Freecrypt

Hi,

weiter unten fragte ich nach einer einfachen Art Emails zu verschlüsseln ohne dass mein Gegenüber Programme installieren muss oder mit Schlüsseln, Zertifikaten etc. arbeiten muss.

Bei meinen Recherchen habe ich das Programm Freecrypt http://www.netzwelt.de/download/13993-freecrypt.html gefunden. Nicht dass was ich ursprünglich suchte, aber einfach in der Anwendung und nur 0,5 MB gross und eine .exe die nicht installiert werden muss. Man schreibt einen Text, klickt auf „Verschlüsseln“, sucht ein pw aus und ausgeworfen wird ein Text. So wird aus „Dieser Text ist mit Freecrypt verschlüsselt“ „5uccOKlp4WWsNThV4e/bre5G/+HE2lbjnwRcM9Sv8BrZ8x4aAGIwYUNdi8BRn11j“. Diesen Text kann ich nun in jede Mail, Messenger etc. einkopieren oder öffentlich posten. Das Gegenüber kopiert diesen Text nun in Freecrypt, „entschlüsseln“, pw eingeben und hat den Klartext auf dem Schirm.

Nun frage ich mich aber wie sicher dies ist. Kann man, wenn man nun gerade nicht die Rechenpower der NSA hat, aus dem o.g. Wortsalat den Klartext herausrechnen bzw. über einen brute-force dort angreifen? Und: kennt ihr Programme die ähnlich funktionieren und auf dem neuesten Stand sind? So wie ich das sehe wurde Freecrypt seit 2008 nicht weiterentwickelt.

Gruss
K

Nun frage ich mich aber wie sicher dies ist.

Um das zu beurteilen, müsste man wissen, welche Verschlüsselungsmethode eingesetzt wird und wie sauber die Methode(n) umgesetzt wurde(n). Die freecrypt-Webseite geizt sowohl mit diesen Informationen als auch mit dem Quelltext.

Gruß

Hi,

Angeblich (http://www.shareware.de/mksoftware-freecrypt/) wird „Rijndael“ eingesetzt.

Gruss
K

Hallo,
Der Rijndeal Algorithmus ist die Basis der AES-Verschlüsselung; sein Algorithmus ist offengelegt und gilt als nicht umkehrbarer Algorithmus, das heißt, aus dem Zeichensalat kann man den Ursprungstext nicht zurückrechnen.
Die Passwort-Sicherheit hängt von der Komplexität und der Länge des Passwortes ab. Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen so gemischt, dass kein Lexikaeintrag existiert mit einer Länge von mind. 12 Zeichen, ergibt bereits eine so große Zahl von Kombinationen, dass ein Rechnerverbund von mehreren hundert Rechnern nicht in der Lage sein wird, mit einer vertretbaren Wahrscheinlichkeit eine erfolgreiche Attacke durch Ausprobieren (Brut Force) durchzuführen. Der Vergleich mit Rainbow-Tables, also Tabellen die alle möglichen Hashwerte enthalten, wird wohl ebenso wenig funktionieren, da aufgrund des ernormen Rechenzeit und des Speicherbedarf ein Normalsterblicher sowas nicht vorhalten kann. Zudem muss man natürlich auf dem Rechner eine Software installiert haben, der den Hashwert ausliest und „nach Hause telefoniert“ (was natürlich nur auf einem ungschützten System in Sekunden geht).

Bei einer Passwortlänge von max. 7 Zeichen und der Verwendung von nur Kleinbuchstaben dauert das Knacken des Passwortes bei bekanntem Hashwert dagegen nur wenige Minuten, selbst wenn nur ein Rechner die Attacke durchführt.

LG Culles

Hi,

Danke! Das reicht mir an Sicherheit.

Gruss
K

Und wieder ein Opfer obskurer Verschlüsselung

Danke! Das reicht mir an Sicherheit.

Jetzt müsstest du nur noch rausfinden, ob Freecrypt dieses Verschlüsselungsverfahren auch einsetzt. Die Tatsache, dass dies auf irgendeiner Sharewareseite behauptet wird, bietet nicht mehr Verlass, als Kaffeesatzleserei. Es ist vielmehr zu vermuten, dass der Autor dort das von dir gewählte Produkt der Fa. WinAbility mit dem Dienst gleichen Namens der Fa. Steganos verwechselt hat.

Warum setzt du eigentlich so konsequent auf möglichst obskure Verfahren? ‚Security by obscurity‘ ist zwar nicht unbedingt das dümmste Konzept, meint aber etwas ganz anderes als deine Vorgehensweise.

Gruß

Hallo,

AES ist kein obskures Verfahren, sondern wird auch von staatlichen Stellen als sicher bezeichnet und allgemein eingesetzt. Das hier vorliegende Verfahren basiert auf den gleichen Algorithmen der gleichen Erfinder und ist auch nach ihnen benannt. Da ich weder Mathematiker noch Kryptologe bin, bzw. keine eigene Untersuchungen angestellt habe, muss ich mich bei der Bewertung dieses Verschlüsselungsverfahrens auf entsprechende Fachaufsätze verlassen. Und da sehe ich kein Problem im Verfahren selbst.
Denkbar ist natürlich, dass eine Software angeboten wird, die in Wirklichkeit das Gegenteil bewirkt, also Passwörter verrät bzw. das System angreifbar macht. Aber weder die Firmen WinAbility noch Steganos vertreiben Kuckuckseier, zumindest findet ich im Netz nichts, das in diese Richtung zeigt. Dein Behauptung, „und wieder ein Opfer obskurer Verschlüsselung“ solltest du mit entsprechenden Referenzen belegen.
Damit hilfst du uns wirklich weiter.

LG Culles

Security by Obscurity

AES ist kein obskures Verfahren

Hallo Culles,

ich habe Hermann da ganz anders verstanden. Er hat doch überhaupt nicht die Sinnhaftigkeit von AES in Frage gestellt. Ganz im Gegenteil hat es sich dafür ausgesprochen, nur auf Standards und nicht auf irgendwelche fragwürdige Software zu setzen, zu der die elementaren Informationen einfach fehlen.

Er weist mit Recht daraufhin, dass zu seriöser Software in diesem Bereich einfach auch die Transparenz gehört. Und es gibt genügend Beispiele dafür, dass selbst bekannte Sicherheitsprodukte sich als Fake mit geschicktem Marketing herausgestellt haben.

Die Annahme, etwas müsse solange als sicher gelten, bis man das Gegenteil belegen kann, mag aus dem Strafrecht entlehnt sein, in der IT-Sicherheit gilt aber die gegenteilige Regel.

Allerdings ist meistens Sicherheit auch nicht der wirkliche Bedarf des Käufers. Meist geht es nur darum, mit minimalem Anpassungsbedarf das zugehörige Gefühl zu erhalten.

Und für manchen Anwendungsfall reicht tatsächlich auch Freecrypt oder ROT13.

Ciao, Allesquatsch

Nun frage ich mich aber wie sicher dies ist.

Ich frage mich, wie das jemand ohne Windows-Rechner wieder entschlüsseln will.

Stefan

Hi,

na ja, auf meinem letzten Flug nach LAX habe ich auch der LH vertraut dass das Flugzeug sicher ist Aber ich weiss ja was Du meinst. Was ist denn hiermit? Gleiches Prinzip, aber der Code ist einsehbar (nur dass ich den nicht interpretieren kann): http://code.google.com/p/immediatecrypt/

Gruss
K

na ja, auf meinem letzten Flug nach LAX habe ich auch der LH
vertraut dass das Flugzeug sicher ist Aber ich weiss ja

Hi

Hast Du tatsächlich die Vorstellung, dass die Sicherheit von Flugzeugen nur auf dem Vertrauen gegenüber den Linien beruht?

Ich bin mir sehr sicher, dass LH gegenüber nationalen und internationalen Organisationen hier total die Hosen runterlassen muss und in Sicherheitsdingen extrem reguliert und auditiert ist.
(Trotzdem können sich einige vielleicht noch daran erinnern, wie es früher mit der Absturzhäufigkeit bei mancher südeuropäischen Linie aussah.)

Im Softwarebereich halte ich es schon für naiv, wenn man annimmt, dass alle Firmen ein eigenes Qualitätsmanagement betreiben.

Gerade, wo es keine externe Kontrolle gibt, ist eher das der Normalfall. Selbst bei Marktführern passieren regelmäßig solche Dinge:
http://www.heise.de/security/meldung/iPhone-Banking-…

Hier wirklich obskure Software mit dem Argument zu verteidigen, man vertraue ja auch der Lufthansa, hat schon was von Realsatire.
Und ein Online-Angebot zum Verschlüsseln ist schon Realsatire im Quadrat.

Ciao, Allesquatsch

Hi,

„Und ein Online-Angebot zum Verschlüsseln ist schon Realsatire im Quadrat.“

Da gebe ich dir vollkommen recht! Nur war davon hier ja gar nicht die Rede.

Gruss
K

AES ist kein obskures Verfahren,

Hat irgendjemand das behauptet?

solltest du mit entsprechenden Referenzen belegen.

Jetzt wirst du albern. Vielleicht liest du meinen Beitrag mal durch. Ich bemängele u. a., dass weder für den Hersteller noch für die angebliche Verwendung von AES irgendwelche Referenzen gibt.

Es liegt an dir, irgendwelche Referenzen zu erbringen, dass Freecrypt irgendetwas taugt. Dazu bist du mangels Masse nicht in der Lage.

Dass du, offenbar aus reinem Trotz, eine solches Snakeoil verteidigst, hilft wirklich niemanden weiter.

Es kommt schlimmer…

Ich frage mich, wie das jemand ohne Windows-Rechner wieder
entschlüsseln will.

Ich frage mich, wie jemand mit Windows-Rechner damit überhaupt verschlüsseln will. Denn laut freecrypt-Homepage ist ‚FreeCrypt™ for Windows […] not available yet for download or purchase‘. Wo also kommt das auf diversen Sharewareseiten angebotene Programm dann überhaupt her? Sehr obskur, sehr sehr obskur… Schaun mer mal:

Die Sharewareseite von Computerbild verweist, ohne Angabe einer URL, auf eine Fa. MKSoftware. mksoftware.com sowie mksoftware.de bieten auf ihren Downloadseiten jedoch nichts derartiges an. Netzwelt verweist auf freecrypt.com - s. o. Bei softonic fehlt jeder Hinweis auf den Hersteller. Freeware.de schließlich verweist auf mksoftware.net - eine tote URL. Was sagt die PC-Welt? Keine Herstellerangabe! Bei www.portablefreeware.com heisst der Hersteller bat-soft.com, aber auch diese URL ist tot… So könnt’ ich das jetzt wahrscheinlich tagelang fortsetzen.

Aber um auf deine ursprüngliche Frage zurückzukommen: Wenn eine der zahlreichen Varianten dieses Programms tatsächlich nach AES verschlüsselt, sollte es kein Problem sein, unter Angabe des gleichen Passworts mit einem beliebigen anderen AES-tauglichen Produkt wieder zu entschlüsseln. Ich hätt’s ja auch getestet, eine VM für solche Zwecke hab ich immer vorrätig. Wenn ich mich nur entscheiden könnt’, mit welchem der vielen freecrypts anzufangen…

Gruß

Hallo,
das hier kritisierte Verfahren entspricht AES. Nach seinen Entwicklern Vincent Rij men Joan Dae men und wird es auch Rijndael-Algorithmus genannt. In mehreren Puplikationen wird genau darauf hingewiesen, dass dieses Verfahren hier Anwendung findet. Auch ich finde es nicht ok, dass der Anbieter selbst, diese Information missen lässt.

Du hast ein außergewöhnliches Rechtsverständnis. Nach der allgemeinen Rechtsauffassung darf man nicht einfach das Produkt einer Firma öffentlich schlecht und sogar von einem Opfer dessen reden, wenn man dazu keine Beweise hat. Die Beweislast liegt also bei dir.
Dennoch verweise ich bei aller Vorsicht auf mehrere namhafte PC-Publikationen, die dieses Produkt empfehlen:

http://www.pcwelt.de/downloads/Freecrypt-571967.html
http://www.computerbild.de/download/FreeCrypt-158606…
http://freecrypt.softonic.de/

Du bezeichnet das Produkt als Snakeoil (einem Produkt also, das mit betrügerischer Absicht vertrieben wird) - gut, dann dechiffriere eine damit verschlüsselte Zeile - und ich schlage dich zum Nobelpreis für Mathematik vor. Versprochen …

Leider gibt es keine ausreichende öffentliche Kontrolle, die uns vor Schlangenöl oder Kuckuckseiern bewahrt. Daher müssen wir Anwender uns selbstkritisch mit den verschiedenen Angeboten, zum Beispiel hier bei w-w-w, auseinandersetzen und sollten uns dabei nicht gegenseitig zerfleischen. Bisher habe ich 1216 Sterne für hilfreiche Beiträge erhalten, also „Masse“ dazu ist meinerseits schon vorhanden … Und ich werde es weiter tun. Auch wenn ab und an mir jemand vor den Bug schießt.

Culles

Nachtrag:

die Firma MKSoftware von Maximiliam Krauss scheint es nicht mehr zugeben, zumindest ist seine alte Homepage mksoftware.net nicht mehr erreichbar. Die Verweise auf sein Programm sind auch schon zwischen 3 und 6 Jahre alt. Heute gibt es mehrere Firmen mit ähnlichen Namen.
Interessanterweise konnte ich zu Beginn der Diskussion die Homepage noch einsehen, es wurden darauf mehrere Verschlüsselungslösungen angeboten. Da wirkte eigentlich alles seriös.

Culles