Wie ich höre war die Crypto-Party recht erfolgreich. Da ich leider nicht kommen konnte: wie war es denn? Was habt ihr alles behandelt?
- Das typische GPG mit Schlüsselaustausch vor Ort.
- Tor und NSA-Dinge.
2 „Gefällt mir“
Danke allen Teilnehmern, wenn ihr Kritik/Feedback habt immer her damit 
Es hat mich gefreut, dass es diesmal einer meiner Wunschpunkte auf die Tagesordnung geschafft hat. Auch die gerührte Werbetrommel scheint ihre Wirkung nicht verfehlt zu haben, was die Existenz des Bedarfs nach Cryptoparties hinreichend dargelegt haben dürfte.
Als Anmerkung fürs nächste Mal verweise ich auf den bereits das letzte mal geäußerten Wunsch “Softwarebasierte FDE”.
Alles in allem kann man sagen ein gelungener Nachmittag/Abend und ich danke fürs erneute Organisieren. 
Unter Linux ist das recht klar (LUKS), unter Windows aktuell ein Problem, nachdem TrueCrypt nicht mehr weiter entwickelt wird. Mindestens ein Teilnehmer wollte auch darüber reden, aber da das aktuell etwas schwer ist, wurde da nicht viel draus. Wenn du da mehr weißt bitte posten.
Ich weiß da momentan nur soviel, wie auf Heise zu lesen ist. Irgend ein neues Projekt bahnte sich da an, das wohl einen Großteil des TrueCrypt-Codes (abgewandelt) übernommen habe, allerdings soweit ich weiß noch etwas braucht, bis es nutzbar sein wird.
Vorallem wenn man Systemübergreifend verschlüsseln möchte bleiben momentan vermutlich nur ältere TrueCrypt-Versionen.
Projekte die auf dem TrueCrypt Source aufbauen sind leider allein wegen der Lizenz problematisch. Der Source wurde bei TrueCrypt wohl veröffentlicht um die Software überprüfbar zu machen, den Kriterien für Freie Software genügt das Ganze aber nicht. Die zum Schluss geänderte Lizenz behebt auch nicht alle dieser Probleme und bezieht sich auch AFAIK nur auf die read-only-Version von TrueCrypt.
Daher auch explizit “abgewandelt”.
Die offizielle Begründung von TrueCrypt für das Ausbleiben der Lizenz-Anpassung war soetwas wie: Wir wollten den Code ohnehin komplett überarbeiten, schreibt das daher mal lieber gleich from the scratch, dabei dürft ihr unseren Code allerdings als Inspiration nutzen.
Die Frage ist halt, in wie weit “abgewandelt übernommen” noch im Rahmen von “als Inspiration nehmen” liegt. Hast du eine URL zum einem konkreten Projekt?
DiskCryptor kann scheinbar auch die Windows-Systempartition cryptorn.
Oder man nutzt direkt Bitlocker, weils auch schon egal ist, wenn man Windows nutzt
Ja eben, warum denn eigentlich nicht? Ernst gemeinte Frage – gibts bekannte Sicherheitsrisiken bei Bitlocker? Oder gehts einfach nur darum, dass Microsoft eine Backdoor in dem Code haben könnte? In dem Fall würde aber FileVault 2 auf OS X genauso ausscheiden, und dort gibts meines Wissens sonst gar nichts, was die Systempartition verschlüsseln kann.
Wer Windows zwar braucht, aber nicht unbedingt als Hauptsystem, der kann ja Linux mit LUKS einsetzen und Windows in eine VM packen.
Wenn man keine Angst davor hat, etwas tiefer in die Materie einzusteigen und einen Rechner mit AES-NI und VT-d bzw. IOMMU hat, ist vielleicht TreVisor vom LS1 eine Lösung. (Hab ich nicht ausprobiert.)
Wer Grafikpower braucht und keine Angst vor Schmerzen hat, kann auch folgendes probieren:
Eine Linux Installation mit LUKS + Windows in einer KVM- oder Xen-VM, und die Grafikkarte an die VM durchreichen. Dazu braucht man ebenfalls VT-d bzw. eine IOMMU, d.h. Chipsatz, CPU und Grafikkarte (sowie ggf. die Treiber) müssen dafür geeignet sein. Das Ganze hab ich schonmal mit Xen + onboard Grafik hinbekommen, mit meiner GeForce GTX 560 Ti und KVM wollte mir das gestern in stundenlangen Versuchen allerdings nicht gelingen. Letztendlich läuft diese Lösung fast immer auf ganz viel hässliches Gebastel, seltsame Patches und viel Haareraufen hinaus
Selbst wenn eine (‚unbekannte‘) Backdoor drinnen waere muss man sich die Frage stellen vor was man sich mit der Verschluesselung denn schuetzen
moechte.
Wenns nur der Schutz der Daten im Falle von Diebstahl oder sonstigem Verlust ist (das war meine Intention; nein kein Windows 
), dann langt das
wohl vollkommen aus.
Falls es jemand wirklich auf die Daten abgesehn hat ist der Ansatz sowieso eher nicht die Crypto technisch anzugreifen, sondern eher etwas
„aussenrum“: Dich beim Eintippen des Passwords beobachten, oder evtl irgendeine „Schadsoftware“ per Softwarebug oder Updatesystem hust zu installieren
(je nach Moeglichkeit).
Und das ganze mal noch andersrum: Angenommen du nutzt irgendeine andre Cryptosoftware, dann bist du ja trotzdem nicht vor MS-Backdoors geschuetzt,
die koennen ja ‚ueberall‘ sein.
Der Ansatz ist aber halt auch nur fuer Leute, die sowieso wissen was sie machen - fuer den „Normaluser“ ist das nichts.
1 „Gefällt mir“
Nein, das ist falsch. Mit den ueblichen Endbenutzerdistributionen ist LUKS-Benutzen leicht, einfach einen extra Haken bei der Installation machen und ein Passwort setzen. Wirklich was davon verstehen muss man da nicht.
Ein grosser Teil des Problems ist finde ich, dass Normalbenutzern eingeredet wird irgendwas sinnvolles sei fuer sie zu kompliziert.
Die meisten mir bekannten Normalbenutzer trauen sich selbst noch nicht mal zu alleine eine Windows-Installation durchzufuehren.
Ich kann mir nicht vorstellen, dass da jemand auch nur auf die Idee kommen wuerde eine verschluesselte Linuxinstallation aufzusetzen
um da dann ein Windows in einer VM laufen zu lassen.
Wenn mans natuerlich fertig einrichtet, dann stellt es wahrscheinlich kein allzu grosses Problem dar, das System dann auch zu nutzen
(so kommt mein Dad auch mit Linux zurecht; alleine haette er es wohl nie probiert).
Ja, aber das tut exakt garnichts zur Sache. Nutzer die sich keine Windowsinstallation zutrauen trauen sich auch nicht die Windowsinstallation + Cryptosoftware zu. Schon garnicht aus dem Grund dass das bei Windows ein Riesengewuerge ist und nicht einfach mit einem Haeckchen im Installationsdialog erledigt wird. In dem Fall gibts nur Hilfe durch Andere, die dann nicht mehr unbedingt “Normalnutzer” sind.
D.h. der “Normalnutzer” von dem wir reden traut sich eine Windowsinstallation, sonst brauchen wir nicht drueber reden. Wenn er sich die traut kann er auch Linux + Crypto, das ist aehnlich einfach bis einfacher. Und aus den ueblichen Gruenden wie “keiner nicht-Open-Source-Crypto kann man trauen” ist es auch besser.
Angenommen man hat eine bereits laufende Windows-Installation (was in den meisten Faellen bei Normalnutzern der Fall sein duerfte), dann sollte fast jeder in der Lage sein, die in zB dieser Anleitung beschriebenen Schritte durchzufuehren.
Klappt (scheinbar; hab ich nicht getestet!) on-the-fly.
Ein Umzug in eine VM, die dann auf einem bisher fremden Betriebsystem laeuft erscheint mir da doch deutlich aufwaendiger (und komplexer).
Dass ein Nutzer, der eine Windows-Installation hinbekommt wohl auch ein LUKS-Linux installiert bekommt glaube ich allerdings schon auch
Ist den wieder mal so ein Event geplant?
Ja, prinzipiell auf jeden Fall. Hast du Lust mitzuorganisieren? Wir überlegen gerade so gegen Ende November wieder eine Party zu veranstalten.