Metall vs. RS

  • Bitlocker ist keine Laufwerksverschlüsselung!

    Zitat Wikipedia:

    Zitat

    BitLocker ist eine proprietäre Festplattenverschlüsselung des Unternehmens Microsoft, die zu den Features von Microsoft Windows gehört. Nach dem Prinzip der vollständigen Festplattenverschlüsselung werden mit dieser Software Daten geschützt.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Gefällt mir 1
  • Und deshalb gibt es SME/SEV/TME, für vollständige RAM-Verschlüsselung, auch mit Schlüssel per (hardware unterstützter) VM.

    Ja das gibt es, nur dass SME auf meinen Rootserver nicht verfügbar ist. Auf einem Bare Metal Server wo alle CPU Flags verwendet werden können macht es damit durchaus Sinn.

    Oder gibt es eine andere Möglichkeit den RAM effekiv zu verschlüsseln?

    Und @cltrmx hat sicherlich keine RAM Verschlüsselung aktiv, zumal die alten VPS nicht auf SME fähigen CPUs laufen, das sollte ja eine AMD Technologie sein.


    Dein Einwurf ist aber definitiv gut und berechtigt. Solange aber der RAM nicht verschlüsselt ist, ist die Verschlüsselung auf einen nicht selbst gehosteten Server [Homeserver, etc. - den ich also bei Bedarf sofort vom Strom nehmen kann] komplett sinnlos.

  • Wie meinst du damit? Bitlocker ist eine Festplattenverschlüsselung! Klär mich auf. :/

    Ich denke mal, dass H6G eher darauf hinaus wollte, dass Bitlocker nicht als Verschlüsselung zu bewerten ist, da es Programme gibt, welche diese "Verschlüsselung" ohne Brute Force einfach enthebeln können.

    Eine "Verschlüsselung" mit Hintertürchen ist keine Verschlüsselung.

  • Oder gibt es eine andere Möglichkeit den RAM effekiv zu verschlüsseln?

    Ich glaube da bist du in einem Bereich wo Aufwand und Nutzen einfach vollkommen auseinander gehen.

    Das würde bei rohem Metall nur was bringen wenn man angst davor hat, dass die NSA kommt und den Server überbrückt und im "laufenden" Betrieb aus dem Laden trägt..
    Man munkelt dass das tatsächlich vorkommt ;)

  • Ich denke mal, dass H6G eher darauf hinaus wollte, dass Bitlocker nicht als Verschlüsselung zu bewerten ist, da es Programme gibt, welche diese "Verschlüsselung" ohne Brute Force einfach enthebeln können.

    Eine "Verschlüsselung" mit Hintertürchen ist keine Verschlüsselung.

    Ah, danke für die Aufklärung. Das wusste ich nicht. Ist auch irgendwie typisch MS :P

  • Oder gibt es eine andere Möglichkeit den RAM effekiv zu verschlüsseln?

    TRESOR


    Das würde bei rohem Metall nur was bringen wenn man angst davor hat, dass die NSA kommt und den Server überbrückt und im "laufenden" Betrieb aus dem Laden trägt..

    Braucht man nicht. Elektrochemisch behalten SDRAM Module ihre Informationen im spannungslosen Zustand, wenn die Module ausreichend gekühlt sind.

    Sprich Druckluftspray und ausbauen und dann so schnell wie möglich auslesen / wieder mit Spannung versorgen.


    Ist dann aber Operationsbereich der CIA ;)

  • dass Bitlocker nicht als Verschlüsselung zu bewerten ist, da es Programme gibt, welche diese "Verschlüsselung" ohne Brute Force einfach enthebeln können.

    Eine "Verschlüsselung" mit Hintertürchen ist keine Verschlüsselung.

    Gibt es dazu aktuelle Belege? Von "einfach enthebeln" ist bei den Sachen die ich gefunden habe definitiv keine Rede. Erst einmal kann an mehreren Stellen der Wiederherstellungsschlüssel gespeichert werden. Wenn man den hat, klar. Wenn weder PW noch Schlüssel verfügbar sind, gibt es wohl noch Möglichkeiten, das aus RAM Abbildern zu extrahieren (soviel zur Diskussion dazu). Aber wenn auch das nicht möglich ist, muss man mit "GPU beschleunigtem Brute Force" ran gehen. Und das ist dann schon ein ordentlicher Aufwand.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • Man könnte das Gefühl bekommen, dass Fefe hier mitliest: http://blog.fefe.de/?ts=9d42835f

    Viel pathetisches Geblabel, wenig Inhalt.

    Boxcryptor, wie auch 1Password und andere machen Zero Knowledge, d.h. ohne Passwort und ggfalls Sicherheitstoken kommt selbst der Anbieter nicht an den Schlüssel (außer er würde sich eine Hintertüre in den Client einbauen - aber dann ists eh vorbei.

    Ansonsten kann man auch noch mit RClone encypted Mounts wunderbar mit Clouds betreiben und da ist nun der Key wirklich nur lokal.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • Man könnte das Gefühl bekommen, dass Fefe hier mitliest

    Demnächst hosten wir alle wieder unsere Inhalte von Zuhause...



    Viel pathetisches Geblabel, wenig Inhalt.

    Dafür braucht man nicht mal ZK Protokolle, asymmetrische Kryptografie reicht schon aus. (Oder Smartcards)


    Mal abgesehen davon, dass es Schließzylinder gibt, bei denen man die Schlüssel nicht nachmachen kann, ohne einen Code - und dass Sinn und Zweck hinter Schließsystemen nicht ist, jemanden davon abzuhalten die Räume zu betreten, sondern Schlösser sind dafür da, einen Eindringling möglichst lange mit dem Schloss zu beschäftigen, damit der sich leichtere Ziele sucht.

  • Im Fefe-Artikel geht es allerdings nicht um Software, die lokal verschlüsselt und dann hochlädt, sondern um Verschlüsselung innerhalb der Cloud mit dem Schlüssel in der Cloud. Mit der Einschränkung, dass man dem Client vertrauen muss, den Schlüssel nicht doch irgendwie in die Cloud zu schieben.


    Boxcryptor und vermutlich auch 1Password haben in der Cloud nur verschlüsselte Inhalte und man bekommt die auch nur in verschlüsselter Form an den Client geliefert. Lokal kann dann entschlüsselt werden. Da sind die Daten trotz eines Leaks in der Cloud geschützt. Wenn aber der Schlüssel in der Cloud daneben liegt (im Kundenkonto hochgeladen z.B.), dann hilft die Verschlüsselung nicht mehr.


    Verschlüsselung verlagert das Problem die Daten gegen Angriffe zu schützen auf den Schlüssel. Also sollte der Schlüssel nicht da liegen wo die Daten auch sind.

  • haha, da bist aber jetzt selbst drauf reingefallen.

    Also angenommen ich repliziere einen Schlüssel, den ich temporär besitze - fertige mir einen Rohling und setzte die Magneten entsprechend ein -

    um dann zu einem späteren Zeitpunkt unbemerkt die Wohnung zu betreten.


    Warum sollte ich diesen Aufwand betreiben, um später unbemerkt irgendwo einzudringen?

    Wenn ich da rein will, um was rauszuholen, dann mache ich dem die Türzarge kaputt.

    Wenn ich da rein will, um was abzustellen, dann mache ich das, während ich den Schlüssel habe - und repliziere den Schlüssel nicht erst.


    Wenn ich da rein will, um was abzustellen, weil sich das Ziel lohnt, dann gibt mir das Ziel doch nicht den Schlüssel - das Ziel hat dann in der Wohnung Kameras und im Zweifel, wenn das Ziel richtig paranoid ist - dann hat das Ziel eine Schließanlage, die die Anzahl der Schließungen zählt - und der Typ weiß, dass da jemand drinne war.


    Sollen wir uns deshalb jetzt alle ein Schließzylinder mit Zählwerk einbauen, oder reicht da auch ein normaler Zylinder?

  • sehr schön "derailt" – es ändert nur nichts an der tatsache, daß das code-kartenbrimborium reinstes schlangenöl ist und entsprechend ausgerüstete "fachkräfte" nicht davon abhalten kann, kopien anzufertigen.

    »Hauptsache BogoMIPS!«

    Fleischfresser

  • daß das code-kartenbrimborium reinstes schlangenöl ist und entsprechend ausgerüstete "fachkräfte" nicht davon abhalten kann, kopien anzufertigen.

    Du übersiehst dabei, dass sich solche Kopien nicht "mal eben schnell" anfertigen lassen - sondern, das die Zeit die dafür erforderlich ist, nur für lohnenswerte Ziele aufgebracht wird. Dieses kombiniert mit der Tatsache, dass eine Schlüsselkopie den Sinn hat, etwas beim Ziel zu hinterlegen (z.B. Überwachungstechnik), und nicht etwas zu klauen, führt das ganze ad absurdum.


    Wenn ich ein lohnenswertes Ziel bin, habe ich ein Zählwerk.

    Wenn ich kein lohnenswertes Ziel bin, wo ist dann das Problem mit Schlangenöl?

  • Mal abgesehen davon, dass es Schließzylinder gibt, bei denen man die Schlüssel nicht nachmachen kann,

    und den Erfinder solcher Schließsysteme habe ich alle Achtung;


    nur weil man ohne Schlüsselkarte die nicht nachmachen kann - wenn man aber mal darüber nachdenkt,

    wenn jemand soweit gekommen ist, dass er sich da einen Schlüssel nachmachen läßt, dann ist eh schon alles zu spät ...

    weil dann hat er ja bereits einen Schlüssel und kann bei Dir reintanzen wie es ihm beliebt ^^


    wobei hier gilt denk ich mal das gleiche "Gesetz" wie bei RSA, Bankkarten-PINs, u.a.m.


    kann ausgeschlossen werden, dass 2 Webserver nicht wissentlich doch den selben private Key verwenden?

    ich würde meinen, Nein;


    ebenso würd ich mal behaupten

    es laufen im Berliner od. Nürnberger Hbf tägl. soviele Leute vorbei wo gesichert folgendes gesagt werden kann:

    "mind. 3 weitere haben den selben PIN bei der Bankkarte"


    und bei den Zylindern und den dazupassenden Schlüsseln wär es ganz was neues wenn des echte Unikate wären;


    das macht es aber nicht unsicherer; weil was nützt Dir die Kenntnis, wenn ich den gleichen Wohnungsschlüssel wie Mister X hätte? ;)


    Wenn ich kein lohnenswertes Ziel bin, wo ist dann das Problem mit Schlangenöl?

    ist wie Streusplit f. Pinguine; vor der RAK ist derart viel gestreut, dass Du bei Glatteis garantiert mit dem Gesicht bremst; :D

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Einmal editiert, zuletzt von mainziman ()

    Haha 1
  • Du übersiehst dabei, dass sich solche Kopien nicht "mal eben schnell" anfertigen lassen

    ich denke, du übersiehst dabei eher, daß es die codekarten seit langer zeit und auch für "normale" schlüsselprofile gibt.

    es ist eine reine übereinkunft der hersteller und schlüsseldienste und, wie sollte es anders erwartbar sein, nicht jeder hält sich daran – wie ich selbst erlebt habe.

    die kunden werden hierbei IMHO getäuscht und es gab im herstellergewerbe auch abmahnungen, weshalb sie ihre produktinfos entsprechend anpassen mussten (zusatz: "Originale Schlüssel …").

    »Hauptsache BogoMIPS!«

    Fleischfresser