Abo
  • Services:
Anzeige
Veracrypt ähnelt Truecrypt - doch es gibt einiges zu beachten, gerade wenn man Windows und Linux parallel nutzt.
Veracrypt ähnelt Truecrypt - doch es gibt einiges zu beachten, gerade wenn man Windows und Linux parallel nutzt. (Bild: Screenshot Golem.de)

Mehr Iterationen für mehr Sicherheit

Seit Version 1.12 lässt sich die zusätzliche Sicherungsoption Personal Iterations Multiplier (PIM) verwenden, die Veracrypt implementiert hat. Der Veracrypt-Entwickler hat mit der Einführung des PIM auf eine mögliche Schwachstelle für Bruteforce-Angriffe in Truecrypt reagiert. Die ursprünglich auf 1.000 festgelegte Zahl der Iterationen, die bei der Verwendung des PBKDF2-Algorithmus durchlaufen werden, um aus dem Passwort einen geheimen Schlüssel zu erstellen, wurde erhöht.

Anzeige
  • Die von Truecrypt angebotenen Verschlüsselungsalgorithmen hat ... (Screenshot: Jörg Thoma)
  • ... Veracrypt übernommen, auch wenn sie dort anders ausgeschrieben worden sind. (Screenshot: Jörg Thoma)
  • Bei den Hash-Algorithmen hingegen wurde RIPEMD-160 durch ... (Screenshot: Jörg Thoma)
  • ... SHA-265 ersetzt. Veracrypt kann mit Truecrypt verschlüsselte Container und Partitionen dennoch öffnen. (Screenshot: Jörg Thoma)
  • Mit Truecrypt verschlüsselte Systempartitionen erkennt Veracrypt hingegen nicht. (Screenshot: Jörg Thoma)
  • Sollen sie stattdessen mit Veracrypt verschlüsselt werden, ... (Screenshot: Jörg Thoma)
  • ... müssen sie zunächst mit Truecrypt noch einmal entschlüsselt werden. (Screenshot: Jörg Thoma)
  • Welche Verschlüsselung genutzt werden soll, hängt auch von der gewünschten Arbeitsgeschwindigkeit ab. (Screenshot: Jörg Thoma)
  • Anschließend kann mit der Verschlüsselung unter Veracrypt begonnen werden. (Screenshot: Jörg Thoma)
  • In den meisten Fällen kann hier die Option "Normal" gewählt werden. (Screenshot: Jörg Thoma)
  • In dieser Einstellung sollte die erste Option nur dann gewählt werden, wenn Linux auf dem gleichen Datenträger wie Windows installiert ist. (Screenshot: Jörg Thoma)
  • Verschlüsselte geschützte Bereiche können unter Umständen Probleme bereiten, etwa bei der Wiederherstellung eines Systems. (Screenshot: Jörg Thoma)
  • Ist ausschließlich Windows auf einem Rechner installiert, ist hier die obere Option die erste Wahl. Wird die zweite Option aktiviert, ... (Screenshot: Jörg Thoma)
  • ... erhält man zunächst diese Warnung, die weggeklickt werden kann. Anschließend ... (Screenshot: Jörg Thoma)
  • ... fragt Veracrypt, ob Windows auf dem Startlaufwerk installiert ist. Das kann im Bios festgelegt werden. (Screenshot: Jörg Thoma)
  • Ist Linux auf einem zweiten Datenträger installiert, sollte die zweite Option gewählt werden. (Screenshot: Jörg Thoma)
  • Hier will Veracrypt wissen, ob Linux auf dem gleichen Datenträger installiert ist wie Windows. (Screenshot: Jörg Thoma)
  • Wer zuvor den Linux-Bootloader Grub verschoben hat, verneint die folgende Frage. Sonst bricht ... (Screenshot: Jörg Thoma)
  • ... Veracrypt den Vorgang ab und der Assistent muss erneut gestartet werden. (Screenshot: Jörg Thoma)
  • Anschließend fasst Veracrypt noch die Funktionen seines Bootloaders zusammen. (Screenshot: Jörg Thoma)
  • Jetzt können die Verschlüsselungsoptionen gewählt werden. (Screenshot: Jörg Thoma)
  • Hier kann der PIM festgelegt werden. Je kleiner die Zahl , desto schneller die Ladezeit. Allerdings sollte dann ein starkes und langes Kennwort gewählt werden. (Screenshot: Jörg Thoma)
  • Nach einem Test, der einen Neustart erfordert, beginnt Veracrypt mit der Verschlüsselung. (Screenshot: Jörg Thoma)
  • Die Truecrypt-Entwickler empfehlen den Umstieg auf Bitlocker von Windows. Veracrypt ist aber die bessere Wahl. (Screenshot: Jörg Thoma)
Hier kann der PIM festgelegt werden. Je kleiner die Zahl , desto schneller die Ladezeit. Allerdings sollte dann ein starkes und langes Kennwort gewählt werden. (Screenshot: Jörg Thoma)

Das wirkt sich unmittelbar auf die Geschwindigkeit bei der Erstellung eines verschlüsselten Volumes aus. Je mehr Iterationen es gibt, desto länger dauert die Verschlüsselung. Aber auch das spätere Öffnen eines verschlüsselten Volumes verlangsamt sich mit steigender PIM-Größe. Zu einer deutlichen Verzögerung kommt es auch beim Start einer verschlüsselten Systempartition nach der Eingabe des Kennworts. Zudem muss die zuvor bei der Verschlüsselung gewählte PIM-Zahl eingegeben werden. Somit stellt diese ein zusätzliches Sicherheitsmerkmal dar.

Zu viele Iterationen machen langsam

Je nachdem, welche kryptographische Hash-Funktion verwendet wird, legt Veracrypt die Anzahl der Iterationen fest. Bei dem standardmäßig verwendeten HMAC-RIPEMD-160 sind es bei verschlüsselten Systempartitionen 327.661 Iterationen, bei HMAC-SHA-256 nur 200.000 Iterationen. Bei normalen Partitionen und Containern wurden die Iterationen bei HMAC-RIPEMD-160 auf 655.331 erhöht, bei den Alternativen HMAC-SHA-512, HMAC-SHA-256 und HMAC-Whirlpool liegt die Anzahl der Iterationen bei 500.000.

  • Die von Truecrypt angebotenen Verschlüsselungsalgorithmen hat ... (Screenshot: Jörg Thoma)
  • ... Veracrypt übernommen, auch wenn sie dort anders ausgeschrieben worden sind. (Screenshot: Jörg Thoma)
  • Bei den Hash-Algorithmen hingegen wurde RIPEMD-160 durch ... (Screenshot: Jörg Thoma)
  • ... SHA-265 ersetzt. Veracrypt kann mit Truecrypt verschlüsselte Container und Partitionen dennoch öffnen. (Screenshot: Jörg Thoma)
  • Mit Truecrypt verschlüsselte Systempartitionen erkennt Veracrypt hingegen nicht. (Screenshot: Jörg Thoma)
  • Sollen sie stattdessen mit Veracrypt verschlüsselt werden, ... (Screenshot: Jörg Thoma)
  • ... müssen sie zunächst mit Truecrypt noch einmal entschlüsselt werden. (Screenshot: Jörg Thoma)
  • Welche Verschlüsselung genutzt werden soll, hängt auch von der gewünschten Arbeitsgeschwindigkeit ab. (Screenshot: Jörg Thoma)
  • Anschließend kann mit der Verschlüsselung unter Veracrypt begonnen werden. (Screenshot: Jörg Thoma)
  • In den meisten Fällen kann hier die Option "Normal" gewählt werden. (Screenshot: Jörg Thoma)
  • In dieser Einstellung sollte die erste Option nur dann gewählt werden, wenn Linux auf dem gleichen Datenträger wie Windows installiert ist. (Screenshot: Jörg Thoma)
  • Verschlüsselte geschützte Bereiche können unter Umständen Probleme bereiten, etwa bei der Wiederherstellung eines Systems. (Screenshot: Jörg Thoma)
  • Ist ausschließlich Windows auf einem Rechner installiert, ist hier die obere Option die erste Wahl. Wird die zweite Option aktiviert, ... (Screenshot: Jörg Thoma)
  • ... erhält man zunächst diese Warnung, die weggeklickt werden kann. Anschließend ... (Screenshot: Jörg Thoma)
  • ... fragt Veracrypt, ob Windows auf dem Startlaufwerk installiert ist. Das kann im Bios festgelegt werden. (Screenshot: Jörg Thoma)
  • Ist Linux auf einem zweiten Datenträger installiert, sollte die zweite Option gewählt werden. (Screenshot: Jörg Thoma)
  • Hier will Veracrypt wissen, ob Linux auf dem gleichen Datenträger installiert ist wie Windows. (Screenshot: Jörg Thoma)
  • Wer zuvor den Linux-Bootloader Grub verschoben hat, verneint die folgende Frage. Sonst bricht ... (Screenshot: Jörg Thoma)
  • ... Veracrypt den Vorgang ab und der Assistent muss erneut gestartet werden. (Screenshot: Jörg Thoma)
  • Anschließend fasst Veracrypt noch die Funktionen seines Bootloaders zusammen. (Screenshot: Jörg Thoma)
  • Jetzt können die Verschlüsselungsoptionen gewählt werden. (Screenshot: Jörg Thoma)
  • Hier kann der PIM festgelegt werden. Je kleiner die Zahl , desto schneller die Ladezeit. Allerdings sollte dann ein starkes und langes Kennwort gewählt werden. (Screenshot: Jörg Thoma)
  • Nach einem Test, der einen Neustart erfordert, beginnt Veracrypt mit der Verschlüsselung. (Screenshot: Jörg Thoma)
  • Die Truecrypt-Entwickler empfehlen den Umstieg auf Bitlocker von Windows. Veracrypt ist aber die bessere Wahl. (Screenshot: Jörg Thoma)
Bei den Hash-Algorithmen hingegen wurde RIPEMD-160 durch ... (Screenshot: Jörg Thoma)

Bei solch hohen Zahlen sinkt die Möglichkeit, ein Kennwort per Bruteforce-Angriff zu ermitteln, zwar deutlich, verzögert aber eben auch das Öffnen verschlüsselter Volumes. Standardmäßig weist Veracrypt mit einem entsprechenden Warnhinweis darauf hin. Beim Start einer verschlüsselten Systempartition können beispielsweise mehrere Sekunden vergehen, bis Windows erscheint.

Starkes Passwort, weniger Iterationen

Wird auf den PIM verzichtet oder dieser auf 0 gesetzt, nutzt Veracrypt die Standardwerte von 500.000 Durchgängen. Der niedrigste PIM-Wert 1 setzt die Iterationen auf 16.000 bei verschlüsselten Partitionen und 2.048 bei Systempartitionen. Entsprechend weist Veracrypt Nutzer darauf hin, in einem solchen Fall ein starkes Passwort zu verwenden. Es sollte mindestens 20 Zeichen lang sein und Sonderzeichen sowie Zahlen enthalten. Zwingend ist das nicht, Veracrypt verlangt lediglich eine Bestätigung des Benutzers, dass er ein solches Passwort eingegeben hat. Bei schwächeren Kennwörtern kann demnach der PIM hochgesetzt werden. Er dient dann als Multiplikator. Bei verschlüsselten Systempartitionen wird er mit 2.048, bei Containern mit 1.000 multipliziert. Anschließend werden weitere 15.000 Iterationen addiert.

 Howto: Windows-Boot-Partitionen mit Veracrypt absichernOptimale Auswahl für optimale Geschwindigkeit 

eye home zur Startseite
rpm-U 06. Apr 2016

Hallo, Ich wuerde Windows komplett deaktivieren, also gar nicht erst installieren, die...

playboxking 12. Feb 2016

http://www.golem.de/news/truecrypt-sicherheitsluecken-in-open-source-verschluesselung...

derdiedas 11. Feb 2016

https://blog.ahmednabeel.com/from-zero-to-system-on-full-disk-encrypted-windows-system...

ap (Golem.de) 08. Feb 2016

Mit einem @golem in der Headline bemerken wir es aber - denn da gibt es eine Mail und...

kazhar 08. Feb 2016

Man sollte alles vermeiden, was eine sicherheitskritische Anwendung komplexer und damit...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. OSRAM GmbH, Garching bei München
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Securiton GmbH Alarm- und Sicherheitssysteme, Achern


Anzeige
Hardware-Angebote
  1. beim Kauf einer GeForce GTX 1070 und GTX 108
  2. (reduzierte Überstände, Restposten & Co.)
  3. 72,44€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Red Star OS

    Sicherheitslücke in Nordkoreas Staats-Linux

  2. Elektroauto

    Porsche will 20.000 Elektrosportwagen pro Jahr verkaufen

  3. TV-Kabelnetz

    Tele Columbus will Marken abschaffen

  4. Barrierefreiheit

    Microsofts KI hilft Blinden in Office

  5. AdvanceTV

    Tele Columbus führt neue Set-Top-Box für 4K vor

  6. Oculus Touch im Test

    Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung

  7. 3D Xpoint

    Intels Optane-SSDs erscheinen nicht mehr 2016

  8. Webprogrammierung

    PHP 7.1 erweitert Nullen und das Nichts

  9. VSS Unity

    Virgin Galactic testet neues Raketenflugzeug

  10. Google, Apple und Mailaccounts

    Zwei-Faktor-Authentifizierung richtig nutzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

Super Mario Bros. (1985): Fahrt ab auf den Bruder!
Super Mario Bros. (1985)
Fahrt ab auf den Bruder!
  1. Quake (1996) Urknall für Mouselook, Mods und moderne 3D-Grafik
  2. NES Classic Mini im Vergleichstest Technischer K.o.-Sieg für die Original-Hardware

HPE: Was The Machine ist und was nicht
HPE
Was The Machine ist und was nicht
  1. IaaS und PaaS Suse bekommt Cloudtechnik von HPE und wird Lieblings-Linux
  2. Memory-Driven Computing HPE zeigt Prototyp von The Machine
  3. Micro Focus HP Enterprise verkauft Software für 2,5 Milliarden Dollar

  1. Re: Nächste Stufe ...

    NukeOperator | 01:35

  2. Re: Selbst schuld, wer das benutzt (kt)

    Cok3.Zer0 | 01:20

  3. Re: Aufgepasst, jetzt machen sich wieder Leute...

    ChristianKG | 01:01

  4. Re: bei der Bahn "in den Laden" gehen kostet 10...

    Cok3.Zer0 | 00:55

  5. Re: "Start.de" gibt es nicht mehr

    ChristianKG | 00:48


  1. 17:25

  2. 17:06

  3. 16:53

  4. 16:15

  5. 16:02

  6. 16:00

  7. 15:00

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel