Abo
  • Services:
Anzeige
Veracrypt ähnelt Truecrypt - doch es gibt einiges zu beachten, gerade wenn man Windows und Linux parallel nutzt.
Veracrypt ähnelt Truecrypt - doch es gibt einiges zu beachten, gerade wenn man Windows und Linux parallel nutzt. (Bild: Screenshot Golem.de)

Mehr Iterationen für mehr Sicherheit

Seit Version 1.12 lässt sich die zusätzliche Sicherungsoption Personal Iterations Multiplier (PIM) verwenden, die Veracrypt implementiert hat. Der Veracrypt-Entwickler hat mit der Einführung des PIM auf eine mögliche Schwachstelle für Bruteforce-Angriffe in Truecrypt reagiert. Die ursprünglich auf 1.000 festgelegte Zahl der Iterationen, die bei der Verwendung des PBKDF2-Algorithmus durchlaufen werden, um aus dem Passwort einen geheimen Schlüssel zu erstellen, wurde erhöht.

Anzeige
  • Die von Truecrypt angebotenen Verschlüsselungsalgorithmen hat ... (Screenshot: Jörg Thoma)
  • ... Veracrypt übernommen, auch wenn sie dort anders ausgeschrieben worden sind. (Screenshot: Jörg Thoma)
  • Bei den Hash-Algorithmen hingegen wurde RIPEMD-160 durch ... (Screenshot: Jörg Thoma)
  • ... SHA-265 ersetzt. Veracrypt kann mit Truecrypt verschlüsselte Container und Partitionen dennoch öffnen. (Screenshot: Jörg Thoma)
  • Mit Truecrypt verschlüsselte Systempartitionen erkennt Veracrypt hingegen nicht. (Screenshot: Jörg Thoma)
  • Sollen sie stattdessen mit Veracrypt verschlüsselt werden, ... (Screenshot: Jörg Thoma)
  • ... müssen sie zunächst mit Truecrypt noch einmal entschlüsselt werden. (Screenshot: Jörg Thoma)
  • Welche Verschlüsselung genutzt werden soll, hängt auch von der gewünschten Arbeitsgeschwindigkeit ab. (Screenshot: Jörg Thoma)
  • Anschließend kann mit der Verschlüsselung unter Veracrypt begonnen werden. (Screenshot: Jörg Thoma)
  • In den meisten Fällen kann hier die Option "Normal" gewählt werden. (Screenshot: Jörg Thoma)
  • In dieser Einstellung sollte die erste Option nur dann gewählt werden, wenn Linux auf dem gleichen Datenträger wie Windows installiert ist. (Screenshot: Jörg Thoma)
  • Verschlüsselte geschützte Bereiche können unter Umständen Probleme bereiten, etwa bei der Wiederherstellung eines Systems. (Screenshot: Jörg Thoma)
  • Ist ausschließlich Windows auf einem Rechner installiert, ist hier die obere Option die erste Wahl. Wird die zweite Option aktiviert, ... (Screenshot: Jörg Thoma)
  • ... erhält man zunächst diese Warnung, die weggeklickt werden kann. Anschließend ... (Screenshot: Jörg Thoma)
  • ... fragt Veracrypt, ob Windows auf dem Startlaufwerk installiert ist. Das kann im Bios festgelegt werden. (Screenshot: Jörg Thoma)
  • Ist Linux auf einem zweiten Datenträger installiert, sollte die zweite Option gewählt werden. (Screenshot: Jörg Thoma)
  • Hier will Veracrypt wissen, ob Linux auf dem gleichen Datenträger installiert ist wie Windows. (Screenshot: Jörg Thoma)
  • Wer zuvor den Linux-Bootloader Grub verschoben hat, verneint die folgende Frage. Sonst bricht ... (Screenshot: Jörg Thoma)
  • ... Veracrypt den Vorgang ab und der Assistent muss erneut gestartet werden. (Screenshot: Jörg Thoma)
  • Anschließend fasst Veracrypt noch die Funktionen seines Bootloaders zusammen. (Screenshot: Jörg Thoma)
  • Jetzt können die Verschlüsselungsoptionen gewählt werden. (Screenshot: Jörg Thoma)
  • Hier kann der PIM festgelegt werden. Je kleiner die Zahl , desto schneller die Ladezeit. Allerdings sollte dann ein starkes und langes Kennwort gewählt werden. (Screenshot: Jörg Thoma)
  • Nach einem Test, der einen Neustart erfordert, beginnt Veracrypt mit der Verschlüsselung. (Screenshot: Jörg Thoma)
  • Die Truecrypt-Entwickler empfehlen den Umstieg auf Bitlocker von Windows. Veracrypt ist aber die bessere Wahl. (Screenshot: Jörg Thoma)
Hier kann der PIM festgelegt werden. Je kleiner die Zahl , desto schneller die Ladezeit. Allerdings sollte dann ein starkes und langes Kennwort gewählt werden. (Screenshot: Jörg Thoma)

Das wirkt sich unmittelbar auf die Geschwindigkeit bei der Erstellung eines verschlüsselten Volumes aus. Je mehr Iterationen es gibt, desto länger dauert die Verschlüsselung. Aber auch das spätere Öffnen eines verschlüsselten Volumes verlangsamt sich mit steigender PIM-Größe. Zu einer deutlichen Verzögerung kommt es auch beim Start einer verschlüsselten Systempartition nach der Eingabe des Kennworts. Zudem muss die zuvor bei der Verschlüsselung gewählte PIM-Zahl eingegeben werden. Somit stellt diese ein zusätzliches Sicherheitsmerkmal dar.

Zu viele Iterationen machen langsam

Je nachdem, welche kryptographische Hash-Funktion verwendet wird, legt Veracrypt die Anzahl der Iterationen fest. Bei dem standardmäßig verwendeten HMAC-RIPEMD-160 sind es bei verschlüsselten Systempartitionen 327.661 Iterationen, bei HMAC-SHA-256 nur 200.000 Iterationen. Bei normalen Partitionen und Containern wurden die Iterationen bei HMAC-RIPEMD-160 auf 655.331 erhöht, bei den Alternativen HMAC-SHA-512, HMAC-SHA-256 und HMAC-Whirlpool liegt die Anzahl der Iterationen bei 500.000.

  • Die von Truecrypt angebotenen Verschlüsselungsalgorithmen hat ... (Screenshot: Jörg Thoma)
  • ... Veracrypt übernommen, auch wenn sie dort anders ausgeschrieben worden sind. (Screenshot: Jörg Thoma)
  • Bei den Hash-Algorithmen hingegen wurde RIPEMD-160 durch ... (Screenshot: Jörg Thoma)
  • ... SHA-265 ersetzt. Veracrypt kann mit Truecrypt verschlüsselte Container und Partitionen dennoch öffnen. (Screenshot: Jörg Thoma)
  • Mit Truecrypt verschlüsselte Systempartitionen erkennt Veracrypt hingegen nicht. (Screenshot: Jörg Thoma)
  • Sollen sie stattdessen mit Veracrypt verschlüsselt werden, ... (Screenshot: Jörg Thoma)
  • ... müssen sie zunächst mit Truecrypt noch einmal entschlüsselt werden. (Screenshot: Jörg Thoma)
  • Welche Verschlüsselung genutzt werden soll, hängt auch von der gewünschten Arbeitsgeschwindigkeit ab. (Screenshot: Jörg Thoma)
  • Anschließend kann mit der Verschlüsselung unter Veracrypt begonnen werden. (Screenshot: Jörg Thoma)
  • In den meisten Fällen kann hier die Option "Normal" gewählt werden. (Screenshot: Jörg Thoma)
  • In dieser Einstellung sollte die erste Option nur dann gewählt werden, wenn Linux auf dem gleichen Datenträger wie Windows installiert ist. (Screenshot: Jörg Thoma)
  • Verschlüsselte geschützte Bereiche können unter Umständen Probleme bereiten, etwa bei der Wiederherstellung eines Systems. (Screenshot: Jörg Thoma)
  • Ist ausschließlich Windows auf einem Rechner installiert, ist hier die obere Option die erste Wahl. Wird die zweite Option aktiviert, ... (Screenshot: Jörg Thoma)
  • ... erhält man zunächst diese Warnung, die weggeklickt werden kann. Anschließend ... (Screenshot: Jörg Thoma)
  • ... fragt Veracrypt, ob Windows auf dem Startlaufwerk installiert ist. Das kann im Bios festgelegt werden. (Screenshot: Jörg Thoma)
  • Ist Linux auf einem zweiten Datenträger installiert, sollte die zweite Option gewählt werden. (Screenshot: Jörg Thoma)
  • Hier will Veracrypt wissen, ob Linux auf dem gleichen Datenträger installiert ist wie Windows. (Screenshot: Jörg Thoma)
  • Wer zuvor den Linux-Bootloader Grub verschoben hat, verneint die folgende Frage. Sonst bricht ... (Screenshot: Jörg Thoma)
  • ... Veracrypt den Vorgang ab und der Assistent muss erneut gestartet werden. (Screenshot: Jörg Thoma)
  • Anschließend fasst Veracrypt noch die Funktionen seines Bootloaders zusammen. (Screenshot: Jörg Thoma)
  • Jetzt können die Verschlüsselungsoptionen gewählt werden. (Screenshot: Jörg Thoma)
  • Hier kann der PIM festgelegt werden. Je kleiner die Zahl , desto schneller die Ladezeit. Allerdings sollte dann ein starkes und langes Kennwort gewählt werden. (Screenshot: Jörg Thoma)
  • Nach einem Test, der einen Neustart erfordert, beginnt Veracrypt mit der Verschlüsselung. (Screenshot: Jörg Thoma)
  • Die Truecrypt-Entwickler empfehlen den Umstieg auf Bitlocker von Windows. Veracrypt ist aber die bessere Wahl. (Screenshot: Jörg Thoma)
Bei den Hash-Algorithmen hingegen wurde RIPEMD-160 durch ... (Screenshot: Jörg Thoma)

Bei solch hohen Zahlen sinkt die Möglichkeit, ein Kennwort per Bruteforce-Angriff zu ermitteln, zwar deutlich, verzögert aber eben auch das Öffnen verschlüsselter Volumes. Standardmäßig weist Veracrypt mit einem entsprechenden Warnhinweis darauf hin. Beim Start einer verschlüsselten Systempartition können beispielsweise mehrere Sekunden vergehen, bis Windows erscheint.

Starkes Passwort, weniger Iterationen

Wird auf den PIM verzichtet oder dieser auf 0 gesetzt, nutzt Veracrypt die Standardwerte von 500.000 Durchgängen. Der niedrigste PIM-Wert 1 setzt die Iterationen auf 16.000 bei verschlüsselten Partitionen und 2.048 bei Systempartitionen. Entsprechend weist Veracrypt Nutzer darauf hin, in einem solchen Fall ein starkes Passwort zu verwenden. Es sollte mindestens 20 Zeichen lang sein und Sonderzeichen sowie Zahlen enthalten. Zwingend ist das nicht, Veracrypt verlangt lediglich eine Bestätigung des Benutzers, dass er ein solches Passwort eingegeben hat. Bei schwächeren Kennwörtern kann demnach der PIM hochgesetzt werden. Er dient dann als Multiplikator. Bei verschlüsselten Systempartitionen wird er mit 2.048, bei Containern mit 1.000 multipliziert. Anschließend werden weitere 15.000 Iterationen addiert.

 Howto: Windows-Boot-Partitionen mit Veracrypt absichernOptimale Auswahl für optimale Geschwindigkeit 

eye home zur Startseite
Apfelbrot 13. Mai 2017

Jaja du bist ein ganz toller Hecht......

playboxking 12. Feb 2016

https://www.golem.de/news/truecrypt-sicherheitsluecken-in-open-source-verschluesselung...

derdiedas 11. Feb 2016

https://blog.ahmednabeel.com/from-zero-to-system-on-full-disk-encrypted-windows-system...

ap (Golem.de) 08. Feb 2016

Mit einem @golem in der Headline bemerken wir es aber - denn da gibt es eine Mail und...

kazhar 08. Feb 2016

Man sollte alles vermeiden, was eine sicherheitskritische Anwendung komplexer und damit...



Anzeige

Stellenmarkt
  1. TUI Cruises GmbH, Hamburg
  2. über Gfeller Consulting & Partner AG, Region Schaffhausen (Schweiz)
  3. Kommunales Rechenzentrum Niederrhein, Kamp-Lintfort
  4. Regierungspräsidium Freiburg, Freiburg


Anzeige
Hardware-Angebote
  1. täglich neue Deals
  2. (Core i5-7600K + Asus GTX 1060 Dual OC)
  3. 17,99€ statt 29,99€

Folgen Sie uns
       


  1. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  2. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  3. Square Enix

    Neustart für das Final Fantasy 7 Remake

  4. Agesa 1006

    Ryzen unterstützt DDR4-4000

  5. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  6. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck

  7. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  8. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  9. Kubic

    Opensuse startet Projekt für Container-Plattform

  10. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Asus B9440 im Test Leichtes Geschäftsnotebook liefert zu wenig Business

  1. Re: Immer noch zu wenige Dienste per IPv6 erreichbar

    Käx | 22:59

  2. Re: E-Auto laden utopisch

    Eheran | 22:52

  3. Besonders traurig:

    __destruct() | 22:49

  4. Re: Niemand hat die Absicht ... (kwt)

    __destruct() | 22:48

  5. Re: "Hass im Netz" klingt nach Zensur für mich

    F4yt | 22:47


  1. 18:08

  2. 17:37

  3. 16:55

  4. 16:46

  5. 16:06

  6. 16:00

  7. 14:21

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel