geschrieben:Bei diesem Programm wird ja der verschlüsselte Text nicht aus der Software heraus versand, sondern per copy & paste. Der Schlüssel wird so jedenfalls nicht ohne weiteres weitergegeben!
Dann fragt sich nun auch, wie lange es dauern würde, z.B. RSA-4096 zu entschlüsseln und ob deine Nachricht den Rechenaufwand wert ist und ob die Nachricht nach dem Entschlüsseln noch aktuell / von Belang ist.Krakau hat geschrieben:PGP ist insofern nicht sicher, da bereits 1994 eine RSA-129 in 8 Monaten von 600 Freiwilligen dekodiert wurde. Eine RSA-1024 wurde 2007 innerhalb eines Monats entschlüsselt. Fragt sich was die z.B. NSA so anstellt.
Wenn man lediglich verhindern möchte, dass nicht jeder x-Beliebige die Nachricht mitlesen kann, dann sollte RSA-1024 oder RSA-2048 genügen, wobei sich selbst die NSA wahrscheinlich nur im Verdachtsfall hier ransetzen würde.
Gruß aus Hamburg,
matthias
Hallo Matthias
Gruß
Thomas
Joop - während das Programm lief gabs vom selben keinen Traffic, auch später nicht. Aber wenn es um wirklich wichtige Daten geht, läuft diese Software auch nicht auf einem Netzrechner und die Info läuft nicht übers Netz der Netze, sondern per Post schriftlich - Kleines 1x1 der Whistleblower...matthias hat geschrieben:Hast du Wireshark oder einen anderen Sniffer hierfür genutzt oder wie sah dein Test aus?
Bei bestimmten Informationen, angenommen zu "Waterkantgate" oder zu einem bereits verstorbenen Kirchenoberhaupt, könnte die Info auch ein paar Jahre danach noch sehr viele Leute interessieren und "Beben" auslösen... Immerhin gibt es ja auch noch ein paar Enigma-Texte, die noch (wenn auch nur historisch) interessant sind. Kurfristige Mitteilungen wie das berühmte "ANGRI FFIMM ORGEN GRAUE NXXXX" fallen da natürlich raus - soviel ist sicher.matthias hat geschrieben:Dann fragt sich nun auch, wie lange es dauern würde, z.B. RSA-4096 zu entschlüsseln und ob deine Nachricht den Rechenaufwand wert ist und ob die Nachricht nach dem Entschlüsseln noch aktuell / von Belang ist.
Sobald ein Interesse besteht (falsche Nationalität, Religion oder Forschungseinrichtung oder auch Konkurrenzfirma) werden sich NSA, BND, BKA und sonstwer schon die Mühe machen. Für den Hausgebrauch mag es sicherlich reichen, aber eine Verschlüsselung ist eben nur solang gut wie man an ihre Sicherheit glaubt.matthias hat geschrieben:Wenn man lediglich verhindern möchte, dass nicht jeder x-Beliebige die Nachricht mitlesen kann, dann sollte RSA-1024 oder RSA-2048 genügen, wobei sich selbst die NSA wahrscheinlich nur im Verdachtsfall hier ransetzen würde.
Gruß
Thomas
In der c't Heft 15/08, Seite 190 findet sich ein interessanter Beitrag, "Kunterbuntes Schlüsselraten" betitelt.
Im Funkamateur Heft 7/08, Seite 706 ein Beitrag betitelt "Das Liechtenstein Syndrom".
Während der erste Artikel sich speziell mit Methoden zum Passwortknacken beschäftigt, geht der zweite mehr auf allgemeine Aspekte, bzw. "woran ich gar nicht gedacht habe" in Bezug auf Datensicherheit ein.
Gruß
Arno
Im Funkamateur Heft 7/08, Seite 706 ein Beitrag betitelt "Das Liechtenstein Syndrom".
Während der erste Artikel sich speziell mit Methoden zum Passwortknacken beschäftigt, geht der zweite mehr auf allgemeine Aspekte, bzw. "woran ich gar nicht gedacht habe" in Bezug auf Datensicherheit ein.
Gruß
Arno