Welcher TrueCrypt-Algorithmus ist der sicherste?

83

Wenn die Leistung keine Rolle spielt, welcher TrueCrypt-Algorithmus ist der sicherste?

  • AES
  • Schlange
  • Triple DES
  • Zwei Fische
  • AES-Twofish
  • AES-Twofish-Serpent
  • Serpent-AES
  • Serpent-Twofish-AES
  • Twofish-Serpent
Amir Rezaei
quelle
13
Sie sind alle sicher, sonst wären sie nicht im Produkt. Verwenden Sie jedoch AES, da dies der Standard ist.
Ian Boyd
13
Ich würde sagen, es sei denn, es gibt eine Regierungsbehörde nach Ihnen, die Qualität Ihres Passworts ist eher ein Problem als der Verschlüsselungsalgorithmus.
Col
3
Das ist so komisch; Ich hätte schwören können, dass der Titel fragt, welcher der schnellste ist . ಠ_ ఠ
Synetech

Antworten:

37

Dies sind die Ergebnisse der Abstimmung in der Endrunde des AES-Wettbewerbs:

Rijndael 86-10 = 76
Serpent 59-7   = 52
Twofish 31-21 = 10
RC6 23-37 = -14
MARS 13-83 = -70 

( Http://csrc.nist.gov/archive/aes/round2/comments/20000523-msmid-2.pdf , verknüpft über truecrypt Schlange , gelesen , dass man als auch).

Aus verschiedenen Gründen wurde Rijndael zu AES, dem Nachfolger von DES (und 3DES).

und, nur weil es heute auf news.ycombinator.com aufgetaucht ist, die Geschichte von AES:

http://www.moserware.com/2009/09/stick-figure-guide-to-advanced.html

Akira
quelle
62

Bei Verwendung von TrueCrypt 7.0a ist die sicherste Verschlüsselungsmethode: Verwenden Sie die kaskadierende AES-Twofish-Serpent-Verschlüsselung mit der XTS-Methode. Verwenden Sie den Whirlpool-Hash-Algorithmus. (SHA-512 ist hier ein sehr enger 2. Platz ... es ist umstritten ... Ich neige zu Whirlpool, weil SHA-512 bereits einen Nachfolger hat, der aufgrund der Befürchtungen, dass er auf einem älteren SHA-1 basiert, entwickelt wurde wurde kompromittiert.) Das Wichtigste ist, ein SEHR sicheres Passwort zu verwenden. 20 bis 30 Zeichen, Großbuchstaben, Kleinbuchstaben, Zahlen, Symbole. Verwenden Sie die Online-Kennwortprüfung von Microsoft für einen Festigkeitstest. Sie können auch Schlüsseldateien verwenden, um Ihr Kennwort weiter zu sichern.

Ich empfehle die AES-Twofish-Serpent gegenüber der Serpent-Twofish-AES, da die äußerste Verschlüsselung (AES wird die erste Schicht sein, die sie brechen müssen) der Standard in der Branche sein soll. Dieser ist der am meisten erprobte und geprüfte von allen. Wenn jemand davon ausgeht, dass eine Datei mit AES verschlüsselt ist, gibt es keine Möglichkeit zu erkennen, dass diese dann mit Twofish verschlüsselt ist. Sie tun also alles, um die AES zu brechen, und stellen dann fest, dass Twofish ihnen jetzt im Weg steht. Und dann stoßen sie nach Twofish wieder auf Serpent, das größte Tier von allen (obwohl es weniger benutzt / getestet als AES ist, hat es immer noch einen viel höheren Sicherheitsspielraum als AES).

Wenn Sie Schlüsseldateien verwenden, würde ich empfehlen, dass TrueCrypt drei Schlüsseldateien für Sie erstellt. Erstellen Sie eine Schlüsseldatei für jeden bereitgestellten Hash-Algorithmus. Sie können auch einige JPG- und MP3-Dateien hinzufügen. Ich würde jedoch sicherstellen, dass jede Schlüsseldatei schreibgeschützt ist.

Dies ist wahrscheinlich übertrieben.

Charles Hepburn II
quelle
2
Sie sagen, verwenden Sie 20-30 Zeichen, aber ist das nicht übertrieben? Sogar 10 Kleinbuchstaben wären 26 ^ 10 = 141.167.095.653.376 Kombinationen (4 Millionen Jahre bei einer Prüfung pro Sekunde). Sicher mehr als gut genug?
Dan W
12
@Dan W: Bei einem Scheck pro Sekunde, sicher. Doch obwohl Hashing Methoden variieren viel in der Leistung, Consumer-Hardware kommt viel näher an Milliarden von Passwörtern pro Sekunde zu testen. Ihr zehnstelliges Kennwort in Kleinbuchstaben würde in wenigen Stunden geknackt.
Marcks Thomas
7
Ihre Begründung für die Kaskadenreihenfolge ergibt keinen Sinn. Ein Angreifer muss jede Ebene durchbrechen (jede mit einem unabhängigen Schlüssel), unabhängig davon, ob AES die erste oder letzte ist.
JJLIN
15

Die kaskadierten Chiffren (AES-Twofish-Serpent usw.) sollten am sichersten sein. Ihre Daten werden mit einem Algorithmus verschlüsselt, und die Ausgabe davon wird mit dem zweiten Algorithmus verschlüsselt, dessen Ausgabe mit dem dritten Algorithmus verschlüsselt wird. Gemäß der TrueCrypt-Dokumentation verwendet jeder Algorithmus einen anderen Schlüssel, der von Ihrer Passphrase abgeleitet ist.

Wenn in einem (oder zwei) dieser Chiffren eine Sicherheitslücke gefunden wird, sollten Ihre Daten immer noch sicher sein, da ein Angreifer die verbleibenden Chiffren immer noch nicht knacken kann.

Chris Acheson
quelle
8
Ich möchte hinzufügen, dass Serpent, wenn nur eine Chiffre ausgewählt wird, wahrscheinlich die sicherste ist, aber deutlich langsamer als AES (beachten Sie, dass die Auswahl des Advanced Encryption Standard durch die Regierung nicht nur die Sicherheit betrifft).
bwDraco
5

Entweder AES-Twofish-Serpent oder Serpent-Twofish-AES. Eine regelmäßige AES ist jedoch ausreichend.

Fantius
quelle
5

Rijndael gewann den AES-Wettbewerb in erster Linie, weil es am schnellsten und am einfachsten in Hardware zu implementieren ist, nicht weil es am "sichersten" ist. Twofish und Serpent gelten normalerweise als sicherer, aber da sie alle extrem solide sind, ist das eine sehr subjektive Behauptung. Und natürlich ist die Verschlüsselung mit mehreren Algorithmen noch "sicherer" , verringert aber die Geschwindigkeit noch weiter.

Auch hier sind sie alle sehr solide, daher würde ich raten, nur das zu wählen, was auf Ihrem Computer am schnellsten ist (normalerweise AES).

BlueRaja - Danny Pflughoeft
quelle
1

Ich habe gelesen, dass Verkettungsalgorithmen aufgrund des Algorithmus, der verwendet wird, um aufeinander zu folgen, zu einer geringeren Sicherheit führen können.

Darüber hinaus sind Effizienz und Geschwindigkeit von großer Bedeutung, wenn Sie einen der kombinierten Chiffren verwenden.

Ich würde Rijndael (AES) oder Serpent empfehlen, und wenn Sie sicher sein möchten: Das wichtigste Element ist der Schlüssel. Erstellen Sie also einen sehr langen Schlüssel mit mindestens einem Satz aus Groß- und Kleinbuchstaben, Zahlen und Symbolzeichen.

Funkotron
quelle
1

Obwohl die Kaskadierung mehrerer Chiffren einige Gefahren birgt, scheint Truecrypt mit ihnen so gut wie möglich umzugehen. Es werden keine bekannten Klartexte zur Ausgabe der ersten Chiffre hinzugefügt, und es werden jeweils unabhängige Schlüssel verwendet, sodass durch Verketten der verschiedenen Algorithmen die Sicherheit erhöht werden sollte.

3DES würde ich allerdings meiden. Nachdem Sie die Truecrypt-Seite gelesen haben, auf der die Auswahlmöglichkeiten des Algorithmus aufgeführt sind, werden nicht einmal drei DES aufgelistet, sodass sie möglicherweise kürzlich entfernt wurden.

pipTheGeek
quelle
3
Weitere Informationen zu
Tiago,
Eine Hauptverantwortung von 3DES wäre, dass es im Vergleich zu moderneren Chiffren schmerzhaft langsam ist und im besten Fall eine ähnliche Sicherheit bietet. (Mit 3DES erreichen Sie 112 Bit Sicherheit, da Sie sich in der Mitte der Angriffe treffen. Mit AES-128 erreichen Sie derzeit fast 128 Bit Sicherheit bei einem viel besseren Durchsatz.) Außerdem bietet DES die Verwendung von 64-Bit-Blöcken Haftung wegen der begrenzten Verbreitung möglich mit kleineren Blöcken.
ein Lebenslauf vom
0

Sie können möglicherweise ein kürzeres Kennwort verwenden, wenn Sie Schlüsseldateien verwenden und sich keine Sorgen über Leistungseinbußen machen. Wenn Sie mit AES Twofish und Serpent arbeiten, wird dies denjenigen Kopfschmerzen bereiten, die versuchen, in das verschlüsselte Material einzudringen. Aber übersehen Sie auch nicht, dass Sie auch eine verschlüsselte Datei nehmen und innerhalb einer größeren verschlüsselten Datei ablegen können. Auf diese Weise können Sie Ihren Angreifern erlauben, auf den äußeren Container zu schauen und sie glauben zu lassen, dass sie den gesamten Container haben. Tatsächlich haben sie überhaupt nichts. Sie können auch etwas Schattiges in die externe Datei einfügen, aber nichts, was Ihnen Probleme bereiten würde. Ich denke, eine Menge pornografischer Fotos würde gut zu dieser Rechnung passen. Hier ist etwas, das jemand verbergen möchte, und als solches hast du einen guten Grund. Der Außenbehälter lässt nicht erkennen, dass der Innenbehälter überhaupt vorhanden ist. Legen Sie Ihr eigentliches Material in den Innenbehälter. Noch besser ist es, den externen Container mit einem unzureichenden Kennwort und ohne Schlüsseldatei "schwach" zu machen. Lassen Sie Ihre Angreifer denken, sie hätten Ihre Verschlüsselung gebrochen, zucken mit den Schultern und sagen: "Verdammt, Sie sind gut, Sie haben mich für die Rechte tot."

Gene Abshire
quelle
0

Beste öffentliche Kryptoanalyse für jede, unter der Annahme von 256-Bit-Varianten (höhere Zeitkomplexität ist besser, aber alle Arten von Vorbehalten):

  • Rijndael: 2 ^ 254.4 Zeitkomplexität (ignoriert verwandte Schlüsselangriffe, die hier nicht zur Debatte stehen würden)
  • Schlange: 12 Runden mit 32, 2 ^ 228,8-facher Komplexität (erfordert jedoch 2 ^ 118 bekannte Klartexte)
  • Twofish: 6 Runden à 16 (erfordert jedoch 2 ^ 51 ausgewählte Klartexte)
  • 3DES: 2 ^ 118 (mit 2 ^ 32 bekannten Klartexten; beachten Sie, dass 3DES 168 Bit verwendet, sodass die Brute Force 2 ^ 168 anstelle von 2 ^ 256 ist)

Zweifellos ist 3DES am wenigsten sicher, aber das macht es nicht unbedingt unsicher (abgesehen von den üblichen unveröffentlichten Problemen mit Hintertüren). Ich würde es jedoch vermeiden. Alle anderen Algorithmen gelten im Allgemeinen als sicher. Um das Vorhandensein einer absichtlich platzierten Hintertür in einer von ihnen festzustellen, muss Snowden wahrscheinlich mehr Dokumente freigeben. Und ehrlich gesagt, wenn eine der Top 3 eine Hintertür hätte, wäre das eine absolute Bombenentdeckung. Angesichts seiner Erfolgsbilanz bin ich persönlich froh, davon ausgehen zu können, dass sie immer noch sicher sind.

Bob Aman
quelle
3DES mit drei unabhängigen Schlüsseln (168 Bit Schlüsselmaterial) ist anfällig für einen Meet-in-the-Middle-Angriff. Dies bedeutet, dass die effektive Sicherheit die eines 112-Bit-Schlüssels ist. en.wikipedia.org/wiki/Triple_DES#Security
ein Lebenslauf vom
0

Im Jahr 2001 startete das Nationale Institut für Standards und Technologie (NIST) den Advanced Encryption Standard (AES) und setzte fünf Kandidaten (über mehrere Kandidatenkonferenzen) mit entgegengesetzten Algorithmen in die engere Wahl, um den Standard darzustellen. Die Serpent-Chiffre war eine von ihnen, die Hochsicherheits-Kudus einbrachte, aber schließlich Vizemeister der Rijndael-Chiffre wurde. Während dies vor einigen Jahren stattfand, bietet es einen faszinierenden Einblick in die elektronische Datenverschlüsselung und die Kompromisse zwischen Leistung und Sicherheit. Interessanterweise gewann die Leistung!

Im Vergleich zu den anderen fünf Kandidaten hatte die Serpent-Chiffre den höchsten Sicherheitsfaktor 3,56, was angesichts der Tatsache, dass die zweitbeste die Twofish-Chiffre mit einem Sicherheitsfaktor von 2,67 war, ziemlich gut war. Rijndael-256 hatte einen Sicherheitsfaktor von 1,56

https://www.100tb.com/blog/security-performance-serpent-cipher-rijndael/

https://veracrypt.codeplex.com/wikipage?title=Serpent

Skan
quelle
-1

Da es keine bekannten Angriffe gegen AES gibt, die das Brute-Forcing möglich machen (siehe https://en.wikipedia.org/wiki/Advanced_Encryption_Standard#Known_attacks ), es sei denn, Sie erwarten, dass 3-Letter-Agenturen ihre gesamte Rechenleistung für die nächsten einsetzen AES ist der richtige Weg, um Ihr Laufwerk zu knacken. Die letzte Version von TrueCrypt sowie die Gabeln unterstützen AES-NI, die auf meinem Core i7 3770 einen Durchsatz von über 2,5 GB / s liefern.

Ihre Verbindung mit der von dieser Domain angekündigten IP-Adresse verwendet bei den meisten Browsern AES-Verschlüsselung (obwohl CloudFlare den von Ihrem Browser angezeigten Schlüssel enthält und Ihre Daten entschlüsselt und erneut verschlüsselt, bevor Sie sie an die StackExchange-Server senden. Verwenden Sie daher nicht TrueCrypt / VeraCrypt / CipherShed-Passwort für Ihr StackExchange-Passwort, denn wenn die 3-Buchstaben-Agenturen Ihr Laufwerk knacken würden, würden sie Ihr Passwort am CloudFlare-Proxy abfangen und dies zuerst versuchen, lange bevor Sie versuchen, die Brute Force zu erreichen, die niemals zur Arbeit geht.

Wilhelm
quelle
-2

Ich empfehle, dass Sie den Whirlpool-Hash mit diesen Algorithmen verwenden, da er der stärkste ist.

Für Verschlüsselungsalgorithmen sollten Sie eine Kaskade verwenden. Ich empfehle AES, Twofish, Serpent. AES ist ziemlich schwach (im Vergleich zu anderen Algorithmen, ist aber am schnellsten) und stellt den Industriestandard dar. Daher wird es als äußere Schicht wirksam sein. Twofish ist noch stärker und nach dem Entschlüsseln der AES-Ebene gibt es eine weitere Ebene (Twofish), die noch stärker ist. Schlange ist die stärkste und diese Kaskade erweist sich als effektiv.

Einige zusätzliche Informationen: Für Passwörter verfügt die NSA über einen Quantencomputer, der sehr schnell entschlüsselt werden kann. Ich würde der NSA nicht vertrauen (sie hat AES entworfen). Ich würde mindestens 40 Buchstaben, Klein- und Großbuchstaben, Zahlen, Symbole und keine Wörter oder persönlichen Informationen (Geburtsdaten usw.) empfehlen, und Sie könnten Schlüsseldateien verwenden. Wenn Sie dem Risiko eines Gegners ausgesetzt sind, verwenden Sie die in TrueCrypt integrierten plausiblen Deniability-Funktionen.

UndefeatedWarrior786
quelle
Es sind keine Quantum Computing-Angriffe auf AES bekannt. Quantencomputer sind nicht schneller als unsere Binärcomputer. Sie sind nur unterschiedlich.
Mark Lopez
NSA hat AES nicht entworfen. AES wurde von einem Paar belgischer Kryptographen unter dem Namen Rijndael entworfen, von Kryptographen weltweit während des NIST AES-Wettbewerbs überprüft (und intensiv bearbeitet) und von NIST als AES standardisiert, nachdem es den Wettbewerb anhand einer Reihe sehr bekannter Kriterien gewonnen hatte . Wenn Sie sich mit Zinnfolienhüten beschäftigen, machen Sie bitte zumindest Ihre Fakten richtig. Außerdem hat AES überhaupt nichts mit Passwörtern zu tun.
ein Lebenslauf vom
Was plausible Deniability angeht , gibt es ein überzeugendes Argument, warum dies in der Praxis in den Linux Cryptsetup-FAQ , Abschnitt 5.18 "Was ist mit Plausible Deniability?", Nicht funktioniert. Dies wird auch in Abschnitt 5.2 "Ist LUKS unsicher? Jeder kann sehen, dass ich Daten verschlüsselt habe!" In gewisser Hinsicht handelt es sich um eine Variante von xkcd.com/538 (yay, eine legitime Verwendung für einen xkcd-Link).
ein Lebenslauf vom
-2

AES

Rijndael (derzeit THE AES) ist der beste Algorithmus.

Von https://crypto.stackexchange.com/questions/24307/why-is-aes-unbreakable :

Erstens wird nicht behauptet, dass AES unzerbrechlich ist, sondern dass keiner der derzeit bekannten Angriffe die Rechenkosten so weit senkt, dass sie machbar sind. Der derzeit beste Angriff auf AES-128 erfordert 2 ^ 126.1 Operationen. Wenn ein Computer (oder Cluster) mehrere Millionen Mal effizienter wäre als ein aktueller Computer und an der thermodynamischen Grenze von Landauer arbeiten könnte, wären 234 Petajoule erforderlich, um a zu erhöhen Zähler durch jeden Schlüsselwert. Das ist ungefähr die Hälfte des jährlichen Stromverbrauchs Norwegens. Das Berechnen einer AES-Runde erfordert ein Vielfaches an Energie.

Zwei Fische

Aus Wikipedia :

Twofish ist eine symmetrische Schlüsselblockverschlüsselung mit einer Blockgröße von 128 Bit und einer Schlüsselgröße von bis zu 256 Bit. Es war einer der fünf Finalisten des Advanced Encryption Standard-Wettbewerbs, wurde jedoch nicht für die Standardisierung ausgewählt. Twofish ist mit der früheren Blockchiffre Blowfish verwandt.

Die besonderen Merkmale von Twofish sind die Verwendung von vorberechneten, schlüsselabhängigen S-Boxen und ein relativ komplexer Schlüsselplan. Eine Hälfte eines n-Bit-Schlüssels wird als eigentlicher Verschlüsselungsschlüssel verwendet, und die andere Hälfte des n-Bit-Schlüssels wird zum Ändern des Verschlüsselungsalgorithmus (schlüsselabhängige S-Boxen) verwendet. Twofish leiht einige Elemente aus anderen Designs; Zum Beispiel die Pseudo-Hadamard-Transformation (PHT) aus der SAFER-Chiffrenfamilie. Twofish hat eine Feistel-Struktur wie DES. Twofish verwendet auch eine Maximum Distance Separable-Matrix.

Auf den meisten Softwareplattformen war Twofish für 128-Bit-Schlüssel etwas langsamer als Rijndael (der gewählte Algorithmus für Advanced Encryption Standard), für 256-Bit-Schlüssel ist es jedoch etwas schneller.

Schlange

Aus Wikipedia :

Serpent ist eine symmetrische Schlüsselblock-Chiffre, die als Finalist im AES-Wettbewerb (Advanced Encryption Standard) an zweiter Stelle nach Rijndael stand. Serpent wurde von Ross Anderson, Eli Biham und Lars Knudsen entworfen.

Wie andere AES-Beiträge hat Serpent eine Blockgröße von 128 Bit und unterstützt eine Schlüsselgröße von 128, 192 oder 256 Bit. [2] Die Chiffre ist ein 32-Runden-Substitutions-Permutations-Netzwerk, das mit einem Block von vier 32-Bit-Wörtern arbeitet. Jede Runde wendet 32-mal parallel eine von acht 4-Bit- bis 4-Bit-S-Boxen an. Serpent wurde so konzipiert, dass alle Operationen mit 32-Bit-Slices parallel ausgeführt werden können. Dies maximiert die Parallelität, ermöglicht jedoch auch die Verwendung der umfangreichen Kryptoanalyse-Arbeit, die an DES ausgeführt wird.

Serpent verfolgte einen konservativen Sicherheitsansatz und entschied sich für einen großen Sicherheitsspielraum: Die Designer erachteten 16 Runden als ausreichend für bekannte Angriffsarten, gaben jedoch 32 Runden als Versicherung gegen zukünftige Entdeckungen in der Kryptoanalyse an. Der offizielle NIST-Bericht zum AES-Wettbewerb stufte Serpent zusammen mit MARS und Twofish als mit einem hohen Sicherheitsspielraum ein, im Gegensatz zum angemessenen Sicherheitsspielraum von RC6 und Rijndael (derzeit AES). Bei der Endabstimmung hatte Serpent die geringste Anzahl negativer Stimmen unter den Finalisten, belegte aber insgesamt den zweiten Platz, da Rijndael wesentlich positivere Stimmen hatte. Ausschlaggebend dafür war, dass Rijndael eine weitaus effizientere Softwareimplementierung ermöglichte.

SHA ist viel besser als MDA, Whirpool usw. Aber sie haben einen Weg gefunden, SHA zu brechen. Da kommt es SHA-2 (HMAC). Wieder fanden sie einen Weg, es zu brechen. Da kommt SHA-3 (Kakee oder so). Aber in TrueCrypt, VeraCrypt, CipherShed oder TrueCryptNext gibt es kein SHA-3 ;-)

AES-Twofish-Serpent + SHA-512 = BESTER ALGORITHMUS UND HASCHE AN TrueCrypt UND ANDERE.

Gigabyte
quelle
-3

Nach einer kurzen Suche würde ich sagen AES 256 bits.

Ich würde Triple AES und Triple Blowfish vermeiden. Das mehrmalige Ausführen desselben Algorithmus kann zu einer geringeren Sicherheit führen als das einmalige Verwenden des ursprünglichen Algorithmus.

Quelle

Gulbrandr
quelle
1
Scheint als Spekulation zu gelten, aber Triple DES wird sicherlich durch die Mehrfachdurchläufe verbessert. (Es sei denn, der Designer der zugrunde liegenden Implementierung macht einen Fehler und führt "EK2 (DK1 (EK1 (Klartext))" aus, wie es Simon Singh in seiner Chiffre-Herausforderung tat: P)
RJFalconer
5
1) Ihre Quelle ist ein Witz. Ein zufälliger Forumsbeitrag. 2) Es gibt keinen Grund zu der Annahme, dass eine dreifache Verschlüsselung mit verschiedenen Schlüsseln die Verschlüsselung schwächt.
CodesInChaos