EDIT: erledigt

[Chefin]

Wer bis hierhin immernoch nicht eingesehen hat, dass ich kein Scamer bin sollte echt mal zum Psychologen.

Du schreibst selbst, das deine Motivation dabei ist, auch etwas davon zu haben.

Solange sich nicht offensichtlich ergibt das dir das Gefühl jemanden zu helfen reicht(Bill Gates würde ich das glauben...der gehört zu den wenigen Menschen die wirklich kein Geld mehr brauchen), wird man auch immer in betracht ziehen müssen, das du das Geld nimmst auf das du "zufällig" Zugriff hast. Zumal es praktisch nicht beweisbar ist. Ich kann dich dann zwar vor Gericht ziehen, aber dort steht dann nur, das DU ebenfalls den key kanntest, somit 2 Menschen in der Lage wären das geld zu transferieren. Dazu kommt, das ein Dritter durch Rechnerhacks auch in der Lage dazu wäre. Erst wenn man dich mit dreckigen Fingern erwischt, wäre es vieleicht beweisbar.

Eine Bank hinterlegt zb viel Geld, unterwirft sich genauen Regeln, deswegen darf sie fremdes Geld verwalten. Indem du die keys einer Wallet hast bist du quasi eine Bank, zumindest was das Missbrauchspotential angeht.

Und deswegen muss man ganz deutlich warnen. Das heist nicht das du schon scheisse gebaut hast. Das heist nichtmal das du nicht doch vertrauen verdienst. Aber es heist, das dein bisheriges Verhalten nicht vertrauensaufbauend waren. Und Vertrauen musst du dir schon erarbeiten. Dazu geht man nicht her und sagt: gib mir mal deine Kreditkarte und die Pin, ich male dir ein geiles Kunstwerk auf die Karte. Vertrau mir, ich will die Karte nur verschönern, was meinst du wie Geil das ankommt, wenn du dann DAMIT bezahlst. So funktioniert es halt nicht.

Sobald du das kapiert hast, schaffst du es auch Vertrauen aufzubauen. Und sobald du das Vertrauen hast, läuft auch der rest. Jedoch scheint mir, das du ausreichend scrupellosigkeit hast, dich über Gesetze (Glückspiel) hinwegzusetzen, weil du sie für Unsinnig hälst. Ich halte zb das Gesetz zum Besitz auch für Unsinnig. Wieso muss jemand ein Auto "besitzen" wenn es dann jeden Tag 9 Std nur rumsteht, weil er arbeitet. Also da leih ich mir das doch einfach mal aus...ehrlich, ich brings auch zurück. Ist doch nur ein Auto, nicht dein ganzes Geld.

[1337leet]

@1337: 300x sicherer als TrueCrypt? Das verstehe ich nicht ganz. Ist das nicht so ähnlich wie wenn ich sage, MPEG ist besser als AVI? Lässt sich das überhaupt miteinander vergleichen? Denn - soweit ich es verstanden habe, ist doch TrueCrypt nur das, was in meinem Vergleich der Container (AVI) wäre, also das Medium, welches die Verschlüsselung (im Vergleich der Codec, MPEG) implementieren lässt?

Ob ich jetzt Serpent, Twofish, AES mit TrueCrypt auf meine Daten loslasse oder mit irgendeinem anderen Programm, ist das nicht Jacke wie Hose, an und für sich? Und liegt es nicht an der Wahl der Algorithmen, wie stark die Verschlüsselung ist anstatt an der Software, welche sie implementiert?

Veracrypt basiert auf Truecrypt - dabei wurden aber Schwachstellen die in dem Audit von Truecrypt festgestellt wurden ausgebessert.
So ist der Header Key deutlich verstärkt worden.

Truecrypt wurde 2004 entwickelt als die Rechenleistung noch deutlich geringer war - damals war das ganze auch bombensicher. Aber mit steigender Rechenleistung muss auch die Verschlüsselungssoftware anpassen - und das tat Truecrypt nicht wirklich - daher ist Veracrypt deuitlich sicherer. Zusätzlich wird hier auch noch eine PIM verwendet - es muss also das eingegebene Passwort mit einer zumeist dreistelligen vorher festgelegten Zahl übereinstimmen. D.h. Brutforceattacken sind nahezu unmöglich geworden.
Hatte man das Passwort ABC musste vorher nur auf ABC abgeprüft werden. Hat man nun ABC und PIM 666 muss nun alles durchgeprüft werden und das mind. 666 mal wenn man bei PIM 0 anfängt.

Nur mal so als kleiner Denkanstoß - bei Truecrypt hat die Passwortverifizierung ca. 1 Sekunde gedauert - bei Veracrypt dauert sie beim gleichen Passwort ca. 3-5 Minuten (bei Systemverschlüsselung). Und das resultiert nicht aus schlechter Implementierung sondern aus enorm gestiegenen Anforderungen an die Sicherheit.

[qwk]

Nur mal so als kleiner Denkanstoß - bei Truecrypt hat die Passwortverifizierung ca. 1 Sekunde gedauert - bei Veracrypt dauert sie beim gleichen Passwort ca. 3-5 Minuten (bei Systemverschlüsselung). Und das resultiert nicht aus schlechter Implementierung sondern aus enorm gestiegenen Anforderungen an die Sicherheit.

Könnte das nicht evtl. einfach an einem größeren Salt liegen?
Ohne die einzelnen Systeme im Detail zu kennen, beeindruckt mich eine solche Aussage wie "dauert beim gleichen Passwort viel länger" exakt gar nicht.

[1337leet]

It is the higher iterations performed on the hash algorithm as identified in the TrueCrypt audit reports that Mr. Mounir Idrassi has strengthened among other issues identified in both the audit reports and the discoveries Mr. Idrassi and users reported to fixed in the VeraCrypt project. If you read the audit reports, you know that TrueCrypt was released in 2004 when computing power was much less than today. The TrueCrypt 1000 iterations for the system encryption's hash RIPEMD-160 for today's computers is too low.

[1337leet]

It is the higher iterations performed on the hash algorithm as identified in the TrueCrypt audit reports that Mr. Mounir Idrassi has strengthened among other issues identified in both the audit reports and the discoveries Mr. Idrassi and users reported to fixed in the VeraCrypt project. If you read the audit reports, you know that TrueCrypt was released in 2004 when computing power was much less than today. The TrueCrypt 1000 iterations for the system encryption's hash RIPEMD-160 for today's computers is too low.

True Crypt = 1000 Iterationen
Veracrypt = 2048 Iterationen pro 1 PIM.

Der Standard PIM wenn man selbst keinen angibt ist 98 bei Systemverschlüsselungen. D.h. 98 x 2048 = 200704 Iterationen.

D.h. 200,704 x mehr als bei Truecrypt.

Zudem nutzt Veracrypt nicht Ripmed-160 sonedrn SHA-256 welcher auch nochmal deutlich stärker ist.

So kommt man also auf seine 300 x stärker praktisch erklärt...



Und eure Scam Beschuldigungen gehen mir so langsam echt auf den Wecker.

Ich hinterlege den Wert des Geräts beim Escrow und von mir aus schicke ich das Gerät auch erst raus und wenn dann alles ok ist bekomme ich die Bezahlung + Pfand vom Escrow zurück.
Und wenn mir hier jetzt nochmal einer kommt mit "aber du könntest ja trotzem XYZ..." dann hau ich ihm aufs Maul!!!  - sorry für die Ausdrucksweise... aber auf einem anderen Weg scheinen das manche hier nicht zu verstehen.

[qwk]

It is the higher iterations performed on the hash algorithm as identified in the TrueCrypt audit reports that Mr. Mounir Idrassi has strengthened among other issues identified in both the audit reports and the discoveries Mr. Idrassi and users reported to fixed in the VeraCrypt project. If you read the audit reports, you know that TrueCrypt was released in 2004 when computing power was much less than today. The TrueCrypt 1000 iterations for the system encryption's hash RIPEMD-160 for today's computers is too low.

Okay. Also einfach mehr Runden, das ist somit keine stärkere Verschlüsselung.
Von zusätzlicher Sicherheit würde ich da nicht sprechen.

[1337leet]

Von zusätzlicher Sicherheit würde ich da nicht sprechen.

Doch exakt das ist es - der Truecrypt Header Key kann nämlich gebrochen werden aufgrund dessen, dass er nur 1000 Iterationen nutzt.

[curiosity81]

It is the higher iterations performed on the hash algorithm as identified in the TrueCrypt audit reports that Mr. Mounir Idrassi has strengthened among other issues identified in both the audit reports and the discoveries Mr. Idrassi and users reported to fixed in the VeraCrypt project. If you read the audit reports, you know that TrueCrypt was released in 2004 when computing power was much less than today. The TrueCrypt 1000 iterations for the system encryption's hash RIPEMD-160 for today's computers is too low.

Okay. Also einfach mehr Runden, das ist somit keine stärkere Verschlüsselung.
Von zusätzlicher Sicherheit würde ich da nicht sprechen.

Na sicherer ist das schon. Zmdst was Bruteforce-Attacken angeht. Wenn nicht die Passphrase direkt geprueft wird, sondern deren xter Hash, dann muss zur Ueberpruefung ob die Authorisierung geklappt hat eben x-mal gehasht werden. Wenn x gross genug ist, dann kann schon eine einmalige Ueberpruefung mehrere Sekunden dauern. Bei sicherer Passphrase (>= 20 Zeichen) ist dann Bruteforce aussichtslos.

Oder hab ich da was uebersehen?

[mezzomix]

Wenn die Rundenzahl der PBKDF2 Funktion dynamisch festgelegt wird dadurch eine Wörterbuchangriff auf die Passphrase erschwert. An der Sicherheit der Cryptofunktion ändert sich dadurch nichts. Erfolgt der Angriff nämlich direkt auf den PBKDF2 generierten Schlüssel, dann hilft eine höhere Rundenzahl überhaupt nichts.

[curiosity81]

Wenn die Rundenzahl der PBKDF2 Funktion dynamisch festgelegt wird dadurch eine Wörterbuchangriff auf die Passphrase erschwert. An der Sicherheit der Cryptofunktion ändert sich dadurch nichts. Erfolgt der Angriff nämlich direkt auf den PBKDF2 generierten Schlüssel, dann hilft eine höhere Rundenzahl überhaupt nichts.

Diese Aussage ist aber trivial.

[mezzomix]

Offensichtlich nicht, wenn man die Posts weiter oben betrachtet.

[qwk]

Wenn die Rundenzahl der PBKDF2 Funktion dynamisch festgelegt wird dadurch eine Wörterbuchangriff auf die Passphrase erschwert. An der Sicherheit der Cryptofunktion ändert sich dadurch nichts. Erfolgt der Angriff nämlich direkt auf den PBKDF2 generierten Schlüssel, dann hilft eine höhere Rundenzahl überhaupt nichts.

Diese Aussage ist aber trivial.

An sich schon. Nur scheint Sie der OP nicht zu verstehen.