Frage:
Ist es möglich, Brute-Force-Angriffe unwirksam zu machen, indem falsch positive Antworten auf fehlgeschlagene Anmeldeversuche gegeben werden?
Tweakimp
2016-07-13 02:25:39 UTC
view on stackexchange narkive permalink

Ich habe keine Erfahrung oder wissenschaftliche Kenntnisse im Bereich Sicherheit. Ich wollte nur fragen, ob dies möglich ist, weil ich daran interessiert bin.

Was ist, wenn ich Daten verschlüssele und jedes Passwort sie entschlüsselt? Aber nur das Richtige schafft keine sinnlose Datenunordnung. Dasselbe könnte mit einem Login geschehen: Falsche Login-Daten führen zu gefälschten Dummy-Konten, und nur die richtigen Anmeldedaten bringen Sie zu den richtigen Konten.

Würde nicht Ist dies nicht eine viel bessere Methode zur Verschlüsselung, da Sie nicht nur Passwörter ausprobieren konnten, sondern das Ergebnis überprüfen mussten, um festzustellen, ob es das richtige war?

Klingt nach einem [einmaligen Pad] (https://en.wikipedia.org/wiki/One-time_pad).
Ein [Honeypot] (https://en.wikipedia.org/wiki/Honeypot_ (Computing)) oder ein [Spamtrap] (https://en.wikipedia.org/wiki/Spamtrap) ist ein System, dessen Zweck es ist, zu verschwendendie Zeit des Bots.
Es würde nur online funktionieren, und Sie sollten nicht in der Lage sein, Online-Passwörter an erster Stelle zu erzwingen ...
Nun, wenn Sie versuchen, verschlüsselten Text brutal zu erzwingen, müssen Sie dies * tun *.Es gibt keine magische Glocke, die Ihnen sagt, wenn Sie die Entschlüsselung richtig gemacht haben, müssen Sie sich die Ausgabe ansehen und überprüfen.Wenn jemand eine komprimierte Datei verschlüsselt und Sie nur prüfen, ob Ihr Versuch einfachen Text erzeugt, können Sie den Text niemals entschlüsseln, selbst wenn Sie alle möglichen Schlüssel ausprobieren.
@Bakuriu: Mit schlechten Verschlüsselungssystemen können Sie einfach die ersten vier Bytes entschlüsseln (genau die magische Zahl genannt, [ich mache keine Witze] (https://en.wikipedia.org/wiki/File_format#Magic_number);) und)Überprüfen Sie beispielsweise, ob Sie einen korrekten ZIP-Dateikopf erhalten (nicht, dass ZIP tatsächlich ein so schlechtes System bietet, aber ich habe Ihr Beispiel nur wiederverwendet).Bei guten Verschlüsselungssystemen müssen Sie zuerst die * gesamte * Datei entschlüsseln. Erst danach können Sie überprüfen, ob der Entschlüsselungsschlüssel tatsächlich der richtige ist.
@WhiteWinterWolf Alles, was Sie sagen, ist offensichtlich, aber Sie haben den Punkt meines Kommentars nicht verstanden.Lies es noch einmal.
Das praktischste Verschlüsselungssystem von @Bakuriu: enthält einen Hash, der Ihnen sagt, wann Sie die richtige Entschlüsselung haben.Einige Verschlüsselungsschemata, z.Die vollständige Festplattenverschlüsselung ist so konzipiert, dass Sie effizient wahlfrei zugreifen können, sodass Sie nicht das gesamte Volume entschlüsseln müssen, um zu wissen, dass Sie den richtigen Entschlüsselungsschlüssel haben.
@LieRyan Ich sehe nicht, wie relevant Ihr Kommentar ist.Wie gesagt: Wenn die ** einzige Überprüfung **, die Sie durchführen, um festzustellen, ob die Entschlüsselung korrekt ist, die Überprüfung ist, ob das Ergebnis ** als Klartext-ASCII ** verständlich ist, können Sie eine verschlüsselte verschlüsselte Nachricht niemals entschlüsseln.Zeitraum.In diesem Szenario gibt es keine Hashes.Mein Punkt ist, dass das Entschlüsseln per Brute Force per Definition erfordert, dass Sie sich die "entschlüsselten Daten" ansehen und entscheiden, ob Sie es richtig gemacht haben oder nicht, und manchmal ist es einfach, manchmal ist es schwierig oder unmöglich, dies zu tun.
Vergessen Sie nicht Ihre Benutzer.Kann sich Ihr Verschlüsselungsschema mit dem Problem "dumme Software, die beim gelegentlichen Entschlüsseln meiner Dateien Müll erzeugt" befassen?Wenn Sie nur wenige technische Benutzer haben, die genug wissen, ist dies möglicherweise verwendbar.Wenn Sie jedoch viele ungebildete Benutzer ansprechen, geben Sie aus Gründen Ihrer eigenen Gesundheit ein "Falsches Passwort!"Dialogbox :)
Erwähnenswert ist, dass Vim bei Verwendung des falschen Verschlüsselungsschlüssels für verschlüsselte Dateien Müll erzeugt.Es ist jedoch leicht zu erkennen, da die Ausgabe voller Steuerzeichen endet.
@LieRyan In einem ordnungsgemäß erstellten Kryptosystem werden Daten verschlüsselt und anschließend der MAC (der einen Hash verwendet) angewendet.Wenn Sie umgekehrt vorgehen, MAC [Hash] dann verschlüsseln, können Sie mit dem MAC feststellen, ob Sie eine gültige Entschlüsselung haben.Dies erleichtert den Brute-Force-Angriff.Aus diesem Grund machen moderne Systeme dies nicht so (FYI, das ist ein bekannter Fehler in SSL).Weitere Informationen finden Sie unter https://moxie.org/blog/the-cryptographic-doom-principle/.
Dies sollte zufällig statt konsequent geschehen.Z.B.Bei ~ 100 schlechten Anmeldungen wird ein falsches Positiv angezeigt.
Schauen Sie sich neben den hervorragenden Antworten auch die relativ neue Honey Encryption an: https://en.wikipedia.org/wiki/Honey_Encryption
Es gibt eine Möglichkeit, mit Beiträgen, die Spam, Flammen usw. sind, in öffentlichen Foren umzugehen, die mich an den Vorschlag des OP erinnern: Die Idee ist, dem Poster nicht mitzuteilen, dass sein Beitrag von der Forensoftware als inakzeptabel eingestuft wurde, sondern seinen anzuzeigenPost an ihn und nur an ihn, als ob es angenommen worden wäre.Er wird der einzige sein, der seinen Beitrag sieht, aber ich denke, er hat es geschafft.
Neun antworten:
Cort Ammon
2016-07-13 02:32:53 UTC
view on stackexchange narkive permalink

Die Antwort hängt immer von Ihrem Bedrohungsmodell ab. Sicherheit ist immer ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit. Ihr Ansatz stört die Hacker, die versuchen, in das Konto einzudringen, aber auch einen Benutzer, der lediglich sein Passwort falsch eingibt. Wenn das gefälschte Konto glaubwürdig genug ist, um einen Angreifer zu täuschen, kann es auch glaubwürdig genug sein, um einen gültigen Benutzer zu täuschen. Das kann sehr schlimm sein.

Dies kann in Umgebungen mit extrem hohem Risiko wünschenswert sein. Wenn Sie nukleare Geheimnisse im Internet offen aufbewahren müssten, könnte es sehr mächtig sein, wenn jedes fehlgeschlagene Passwort zu einem Konto führt, das Zugriff auf gefälschte Dokumente hat, die keine nationalen Geheimnisse preisgeben. In den meisten Fällen ist dies jedoch nicht erforderlich.

Sie müssen auch die Alternativen in Betracht ziehen. Ein sehr beliebter Ansatz besteht darin, das Konto nach N Versuchen zu sperren, wodurch grundsätzlich alle Brute-Force-Versuche gestoppt werden und Usability-Verhaltensweisen auftreten, die die meisten Benutzer akzeptieren möchten.

Vielen Dank für Ihre Antwort.Eigentlich wollte ich wissen, ob es möglich und nicht verwendbar ist, vielleicht hätte es etwas geben können, das ich nicht gesehen habe und das meine Idee sinnlos machen würde.
Wenn es um die Möglichkeit geht, ist die einzige Einschränkung die Frage, wie realistisch ein Dummy-Konto ist, an dessen Erstellung Sie sich Zeit nehmen möchten.Ein interessanter Ort, um nach Daten zu suchen, ist die verweigerbare Verschlüsselung.Bei der verweigerbaren Verschlüsselung erstellen Sie eine Dummy-Partition und machen es dem Angreifer unmöglich, zu beweisen, dass eine andere Partition mathematisch vorhanden ist.Diese Community hat großes Interesse daran gezeigt, wie die Dummy-Partition legitim aussehen kann.
Ein solches Konto kann auch als Honeypot verwendet werden, der Sicherheitssensoren auslöst, wenn sich jemand dort anmeldet, damit Sie einen Angreifer frühzeitig erkennen können.
Das Problem beim Honeypotting eines Anmeldeversuchs besteht darin, dass der gültige Benutzer nicht erkennt, dass dies keine echten Pläne sind, sodass er Atomwaffen baut, die nicht richtig funktionieren.Ich hoffe, Ihre gefälschten Pläne brechen die Sicherheitsüberprüfungen nicht.Die effektivste Methode, die ich gesehen habe, besteht darin, Benutzer zu zwingen, zwischen Anmeldeversuchen immer länger zu warten.Zwinge sie, langsamer zu werden und darüber nachzudenken, was sie tippen.Auf diese Weise ist es keine Überraschung, wenn sie das N-Versuchslimit erreichen.
@CandiedOrange - Es ist ein Dummy-Konto mit gefälschten Informationen.Kein legitimer Benutzer würde sich jemals anmelden.Wenn jemand die Pläne stiehlt und einen nicht funktionierenden Nuke baut, funktioniert das System wie beabsichtigt.
@Johnny Ich denke, es könnte einige Verwirrung geben.Ich übersetzte die Frage des OP als "jede ungültige Anmeldung sollte erfolgreich sein, aber zu einem Dummy-Konto führen". Daher wäre es sehr plausibel, dass ein Benutzer fälschlicherweise sein Passwort falsch eingibt und zu einem solchen Konto gelangt.Wenn die Honeypots stattdessen so eingerichtet sind, dass * die meisten * ungültigen Anmeldungen Sie darüber informieren, dass die Anmeldung ungültig war, aber einige Honeypots mit verschiedenen Benutzernamen eingerichtet wurden, sind Sie korrekt.Kein Benutzer würde sich jemals versehentlich in einen solchen Honeypot einloggen.
Eine Kombination, bei der Sie nach einigen fehlgeschlagenen Versuchen (3?) Statt eines Sperrens Ihres Kontos zu einem gefälschten Konto zu gelangen, sicherlich interessant wäre.Als Randnotiz habe ich einmal an einem Ort gearbeitet, an dem die Benutzertabelle PK Benutzer + Passwort war.
"und hat Usability-Verhaltensweisen, die die meisten Benutzer zu akzeptieren bereit sind" ... für relativ hohe Werte von N. =)
Bei niedrigen Werten von N handelt es sich um einen DOS-Angriff.Und ein DOS-Angriff gefährdet die Verfügbarkeit, das A in der CIA-Triade der Informationssicherheit.
@DamianYerrick Das ist sehr wahr.Die DOS-Probleme sind einer der Hauptgründe, warum ich es nur als beliebte Alternative aufgeführt habe, nicht als Lösung.In einigen Umgebungen ist dieses Risiko gering genug, um akzeptiert zu werden.In anderen Umgebungen ist dies völlig inakzeptabel.
John Wu
2016-07-13 04:06:09 UTC
view on stackexchange narkive permalink

Es ist keine schlechte Idee, einen Angreifer mit Fehlalarmen zu täuschen, und es ist nicht neu. Folgendes könnte Sie interessieren.

Kryptografische Tarnung

CA Technologies hat eine Technologie patentiert, die als Kryptografische Tarnung bekannt ist.

Ein sensibler Punkt in der Kryptographie mit öffentlichen Schlüsseln ist der Schutz des privaten Schlüssels. Wir beschreiben eine Methode zum Schutz privater Schlüssel mithilfe kryptografischer Tarnung. Insbesondere verschlüsseln wir den privaten Schlüssel nicht mit einem Kennwort, das für einen umfassenden Angriff zu lang ist. Stattdessen verschlüsseln wir es so, dass nur ein Kennwort es korrekt entschlüsselt, aber viele Kennwörter entschlüsseln es, um einen Schlüssel zu erstellen, der gültig genug aussieht, um einen Angreifer zu täuschen. Für bestimmte Anwendungen schützt diese Methode einen privaten Schlüssel vor Wörterbuchangriffen, wie dies bei einer Smartcard der Fall ist, jedoch vollständig in Software.

Dies ist nicht genau das, worüber Sie sprechen (sie sind es) Schutz eines Schlüssels, kein Zugriff), aber das Konzept ist das gleiche. Sie vereiteln einen Brute-Force-Angriff, indem Sie es schwierig oder unmöglich machen, festzustellen, ob Sie den Code tatsächlich geknackt haben.

Mausefalle

1984 Michael Crichton (Autor von Andromeda Strain und viele) andere) schrieben eine Kurzgeschichte über einen Hacker, der glaubte, streng geheime Akten zu stehlen. Er hatte das richtige Passwort erraten, aber ohne dass er es wusste, authentifizierte ihn der Computer tatsächlich nicht anhand seines Passworts, sondern anhand der Geschwindigkeit und Art und Weise, wie er Tastatur und Maus benutzte - eine Art biometrischer Authentifizierungsmechanismus. Er hat die Authentifizierung fehlgeschlagen. Aber der Computer sagte ihm nicht, dass er versagt hatte - stattdessen präsentierte er ihm eine falsche Kopie der geheimen Dokumente, die er dann herunterlud und versuchte, auf dem Schwarzmarkt zu verkaufen.

Auch dies ist nicht genau das Gleiche wie das, was Sie verlangen, aber es zeigt (jedenfalls in der Fiktion) die Verwendung von Fehlalarmen, um einen Angriff zu vereiteln

Cryptographic Camouflage erinnert mich daran, wie TrueCrypt [je nach angegebenem Kennwort entweder einen Lockvogel oder ein verstecktes Betriebssystem] laden könnte (http://andryou.com/truecrypt/docs/hidden-operating-system.php).
Ein weiteres gutes Beispiel!
Tyler Gallenbeck
2016-07-13 04:00:22 UTC
view on stackexchange narkive permalink

Um Ihnen eine klare Antwort zu geben: Ja , ist es möglich, die Wirksamkeit von Brute-Force-Angriffen zu verringern. Dies kann so erfolgen, wie Sie es vorgeschlagen haben, sollte es aber nicht. Sie können sehr ähnliche Ergebnisse erzielen, indem Sie Zeitverzögerungen zwischen jedem fehlgeschlagenen Versuch und der nächsten Vermutung implementieren. Außerdem wurden (nur zu Ihrem Wissen) bereits sehr ausgefeilte und ähnliche Technologien für genau diese Sache entwickelt und implementiert. Produkte wie Canary, Honey Pots und Honey Docs bieten ähnliche Funktionen wie gefälschte Umgebungen, Geräte, Server, Konten usw.

Ok, aber was ist mit verschlüsselten Dateien?Sie können keine Verzögerung zwischen fehlgeschlagenen Entschlüsselungsversuchen setzen, oder?
Ich glaube nicht, dass Sie wirklich genug gefälschte Dateisätze in einem verschlüsselten Container erstellen können, um ein automatisiertes Cracking-Tool zuverlässig zu täuschen.Wenn der Angriff die Möglichkeit eines Offline-Angriffs bietet, müssen Sie sich auf andere Härtungstechniken wie Schlüsselableitungsfunktionen verlassen, die die Anzahl der Versuche pro Zeiteinheit nur langsam begrenzen.
@Tweakimp, Sie könnten an "TrueCrypt verstecktes Volume" interessiert sein.Das klingt nach dem, was Sie beschreiben.(Aber es hat nur zwei Passwörter, nicht unendlich.)
@Wildcard Danke, ich werde es mir ansehen.Zwei Sounds viel kleiner als unendlich;)
@SimonLindgren, bis Quantum Computing Realität wird, wo die Versuche pro Sekunde neue Höhen erreichen.Dann müssten also auch die Schlüsselableitungsfunktionen erhöht werden.
Peteris
2016-07-14 00:43:28 UTC
view on stackexchange narkive permalink

Der Effekt ist winzig.

Nehmen wir an, Ihr System wandelt die praktische Brute Force von der Entschlüsselung der ersten vier Bytes (realistisch gesehen der erste viel größere Block, aber was auch immer) in die vollständige Entschlüsselung um, z. vier Gigabyte verschlüsselter Daten, wodurch Bruteforce-Versuche ungefähr milliardenfach oder 2 bis 30-mal langsamer werden.

Nun, das mag Ihnen ein großer Unterschied sein, aber tatsächlich ist dieser Effekt im Vergleich zu anderen Alternativen . Eine Skala von einfach "milliardenfach langsamer" ist in der Welt der Kryptographie einfach nicht so viel. Warum sollte man sich mit zusätzlicher Komplexität beschäftigen, die möglicherweise nicht die beabsichtigte Verlangsamung erreicht oder neue Fehler verursacht, wenn das Hinzufügen von zusätzlichen 30 Bit zur Länge des Verschlüsselungsschlüssels dasselbe bewirkt und die Schlüsselgröße von z. 128bit (wenn das noch nicht ausreicht) bis 256bit bieten einen unvergleichlich viel größeren Effekt als diesen?

gpinkas
2016-07-13 16:23:29 UTC
view on stackexchange narkive permalink

Das meiste wurde bereits gesagt, ich möchte nur eine andere Perspektive bieten.

Stellen Sie sich vor, Sie würden versuchen, mit dieser Technik ein Haus zu sichern. Sie würden den Eindringling Zugang zu einem Kellerraum gewähren lassen, wenn er versucht, die Tür für einige Zeit zu öffnen.

Die Frage ist, möchten Sie auch dort einen Eindringling? Der Eindringling wird mit Sicherheit feststellen, dass er nach einiger Zeit nicht das bekommen hat, was er wollte, und versuchen, weiter von dort zu kommen. Und Sie müssten die zusätzliche Sicherheit für den von Ihnen vorbereiteten Keller aufrechterhalten.

In gewisser Weise erhöhen Sie nur den Arbeitsaufwand für sich selbst, um (unerfahrene) Angreifer für einige Zeit zu täuschen.

Denn wenn ich es auf eine gute Art und Weise tun würde, würde der Eindringling (für einige Zeit) nicht wissen, dass er sich im falschen Raum befindet, und konnte nicht einmal sicher sein, ob er beim Einsteigen im richtigen war. Außerdem braucht es Zeit, um in den Raum zu schauenSie können also nicht einfach die Tür auf einen Schlüssel testen, sondern müssen jedes Mal in den Raum schauen, was viel mehr Zeit in Anspruch nimmt, um sich brutal durch den Raum zu zwingen.
Ja, ich kann sehen, was du meinst.Mein Punkt ist: Das Einrichten und Sichern des gefälschten Raums auf eine gute Weise erfordert Ihre Zeit.Zeit, die Sie besser in die Sicherung der "Haustür" investieren könnten.:) :)
Eine ordnungsgemäße Zugriffskontrolle für legitime authentifizierte Benutzer ist ohnehin bereits erforderlich.Ich kann nicht sehen, wie es für einen gefälschten Account zusätzliche Arbeit bedeuten würde.
Das ist richtig, aber das Sichern der gesamten Zugriffskontrolle ist viel schwieriger als das Sichern des Anmeldebildschirms.Es ist eine Notwendigkeit, aber es ist fast unmöglich, perfekte Sicherheit zu haben.Mit diesem Schema lassen Sie einen möglichen Angreifer einen Schritt näher an Ihr System heran.Bei den meisten Angriffen ist der Zugriff auf ein Konto in einem System der erste Schritt, um Root-Berechtigungen zu erhalten.
Dies ist ein schönes aktuelles Beispiel für die Eskalation von Berechtigungen: http://www.theregister.co.uk/2015/07/22/os_x_root_hole/
@gpinkas: Es ist schlecht, jemanden hinter dem Eingangstor hereinzulassen.Es kann sich lohnen, zusätzlich zu dem echten Tor gefälschte Vordertore zu haben, * die sich alle vollständig außerhalb der realen Sicherheitsmauer befinden *, aber die Sicherheit sollte nicht beeinträchtigt werden.Der wichtigste nützliche Aspekt, den ich für solche Dinge sehen kann, ist, dass, wenn gefälschte Tore etwa 1.000: 1 mehr als echte Tore sind und Alarme auslösen, wenn sie verletzt werden, es wahrscheinlich ist, dass ein Eindringling Alarme auslöst, bevor er Zugriff auf etwas Wichtiges erhält.
bernz
2016-07-14 01:17:06 UTC
view on stackexchange narkive permalink

Klingt so, als würden Sie von einer Form der "leugnbaren Verschlüsselung" oder "plausiblen Verleugnung" im Zusammenhang mit Krypto sprechen. das heißt, ein alternatives Geheimnis, das zu plausiblem, aber nicht authentischem Klartext entschlüsselt. Weitere Informationen finden Sie unter https://en.wikipedia.org/wiki/Deniable_encryption.

Wenn jemand jedoch in der Lage ist, Ihren Chiffretext brutal zu erzwingen, wird er möglicherweise alle entdecken plausible Klartexte, und dann können sie basierend auf dem Wissen, das sie bereits über den Kontext haben, entscheiden, welcher der Klartexte der authentische Originaltext ist. Der erste Teil kann von Pseudo-AIs ausgeführt werden, der zweite Teil benötigt jedoch noch einen Menschen.

Wenn Sie ein einmaliges Pad verwenden, ist jede mögliche Nachricht gleich wahrscheinlich. Ohne den Originalschlüssel können Sie nicht wissen, was das Original war.Zum Beispiel ist "Meet 3pm Mi" genauso wahrscheinlich wie "Meet 9am Di" oder "Done my task" - der Kontext hilft nicht immer
m.kin
2016-07-13 05:21:31 UTC
view on stackexchange narkive permalink

Das Problem mit Schlüsseln ist, dass sie als Daten und nicht als laufender Code existieren. Selbst mit dem CA- und Crichton-Beispiel tritt eine Out-of-Band-Prozedur auf, die Ihnen bei jedem Entschlüsselungsversuch angemessene Antworten liefert. Mathematisch ist dies auf der Ebene von Chiffretext- und Brute-Force-Versuchen unmöglich.

Dewi Morgan
2016-07-14 00:20:27 UTC
view on stackexchange narkive permalink

Für den Fernzugriff können, wie andere bereits gesagt haben, einfache Sperren und Verzögerungen funktionieren.

Bei Kennwörtern handelt es sich um einen Einweg-Hash. Um das Kennwort zu überprüfen, müssen Sie es erneut hashen und die beiden Hashes vergleichen. Wenn mehr als ein einfaches Kennwort eine gültige Übereinstimmung mit einem einzelnen Hash erzeugt, wird dies als unerwünscht angesehen: Dies bedeutet, dass der Hash schwach ist und "Kollisionen" aufweist.

Es ist also unwahrscheinlich, dass Sie an verschlüsselten Laufwerken interessiert sind.

Was Sie beschreiben - gefälschte "äußere" Laufwerke, die mit gefälschten Daten gefüllt sind, die das verschlüsselte "innere" Laufwerk schützen - ist möglich und wurde in TrueCrypt ausgeführt (was leider seitdem gestorben ist).

Das Folgende ist mein eigenes naives Verständnis, und einige oder alle können falsch sein. Ich habe diese Funktion nie verwendet, fand sie aber interessant.

Mit Truecrypt konnten Sie ein zweites Kennwort angeben, mit dem eine "Schicht" des verschlüsselten Laufwerks entsperrt wurde (möglicherweise auf einen Außencontainer beschränkt, I. vergessen). Dies hatte klare Probleme; Die äußeren Laufwerke waren sich der inneren nicht bewusst, die im "leeren Raum" der verschlüsselten äußeren Laufwerke gespeichert waren. Änderungen an den äußeren könnten also die inneren Antriebe zerstören. Außerdem wurden die Datenstempel auf den inneren Laufwerken beim Zugriff auf das verschlüsselte Laufwerk nicht automatisch aktualisiert. So kann jemand mit Zugriff auf Ihren Computer feststellen, wann Sie die Datei des verschlüsselten Laufwerks zuletzt geändert haben, und diese Datenstempel mit den zuletzt geänderten Zeiten auf dem verschlüsselten Laufwerk vergleichen und sofort feststellen, dass Sie sie in jüngerer Zeit verwendet haben Es muss ein inneres Laufwerk geben.

Aber die Idee war, dass das äußere Laufwerk ein leicht zu erratendes Passwort hat, wie Passwort123, und ein paar vage geheime Dinge hineinsteckt, und das würde Ihre Gegner dazu bringen Ich glaube, sie sind in Ihr verschlüsseltes Laufwerk gelangt.

Alles andere - alles, was gerade Müll zurückgegeben hat (zufälliges Rauschen, das einem unformatierten Laufwerk entspricht), wäre trivial gewesen, wenn man auf dem entschlüsselten Laufwerk nach einer "magischen Zeichenfolge" gesucht hätte, die auf einem echten Laufwerk erforderlich wäre, aber unwahrscheinlich ist ein Mülllaufwerk.

Gleiches gilt für verschlüsselte Dokumente: Die meisten Dateitypen haben magische Zeichenfolgen. Wenn Sie also wissen, welcher Dateityp enthalten ist, kann jedes verschlüsselte Verwürfeln brutal gezwungen werden, alle Möglichkeiten zu finden, die die magische Zeichenfolge erzeugen

Das bedeutet jedoch nicht, dass es eine schlechte Idee ist. Wenn die magische Zeichenfolge beispielsweise "jfif" lautet, führt nur etwa eines von etwa 16 Millionen Passwörtern zu dieser magischen Zeichenfolge. Aber wenn die Schlüssellänge beispielsweise 2 ^ 1024 beträgt, haben sie diese nur auf 2 ^ 1000 reduziert - was sicher 16 Millionen Mal schneller zu knacken ist, aber buchstäblich für immer em dauern wird > zu knacken.

Lässige Tippfehler würden niemanden glauben lassen, die Datei entschlüsselt zu haben, aber nur nach der magischen Zeichenfolge zu suchen, würde nicht ausreichen.

Ihnen fehlt ein Punkt: Um das "äußere" Laufwerk zu entsperren, sollten Sie * beide * Schlüssel eingeben.Auf diese Weise können Sie Änderungen vornehmen, ohne den inneren Antrieb zu zerstören.Aber wenn ein Angreifer [Ihnen mit einem Schraubenschlüssel gedroht hat] (https://xkcd.com/538/), können Sie ihm einfach den äußeren Schlüssel mitteilen, der das Laufwerk * erfolgreich * öffnen würde, ohne dass Anzeichen dafür vorliegen, dass es einen inneren gibtLaufwerk - und daher auch keine Möglichkeit, das innere Laufwerk zu schützen.
@wildcard Ah, OK.Leider werden die Zeitstempel auf dem "äußeren" Laufwerk wahrscheinlich immer noch ziemlich deutlich machen, dass Sie tatsächlich nur auf dem inneren Laufwerk aktiv waren, es sei denn, Sie können beide bereitstellen und darauf zugreifen, möglicherweise mit einem Skript auf dem inneren, um das äußere zu manipulieren.
Tom
2016-07-15 11:06:00 UTC
view on stackexchange narkive permalink

So etwas wurde tatsächlich in einigen Versionen der RAR-Komprimierungssoftware durchgeführt (in den frühen Tagen nicht sicher, ob es immer noch so ist). Ein verschlüsseltes Archiv würde mit jedem eingegebenen Passwort entschlüsselt, aber ein falsches Passwort würde zu einer Kauderwelschausgabe führen. Es wurde getan, um das brutale Erzwingen von Passwörtern zu verhindern, was zu diesem Zeitpunkt für ZIP-Archive möglich war, die sofort einen "falschen Passwort" -Fehler zurückgaben.

Tatsächlich führen mit zip nicht alle Passwörter zum Fehler "falsches Passwort".Diese schnelle Ablehnung tritt bei den meisten von ihnen auf (und daher tritt ein Benutzertyp "immer" auf), aber wenn Sie die Passwörter brutal erzwingen, erhalten Sie viele falsch positive Ergebnisse auf dem crc32 (er basiert auf einem 1-Byte oder 2-byte crc check), die überprüft werden muss, indem entweder die Datei vollständig extrahiert wird und dann festgestellt wird, dass das extrahierte crc32 nicht übereinstimmt, oder - wenn Sie Glück haben - der bekannte Klartext am Anfang der zu extrahierenden Datei angezeigt wird.
Vielleicht ist das neu?Ich spreche vor 20 Jahren.
Ich spreche von traditioneller Zip-Verschlüsselung, dh.die, die vor 20 Jahren verfügbar war.
Ich glaube, ich weiß genau, was Sie meinen: Ich erinnere mich, dass ich auch versucht habe, mein Passwort für ein großes Archiv wiederzufinden. Dann hat WinRAR zuerst das gesamte Archiv "extrahiert", bevor mir mitgeteilt wurde, dass das Passwort falsch ist.Ich denke, dies sollte mit einer Ära verbunden sein, in der richtige [Key Stretching] (https://en.wikipedia.org/wiki/Key_stretching) Methoden nicht üblich waren. WinRAR verwendete diese Methode, um Brute-Force-Angriffe zu verlangsamen.
Solche Methoden machen die Brute-Force-Effizienz direkt von der Archivgröße abhängig, was nicht gut ist: Kleine Archive sind weniger geschützt, das Hinzufügen nutzloser Dateien würde die Sicherheit erhöhen, es ist einfach zu hackig.Hier finden Sie geeignete Methoden zum Strecken von Schlüsseln, mit denen unabhängig von der Archivgröße eine konstante Zeit für die Kennwortprüfung festgelegt werden kann: Kleine Archive erhalten den gleichen Schutz gegen rohe Gewalt wie größere, der nur vom gewählten Algorithmus und den Parametern abhängt, was natürlich sauberer und damit sicherer ist.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...