Fragen zur effektiven Sicherheit von BOXCRYPTOR

kritzekratze

Ich habe da mal folgende ketzerische Fragen:

Die AES-256-Bit-Verschlüsselung wird ja unmittelbar nach Erstellen einer Datei aktiv und generiert 1:1 eine verschlüsselte Datei im cloud-gespeicherten Ordner. Dabei werden offensichtlich keinerlei Zufallsdaten verwendet, jedenfalls ist die Ergebnisdatei bei mir immer die selbe, wenn das Original auch das selbe ist (zumindest gibt mein Quersummentester immer das selbe Ergebnis aus).

Wer nun (z.B. durch ein Datenleck mittels eines Hacks beim Cloudanbieter) zufällig an diese verschlüsselten Dateien kommt, wird es sicherlich schwer haben, diese zu knacken. Wer aber (z.B. als Mitarbeiter in den Rechenzentren des Cloudbetreibers) den vollständigen Verlauf einsehen kann, der könnte z.B. durch Analyse typischer Dateinamen und Änderungsverläufe (wie z.B. dem Auftauchen von "Neu Textdokument.txt" und dessen typischerweise darauffolgende Namensänderung, wie sie bei Windows immer üblich ist) den Schlüssel errechnen, und hätte damit vollen Zugriff auch auf alle übrigen Dateien, da es sich ja wohl um eine symmetrische Verschlüsselung handelt?

Zu solchen Themen vermisse ich eine Erläuterung sowohl in Ihrem Handbuch, als auch auf Ihrer Webseite. Oder habe ich da was übersehen?

Den Verweis auf die "Sicherheit" mit Hilfe Ihres Textes "AES-256 ist von der US Regierung zum Schutz von TOP SECRET Informationen freigegeben" finde ich nicht erhellend, sondern eher irreführend. Denn ich denke nicht, dass die US-Regierung ihr Verschlüsselungssystem im aktiven Betrieb online stellt und so der Beobachtung preisgibt.

Vielen Dank für weitere Hinweise! Beispielsweise auch über die Hintergründe darüber, warum die Auslagerung der ".encfs6"-Datei indirekt empfohlen wird (welche offenbar mit der Backup-Datei identisch ist).

Geronimo

Zufallszahlen fließen in die Generierung des Schlüssels , dh. zwei mit dem dem gleichen Passwort usw. erstellte .encfs6.xml Dateien sind unterschiedlich.
Identische Dateien die zwei mal mit dem gleichen Schlüssel symmetrisch codiert worden sind sind dagegen gleich - wie sollten sie sonst entschlüsselt werden.

zu modernen Verschlüsselungsverfahren : deren Algorithmen liegen in der Tat offen und werden kryptoanalytischen Tests auf ihre mathematisschen Schwächen hin unterworfen. Das ist im Gegensatz zu historischen ('tausche Buchstabe 'e' gegen 't') etc , trivialen und proprietären (=selbstgestrickt aber nicht offen zugänglich , in manchen Programmen zu finden) ihre Stärke.
Man kann in fünf Minuten ein Programm basteln das die Bits und Bytes durcheinanderpuzzelt und für den User staunend "verschlüsselt", es ist aber wertlos, der einzige 'Schutz' ist daß das Verfahren nicht offen ist und wird keiner Kryptoanalyse standhalten.
D.h bei AES & co ist im Gegensatz dazu das _Verfahren_ selbst ist auf konzeptionelle Lecks getestet und die Verschlüsselungssicherheit liegt in der korrekten Implementierung + geeignetes langes Passwort. AES/Rijndael etwa ist das Ergebnis einer öffentlichen Ausschreibung zur Entwicklung eines Algorithmus, die Kandidaten wurden vielfältigen Prüfungen unterworfen.
Nach derzeitigem Stand ist der 256-Bit AES bei korrekter Anwendung nicht in angemessener Zeit knackbar. Sollten Quantencomputer Realität werden wäre die Schlüsselstärke von 256bit (bei symmetrischen Schlüsseln) zu überdenken.
Zudem ist selbst bei Verwendung eines schwachen Passworts die Sicherheit relativ zur Angemessenheit zu sehen - die NSA wäre wohl in der Lage ein 8 stelliges Passwort trivialer Art zu knacken (brute-force) doch sollte im Falle privater Daten ist dies wohl bedeutungslos.

kritzekratze

Hallo Geronimo, Danke für die Stellungnahme.
Sie schreiben:

"Identische Dateien die zwei mal mit dem gleichen Schlüssel symmetrisch codiert worden sind sind dagegen gleich - wie sollten sie sonst entschlüsselt werden."

Na, dann schauen Sie sich mal die von PGP oder GnuPG verschlüsselten Dateien an, da gleicht keine auch nur im entferntesten der anderen, auch wenn die Vorlage gleich ist.

Vielleicht gibt es noch etwas tieferschürfende Infos zu meinen Fragen? Insbesondere die Tatsache, dass bestimmte Dateien typischerweise von den meisten Nutzern immer wieder in die Box gelegt werden, dürfte bei Verschlüsselungsexperten zumindest ein Stirnrunzeln verursachen.

Ich denke, es wäre bei einem Produkt wie Boxcryptor angemessen, hier ein paar mehr Worte an die Nutzer zu verlieren.

Insgesamt finde ich das Projekt übrigens wirklich prima. Es ist wichtig, solche Software für den privaten Bereich auch kostenlos anzubieten. Weitermachen!!!

Geronimo

Es war vielleicht mißverständlich ausgedrückt - eine Datei die mittels EncFS(Boxcryptor basiert auf diesem Verfahren) und demselben Schlüssel zweimal verschlüsselt wird, liefert auch 2x dasselbe Ergebnis. Das heißt nicht daß jede symmetrische Veerschlüsselung so aufgebaut werden muß.
EncFS selbst etwa bietet optional noch Per-file IV und Block heads mit Zufallszahlen an die die Sicherheit erhöhen (sollen) - dies wird von Boxcryptor leider nicht unterstützt. Allerdings ist (und soll lt. Entwicklern) Boxcryptor keine vollständige Implementierung von EncFS sein, die Schwerpunkte liegen , siehe Forum, woanders - etwa in der cloudfähigkeit.
Partiell ist es richtig, daß sich das Boxcryptorteam in Bezug auf den technischen Hintergrund bzw die Wurzeln des Projektes (EncFS) etwas bedeckt hält.
Es steht aber jedem frei sich im Netz (Stichwort AES, EncFS, etc) schlau zu machen, bzw. , ganz klassisch, Literatur (etwa von S Singh) heranzuziehen.

Robert

Hi kritzekratze,

Wir haben bereits einige Artikel zur Sicherheit von BoxCryptor in unserer Knowledge Base (http://support.boxcryptor.com) und wir versuchen diese Dokumentation laufend zu verbessern. Bzgl. deinen Fragen:

"[...]könnte z.B. durch Analyse typischer Dateinamen und Änderungsverläufe (wie z.B. dem Auftauchen von "Neu Textdokument.txt" und dessen typischerweise darauffolgende Namensänderung, wie sie bei Windows immer üblich ist) den Schlüssel errechnen[...]"

Wir (und EncFS) verwenden für die Dateinamenverschlüsselung unter anderem eine AES-basierte Stromverschlüsselung mit Cipher Feedback (CFB). Dabei wird ein Bitstrom erzeugt, mit dem der originale Dateiinhalt über XOR verschlüsselt wird. In diesem Falle wäre diese Beobachtung tatsächlich fatal, und - zumindest die Dateinamen - ließen sich alle entschlüsseln [(Nachr-1 xor Schlüsselstrom) xor (Nachr-2 xor Schlüsselstrom) = (Nachr-1 xor Nachr-2). Dies resultiert in Analysierbarkeit von Nachr-1 & Nachr-2, und letztendlich in der Rekonstruierbarkeit des Schlüssel*stroms*, *nicht* des Schlüssels selbst]. Tatsächlich benutzen wir (und EncFS) aber kein reines CFB, sondern ein eigenes Derivat, bei dem dieser Angriff nicht möglich ist in dem zusätzliche Byte-Operationen angewandt werden. Dadurch wird ein einzelnes, verändertes Bit über eine größere Distanz propagiert, so dass ein komplett anderer Ciphertext die Folge ist. Die Details der Implementierung können gerne im öffentlich verfügbaren Quelltext von EncFS überprüft werden.

"[...]Denn ich denke nicht, dass die US-Regierung ihr Verschlüsselungssystem im aktiven Betrieb online stellt und so der Beobachtung preisgibt[...]"

Doch, sie benutzen offiziell AES, und dieses Verschlüsselungssystem ist offen. Siehe auch die Aussage von Geronimo.

"[...]warum die Auslagerung der ".encfs6"-Datei indirekt empfohlen wird[...]"

Empfohlen wird dies von uns nicht (schließlich funktionieren dann die mobilen Apps nicht mehr), aber einige User hatten sich solch ein Feature gewünscht, weswegen wir es implementiert haben. Der entscheidende Vorteil dabei ist, dass man weniger Angriffsfläche für Brute-Force Angriffe bietet, da ohne die .encfs6.xml Datei der AES-Schlüssel direkt geknackt werden müsste. Mit .encfs6.xml Datei "genügt" es das Benutzerpasswort zu knacken - solange man ein ausreichend sicheres Passwort wählt, ist aber auch dies nicht praktikabel durchführbar und daher kein Sicherheitsproblem.

"Na, dann schauen Sie sich mal die von PGP oder GnuPG verschlüsselten Dateien an, da gleicht keine auch nur im entferntesten der anderen, auch wenn die Vorlage gleich ist."

Wir verwenden für einen gesamten BoxCryptor-Ordner einen AES-Schlüssel und (noch) keine individuellen IVs für jede einzelne Datei. Dies ist kein Problem für die Verschlüsselung an sich und die Daten können ohne das korrekte Passwort nicht entschlüsselt werden. Ein Angreifer könnte dadurch feststellen, dass zwei Dateien gleich sein müssen wenn zwei verschlüsselte Dateien innerhalb eines BoxCryptor Ordners gleich sind. Auch wenn dies kein akutes Problem für die Sicherheit der Dateien darstellt, arbeiten wir daran dies zu verbessern.

"die Tatsache, dass bestimmte Dateien typischerweise von den meisten Nutzern immer wieder in die Box gelegt werden, dürfte bei Verschlüsselungsexperten zumindest ein Stirnrunzeln verursachen"

Benutzerübergreifend unterscheiden sich die Schlüssel so dass die selbe Datei bei unterschiedlichen Nutzern vollkommen anders verschlüsselt wird. Dadurch geht hiervon keine Gefahr aus.

Viele Grüße,
Robert