TrueCrypt Tool

[Anon4Guest]

Hallo,
auf Grund des Berichtes You are not allowed to view links. Register or Login auf FaceBook habe ich Kommentiert, daß ich mehrere TrueCrypt Container verwende ohne dessen Passwort auswendig zu kennen. Da die Passwörter meine Container auch nirgends aufgeschrieben sind, kann ich im Fall der Fälle niemanden die Passwörter sagen auch nicht unter Bedrohung meines Lebens.

Ich habe dazu Kommentiert wie ich diese mache.

Ich habe mir ein kleines Zusatz Tool geschrieben, daß ich für die Eingabe des TrueCrypt Passwortes verwende. Das Eingegebene Passwort wird durch mehrere Rechnungen Verschlüsselt bevor es an TrueCrypt weitergeleitet wird um als Passwort gültig zu sein. Somit wird die maximale Zeichenlänge ausgenutzt, Ziffern, Sonderzeichen, Groß und Kleine Buchstaben ebenfalls.
Ohne dieses kleine Tool würde ich niemals an den Inhalt meiner Container kommen.

Ich möchte nun das Tool neu schreiben (Quelltext wurde bisher immer vernichtet) mit ein paar Extras.
Die Hauptfunktion sollen in einer Programmbibliothek (*.so, *.dll)
Zudem möchte ich das die Algorithmen für jeden Verwender des Tools unterschiedlich sind und hier ist der Schwerpunkt.

Ich hoffe das mir jemand helfen kann die Individualität zu realisieren.
Ich möchte nicht das irgend ein Wert auf der Festplatte gespeichert wird aber der Benutzer das Tool auch auf einem Transportierbarem Betriebssystem verwenden kann. Es darf aber nicht möglich sein das ein Anderer Benutzer den Container öffnen kann...


Zudem möchte ich das Tool für Linux und Windows schreiben.

Im Anhang ist ein Bild von der Aktuellen und einzigen Version die ich verwende
1 = Demo, 2 = Trminal, 3 = TrueCrypt zum Maunten.

[Anon4Guest]

Na das find ich ja super das das jetzt hier im Forum landet.

Wie wir auf FB schon schrieben.

Das Tool muss portable sein
Es sollte für jeden Benutzer einen anderen algo nutzen so das keine Spione das Tool hacken können. Bzw. wenn es für einen user gehackt wurde es für einen anderen user nicht anwendbar ist
Es sollte natürlich am besten alles in einer .exe stattfinden ohne das irgendwelche sensiblen daten extra gespeichert werden.

Mein gedanke war das bei der erstbenutzung das programm so beeinflusst wird das der algo sich per zufallsprinzip ändert.
So hätte jeder Nutzer einen eigenen algo.

So wäre es auch wenn das PW bekannt wäre und das Tool gehackt wurde nicht möglich an das eigentliche TC-PW zu kommen.

Wie man das technisch bewerkstelligen kann weiss ich nicht.

Meine idee war das man eine programmdatei irgendwie verändert (grösse,prüfsumme, etc.) so das dies den algo in irgendeiner art verändert.
So als ob man mit einem editor die zeichen 100-200 verändert.

Vielleicht ginge auch ein kleines TC-Volume (das man vorher erzeugen und im programmverzeichnis speichern muss) von 1 MB desen zufällige cryptische Zeichenfolgen den algo steuern?

Wichtig wäre das die steuerzeichen rein zufällig und nicht nachstellbar produziert werden

MfG
SecAno

[Anon4Guest]

Das ist doch alles gar nicht notwendig. Bei der Entwicklung von TrueCrypt wurde das doch berücksichtigt.
Im Container kann doch ein Hiddenvolumen angelegt werden was sich durch ein Passwort unterscheidet. Im ersten Volumen wird etwas gespeichert, geheimes aber nicht strafrelevant, und dann ein Hiddenvolumen. Am ersten Passwort kann etwas angehängt werden wie .10f44.
Eine Kopie vom Container sollte bei der Oma lagern.
Dazu gehört auch das man lügen kann um zu behaupten das es keine Hiddens gibt. Wer das nicht kann sollte lieber die Finger davon lassen. Wer beim Verhör einen auf dicke Hose macht und sein gegenüber für unfähig erklärt muss sich nicht wundern wie er behandelt wird. Lieber einen auf Trottel machen und im ersten Volumen sein fiktives Tagebuch präsentieren.

Wer durch das staatliche westdeutsche Schulsystem ging wird da besondere Schwierigkeiten haben. Wer statt Nachrichten lieber privates Fernsehen schaut sollte auch dabei bleiben und sich die Bild dazu kaufen.

Nachdenken ist so anstrengend wie schnell laufen. Ich meine jetzt nicht nachplappern sondern nachdenken und Schlussfolgerungen erarbeiten.

Das Niederländische Gesetzt ist das Papier nicht wert auf dem es geschrieben wird.

[Anon4Guest]

Sicher mit einem Verstecktem Container,ist es schon wesentlich schwerer, an die eigentlichen Dateien zu kommen. Aber sag mit doch mal wie schnell man ein SHA512 Hash knacken kann?
12345 Geht innerhalb von 10 Minuten
ein Passwort mit 10 Zeichen (Buchstaben und Zahlen) dauert schon Tage
ein Passwort mit 50 Zeichen (Zahlen Buchstaben und Sonderzeichen) dauert schon Monate bis Jahre
aber ein Passwort das So aus sieht kann mit den Heutigen Methoden niemand mehr knacken, außer man hat mehr Zeit als 3 Jahre Ermittlung.

F8A3B5+eF5+7Cb$9Dc<0!a?5Ee'dE5@fCaA5@0]9@0<e$eB9B4^7E7!7!8B7@9E2?dBa+e!a<0F3+3B7<f]2Fe+4$3'9(eCb(f^eEe]9A3?c(dCaFeC8@cFcF8+a?5Da(c]c@fCa<4+cAe@7!9^cC4<8^bDd<9Ed

(volle Zeichenausnutzung)

Sicher bei einem Hidden Container dauert es auch noch mal länger als bei einem normalem, vorausgesetzt der Knacker weiß das es sich um einem Hidden Container handelt...

Lg

[Anon4Guest]

Das Tool könnte noch einen Vorteil haben.
PC mit sensiblen Inhalten werden auch gerne mit keyloggern ausspioniert.
Ein Angreifer könnte so zwar das Passwort das man in das Tool eingibt erschnüffeln. Hätte aber noch immer nicht das ewig lange PW für den TC-Container.

Grundsätzlich geht es hier nicht explizit um Holland. Dieses land liegt aber in der EU und sowas könnte rüberschwappen. Dann wären auch wir betroffen.

Und es ist sicher nicht jedermanns sache sich in einem proffessionellen Verhör mit Drohungen oder sogar Folter standhaft zu zeigen.

Wer das PW wirklich nicht weiss kann es unter keinen Umständen verraten.

Man könnte den Betroffenen aber dann versuchen zu zwingen das Tool und das PW herrauszurücken.
Die Frage die bleibt ist: Was ist wenn der Angreifer auch das Tool in die Finger bekommt und auch das schwache Passwort kennt.

Darum sollte das Tool ja für jeden User einen anderen Algo haben. Und vielleicht noch weitere Sicherungen haben.

Das alles würde aber wenig nützen wenn es in TC ne Hintertür gäbe die das wahre PW verrät.
Mittlerweile kann man davon ausgehen das die Crypto-Gegner alles versuchen um in solcher Software ein Leck einzubauen.

MfG
SecAno

[Anon4Guest]

Ich gebe SecAno 100% Recht...

Die EU (Europäischer Unsinn) will nur das Schlechte für die Menschen Europas. zum Beispiel will die EU Kinderbücher verbieten in denen die Klassische Rollenverteilung von Mann und Frau deutlich werden...

Zu dem gibt es Menschen die sehr paranoid denken, so auch ich. Ich habe zum Beispiel alles mögliche Verschlüsselt, Google von meinem Telephon komplett verbannt sowie auch Facebook, zu dem schreibe ich bei Facebook keine Privaten Dinge (die wissen so schon zu viel von mir...)

Zum Thema:
Einen Individuellen Algorithmus ist nicht wirklich einfach, vor allem wenn der Endbenutzer nicht wissen soll wo die unterscheide herkommen sollen, aber auch keine Datei Gespeichert werden soll... eine Anwendungsdatei kann man auch nicht einfach so "ändern" wenn die schon compiliert ist -.-

Ich habe mir was überlegt und würde Eure Meinung dazu lesen.
Ich frage den Benutzer nach seinem öffentlichen PGP Schlüssel und Speicher diesen im Ordner der Anwendung (bei Portabler Verwendung) ab. Diese Text Datei könnte ich nutzen um den Algo zu Personifizieren, zu dem  kann der Benutzer die Datei öffnen und seinen Schlüssel zur weitergaben, sollte diese Datei dann aber niemals Ändern auser wenn die Passwörter werden ebenfalls angepasst...

Hätte zum Beispiel auch die Möglichkeit, daß wenn man zu Besuch ist das man einfach seine Schlüsseldatei mit nimmt und kurzweilig aus Tauscht.

Ich habe mir für die Schlüsseldatei einen Festen Namen gedacht, damit nirgends ersichtlich ist das diese Datei gebraucht wird, ich die Datei Vorhanden wird im Tool ein Erkenntliches Symbol gezeigt anderenfalls wird der Benutzer gefragt, bei Abbruch dieser Frage wird der Standard Algo verwendet und funktioniert ebenfalls nur das die Hash Ergebnisse nicht die gleichen sind.

Sicher es birgt ein gewissen Sicherheitsrisiko, aber es ist immer noch besser als etwas Rechner spezifisches auszulesen, vor allem können diese Rechnerwerte sich ändern schon wenn man Hardware austauscht und/oder das Betriessystem wechselt oder nur kann dieser Rechner neu installiert...

Ich bin auf Eure Meinungen gespannt.... und werde heute die Benutzer Oberfläche anfangen.

Lg

[navi]

ich weiss von einem navigationsprogramm das die blitzermeldungen für die schweiz dektiviert sind.
man kann aber mit einem hex-editor die exe öffnen und an einer bestimmten stelle die zeichen "CH" durch andere zeichen ersetzen.
und schon funktioniert die blitzermeldung auch in der schweiz.

pgp nutzt nicht jeder!

[nobody]

CH ist ein Landeskenner und steht im Datenbereich der EXE Datei. Der Rest ist Maschienencode der vom Prozessor (CPU) verstanden wird. Das hat nichts mit pgp zu tun. Aber sicherlich meinst Du das nicht im Zusammenhang mit CH.

[Anon4Guest]

@nobody
Ich verstehe was du damit sagen möchtest..
Ich bin nur leider nicht in der Lage die Exe Datei zu ändern weil eine geöffnete Anwendung kann sich nicht selber bearbeiten zudem habe leider kaum Erfahrung mit mit Hex -.-


Zum PGP Schlüssen hast du ebenfalls Recht, es nutzt nicht jeder. Aber man kann sich einen Schlüssel recht schnell erstellen.
Da GnuPG Quell offen ist, kann ich versuchen ein den Öffentlichen Schlüssel zu generieren, sofern ein Benutzer dies möchte und muß dann nur eine E-Post Adresse eingeben (auch eine falsche).

[Anon4Guest]

Ich bin mal gespannt was dabei rummkommt :-)

Da das Tool ja für truecrypt gedacht ist wird der Anwender ja auch truecryypt nutzen.
Deshalb noch mal mein Vorschlag wie wäre es mit einem mini-container 1 Mb oder so???
Die Containerdatei enthällt doch wirklich nur zufallsdaten die hoffentlich nicht nachvollziehbar sind.

Der user könnte statt dem GPG-Schlüssel eben auch solch eine datei im programmverz. ablegen die dann den algo individuell beeinflusst.

MfG

[Anon4Guest]

So ich habe eine Lösung gefunden, die hoffentlich jeden gefällt.

Beim ersten Start kann der Benutzer ein Verzeichnis auswählen, in dem mindesten 5 Dateien sind. Ich werde das Angegebene Verzeichnis nach einer oder ggf auch mehr zufälligen Datei suchen und den SHA1 Wert auslesen, diesen werde ich ganz einfach hinter die Executable packen, dann wird der Hash Wert der Anwendung mit in die Berechnungen einbezogen.

Das Projekt wird Quellentext offen sein, außer bei der fingerprint Lib wird der Quellentext aus Sicherheitsgründen nicht Veröffentlicht.

Geplant habe ich:
Linux (GTK 2) zum Installieren und Portable
Windows nur Portable

Zuerst wird die Linux Variante erscheinen da dies nun mal mein System ist und Windows erst installiert/eingerichtet werden muß.
Da ich kein 64Bit Prozessor habe, wird es wahrscheinlich auch nur in 32 Bit erscheinen, wenn ich Glück habe gestattet mir der ein oder andere aus meinem Bekanntenkreis die Kompilierung auf dessen Rechner.
Aus Sicherheitsgründen wird es nicht Möglich sein Festplatten oder andere Datenträger ein zu Binden nur Container Dateien.

Bitte um Mithilfe:
Da ich nicht wirklich möchte das der Benutzer sich sämtliche Daten  herunterladen muß, aber die Anwendung dennoch Flexibel sein soll, möchte ich mithilfe bitten und mir ca5 bis 10 MB Web Speicher zur verfügung zu stellen.
Gespeichert wird nur maximal 3 html Dateien, 4 Executable (2 für Downloader und erst Start, und 2 für die eigentliche Anwendung), 2 Programmbibliotheke n (*.dll für Win, *.so für Linux), und Sprachdateien (vorerst 2 für eng und de).

Zudem wäre es auch super wenn sich Beta Tester  melden würden für Linux (GTK2) und Windows (ab XP).

Status:
die fingerprint lib ist soweit Fertig und eine kleine Demoanwendung (wie oben im Bild) auch diese Bekommt gerade die Sprach Option verpasst. Das Einbinden eines Containers wird gerade geschrieben und bekommt auch gleich die Sprach Optionen.

Lg

[Anon4Guest]

Hallo Sakura,

das mit den 10 MB Webspace sollte kein Problem sein.
Könnte Dir eine subdomain tctool.anondat.com mit eigenem ftp-zugang zur verfügung stellen.

Ansonsten bin ich auch gerne Betatester für die Win-Version.

Um Dir irgendwelche Zugangsdaten übermitteln zu können wäre es notwendig verschlüsselt zu mailen.
Sende mir eine Mail mit deinem öffentlichen Key. Meinen Key findest Du hier > You are not allowed to view links. Register or Login

Alles zum Thema verschlüsselte Kommunikation und Mail-Verschlüsselung findest Du hier
- You are not allowed to view links. Register or Login
- You are not allowed to view links. Register or Login

Ich kann nur noch bis DO diese Woche etwas beisteuern. Dann bin ich für 2-3 Wochen offline.

MfG

[Anon4Guest]

Die subdomain You are not allowed to view links. Register or Login ist online.

Ich wünsche Sakura viel Erfolg mit dem Projekt.
Helft Ihm wo Ihr könnt, wir werden hoffentlich alle davon profitieren.

SecAno

[Anon4Guest]

So die Projekt Webseite ist nun online.
Es sind auch schon die ersten Downloads verfügbar.

You are not allowed to view links. Register or Login

[Anon4Guest]

Leider kann ich meinen vorherigen Beitrag nicht bearbeiten -.-
Aber ich habe die Nacht dran gesessen und habe die erste Beta fertig bekommen, für Linux und Windows viel Spaß

Ich hoffe auf Positive Rückmeldungen.


Lg

[Anon4Guest]

Ich werde mich im Laufe der Woche mal damit beschäftigen :-)

Danke im Vorraus für Deine Mühe.

LG

[Anon4Guest]

Hallo Sakura, habe das Tool in WinXP ohne Probleme getestett.  , Ich errwarte die fertige Software . Danke