Snapshot - Verschlüsselung Details

Zurück zur Sicherung 

Ein Kennwort als Standardkennwort merken

Drive Snapshot bietet die Möglichkeit, sich ein Kennwort zur Verschlüsselung in der Registry zu merken; gespeichert wird für den augenblicklichen Benutzer (HKCU\software\snapshot\DefaultPassword).

Obwohl dies ein gewisses Sicherheitsrisiko darstellt, ist es viel bequemer, als ständig (lange!) Passwörter einzugeben.
Das Kennwort in der Registry wird zwar verschlüsselt gespeichert (  zumindest theoretisch kann Drive Snapshot jederzeit disassembliert und das Kennwort entschlüsselt werden.

Auch wenn Sie das Kennwort nicht dauerhaft speichern, bleibt es während eines Programmlaufs bestehen, wenn Sie z.B.
mehrere Partitionen sichern, explorieren oder restaurieren wollen.

Merken Sie sich Ihr Kennwort

Wenn Sie Ihr Kennwort vergessen, können Sie die Sicherung löschen.

Es besteht kein Möglichkeit (auch für uns nicht), das Kennwort später zu rekonstruieren

Kennwortangabe von der Kommandozeile

von der Kommandozeile wird das Passwort mit der Option -PW= angegeben, also

        C:>Snapshot C: X:\Backup\c-drive.sna -PW=SuperSecret

Dies überschreibt ein evtl.
vorgegebenes Kennwort.

Wenn Sie ein Kennwort vorgegeben haben und auf der Kommandozeile angeben, wird das vorgegebene verwendet.
Wenn Sie eins vorgegeben haben, aber trotzdem unverschlüsselt sichern wollen, müssen Sie explizit ein leeres Kennwort angeben:

        C:>Snapshot C: X:\Backup\c-drive.sna -PW=

Ver- und Entschlüsselungsgeschwindigkeit:

Ein 1GHz PC kann unter Windows ca.
30 MB/Sekunde ver- und entschlüsseln; die DOS Restore Version ca.
10 MB/sec.
Dies sollte Backup Restore um nicht mehr als 10-20% relativ zur unverschlüsselten Variante verlangsamen.

Implementierungsdetails

Drive Snapshot kann die erzeugten Disk Images verschlüsseln.
Die verwendete Verschlüsselung (und Implementierung) entspricht dem Stand der Technik.

Der verwendete Algorithmus ist AES (Rijndael) mit einer Block- und Schlüssellänge von 128 Bit, und damit vermutlich der Industriestandard für die nächsten Jahre.

AES wird im CBC (Cipher Block Chaining) Modus verwendet, um einfache Attacken auf ein Image zu vermeiden, die darauf beruhen, dass große Teile eines Images bekannten Klartext enthalten, nämlich das Betriebssystem, MS Office,...

Wörterbuch Attacken - und seine Lösung

Natürlich muss ein Programm in der Lage sein, dem Benutzer 'Falsches Kennwort' zu sagen, sollte er sich vertippt haben, ohne die komplette Festplatte zu restaurieren bzw.
dabei de facto zu löschen; insofern muss eine Funktion existieren, um das Kennwort zu verifizieren.

Andererseits hat ein potentieller Angreifer das Disk Image in der Hand, und damit alle notwendigen Informationen, um das Programm (oder in einer eigenen Implementierung) fast beliebig viele mögliche Kennworte auszuprobieren.

Gegen einen Angriff mit ausschließlich roher Gewalt ist die gewählte Implementierung mit einer Schlüssellänge von 128 Bit hinreichend sicher.

Andererseits tendieren Benutzer dazu, 'normale' Wörter + evtl.
ein wenig 'Dekoration' zu verwenden, wie z.B.
'Password76' , '19Tannenbäume' oder 'Mein3.Kennwort'.

Solche Kennworte können aber trotzdem noch durch (semi intelligente) Attacken mit Hilfe von Wörterbüchern erfolgreich attackiert werden.

Deshalb leitet Snapshot aus dem gegebenen Kennwort mit Hilfe einer Zufallszahl ein 'echtes' 128 Kennwort ab, und macht diesen Prozess langsam, indem er solange wiederholt wird, bis der erzeugende PC 0.1 Sekunden gerechnet hat; dadurch ist ein potentieller Angreifer nicht in der Lage, mehrere Millionen an Kennworten pro Sekunde zu testen, sondern zur mehrere Dutzend.

OEM Master Key

Für größere Kunden besteht die Möglichkeit, ein Master Kennwort zu erzeugen.
Mehr dazu hier

Was zum Teufel ist 'AES'

AES ist der designierte Nachfolger von DES.
DES (der ehemalige Standard) ist mit einer Schlüssellänge von 56 Bit der Rechenleistung von Angreifern nicht mehr, oder nicht mehr lange gewachsen.

Deswegen hat das NIST (National Institute of Standards and Technology) 1998 einen Wettbewerb ausgeschrieben, um einen AES (Advanced Encryption Standard) zu finden als Crypto Standard für die nächsten Jahrzehnte.

Dieser wurde 2000 beendet, und Rijndael wurde als Standard gewählt; für uns gab es keinen Grund, irgendetwas anderes zu wählen, da die Implementierung hinreichend schnell für Drive Snapshot's Zwecke möglich ist.

Ohne damit angeben zu wollen, das alles gelesen und vor allem verstanden zu haben (das ist wirklich höhere Mathematik), hier sind ein paar interessante Links zum Thema Verschlüsselung,  AES und Rijndael:

Warum Rijndael als Standard für AES gewählt wurde
Die Rijndael Homepage  und Die Theorie hinter Rijndael (Hardcore Mathematik !!)
TWOFISH: ein anderer Kandidat für AES, von Bruce Schneier
Knacken von Windows-Passwörtern in Sekunden

Zurück zur Sicherung


Copyright © 2001-2016 Tom Ehlert Software