Supportnet / Forum / WindowsXP
Wie sicher ist WinRAR ???
Frage
Hab mir eine neue WinRAR Version gekauft. Diese enthält ja bekanntlich Verschlüsselung via Passwort. Wie sicher ist diese Verschlüsselung ?
Kann man die nur auf dem Weg des Passwort-Eingebens umgehen oder gibts dafür Hintertüren ? Gibts Alternativen, die für Datenverschlüsselungen besser als WinRAR geeignet sind ?
Antwort 1 von draack
Hi,
soweit ich mich erinnere, gab es in der Verschlüsselung von RAR einen groben Implementierungsfehler - der führte dazu, dass die Verschlüsselung relativ leicht zu knacken war.
Besser für Verschlüsselung ist GnuPG geeignet.
Tschö,
Volker
soweit ich mich erinnere, gab es in der Verschlüsselung von RAR einen groben Implementierungsfehler - der führte dazu, dass die Verschlüsselung relativ leicht zu knacken war.
Besser für Verschlüsselung ist GnuPG geeignet.
Tschö,
Volker
Antwort 2 von fritz_brause
moin
jedes passwort ist so sicher wie du´s machst. das pw Pana Kamanana wäre zb relativ einfach zu knacken. das pw ?$=lG5_Ä!!°%7/][= z.b. schon wieder schwieriger. es kommt also auch auf deine phantasie beim passwort an. denn wie heisst es so schön : there´s only one thing for sure, nothing is sure...
jedes passwort ist so sicher wie du´s machst. das pw Pana Kamanana wäre zb relativ einfach zu knacken. das pw ?$=lG5_Ä!!°%7/][= z.b. schon wieder schwieriger. es kommt also auch auf deine phantasie beim passwort an. denn wie heisst es so schön : there´s only one thing for sure, nothing is sure...
Antwort 3 von Lutz1965
Hallo
das mit dem Passwort ist sehr gut.....besonders wenn man es vergessen hat......und das ist hier sehr oft das Thema...lol
Gruss
Lutz
das mit dem Passwort ist sehr gut.....besonders wenn man es vergessen hat......und das ist hier sehr oft das Thema...lol
Gruss
Lutz
Antwort 4 von draack
Hi,
@fritz_brause: Die Verschlüsselung von GnuPG ist zur Zeit sicher - bei einer entsprechende Schlüssellänge laufen auch Brut-Force Attacken mit Hilfe von Superrechnern der NSA ins Leere. Beweisen lässt sich Sicherheit prinzipbedingt allerdings nicht (nur die Unsicherheit ließe sich beweisen).
Der zum Verschlüsseln verwendete private Schlüssel lässt sich also (zur Zeit) nicht knacken. Das Problem ist die Datei die den privaten Schlüssel enthält - diese wird mit einem Passwort (bei PGP "Mantra" genannt) verschlüsselt. Diese Verschlüsselung ist relativ schwach - deshalb sollte diese Datei auch besonders geschützt sein.
Tschö,
Volker
@fritz_brause: Die Verschlüsselung von GnuPG ist zur Zeit sicher - bei einer entsprechende Schlüssellänge laufen auch Brut-Force Attacken mit Hilfe von Superrechnern der NSA ins Leere. Beweisen lässt sich Sicherheit prinzipbedingt allerdings nicht (nur die Unsicherheit ließe sich beweisen).
Der zum Verschlüsseln verwendete private Schlüssel lässt sich also (zur Zeit) nicht knacken. Das Problem ist die Datei die den privaten Schlüssel enthält - diese wird mit einem Passwort (bei PGP "Mantra" genannt) verschlüsselt. Diese Verschlüsselung ist relativ schwach - deshalb sollte diese Datei auch besonders geschützt sein.
Tschö,
Volker
Antwort 5 von fritz_brause
moin
genau das meinte ich ja, dass man eben kein pw wie z.b. 1234 oder abcd nimmt, sondern sich ein (mehr oder weniger) sicheres auswählen sollte. es macht sich allerdings wohl kaum ein c_racker die mühe die gepackten und mit pw geschützten urlaubsfotos zu knacken.... ;-)
Zitat:
Die Verschlüsselung von GnuPG ist zur Zeit sicher - bei einer entsprechende Schlüssellänge laufen auch Brut-Force Attacken mit Hilfe von Superrechnern der NSA ins Leere.
Die Verschlüsselung von GnuPG ist zur Zeit sicher - bei einer entsprechende Schlüssellänge laufen auch Brut-Force Attacken mit Hilfe von Superrechnern der NSA ins Leere.
genau das meinte ich ja, dass man eben kein pw wie z.b. 1234 oder abcd nimmt, sondern sich ein (mehr oder weniger) sicheres auswählen sollte. es macht sich allerdings wohl kaum ein c_racker die mühe die gepackten und mit pw geschützten urlaubsfotos zu knacken.... ;-)
Antwort 6 von draack
Hi,
@fritz_brause:
Noch einmal: Der von GnuPG zum Ver-/Entschlüsseln und Signieren verwendete private Schlüssel wird in einer mit einem Passwort gesicherten Datei gespeichert. Mit GnuPG verschlüsselten Dateien sind eben nicht mit einem Passwort sondern mit dem öffentlichen Schlüssel verschlüsselt*. Entschlüsseln kann das nur derjenige, der den zum öffentlichen Schlüssel gehörenden privaten Schlüssel besitzt . Dazu brauch er dann die genannte Datei mit dem privaten Schlüssel - und das Passwort (für PGP: "Mantra").
Zusammengefaßt: Ohne die Datei mit dem privaten Schlüssel ist ein Entschlüsseln (zur Zeit) unmöglich. Falls aber jemand die Datei mit dem privaten Schlüssel hat, lässt sich über eine Brute-Force-Attacke (oder eine Schwachstelle der Implementierung) in relativ kurzer Zeit der private Schlüssel aus dieser Datei bestimmern.
Tschö,
Volker
* das ist etwas vereinfacht dargestellt. In Wirklichkeit wird mit dem öffentlichen Schlüssel aus Performanz- und anderen Gründen der Schlüssel eines symmetrischen Algorithmus verschlüsselt ... aber das führt jetzt zu weit.
@fritz_brause:
Noch einmal: Der von GnuPG zum Ver-/Entschlüsseln und Signieren verwendete private Schlüssel wird in einer mit einem Passwort gesicherten Datei gespeichert. Mit GnuPG verschlüsselten Dateien sind eben nicht mit einem Passwort sondern mit dem öffentlichen Schlüssel verschlüsselt*. Entschlüsseln kann das nur derjenige, der den zum öffentlichen Schlüssel gehörenden privaten Schlüssel besitzt . Dazu brauch er dann die genannte Datei mit dem privaten Schlüssel - und das Passwort (für PGP: "Mantra").
Zusammengefaßt: Ohne die Datei mit dem privaten Schlüssel ist ein Entschlüsseln (zur Zeit) unmöglich. Falls aber jemand die Datei mit dem privaten Schlüssel hat, lässt sich über eine Brute-Force-Attacke (oder eine Schwachstelle der Implementierung) in relativ kurzer Zeit der private Schlüssel aus dieser Datei bestimmern.
Tschö,
Volker
* das ist etwas vereinfacht dargestellt. In Wirklichkeit wird mit dem öffentlichen Schlüssel aus Performanz- und anderen Gründen der Schlüssel eines symmetrischen Algorithmus verschlüsselt ... aber das führt jetzt zu weit.
Antwort 7 von fritz_brause
moin
mein post bezog sich eigentlich nur auf die "schlüssellänge" bei winrar, nicht auf gnupg und meinte damit eben nur, dass, wenn man sich ein pw aussucht, es möglichst "einfallsreich" sein sollte....
mein post bezog sich eigentlich nur auf die "schlüssellänge" bei winrar, nicht auf gnupg und meinte damit eben nur, dass, wenn man sich ein pw aussucht, es möglichst "einfallsreich" sein sollte....
Antwort 8 von Pana Kamanana
Na toll, heißt das, dass WinRAR nicht so sicher ist, wie ich dachte ? Wie sieht es mit WinZIP aus ? Ist das sicherer ?
Am liebsten wär mir ein Programm, das alle Files in eine Datei steckt und mit einem Schlüssel belegt, ohne dass ich mich um öffentliche oder private Schlüssel kümmern muss.
Am liebsten wär mir ein Programm, das alle Files in eine Datei steckt und mit einem Schlüssel belegt, ohne dass ich mich um öffentliche oder private Schlüssel kümmern muss.
Antwort 9 von draack
Hi,
die einfachste Möglichkeit für dich wäre, die MS Windows XP eigene Verschlüsselung zu verwenden - die gibt es aber erst mit der Professional Version.
Bei der Verschlüsselung mit Hilfe von WinZIP und WinRAR bist du immer dem Softwarehersteller ausgeliefert - bei beiden Programmen sind schon Fehler in der Implementierung der Verschlüsselung aufgetreten. Soweit ich weiss, verwendet aber WinRAR seit Version3 den AES-Algorithmus - der ist (z.Zt.) sicher - allerdings kann ich nicht vorhersagen ober Herr Roschal nicht wieder einen Fehler bei der Implementierung gemacht hat - oder ob du als Passwort nicht "geheim" oder "passwort" benutzt ....
Du musst schon selber abwägen - wenn es nur darum geht, die Nacktbilder deiner Frau ;) vor den Blicken deiner Kinder zu verstecken - pffft! Wenn du allerdings geheime Unterlagen über das Internet weiterleiten willst, würde ich dir dringend zu der Benutzung von GnuPG raten.
Tschö,
Volker
P.S.: Die weitaus meisten Sicherheitsbrüche passieren übrigens nicht durch Fehler eines Algorithmus oder seiner Implementierung sondern durch menschliches Versagen bei der Anwendung.
die einfachste Möglichkeit für dich wäre, die MS Windows XP eigene Verschlüsselung zu verwenden - die gibt es aber erst mit der Professional Version.
Bei der Verschlüsselung mit Hilfe von WinZIP und WinRAR bist du immer dem Softwarehersteller ausgeliefert - bei beiden Programmen sind schon Fehler in der Implementierung der Verschlüsselung aufgetreten. Soweit ich weiss, verwendet aber WinRAR seit Version3 den AES-Algorithmus - der ist (z.Zt.) sicher - allerdings kann ich nicht vorhersagen ober Herr Roschal nicht wieder einen Fehler bei der Implementierung gemacht hat - oder ob du als Passwort nicht "geheim" oder "passwort" benutzt ....
Du musst schon selber abwägen - wenn es nur darum geht, die Nacktbilder deiner Frau ;) vor den Blicken deiner Kinder zu verstecken - pffft! Wenn du allerdings geheime Unterlagen über das Internet weiterleiten willst, würde ich dir dringend zu der Benutzung von GnuPG raten.
Tschö,
Volker
P.S.: Die weitaus meisten Sicherheitsbrüche passieren übrigens nicht durch Fehler eines Algorithmus oder seiner Implementierung sondern durch menschliches Versagen bei der Anwendung.