Sicherheit bei Winrar?

Domi83

Rear Admiral
Registriert
Feb. 2010
Beiträge
5.192
Moin moin...
Ich habe da mal wieder eine kleine Frage an die Fraktion. Ich verwende schon seit diversen Jahren den WinRar zum packen und entpacken von Dateien und Archiven. Möchte das Programm eigentlich auch nicht missen :)

Was mich nun bei Winrar interessiert ist folgendes, man kann seine Archive mit einem Kennwort schützen. Wie sicher ist dieses Verfahren? Klar, es kommt auch noch auf das Kennwort drauf an. Aber wenn ich nun ein recht stabiles Kennwort wähle, solle diese Sicherheit nicht gleich so effektiv sein wie ein Tür aus Papier die mein Haus "schützen" soll :)

Grund der Anfrage ist, ich habe Private und Public Keys für unsere Server (VPN und SSH), diese möchte ich mir einmal mit Winrar zusammen packen und in die Dropbox packen. Es ist jetzt nicht so, dass man da an Staatsgeheimnisse kommt, wenn man auf einmal das Paket findet und es knacken kann... Aber ein Bisschen Sicherheit wollte ich schon haben.

Klar, TrueCrypt und Container ist die Variante die vielleicht effektiver ist, aber ich wollte nicht immer ein Container mounten, wenn ich da doch mal dran möchte.

Ich hoffe man kann mir da ein Bisschen helfen.
Gruß, Domi
 
Winrar hat aktuell keine mir bekannten "Backdoors" die ein Entschlüsseln ohne Brute Force möglich machen. Daher sollte, bei dementsprechendem Kennwort, der Aufwand zu groß sein. Vorausgesetzt natürlich sind da 8+ Stellen da sonst der Durchschnitts PC in "wenigen Stunden" das Passwort herausgefunden hat.

Wichtig ist nur die Dateiname im Archiv mit zu verschlüsseln. Ich glaube es gab/gibt mal einen Bruteforcer der wesentlich schneller war wenn diese unverschlüsselt waren.

Edit: Je länger dein Passwort desto besser ist es natürlich ;) Habe schon ewig keinen Bruteforcer mehr für WinRar genutzt daher weiß ich leider auch nicht wie schnell diese auf aktuellen Rechnern sind.
 
Zuletzt bearbeitet:
Ich würde die PrivateKeys einfach selbst mit einem Passwort schützen - das kann das PEM Format. Wenn du Windows verwendest schau dir mal den Putty KeyGen an. Da kannste über Load/Save Private Key dann ein Passwort setzen. Mach das entsprechend lang (12+ Zeichen) und du musst nicht fürchten, dass dir das jemand entschlüsselt :)
 
Okay, schon mal ein Danke an die Informationen mit dem WinRar... :)
Die SSH Keys sind mit "puttygen" erstellt... und die Variante ohne die "passphrase" fand ich eigentlich ganz nett. Dazu kommt, wenn ich jetzt alle Keys mit einer passphrase versehen möchte, muss ich bei jedem das Key-File wieder austauschen.

Klar, man sollte im Regelfall die Kennwörter für die Sicherheit in einem bestimmten Zeitraum austauschen, aber die Keys habe ich gerade erst alle erneuert und somit wollte ich dem Chef erst später wieder auf die Nerven gehen. Dazu kommt noch, dass Chef auf sein Kennwort bestehen wird.. dieses wiederum hat 7 Zeichen.

Ist jetzt alles nicht so der goldene vom Ei, aber im Prinzip reicht es mir aus wenn ich die bestehenden Keys einmal "sicher" verpacken kann und dann in die Dropbox schieben kann.
a.) habe ich sie dann immer griffbereit (Arbeitsplatz, Notebook, zuhause)
b.) kommt man nicht sofort ran, dank Verschlüsselung

Aber wo das Thema BruteForce schon gefallen ist... Wenn ich das richtig verstanden habe, kann man ja mit den GPUs schon ordentlich Dampf machen. Kann man irgendwie testen, wie Sicher das eigene Kennwort ist und wie lange es ungefähr dauern könnte das zu knacken?

Ich schließe mal Dictionary-Attack aus, da mein Kennwort doch etwas zu speziell ist.. Mehr als 10 Zeichen, Alphanumerisch mit Sonderzeichen. Jetzt würde ich halt gerne mal wissen, wie lange es ungefähr dauern könnte das zu knacken. Dieses Kennwort nutze ich nämlich auch für meine TrueCrypt Verschlüsselung :D

Gruß, Domi
 
Nein du kannst einen bestehenden Key zusätzlich mit ner Passphrase schützen. Du kannst bei dir ja auch die unverschlüsselte Variante installiert lassen und nur aufm Share diese verschlüsselt speichern.

Testen kannst du es nicht, aber ausrechnen. Schau zu, dass kein Kennwort nicht im Wörterbuch vorkommt (auch kein Zahlenanhängen oder i durch 1 ersetzen beim Wörterbuch) dann hilft nur noch Brute force und die Zahlen sind mit afaik 10-20 Millionen Passwörter pro Sekunde relativ hoch.

Siehe auch: http://www.tomshardware.com/reviews/password-recovery-gpu,2945-6.html
 
Zuletzt bearbeitet:
Okay, wenn ich trotz meinem "broken english" das richtig verstehe, macht eine "GTX 460" ungefähr 4.000 Kennwörter pro Sekunde bei einem .rar Archiv mit 128-bit Schlüsse. Zusätzlich kann man auch sagen, dass die "GTX 260" bei bis zu sechs Stelligen Kennwörtern und 180.000 Wörtern pro Sekunde um die 50 Tage benötigt. Benötigt.. richtig?

Dann bin ich ja mit meinem Kennwort mit 10+ Zeichen recht zuversichtlich.. im Moment :D
Was die Schlüssel und dem nachträglichen hinzufügen der Passphrase angeht, dass ist auch eine Variante.. wusste ich noch nicht :)

Gruß, Domi
 
selbst ein 128Bit RAR Passwort wirst du kaum mit Rainbow-Tabel schnell knacken können.
 
Zurück
Oben