Quick Crypt 1.0 - AES-Verschlüsselung mit Verfallsdatum

Programme, um Daten zu verschlüsseln, den Zugang zum PC zu verhindern, etc.

Moderatoren: |Gordon|, Jean, Moderatoren

Antworten
Jean
Beiträge: 11590
Registriert: 30.10.01, 12:41

Quick Crypt 1.0 - AES-Verschlüsselung mit Verfallsdatum

Beitrag von Jean » 07.07.14, 1:47

Quick Crypt ist ein kleines Tool zum Erstellen von verschlüsselten Texten. Die Oberfläche ist simpel - Datei auswählen, Passwort setzen ... die
wichtigen Stellen sind auch gleich markiert. Erfahrene Nutzer merken sich an dieser Stelle auch gleich das Passwort, oder hinterlegen einen kurzen
Hinweis darauf. Verschlüsseln. Fertig.

Verschlüsselt wird mit AES, man kann das Program selber auch gleich in ein Zip einpacken (ich konnte meine Datei nicht mit einem anderen AES-Tool
nicht wieder lesbar machen), und Einstellungen können als Profile (verschlüsselt im User Account) gespeichert werden.

Im Tools-Menü gibt es die Möglichkeit, sichere Passworte zu erzeugen, Key Files (wofür?) zu speichern und Dateien sicher zu löschen (man kann die
Original-Datei nach dem Verschlüsseln automatisch entfernt - vermutlich wird dann auch sicher gelöscht).

Zu den Besonderheiten gehört die Verschlüsselung mit einer einzigartigen System-ID - die Datei kann dann nur auf dem Original-System entschlüsselt
werden -, und man kann ein Verfallsdatum (max. 3650 Tage) einstellen, nach dem die Datei gar nicht mehr geöffnet werden kann.

Keine Ahnung, wie sicher das Verfallsdatum ist ...


englischsprachige Freeware, portabel, 4.5-nettig, Vista-W8.1, 32/64
http://www.valkovatech.net/index.html

DrSnuggles
Mitglied
Beiträge: 70
Registriert: 02.03.05, 2:35

Re: Quick Crypt 1.0 - AES-Verschlüsselung mit Verfallsdatum

Beitrag von DrSnuggles » 07.07.14, 12:34

Jean hat geschrieben: Zu den Besonderheiten gehört die Verschlüsselung mit einer einzigartigen System-ID - die Datei kann dann nur auf dem Original-System entschlüsselt
werden -, und man kann ein Verfallsdatum (max. 3650 Tage) einstellen, nach dem die Datei gar nicht mehr geöffnet werden kann.
Damit hat sich das Programm als völlig unseriös disqualifiziert.

Jean
Beiträge: 11590
Registriert: 30.10.01, 12:41

Re: Quick Crypt 1.0 - AES-Verschlüsselung mit Verfallsdatum

Beitrag von Jean » 07.07.14, 13:46

... weil? Weil 3650 Tage so alle 100 Jahre eben doch keine vollen 10 Jahre ergeben? Weil es eine zusätzliche Sicherheit gibt, die an ein System gebunden ist, das kaputt gehen kann? Oder weil heute so ein fieserfieser Montag ist?

Beissmich
Mitglied
Beiträge: 216
Registriert: 05.03.05, 21:56

Re: Quick Crypt 1.0 - AES-Verschlüsselung mit Verfallsdatum

Beitrag von Beissmich » 07.07.14, 14:05

DrSnuggles hat geschrieben:Damit hat sich das Programm als völlig unseriös disqualifiziert.
Ja, unseriös. Wegen der Features, die Entschlüsselung zeitlich oder auf einen bestimmten Computer zu beschränken. Beide Funktionen sind undokumentiert. Ich ahne schon, wie letzteres funktioniert (schaut mal auf "Advanced/File Owner"), und dass ersteres gar nicht funktioniert, denn solch eine Funktion ist, ohne eine dritte, vertrauenswürdige Partei, die den Schlüssel verwaltet und nur unter bestimmten Voraussetzungen herausgibt, nicht einmal theoretisch möglich.

Der Key-File-Generator basiert auf einem Pseudo-Zufallszahlengenerator, das kann man sich also auch sparen. Das Key-File, egal, wie groß, enthält nicht mehr Zufall, als der kurze Schlüssel, mit dem der Pseudozufallsgenerator gefüttert wird. Wenn man so eine Funktion braucht, kann man auch etwas dokumentiertes verwenden und sich darauf verlassen, dass der Algorithmus korrekt implementiert ist, während er hier nicht einmal genannt ist. Von der Entropiequelle ganz zu schweigen.

Der Passwortgenerator ist nicht konfigurierbar und spuckt immer 20 Zeichen aus.

Die Verschlüsselung scheint nur zu sich selbst kompatibel zu sein.

Aus meiner Sicht ist das Tool zu keinem Zweck sinnvoll einsetzbar (außer vielleicht dem sicheren Löschen von Dateien. Na lieber nicht, wenn der Rest schon nicht stimmt.) Der Autor des Tools ignoriert einfache Standards (den schlimmsten Fehler begeht er nicht - er nutzt AES, statt selbst einen Algorithmus zu bauen, der garantiert alle Standardfehler enthält) und verspricht Dinge, die nicht, oder nur unter ganz speziellen Bedingungen überhaupt möglich sind. Das Tool ist kein völliger Mist, da es auf einem veröffentlichten, gut geprüften Algorithmus basiert, aber das Drumrum ist schon zweifelhaft. Es bietet nichts, was nicht auch in vertrauenswürdiger Software enthalten ist, die gezeigt hat, dass sie funktioniert, und überwiegend sogar quellcodeoffen ist.

Und wenn die Software aus irgendeinem Grund verschwindet, dann sitzt man auf verschlüsselten Daten, an die man kaum noch heran kommt. Ich verstehe nicht, warum so viele Crypto-Anfänger die Standardfehler machen, die in jedem guten Crypto-Buch ganz weit vorne beschrieben stehen, und ihre Ergebnisse dann auch noch veröffentlichen müssen. Am Ende benutzt noch jemand solche Programme.

Zum Generieren von Passwörtern verwende ich zum Beispiel PWGen (http://pwgen-win.sourceforge.net/). Das erzeugt einen eigenen Entrophiepool und ist sehr schön konfigurierbar.

Zum Ver- und Entschlüsseln würde ich GPG verwenden, denn es ist am besten überprüft und äußerst kompatibel. Verschlüsselte Dateien aus den frühen 1990ern können noch heute geöffnet werden. GPG/PGP-kompatible Software ist unsterblich und läuft auf jedem größeren Betriebssystem. Egal, was passiert. Solange es noch Computer auf der Welt gibt und man das Passwort kennt, kann man seine Daten wieder entschlüsseln.

Wenn es denn nicht GPG sein soll, so haben einige (wenige) Packprogramme eine ordentliche Verschlüsselung eingebaut. Zum Beispiel 7-Zip, wenn man das 7z-Format verwendet. Auch diese verschlüsselten Daten lassen sich leicht, auch in Zukunft, auf allen möglichen Geräten entschlüsseln.

Ich weiß, es ist schwer zu verstehen, warum es ein bestimmtes Crypto-Programm für manche Menschen offensichtlich nicht verdient, dass man sich näher damit auseinandersetzt. Wer einen ersten Einblick in die Materie erhalten möchte, dem empfehle ich das Buch "Angewandte Kryptographie", eine Übersetzung von "Applied Cryptography" von Bruce Schneier, vom Wiley-Verlag. Anschließend versteht ihr, dass, und vor allem warum, sich mit ein paar simplen Regeln die große Masse an Crypto-Mist herausfiltern lässt. Kurz gesagt: Wer schon die einfachen Anfängerfehler macht, die bereits nach kurzer Auseinandersetzung mit der Materie nicht mehr vorkommen sollten, der hat mit sehr hoher Wahrscheinlichkeit nichts Brauchbares geschaffen.

Jean
Beiträge: 11590
Registriert: 30.10.01, 12:41

Re: Quick Crypt 1.0 - AES-Verschlüsselung mit Verfallsdatum

Beitrag von Jean » 07.07.14, 15:42

jupps, mir ist bekannt, daß es im Krypto-Sektor nur so von wusseligen Tools und schlechten Implementierungen wimmelt.
Ich kann - in aller Regel - nichts davon wirklich beurteilen, und ich selber verwende gut dokumentierte / überprüfte Tools.
Dieses bietet 2 Features an, die nicht dokumentiert werden (das ist ja so ziemlich Standard in der Branche), aber das alleine
ist kein zwingender Hinweis, daß sie vollkommen panne sind. Die fehlende Kompatibilität zu einem anderen AES-Tool habe
ich bemängelt, aber daß ein Tool fakultativ zusätzliche proprietäre Mechanismen anbietet, die (so sie richtig implementiert
sind) mehr Sicherheit versprechen, sollte es nicht wirklich unseriös machen ...

Wie dem auch sei: danke für die grundsätzlichen Hinweise zu Krypto + Co., aber das hier ist eine Tool-Vorstellung unter
Dutzenden gleicher (apokrypher) Art - keine Empfehlung, sein Leben daran zu binden.

DrSnuggles
Mitglied
Beiträge: 70
Registriert: 02.03.05, 2:35

Re: Quick Crypt 1.0 - AES-Verschlüsselung mit Verfallsdatum

Beitrag von DrSnuggles » 07.07.14, 17:52

Jean hat geschrieben: Dieses bietet 2 Features an, die nicht dokumentiert werden (das ist ja so ziemlich Standard in der Branche), aber das alleine
ist kein zwingender Hinweis, daß sie vollkommen panne sind.
Doch genau das ist der Fall.
Sichere Kryptografie hängt nur vom Schlüssel ab, bei diesem tollen Programm aber von dem Tool.
Wenn ich das Programm reverse kann ich eine Datei auch öffnen wenn die x Tage vorrüber sind (mal abgesehen davon, dass das Systemdatum trivial zu manipulieren ist).
Jean hat geschrieben: aber daß ein Tool fakultativ zusätzliche proprietäre Mechanismen anbietet, die (so sie richtig implementiert
sind) mehr Sicherheit versprechen, sollte es nicht wirklich unseriös machen ...
Es wird Sicherheit versprochen die Objektiv nicht ohne Third Party die den Schlüssel verwaltet möglich ist.
Sicherheit versprechen die nicht zu halten ist, ist aber wiederum der vollständige K.O. bei einer Kryptosoftware.

PS: Ich wär ja dafür Kryptosoftware im efb überhaupt nur zuzulassen wenn sie Open Source ist. Damit würde automatisch der meiste Schrott aussortiert.

Jean
Beiträge: 11590
Registriert: 30.10.01, 12:41

Re: Quick Crypt 1.0 - AES-Verschlüsselung mit Verfallsdatum

Beitrag von Jean » 07.07.14, 18:37

... um das mal etwas kurz zu halten. Ich kann keine wirklichen Aussagen über das Tool machen, noch laufe ich
Krypto-Chef persönlich hinterher. Eure Hinweise zur vorsichtigen Beurteilung / Nutzung von Krypto-Tools sind
alle richtig - da sagt keiner was dagegen. Und ich will auch keine apokryphen Tools verteidigen, noch grund-
legende Trivia über Krypto diskutieren ...

Aber. Ja, es gibt immer ein aber. Ich kenne die Implementierung der undokumentierten Features nicht. Du vielleicht
auch nicht. Wenn es sich um ein triviales Systemdatum handelt, hast du Recht. Ist es denn so? Selbst wenn: dann
ist zwar der versprochene Verfall relativer Blödsinn, aber die AES-Verschlüsselung ist damit nicht obsolet.

Zum 2 Punkt: es wird die gleiche Sicherheit versprochen, die auch jedes andere hier gelistete handliche Tool ver-
spricht / bietet. Ich sehe da jetzt keinen schwerwiegenden Unterschied zu anderen colsed-source-Teilchen, der
eine elementar andere Beurteilung stützen würde.

Nur open-source-Krypto? Gut, da bleibt nicht so viel. Und dann aber ehrlich machen: nicht einfach "open-source"
(das ist per se zuerst nur mal eine gefühlte Sicherheit), sondern "überprüfte open-source". Da bleibt dann noch
weniger. Wir versuchen hier, gute / interessante Tools vorzustellen - ich denke, für eine wirklich stichfeste Auswahl
gibt es andere Stellen. Wenn du gute Belege hast, welcher der hier gelisteten Tools ok sind, nehmen wir das gerne auf.

Antworten