TrueCrypt - Maximale Passwortlänge?

[Cold Carnage]

Wenn mich nicht alles täuscht, habe ich im Programm selbst mal gelesen, dass das Passwort bis zu 63 Zeichen lang sein sollte beziehungsweise sein darf, auch wenn ich meine, dass selbst längere Passwörter möglich sind. Ich kann mich aber irren. Von daher: Was ist eigentlich die maximal mögliche beziehungsweise empfehlenswerte Passwortlänge bei Verwendung von TrueCrypt, eventuell aus Kompatibilitätsgründen?

Und nein, so ein Passwort möchte ich mir nicht merken und wenn ich ein solch langes Passwort verwenden würde, dann nur aus Paranoia und weil es technisch einfach geht und ich es mit KeePass absichere.

 

[Cool Master]

Mein Tipp ist 32 Zeichen. Gemixt mit Groß/Kleinschreibung, Sonderzeichen und Zahlen sind 32 Zeichen extrem sicher.

Geht man mal von 26 Buchstaben, 9 Zahlen und 15 Sonderzeichen aus kommt man auf 76 Zeichen die Möglich sind. Das ganze nun hoch 32 und du hast folgende Möglichkeiten:

1,53474049715575E60

Sprich exterm Sicher

Mit 64 Zeichen:

2,35542839360988E120

Das ist mit unseren heutigen Rechnern nicht knackbar. Selbst wenn man alle Computer der Welt dazu nutzen würde, würde es immer noch Jahrzehnte oder Jahrhunderte dauern das zu knacken.

 

[Mithos]

würde es immer noch Jahrzehnte oder Jahrhunderte dauern das zu knacken.

Ich würde eher sagen bis zum Ende unserer Zeit, unter Voraussetzung, Computer machen keinen Sprung, der meine Vorstellung sprengt.

@OP
Hier, kannst ja mal bisschen probieren: http://calc.opensecurityresearch.com/

 

[mr_andersson]

Wenn dein Passwort Groß- und Kleinschreibung und Zahlen sowie Sonderzeichen beinhaltet, ist bereits ein Passwort mit 20 Zeichen sicherer als AES bei 256 bit Schlüssellänge. Da kommt es dann eher auf den Verwendeten Hash-Algorithmus und den Betriebsmodus an.

 

[PongLenis]

Ich würde eher sagen bis zum Ende unserer Zeit, unter Voraussetzung, Computer machen keinen Sprung, der meine Vorstellung sprengt.

Quantencomputer?
Dürfte vor der Kernfusion oder nach Peak Oil Marktreif sein

 

[Trefoil80]

Würde lieber den Fork VeraCrypt verwenden.

Die Container sind aufgrund einer deutlich erhöhten Anzahl an Iterationen besser gegen Bruteforce-Attacken geschützt.
Außerdem hat die Windows-Version von TrueCrypt eine Sicherheitslücke im Treiber für virtuelle Laufwerke.
Das hat zwar keine Auswirkungen auf die Verschlüsselung selbst, reisst aber eine Sicherheitslücke in das Windows-System.

 

[tiash]

Geht man wie Cool Master von 76 verschiedenen Zeichen aus, dann sind 41 Stellen nötig, um die maximale Schlüssellänge von AES zu erreichen. (Rechenweg: 2er Logarithmus von 76^x berechnen, um die Komplexität des Passworts in Bit zu erhalten. Für x=41 ist das Ergebnis zum ersten Mal größer als 256).
Jedes längere Passwort wird von der internen Schlüsselableitungsfunktion von TrueCrypt sowieso auf 256Bit Komplexität reduziert und bringt daher keinen Sicherheitsvorteil mehr.

Und @PongLenis: Quantencomputer können symmetrische Kryptoverfahren nicht effizient brechen. Die Komplexität wird dadurch "nur" halbiert (also 128Bit Sicherheit), was gegen Bruteforce immernoch sicher ist.

 

[Cool Master]

Ich würde eher sagen bis zum Ende unserer Zeit, unter Voraussetzung, Computer machen keinen Sprung, der meine Vorstellung sprengt.

Ich würde mich da nicht zu weit aus dem Fenster legen. Was in 100 Jahren kommt wissen wir nicht. Ist mir aber auch egal da ich bis dahin eh nciht mehr da bin

 

[tiash]

Es gibt ganz interessante Forschung zu Komplexität und Energieverbrauch. Unter anderem gibt es untere Grenzen für den Energieverbrauch bei Rechenoperationen (genaues weiß ich auch nicht, bin kein Fachmann auf dem Gebiet). Jedenfalls findet man unter Anwendung dieser Grenzen heraus, das selbst mit Computern, die so effizient wie nur irgendwie möglich sind, Komplexitäten in der Größenordnung 128-256Bit nicht durch Bruteforce gebrochen werden können. Vorher geht im wahrsten Sinne des Wortes die Sonne aus.

 

[Cool Master]

Ja, aktuell ist das so. Bedenke aber es wird auch an der Kern Fusion gearbeitet da wird dann einfach eine eigene Sonne erschaffen Aber ja aktuell ist Brutforce gegen 128+ Bit nicht zu gebrauchen. Aber es gibt auch andere Möglichkeiten:

https://xkcd.com/538/

 

[tiash]

Nein, das wird auch so bleiben. Weil es physikalisch einfach nicht möglich ist, weniger als diesen Bruchteil an Energie für eine einzelne Rechenoperation zu verwenden.
Die Kernfusion ist genauso an gewisse physikalische Grundlagen gebunden, die in dem Fall schon Einstein vor über 100 Jahren erforscht hat. Hier dauert nur das Erschaffen der nötigen Technik so lange, in der Theorie weiß man ganz genau, dass eine solche Anlage dann Energie erzeugen wird.

Bei Bruteforce ist das eben anders. Da weiß man schon in der Theorie, dass es nicht klappen kann. Ich such die Quelle dazu aber auch gerne nochmal raus, ist zugegebenermaßen schwierig sich vorzustellen, dass das nicht gehen soll, wenn man sieht wie rasant sich die Technik entwickelt.

 

[Cool Master]

Bei Bruteforce ist das eben anders. Da weiß man schon in der Theorie, dass es nicht klappen kann.

Das stimmt nicht. Es ist nur sehr unwahrscheinlich, eben weil es so viele Kombis gibt. Aber direkt ausgeschlossen ist es nicht. Jeder der etwas anderes behauptet hat keine Ahnung davon und versucht es mit Pseudowissenschaft.

 

[tiash]

Natürlich kannst du das Glück haben, genau im ersten Versuch den richtigen Schlüssel zu raten. Das ist aber eben, wie du schon sagst, extrem unwahrscheinlich.
Um trotzdem irgendwie über Sicherheit und Angreifbarkeit in diesem Kontext sprechen zu können hat es sich durchgesetzt, dass man vom so genannten average case ausgeht, also wie viele Versuche man im Mittel bei einem zufällig verteilten Schlüssel benötigt, um diesen zu erraten. Ob ein Schlüssel zufallsverteilt ist hängt von der eingesetzten Schlüsselableitungsfunktion ab. Da der TE hier explizit KeePass zur Verwaltung angibt und damit vermutlich auch die Schlüssel erzeugt kann man das in diesem Fall als gegeben annehmen.

Bei einem zufälligen 128Bit Schlüssel müssen im Mittel 2^127 Kombinationen ausprobiert werden, bevor man den richtigen Wert trifft.

Bei 256Bit Schlüssellänge wird das Ganze dann noch eindrucksvoller. Die ersten 2^128 geratenen Schlüssel, die man mit ganz viel gutem Willen noch als machbar ansehen könnte, machen nur 0,0000...% des Schlüsselraums aus (erst 39 Stellen hinter dem Komma wird sich an dieser Zahl etwas tun).
Wenn ich hier also etwas umgangssprachlich von "geht nicht" spreche, dann ist das nichts anderes als Wahrscheinlichkeitsrechnung. Mathematiker würden das auch nicht anders tun und diesen Wert als 0 bezeichnen.

Womit du recht hast ist natürlich, dass meine Formulierung unglücklich gewählt war. Es ist ja gerade der Witz von Bruteforce, dass es bei praktikablen Verfahren in der Theorie immer zu einem Ergebnis führt. Die Wahrscheinlichkeit darf man dabei aber eben nicht aus dem Auge verlieren.

 

[Cold Carnage]

Korrektur, das Programm gibt an, dass die maximale Länge bei 64 Zeichen liegt.

Spricht für verschlüsselte System-Festplatten etwas gegen ein Diceware-Passwort mit sovielen Wörtern bis die 64 Zeichen erreicht sind? Ja, mir ist bewusst, dass ich die 64 Zeichen dann mit jedem Start eingeben muss. Aber das werde ich wohl einmal pro Tag gerade noch verkraften können. Laut Diceware-Erfinder sollte das für die nächsten Jahrzehnte sicher sein, selbst, wenn man nur Buchstaben und keine Ziffern einbaut?

 

[Chibi88]

Google mal nach "Diceware". Die Passwörter sind sicher und einfach zu merken.

 

[tiash]

Gegen Diceware spricht im Grunde nichts. Ein Dicewarepasswort mit knapp 64 Zeichen wird kaum zu Brechen sein und bietet eine ganze Menge Schutz. Dann reden wir allerdings nicht mehr von dem theoretisch maximal Möglichen.

Ein Dicewarewort hat knapp 13Bit Entropie. Um das theoretische Maximum von 256Bit zu erreichen müsste die Passphrase demnach etwa 20 Wörter enthalten. Das wird mit einer Längenbegrenzung von 64 Zeichen nicht möglich sein. Für 128 Bit brauchst du allerdings 'nur' 10 Wörter. Das scheint mir realistisch und ist wie oben beschrieben in der Praxis auch mehr als ausreichend.

Nochmal ganz deutlich: Für Paranoide, die das Maximum wollen ist Diceware nichts, für einen Anwender mit realistischem Sicherheitsbewusstsein ist es eine gute Möglichkeit.

 

[KlaasKersting]

Mach es doch nicht so kompliziert.

Ich;War;Gestern;Abend;Leckeres;Gyros;Essen.Mehrwertsteuer:19%!

So sehen meine Passwörter in etwa aus, kann man sich sofort merken und ist vollkommen sicher.

 

[Cool Master]

Eben die besten PWs sind die eigenen. Am besten macht man ein Satz und nimmt ihn entweder komplet oder nur die 1. Buchstaben.

 

[Chibi88]

Gegen Diceware spricht im Grunde nichts. Ein Dicewarepasswort mit knapp 64 Zeichen wird kaum zu Brechen sein und bietet eine ganze Menge Schutz. Dann reden wir allerdings nicht mehr von dem theoretisch maximal Möglichen.

Ein Dicewarewort hat knapp 13Bit Entropie. Um das theoretische Maximum von 256Bit zu erreichen müsste die Passphrase demnach etwa 20 Wörter enthalten. Das wird mit einer Längenbegrenzung von 64 Zeichen nicht möglich sein. Für 128 Bit brauchst du allerdings 'nur' 10 Wörter. Das scheint mir realistisch und ist wie oben beschrieben in der Praxis auch mehr als ausreichend.

Nochmal ganz deutlich: Für Paranoide, die das Maximum wollen ist Diceware nichts, für einen Anwender mit realistischem Sicherheitsbewusstsein ist es eine gute Möglichkeit.

Das stimmt nicht ganz. Du bekommst mit einem Passwort, bestehend aus 6 Wörtern, bereits eine Entropy von 139.1. Das Passwort besteht auch "nur" aus Kleinbuchstaben. Wenn du jeden Anfangsbuchstaben groß schreibst, bist du schon bei 167. Das ist schon overkill imo.

 

[Cold Carnage]

Genau so ein Passwort habe ich vor, das ist auch mit allen zehn Fingern schnell getippt.

Bei etwa 8-10 Wörtern komme ich auf die maximale Zeichenlänge (nicht maximale Sicherheit) von 64.

Etwas wundert mich es aber schon, dass nicht auch mehr Zeichen zulässig wären. Woran liegt das?