Nya Truecrypt krypterar rubbet

Jag har läst källkoden noga till TrueCrypt 4.3. Igår gick jag igenom skillnaderna mellan 4.3 och 5.0 på krypteringsbiten. Jag har dessutom implementerat det nya krypteringsläget (XTS) i Python. Det finns en väldigt trevlig skillnad mellan Truecrypt 5.0 med XTS och Truecrypt 4.3 med LRW och det är att med kaskadkrypton (AES-Twofish exempelvis) så behandlar Truecrypt 5.0 varje krypto helt individuellt och helt fristående från andra krypton: först krypteras data med AES-XTS och sedan Twofish-XTS. I Truecrypt 4.3 så behandlas hela kryptokedjan som ett "enkelt" krypto, alltså AES-Twofish-LRW. Det här innebär att det krävs mycket mer jobb att knäcka en kaskadad 5.0-volym än motsvarande 4.3-volum. En nackdel är dock att detta kräver mer processortid. XTS kräver dessutom en extra kryptering per 512 byte data, så XTS är lite segare än LRW.

Edit: För eventuella programmerare som läser detta så kan jag avslöja att det finns en extremt jobbig skillnad mellan Truecrypts implementation av XTS och deras implementation av LRW. LRW-koden behandlar nämligen alla integers som big endian, där XTS är little endian. Detta spelar ingen som helst roll för säkerheten, men är lite rörigt när man läser den ena före den andra.

...Sen när blev Microsoft berömda för säkerheten?
När den dagen kommer, ska jag dansa naken kring Sergels Torg! Om den kommer dvs...

Det jag syftade på var att det finns personer som menar att det inte kan vara säkert eftersom att den amerikanska staten accepterat AES som krypteringsstandard. Om det inte är den mest spridda algoritmen ligger den i alla fall gott till. Om AES är bäst för dig eller inte låter jag dock vara osagt.

kör den kryptering som kräver mäst på min externa hdd bara för att. inte så ofta jag har den inkopplad ändå. Funkar dock finfint.

Såja då va hela windowspartitionen krypterad med trippelkrypto tog 12 timmar haha, valde bara 3 wipes då iofs men verkar funka bra inge slöare eller nåt tar bara lite längre tid att boota.

Läs på om säkerhet. Open-source är ett väldigt starkt argument när man pratar säkerhetsprogram. Det får en helt annan dimension mot vanliga open-source program vs. closed source.

Du får nog utveckla lite. Gärna mer precist om hur varför ex. AES, serpent och twolfish skulle vara osäkra med någons ögon mätt.

Hade samma problem där. Bytte till dm-crypt med LUKS. Linux har ju ett vettigt alternativ (tills nu i alla fall har jag inte varigt så imponerad av de systemkrypteringar som jag sett till windows).

I windows däremot är truecrypt mitt förstahandsval och det här gör inte saken sämre direkt
Ska undersökas och antagligen installeras i helgen.

Allmänna råd:
Kör inte med dåliga/korta lösenord.
Spara header-filerna till alla krypterade partitioner etc.!
(vänta inte med det, det blir aldrig av då )

EDIT:
Eftersom den totala användbarbasen av Vista 64 bit verkar vara runt 20 pers och inget företag någonsin skriver om det fungerar i 64-bit Vista eller ej (eller om det ens är testat) så måste jag fråga. Någon med 64 bit Vista som testat?

(nu stog det visserligen t.o.m. i FAQen:
Q: Does TrueCrypt support Windows Vista x64 (64-bit) Edition?
A: Yes.
men frågan kvarstår om det är några buggar eller nåt)

Du (och echo) påpekade en bra sak. Dock är det lite fel det där, nyckeln som använts för att kryptera volymen ligger i volymen (början av den, nästan i slutet om det är en hidden), inte i partitionstabellen.

För dem som inte hänger med är det så att lösenordet och/eller krypteringsnyckelfil används för att dekryptera en liten bit i början av volymen, där ligger nyckeln som används för resten av volymen. Fördelen med detta är att man kan ändra lösenord utan att behöva dekryptera allting först.
Nackdelen är att om hårddisken blir dålig och råkar få förstörda sektorer på just det stället så är man chanslös. Därför ska man ta backup på den här headern (görs via tc-gränssnittet) och sprida ut filen på olika ställen. Det går inte att identifiera den som en truecrypt headerfil utan att lyckas knäcka krypteringen.

Nä lite fler är vi på vista 64-bit. Jag har business och kört truecrypt utan problem.

Tog backup på hela min laptop innan jag krypterade
Denna har jag krypterad på en extern hd.
Enkelt sätt att ersätta hela systemet ifall det brakar ihop.

Några till kanske då
Men man känner sig stört utlämnad ibland (av företag och utvecklare)

Kör nu krypterad systempartition med TC 5 i vista business 64 bit och det verkar fungera fint. Vanliga truecrypt-partitioner har fungerat perfekt (för mig) sen stödet för Vista kom.

Fick strul med ljudet när jag spelar upp filmer. hackar och tappar sync med bild
okrypterat funkar fint krypterad hela xp med truecrypt 5aes funkar ej.

winxp pro eng på HP nc6320 C2D 2,0ghz 3gb ram 120gb sata

Verkar vara lite strul med vissa bärbara, Lenovo och Dell i alla fall.

Problemet med Lenovo skulle kunna bero på den bootloader som de använder. Dell verkar 'bara' ha problem med ljudkortet om jag minns rätt.

Om jag skapar en partition på hårddisken, på 20GB, kan jag sedan skapa två TrueCrypt-volymer på 10GB var? Hela den partitionen ska helst också redan vara krypterad, vilket jag inte vet hur man gör. Läser på guiden på Truecrypts hemsida men blir bara förvirrad.

Kortsagt:

C: förminskas, av det lediga utrymmet skapar jag en ny partition. Denna partition ska jag kryptera, för att sedan skapa två krypterade volymer på.

Sedan när jag som vanligt bootar från C: så ska jag kunna ange ett lösenord för att komma in på andra partitionen där det ska finnas två kypterade volymer till som jag behöver ange dess egna lösenord till för att komma in på. Låter som en gåta kanske...

Min fråga är nu, hur krypterar jag den andra partitionen? Måste man skapa en volym på den som innehåller de 2 andra volymerna eller?

Hur lång tid kommer det ta för att flytta en låt oss säga 1gb fil till en dubbelt krypterad volym om man har en Pentium 4 @ 3.0GHz?

Ja det går att kryptera en partition.
Låt säga att den nya partionen du får efter att du har förminskat c: blir d:
Krypterar du och mountar denna får du välja en ny enhetsbokstav till den, låt oss säga e:
Efter att ha mountat e: i truecrypt kan du skapa nya krypterade containers på den hur du vill.
Hur lång tid det tar på din burk har jag ingen uppfattning om.
Lycka till

Ok, tack för en enkel förklaring

Någon som kan gissa på ett ungefär hur lång tid det skulle ta att överföra en 1gb fil från normal (okrypterad) partition till en krypterad volym i en krypterad partition (antar att det blir dubbelt krypterat?) med en Pentium 4 @ 3.0GHz ?

Vilka för och nackdelar finns det med att kryptera en partition (hel hårddisk) eller en container (som tar upp all plats på hårddisken)?

En cointainer är väl främst tänkt att vara liten, eller i alla fall relativt liten. Vilket gör den smidig, är busenkelt att flytta och föra med sig på ex. en usb-sticka.

Bortsett från det så har den väl i princip bara nackdelar (prestanda) så att ha en container som tar upp allt utrymme istället för att kryptera en partition ser jag inte riktigt vittsen med.

I teorin kanske det inte är någon större skillnad, men jag skulle dock råda att man krypterar en partition istället rent generellt.

En container är enklare att gömma (om den är liten), smälter in i mängden bland alla andra filer - men det gör den knappast om det är den enda filen som tar upp hela den partition som den ligger på.

Krypterar du hela disken kan du ju skapa hidden containers på den sen.

Hur mountar man en partition genom Windows XP? Är det bara klicka på Den här datorn>D:>Lösenordet och sedan är man inne?

Har du tankat ner programmet och läst nybörjar guiden?
Förklarar bra hur allt fungerar.

Trist att de fortfarande inte stödjer hårdvaru nycklar. Det går självklart fortfarande att använda autorun.inf i rooten på en USB pine för att starta och jag vet att jag fick ett tips på hur man konfigurerade ett startscript för att det skule aktivera truecrypt med lösen till arkiv och det hela... Självklart bör man vara medveten om att det USBminnet kan användas av vem som helst, och att nyckeln står i klartext... Det är därför det finns USB minnen med fingeravtrycksläsare. :- )
B!

Enligt mythbusters, så kan du i princip ta ett fingeravtryck från ett glas. scanna in det, förstora det, fylla i saknade streck, sedan skriva ut det och placera det på fingeravtrycksläsaren.

Dessutom, om någon VILL komma åt din krypterade information så kan dom ju tvinga dig att sätta fingret på läsaren. Antingen genom hot eller våld.

samma gäller ju för lösenord till krypterade partitioner.

Exempelvis, en tjuv kommer över din dator och ser att den är låst. Han inser att det kan vara extremt värdefullt och börjar hota eller ta till våld mot dig för att få lösenordet. Frågan är, hur mycket hot eller stryk tål du innan du ger upp lösenordet? En fraktur, två frakturer, ett finger mer eller mindre?

Denna lösning ser jag som väldigt smidig.
Skapa 2 partitioner.
Nr 1 är en vanlig partition på kanske 10gb som du lägger ett vanligt Windows XP på, lite standardprogram osv så att det ser använt ut.
Nr 2 är en hel systempartition som är krypterad med det riktiga systemet på.

Sedan sätter du partition 1 till att boota som vanligt och så använder du en boot CD eller memory stick för att komma åt Partition 2.

Nu krävs det att tjuven måste känna till att du har en krypterad partition 2 som måste öppnas med boot CD eller memory stick, vilket är betydligt mindre sanolikt och du sparar knäskålar och eventuella frakturer

Grattulerar. Du förutsätter att det är allmän kännedom att USB pinnen är nyckeln. Du förutsätter även att hot om våld inte får nyckeln ur dig, men att det kan tvinga dig att sätta tummen på scannern.

En tjuv som kommer över datorn startar den, i hop om att hitta lite smaskiga semester bilder, eller annat han kan gotta sig åt fram tills dess att han avyttrar systemet. När burken är krypterad och obrukbar går han inte tillbaka till brottsplatsen för att få ägaren att berätta hur han ska göra för att få den att fungera. I de flesta fallen är kompetensen antagligen så låg att han förutsätter att den är sönder och kastar systemet. Den kompetente tjuven installerar om och säljer burken istället.

Sen är det för övrigt inte tjuven jag krypterar för, utan "the man" som ska ge fan i mitt privatliv. The man kommer och vill hämta burken, så låt honom, men USB minnet sitter inte i den. Fungerar USB minnen, fungerar även kameror, telefoner osv. Nyckeln kan alltså vara ett av 25 SD minnen i bokhyllan, telefonen i bakfickan, (som kanske använder sD minnen?) ett vanligt USB minne, en extern HD ansluten via USB, osv. Ett inte helt osannolikt sätt att förvara nyckeln på är dock ett litet super budget USB minne, som är lätt att hoppa på ett par gånger om nu tjuven skulle vilja ha det av dig. Då rekommenderar jag iofs att du har en backup någonstans. Jag tror jag har listat alternativ nog för att du ska ha minst ett hemma.

B!

Nu var det väl iofs inte direkt en vanlig tjuv jag hade i åtanke, mer som organiserat brottslighet. Typ, du jobbar som en sysadmin och sitter på alla kontons lösenord inkl admin lösenordet. Du kanske har backups på kontona på datorn som automatiskt uppdateras via FTP.

Det jag syftade på i mitt exempel var att det är ett väldigt bra sätt att få pålitligare möjligheter att neka till att det överhuvudtaget finns gömd data.

Så du tror att den organiserade brottsligheten (som uppenbarligen är väldigt kompetent) bara skulle ignorera den där större partitionen som till synes bara innehåller skräpdata?

De skulle inte slå skiten ur dig bara för att eventuellt få fram en nyckel till den eventuella datan som ligger krypterad där?

Särskilt inte när du otvivelaktigen använder truecrypt där man öppet skryter om plausible-deniability.

Du kommer antagligen förbi rättssystemet, det bör man väl visserligen göra genom att bara strunta i att ge ut lösenordet, men det hjälper nog föga mot de motståndare som du själv målar upp.
Man får dessutom anta att de har hyffsad koll på vem de attackerar, och varför. Så sitter du väl i smeten så har de antagligen motiv nog att fortsätta tills du knäcks. Även om du inte ens har någon krypterad eller känslig information alls.

Är tanken att ingen ska veta om man krypterar något så är partitionskryptering antagligen ett rätt så dåligt val. Då är det steganografi som man bör titta på.

Jupp, den innehåller ju inte ens skräpdata. En truecrypt partition behandlar ju windows som en oformaterad enhet. Jag använder en helt enkelt inte.

Bara om dom vet att det finns möjlighet att det ligger där ja.

Inget i systemet pekar på att jag använder truecrypt.

Antagligen om det är maffiametoder ja, då misshandlar dom oavsett om man har något eller inte. Men man vet iaf att man kan hålla tyst för dom misshandlar ju vad man än säger.

Jag ser inte det som något dåligt val alls, eftersom inget är konstigt.

Eftersom en använd partition aldrig är tom, annat än efter en whipe, vid vilken disken fylls med data enligt förbestämda mönster är det enkelt att se att det förvaras krypterade data i partitionen med vilken hex editor som helst. Jag förutsätter att någon som lyckas stjäla en dator de förväntar sig ska innehålla så värdefulla data att det berättigar en sådan här operation faktiskt kommer undersöka vad de stulit i jakt på vad de nu söker.

Och vid valet av fingrar avklippta med hovtång, följt av vad de nu lyckas hitta på för tortyrmetoder att beskriva för dig, följt av ett skott i pannan, eller ge dem lösen, och därefter omedelbart få skottet i pannan för att inte kunna skvallra om vad de fick med sig, tror jag inte det tar lång tid innan du kläcker ur dig vad det är de letar efter. Nu tror jag iofs att någon organiserad verksamhet som skulle ge sig på någonting sådant här snarare plockar make/maka, barn, eller föräldrar och hotar den eventuella dator innehavaren med att göra en massa hemskheter tex skicka fingrar och tår... Enklare att tvinga någon annan att få tag i säkrade data, än att plocka på sig dem själv.

Kryptering kommer aldrig att skydda någon mot någonting överlagt av den graden. Det skyddar mot insyn från folk som följer de regler som reglerar samhället, (tex "the man") och slumpartade data stölder. (tex vid dator stöld)
Att ha en hårdvarunyckel är i sammanhanget inget större avkall på säkerheten. Den bör klart inte sitta i datorn, eller ligga framme när man inte själv är vid datorn, och en ultimat lösning skulle vara USB anslutna minnen som enkelt kan totalförstöras. Förvara en "master key" någonstans (bankfack, under madrassen till vattensängen, i handskfacket på bilen, i reserv-kristall lådan till rc bilarna... where ever), och ha de lättförstörbara som nyckel. Skulle någon försöka tvinga till sig nyckeln, tex "the man" när han gör beslag av din hårdvara, så destruera den. (Lämpligtvis utan att han förstår vad som händer) Ett alternativ jag gillar är CMOS ram, och ett batteri. en enkel tryck knapp för att bryta strömmen, och minnet är.... tomt. Går inte att återställa.
B!

Börjar utvecklas till storyn i en dålig b film detta tycker jag

Mjo.. Jag jobbar på manuset, men har haft svårt med hjältens namn... Det är för övrigt den annars lite gråtråkiga sysopen som slavar i skrubben utanför server rummet, längst ner, längst bort i korridoren. Är det okaj om jag snor ditt namn? "Z0rk saves the day!" låter rätt ok... Hjälten kommer vara en hejare på ettor o nollor, kan 7 programerings språk flytande, och 5 till hjälpligt, är mycket miljömedveten, och cyklar till och från jobb dagligen. Med laptop, pda, och en GP2X. Det syns inte förens i någon av aktionscenerna där han "råkar" få tröjan söndersliten, men han ska vara så vältränad att det inte går att uppbringa en sådan skådis, utan det får bli CGI för hela slanten. En krympt version av hulken, i pressade byxor, och grårutig kavaj. Självklart är han vältränad pga cyklingen...

;- )
B!

Hehe blir klockren