Die Reise nach Jerusalem – Router stürzt ständig ab.

Die Reise nach Jerusalem, könnte man meinen… Diesmal handelt es sich um das Arbeitspferd von D-Link, was mich sozusagen virtuell dorthin tragen soll. Der Name des Pferdes: DSL-2543B. Es handelt sich dabei um einen handelsüblichen Standard DSL Router mit eingebautem Modem. ADSL 2+ fähig. Kann das, was ein DSL Router so können soll. Ein bissl mehr Kleinkram ist auch dabei. RIP zum Beispiel. Leider macht der Router von RIP meist in einem ungewöhnlichen Weg Gebrauch. RIP in diesem Fall der unerklärliche Absturz. Rest in Peace. Der Friede ist nur kurzweilig, da das Gerät sich schnell auf der Mitte der Dartscheibe wiederfand. Der Focus des Bösen-Blick half genau so wenig, wie das Anbringen einer Zeitschaltuhr, die den Router pünktlich einmal pro Tag einen auf das Mützchen gibt.

Die Abhilfe lag auf der Hand. Router exekutieren oder zu Ebay ausweisen lassen. Vorerst die Verhandlung. Warum stürzt es ab? Erstmal ein neuer Router, ein SMC Barricade irgendwas. Lief…. crashed. Selbes Zeug, mhnm IPCop Linux Zeug, crashed auch. Verrückterweise frieren alle Maschinen ein. Komplett. Auch das Linux. Neues Linux, Debian, neuer Kernel, friert auch ein. Anderer Rechner, anderes Switch, andere Netzwerkkarten, crashed der Router auch. Also anderes DSL Kabel, haben davon ja genug, crasht weiter.

Zu allem Übel, laufen zwei weitere baugleiche Router mit dem Problemanschluss tadellos. Sobald das Netzwerk nicht mehr dranhängt. Har, Netzwerklast. Also 1 Monat lang mit voller Bandbreite Zeug geladen, nööö auch das wars nicht.

Mein Latein, vorerst am Ende, da baldig ein Cisco Router mit einer ASA sich das DSL detailliert angucken darf. Viren? Nix. Komisches Zeug, wie Angriffstools…. nix. Komische Pakete? Nein. Was überlanges? Nein. MTU Size? Überall gleich. Ein Gerät kann die MTU Size nicht? Nein, da MTU genau auf Standardwinzig. MAC Adress Table voll? Nein, unter 200 MACs nur aufm LAN. Andere Router im LAN? Nein. Nach was such ich bloß noch? Ich wart mal ab, was die Cisco Geräte auf den Syslog Rechner schreiben. Grauselig!

Was ist exFAT/FAT64?

FAT64 bzw. exFAT ist ein Dateisystem, welches speziell für Flash-Speicher entwickelt wurde. Digitale Kameras und andere Geräte, die viele große Daten auf Flash Speicher schreiben, benötigten ein flash-schonendes Dateisystem, dass die Grenzen von dem normalen FAT überschreitet (max. 2GB bei FAT16, max. Dateigröße von 4GB bei FAT32), welches nicht mit vielen I/O Operationen, beispielsweise im Journal, nach und nach den Flash kaputtschreibt. Ein Flashspeicher kann nur eine gewisse Menge an Schreiboperationen durchführen. Anschließend ist die oft beschriebene Speicherzelle defekt. Es gibt Hersteller, die sich ausgefeilte Techniken zur Verteilung der Daten auf solchen Speichern ausgedacht haben, um dieses Problem möglichst weit in die Zukunft zu verlagern. Dennoch schreibt ein journal-basierendes Dateisystem eine Datei mit mehr I/O Zyklen auf ein Dateisystem, als ein nicht-journalbasiertes. Dazu wird oftmals im Journal an vielen Stellen entsprechende verändert. Auf diese Weise werden die Flashelemente an diesen Stellen, wo das FS selbst liegt stark belastet, da es dort sehr viele Änderungen gibt. Doch das FS ist nunmal ein extrem wichtiges Teilstück des Dateninhaltes des Flash. Ein Schaden an dieser Stelle ist nicht gewollt.

Gut, je mehr hier und da und wiederum hier und dann wieder da geschrieben wird, belastet die Lebenszeit des Flashspeichers. Einer Festplatte ist dies (fast) völlig egal, da die Oberfläche die Daten auf ferromagnetischer Basis speichern. Dort sind Kratzer und kleinste Staubpartikel auf eine kurze Zeit hin tödlich. Daher wird gerne bei einem Flashspeicher FAT genutzt. Große Blöcke, simple Verwaltung alles in allem ein sehr einfaches Dateisystem.

Die maximale Dateigröße in FAT64/exFAT ist 16 Exabyte.

Eingeführt wurde es für mobile Geräte mit Windows CE 6 oder mehr im Jahre 2006. Bei solchen Systemen war NTFS schlecht oder gar nicht einsetzbar. In die allseitsbeliebte Windows-Welt fand exFAT mit Windows Vista ab Service Pack 1. Sogar für Windows XP ab SP2 existiert ein Update, so dass XP damit auch klarkommt. Für Linux wird gerade an einem Treiber gebastelt. Aktuell ist der exFAT Support nicht der Beste, es wird vermutlich nicht allzulange dauern, bis der Support fertig ist.

Doch welche Vorteile wurden in exFAT eingeführt? Die maximale Dateigröße beträgt 64 ZiB. Das ist astonomisch. Microsoft empfiehlt eine maximale Dateigröße von 512 TB. Das ist immer noch astronomisch, aber man kann sich den Haufen 2TB Festplatten immerhin grad noch vorstellen. Ein Cluster darf in FAT64 maximal 32MiB groß sein. Auf diese Weise kann ein Hersteller eine Digitalkamera zum Beispiel die Blockgröße grad so passend wählen, das in einem Block immer ein RAW Foto abgelegt wird. Das erleichert die Dateiwiederherstellung und verhindert auf der Digitalkamera fragmentierungen. Zusätzlich wurde in das Dateisystem eine Tabelle eingeführt, die alle freien Cluster indiziert. Des weiteren werden ACLs unterstützt. Sogar Transaktionen werden unterstützt.

Der Nachteil aktuell liegt da, dass das Dateisystem nicht sonderlich weit in den Betriebssystemen verbreitet ist. Ab MacOS V.10.6.5 ist exFAT auch unterm Mac vorhanden.

Was kann zum Beispiel gegen ARP basierende Attacken gemacht werden?

Mir ist zu diesem Thema ein sehr interessantes Projekt aufgefallen. ArpON ist der Name und bedeutet „ARP handler inspection“. Hierbei handelt es sich um einen Dienst, der ARP absichern soll, um MITM Man-in-the-Middle Angriffe durch ARP Spoofing/Poisioning basierende Angriffe zu vermeiden. Der Dienst erkennt und blockiert verschiedene Angriffe, wie DHCP Spoofing, DNS Spoofing, WEB Spoofing, Session Hijacking und SSL/TLS Hijacking Attacks.

Möglich gemacht wird dies mit drei verschiedenen Anti-ARP-Poisioning Techniken. Die erste Technik basiert auf SARPI oder auch statische ARP Inspektion in fest konfigurierten Netzwerken ohne DHCP mit fest vergebenen IP Adressen. Der zweite Ansatz basiert auf DARPI, der dynamischen ARP Inspektion in Netzwerken, die dynamisch mit DHCP automatisch konfiguriert werden. Die dritte Methode basiert auf HARPI. Diese Methode wird auch Hybrid ARP Inspection genannt und wird in „hybriden“ Netzwerken verwendet, die einmal teilweise mit DHCP automatisch konfiguriert werden und zudem statisch vergebene IP Adressen besitzen.

Die Methoden SARPI, DARPI und HARPI beschützen das Netzwerk vor uni- und bi-direktionalen mitsamt verteilten Angriffsszenarien. Bei dem Schutz vor unidirektionalen Angriffen ist es nötig ArpON auf dem Hostsystem installiert und aktiv zu haben, worauf sich der Angriff bezieht. Beim Szenario eines bidirektionalen Schutzes vor Angriffen muss ArpON auf beiden Hostsystemen installiert sein, die zueinander eine Verbindung aufgebaut haben. Der Schutz vor verteilten Angriffen auf die Hostsysteme muss ArpON auf allen Rechnern installiert sein, die sich in dem zu schützenden Netzwerk befinden. Alle Systeme, die nicht mit ArpON geschützt worden sind, können sich gegen einen Angreifer nicht zur Wehr setzen.

ArpON ist also eine hostbasierte Lösung, welche nicht das ARP Protokoll mit samt den Tücken verändert. Es setzt vielmehr einige praktische Techniken zum Schutz der Systeme vor ARP Angriffe ein, um die Erfolgchancen eines Angreifer in diesem Bereich entscheidend zu minimieren.

Alles weitere befindet sich hier: http://arpon.sourceforge.net/

Was passiert, wenn ein geswitchtes LAN mit verschiedenen MAC-Adressen geflutet wird? Wozu ist das gut?

Ein Bösewicht hat sich den Zugang zu einem LAN verschafft. Nun kann er dennoch nicht den kompletten Datenverkehr im LAN sehen. Meist sind die Kennwörter oder die Hashwerte interessant. Die Hashwerte könnten für einen Pass-the-Hash Angriff verwendet werden, um sich Zugriff auf einen Server zu verschaffen, ohne dabei das echte Kennwort zu kennen. Ungesalzene Hashwerte können ausgespäht und anschließend zu Hause bei Kaffee und Gebäck oder Red Bull und Gummibärchen recht leicht in Ruhe in Klartext umgerechnet werden.

Flooding. Dem Thema wird sich nun genähert. Wird ein Switch mit vielen verschiedenen MAC-Adressen geflutet, so läuft irgendwann die MAC-Tabelle über. Das Switch sollte sich daran nicht stören. Es schaltet, ganz nach RFC nun vom Switching- in den Multiport-Repeater- Modus um und verhält sich plötzlich wie ein Hub. Nun kann der Angreifer sehen, was auf dem LAN los ist und beginnen in dem Kochbuch für Schabanack nach weiteren Ideen zu blättern. Da bieten sich leckere Gerichte an wie Session-Hijacking oder Gateway-Spoofing. Guten Appetit.

Entfernen von Drive-by-Exploits/Malware

Ist Malware erst einmal auf dem System am herum spuken, ist dies ein Problem. Nicht nur, weil es dann passiert ist und der Computer im Brunnen gefallen ist, sondern weil der Benutzer unter Umständen auch nicht mehr alleine ist. Kennwörter, ebay-Accounts, Windows-Seriennummern und alles, was irgendwie zu finden ist, wird schon kurz nach der Infektion in den nachfolgenden Sekunden übertragen und sind dann erst mal weg. Und werden natürlich weiter verwendet, bzw. verkauft.

Passwörter können geändert werden, dies sollte dann im Falle des Falls umgehend auch schnell mit einem sauberen System geschehen. Falls nach einer Neuinstallation die Seriennummer von Windows nicht mehr akzeptiert wird, gibt es vermutlich schon zu viele Installationen. Da hilft maximal nur noch der Support von Microsoft.

Gut, was tun, wenn es soweit ist und der Benutzer es überhaupt gemerkt, dass etwas nicht stimmt? Gute Drive-By-Exploits verlaufen unbemerkt. Also merkt der Benutzer nichts. Neue Malware wird unter Umständen von selbst aktuellen Anti-Virus Programmen nicht erkannt. Erst nach einigen Tagen kann ein Update dazu führen, dass plötzlich Alarm ausgelöst wird, falls das AV-Programm dann nicht von der Malware lahmgelegt worden ist. Natürlich wirft die automatische Verhaltensanalyse von wenigen AV-Programmen auch bei unbekannter Malware manchmal einen Alarm. Allerdings gibt es auch eine gewisse Wahrscheinlichkeit eines Fehlalarms. Keine Panik, diese Tools müssen paranoid wirken. In der Regel haben die Benutzer diese meist aus. Wer will ständig mit Meldungen belästigt werden?

Sinnvoll, sind Script- und Ad-Blocker. Diese verhindern gute und gleichzeitig böse Skripte. Vertrauenswürdige Seiten werden nach und nach erlaubt und andere blockiert. Das reduziert die Wahrscheinlichkeit infiziert zu werden erheblich. Es macht etwas mehr Arbeit, wirkt aber recht gut. Selbstredend sollte OS und alle Programme auch aktuell gehalten werden. Ein besonderes Augenmerk sollte der Benutzer auf Dinge legen, die im Browser laufen, wie PDF, Flash und die ganzen Dinge, worüber schnell ein Einfallstor geschaffen werden kann. Je aktueller die Software, je besser.

Sitzt die Malware auf dem System und wurde bemerkt, bzw. der Benutzer hat den Verdacht, dass etwas komisch läuft, so sollte Ruhe bewahrt werden. Die Daten, die weg sind, sind eh weg. Jetzt geht es darum, zukünftigen Schaden zu minimieren. Also speichere man das ab, was man gerade tut und fährt das System normal herunter. Ein kleines Goldstück sind die AV Live CDs. Kaspersky und AVIRA und andere bauen solche bootfähigen Medien, die das System nach Malware untersuchen. Da die Malware im größtmöglichen Fall mit der Live CD nicht mehr aktiv ist, kann sie auch wenig unternehmen, um sich zu verstecken oder zu wehren. Ist alles soweit bereinigt, neu booten und alle Security und AV-Programme deinstallieren und sauber neu installieren. Malware deaktiviert diese teilweise oder beschädigt sie so, dass sie nicht einwandfrei mehr arbeiten. Eine Neuinstallation dieser wenigen Tools minimiert auch das Risiko.

Möglicherwiese ist bekannt, womit das System infiziert worden ist. Vielleicht liefern die Suchmaschinen Ergebnisse zu diesem Tu-Nicht-Gut.

Verwendet man auf dem System besonders sensible und kritische Daten mit brisanten Inhalten, sollte der Mitarbeiter gar nichts tun, seine Arbeit speichern, den Netzwerkstecker ziehen und seine IT-Security Abteilung informieren, die mit einer forensischen Analyse Details zur Infektion und dem entstandenen Schaden herausfinden kann.

Empfohlene AV Live CDs:

Avira AntiVir Rescue System Homepage Download
AVG Rescue CD Homepage Download
Kaspersky Rescue Disk Homepage Download

Können ICQ Passwörter aus einem PCAP File extrahiert werden?

Der ICQ Chat ist oft unverschlüsselt. Somit kann ein Chat eines anderen beispielsweise in einem Internet-Cafe leicht mitgeschnitten werden. Hierzu muss der Angreifer lediglich den Traffic zum Gateway durch sich selbst umleiten, um den ganzen, ins Internet laufenden, Traffic sehen zu können. Ettercap kann dazu verwendet werden. Natürlich können auch einfach WLAN Pakete einfach so mitgeschnitten werden (airodump-ng). Sind sie, wie oft in Cafés oder Restaurants unverschlüsselt (oder man hat den Schlüssel), so können die Daten in Klartext als PCAP Datei abgespeichert werden. Natürlich befindet sich alles Mögliche in diesen Dateien, unter anderem vielleicht ein Chat. Jedoch ist das Aufbrechen einer SSL Verbindung nicht ganz so einfach. Ein einfach mitgeschnittener Datenstrom beinhaltet oft die Kennwörter (ICQ etc.) geschützt mit einer SSL Verbindung. Nachlaufender Traffic wird oft nicht verschlüsselt übertragen, um Performance zu sparen.

Das Aufbrechen einer SSL Verbindung kann versucht werden, indem der Angreifer sich zwischen das Opfer und das Gateway stellt. Er erzeugt eine Art transparenter Proxy, der so tut, als wäre er das Gateway. Die Opfermaschine kann dies zuerst einmal nicht auseinanderhalten. Eine SSL Verbindung wird angenommen. An dieser Stelle wird die Opferseite eine Warnmeldung bekommen, dass etwas mit dem Zertifikat nicht stimmt. Meist baut der einfache Angreifer ein selbstsigniertes Zertifikat und hofft, dass das Opfer, wie immer, alles mit Ja bestätigt. Das klappt auch immer wieder. Wenn das Programm selbst nicht die Verbindung verweigert kann so live das Kennwort mitgelesen werden und alles andere, was über die aufgebrochende SSL Verbindung kam. Der Angreifer leitet die Daten entsprechend als transparenter Proxy über eine weitere SSL Verbindung zum eigentlichen Ziel weiter.

Somit kann gesagt werden, dass ohne einen gewissen Aufwand das ICQ Passwort einem einfachen Angreifer verborgen bleibt, wenn SSL im Spiel ist. Sollte die ICQ App kein SSL unterstützen, vielleicht kann das ggf. durch den Benutzer abgeschaltet werden, hat man leichtes Spiel. Auch ohne Spoofing des Gateways. Natürlich kann der Angreifer versuchen simpel SSL zu blockieren, um das Opfer dazu zu bringen unverschlüsselt zu kommunizieren. Bestimmt erinnert sich der ein oder andere an die Einstellung im Outlook Mailclient, das SSL „automatisch“ umgesetzt wird. Das heißt aber auch: Wenn nicht explizit verlangt durch den Benutzer, was bei „Automatisch“ nicht der Fall ist, greift der Client auf eine unverschlüsselte Übertragung des Kennwortes zurück, wenn SSL nicht klappt. Blockiertes SSL führt zu unverschlüsselten Kennwörtern. Und dass kann der einfache Angreifer wiederum leicht mitlesen. Es kann gut sein, dass einige ICQ Clients ein ähnliches Verhalten zeigen. Hier gilt: Ausprobieren.

Wofür werden VLANs verwendet? Was bringt der Einsatz von VLANs?

Unter einem VLAN, einem Virtual Local Network, versteht der Netzwerker ein logisches Teilnetz innerhalb eines Switches oder einem kompletten physischen Netzwerk. Das VLAN kann über mehrere Switche ausgedehnt werden. Das VLAN teilt mehrere physische Netze in Teilnetze auf. Dies geschieht dadurch, dass entsprechende markierte Frames eines VLANs nicht in andere VLANs gelangen, bzw. weitergeleitet werden. Dabei können mehrere Teilnetze an ein gemeinsames Switch angeschlossen werden.

Warum VLANs? Was sind die Gründe und Vorteile eines VLAN?

Normalerweise werden lokale Netzwerks (LAN) heutzutage mit aktiven Komponenten aufgebaut, die auf der OSI-Ebene 2 oder höher arbeiten. Oft handelt es hierbei um Switches. Die meisten gängigen Ausbauten von Switchen ermöglichen einen Full-Duplex Betrieb. Auf diese Weise können Kollisionen vermieden werden. Desweiteren kann ebenso auf diese Weise ein recht großes LAN aufgebaut werden, welches über locker 400 Nodes verfügt und dennoch noch eine recht gute Performance besitzt.

Dennoch ist eine Unterteilung dieser Netzwerke oft sehr sinnvoll und ist aus mehreren Gründen erwünscht:

Durch ein VLAN können Endgeräte recht flexibel zu einem Netzwerksegment zugeordnet werden, dies unabhängig vom Standort der Maschine. Ein VLAN für Marketing wurde erzeugt und ein weiteres für ein Einkauf. Marketing und Einkauf sind somit getrennt. Soll eine Maschine aus dem Marketing in das Netzwerksegment des Einkaufes wechseln, so muss lediglich der Admin das Switchport einem anderen VLAN, hier dem Einkauf zuordnen.

Weitere Gründe sind Performance-Aspekte. Die Internet-Telefonie wird in immer mehr Unternehmen verwendet. Sobald VoIP zur Sprache kommt, ist QoS nicht weit. Um qualitativ hochwertige VoIP Telefonate führen zu können, darf einmal die Bandbreite im LAN nicht zu stark einbrechen, noch besser, sie muss im Vorfeld für dieses Telefonat reserviert werden. Also macht es erstmals Sinn, dass VoIP LAN in ein eigenes VLAN zu legen, welches stark priorisiert wird. Auch bei großer Netzlast kann störungsfrei telefoniert werden. Ein weiterer Grund ist die Reduktion von Broadcast-Domänen. VLAN kapseln Broadcastdomänen – damit müssen nicht alle Systeme alle abgesendeten Broadcasts des ganzes LANs empfangen/bearbeiten. Dadurch wird die Leistung im LAN verbessert.

Sicherheitsgedanken spielen bei VLAN ebenso eine große Rolle. VLAN können gegen Abhören und Ausspionieren von Daten verwendet werden. Sicherheitsrelevante Systeme werden in ein separates VLAN gelegt und durch eine Security Appliance geschützt. Zudem können, falls entsprechend durch eine Firewall geschützt bzw. kein InterVLAN Routing besteht oder keine Route in das andere Subnetz existiert, verschiedene sich im Internet befindliche VLANs nicht auf das sicherheitsrelevante VLAN zugreifen, welches schützendwerte Daten beinhaltet. Früher wurden generell geswitchten Netzen ein Vorteil in Punkto Sicherheit zugestanden. Heute hat diese Aussage keinen Bestand mehr. Es existieren hierzu zu viele Angriffsmöglichkeiten, wie MAC-Spoofing und MAC-Flooding. VLANs sind in dieser Angelegenheit robuster. Hier liegt zu Grunde, dass ein VLAN zu einem weiteren VLAN mit einem Router verbunden wird. Dazu kann eine Firewall auf Layer-3-Basis dazu installiert werden, womit es möglich ist eine Vielzahl von Produkten einzusetzen. Layer-2 Firewalls sind ebenfalls einsetzbar, wenngleich der Einsatz im praktischen Umfeld an dieser Stelle nicht so hoch ist.

Die genannten Punkte können auch durch eine entsprechende aufwendigere Verkabelung und mit dem Einsatz mehrerer Switches und Router umgesetzt werden. Jedoch lassen sich durch den Einsatz von VLAN Kosten und Aufwand deutlich senken. Zudem kommt der Nachteil einer mehrfachen Verkabelung nicht zum Tragen. Selbstverständlich sind VLAN-fähige Geräte etwas teurer, jedoch bei größeren Netzwerken lohnt sich die Mehrausgabe in Firmen meist sofort.

Der neue Internet Explorer 9 ist da

Es gibt ihn nun: Der IE 9 ist da. Installiert und losgelegt. Erinnert mehr als deutlich an Chrome. Ist das Chrome Design so überzeugend, dass sich Microsoft so sehr daran anlegen musste? Immerhin war das IE 8 Design gar nicht schlecht. Seis drum, Microsoft wollte ein sicheren Browser auf den Markt bringen. Ich hoffe es ist ihnen gelungen. Im Vergleich läuft er durchaus fixer, als sein Vorgänger. Zumindest auf meiner Maschine. Leider bringen einige BHOs ihn bei mir aktuell oft zum Crash. Hauptsächlich bei Flash. Mal abwarten. Und vor allem mit einer anderen Konfiguration testen. Der Störfaktor ist nicht sonderlich groß, meist läuft es zufriedenstellend. Ich bin gespannt, ob sich der Marktanteil verändern wird. Ich bin auf die neuen IE9 Exploits gespannt.

Ver- und Entschlüsseln von Dateien mit OpenSSL

Möchte ein Benutzer vertrauliche Daten per Post oder per Internet versenden, so sollten die Daten nur verschlüsselt übertragen werden.

Verschlüsselungsprogramme gibt es viele und einige davon sind kostenpflichtig. Empfohlen wird für die Windows-Welt PGP. PGP ist kostenpflichtig, allerdings gibt es auch eine beschränkte freie Version, die viele Aufgaben abdeckt. Darunter selbstverständlich auch das Verschlüsseln von Dateien. Natürlich gibt der Markt noch viele andere Programme her.

Kostenfrei soll es sein und wenn möglich überall zu entschlüsseln? PGP ist kompatibel zu GPG unter Linux. Hier sollte es keinen Ärger geben, also ist PGP durchaus eine gute Wahl. Jedoch gibt es auch andere Alternativen. Eine darunter ist OpenSSL. OpenSSL kann verschiedenste Verschlüsselungsalgorithmen zur Verschlüsselung der Daten verwenden. Doch welche? Mit dem folgenden Befehl kann sich der Benutzer darüber informieren, welche Algorithmen OpenSSL unterstützt. Hier eine Auszug aus meiner Shell.

neurodump@antilight ~
$ openssl list-cipher-commands
aes-128-cbc
aes-128-ecb
aes-192-cbc
aes-192-ecb
aes-256-cbc
aes-256-ecb
base64
bf
bf-cbc
bf-cfb
bf-ecb
bf-ofb
cast
cast-cbc
cast5-cbc
cast5-cfb
cast5-ecb
cast5-ofb
des
des-cbc
des-cfb
des-ecb
des-ede
des-ede-cbc
des-ede-cfb
des-ede-ofb
des-ede3
des-ede3-cbc
des-ede3-cfb
des-ede3-ofb
des-ofb
des3
desx
rc2
rc2-40-cbc
rc2-64-cbc
rc2-cbc
rc2-cfb
rc2-ecb
rc2-ofb
rc4
rc4-40

neurodump@antilight ~
$

Das Verschlüsseln mit einem privaten und öffentliche Schlüssel wird hier nicht beschrieben. Hier wird ausschließlich der Datenbestand mit einem Kennwort geschützt.

Beispiel für das Verschlüsseln AES mit 256 Bit breitem Schlüssel Methode Chain-Block-Chipher.

neurodump@antilight ~
$ openssl enc -aes-256-cbc -in clear.txt -out encrypted.txt

Beispiel für das Entschlüsseln AES mit 256 Bit breitem Schlüssel Methode Chain-Block-Chipher.

neurodump@antilight ~
$ openssl enc -d -aes-256-cbc -in encrypted.txt > clear.txt

Weitere Artikel dazu:
Lange Kennwörter schaffen Tippfehler – nicht immer mehr Sicherheit
Das Kennwort – Eine Methode zur Erzeugung guter Kennworter für sensible Datenbestände

Lange Kennwörter schaffen Tippfehler, nicht immer mehr Sicherheit.

Ein langes Kennwort ist nur die Hälfte der Sicherheit. Was passiert in der Software mit dem Kennwort? Bei einem 256Bit AES Schlüssel werden 300 Byte Kennwort genausogroß, wie ein 12 Stelliges, nämlich 256Bit. Also irgendwann ist es gut, bzw. die Länge bringt, außer ständiger Tippfehler, nichts mehr. Bei RC4 kann das schon anders sein. Also lohnt ein Blick, was eigentlich die Software mit dem Kennwort schlussendlich tut, um wie bei OpenSSL daraus den Bitschlüssel zu bilden. Bei AES wird ein 12stelliges gutes Kennwort reichen. Soll die Sicherheit erhöht werden, so müssen die Daten mit verschiedenen Schlüsseln immer wieder verschlüsselt werden. Also AES dann, Blowfish und nochmal drüber 3DES sei als ein Beispiel genannt. Dabei sollte für den Angreifer unbekannt bleiben in welcher Reihenfolge das erfolgt ist (Das muss sich der Erzeuger dennoch umbedingt merken!) und dazu sollten die drei Schlüssel an unterschiedlichen Orten aufbewahrt werden. Am Ende den Haufen Cryptodaten zur Verifizierung signieren oder per MD5 die Datenintegrität prüfbar machen. Das Kaskadieren von Verschlüsselungsalgorithmen schafft bei der Entschüsselung oft echte Kopfschmerzen.