Frage:
Expertenzitat zur Entropie für unknackbares Passwort
Stephen Hewitt
2017-08-30 16:48:06 UTC
view on stackexchange narkive permalink

Könnte jemand auf ein Zitat in einer veröffentlichten Arbeit verweisen - oder einen anerkannten Experten vorschlagen, der möglicherweise ein Zitat bereitstellt -, der die folgende Frage beantwortet?

Wie viel Entropie in einem Passwort würde dies garantieren ist sicher gegen einen Offline-Rätselraten-Angriff, selbst wenn der Angreifer über die leistungsstärkste Hardware der Welt verfügt?

Ich schreibe einen Artikel über das Erstellen eines sicheren Passworts auf der Grundlage echter Zufälligkeit und möchte dies tun Geben Sie eine Zahl für garantierte Sicherheit an, aber ich möchte lieber keine eigenen Meinungen und Argumente vorbringen. Ich möchte einen anerkannten Experten oder eine veröffentlichte Arbeit zitieren.

Im Einzelnen wird oben mit diesen Begriffen Folgendes gemeint

Wenn ein Passwort über genügend Entropie verfügt, ist es in unserem aktuellen Bedrohungsmodell, bei dem der Angreifer einen kryptografischen Hash des Passworts hat und wiederholt eine Passwort-Vermutung durchführt, vermutlich nicht zu knacken und Vergleichen des Hashs.

Mit Entropie meine ich, dass das Passwort cr eator hat zufällig mit gleicher Wahrscheinlichkeit für jede Auswahl ein Passwort aus N möglichen Passwörtern ausgewählt. Die Entropie in Bits ist dann log₂ (N)

Das Zitat muss also abdecken, wie viel Entropie in Bits (oder wie groß) ist ist N), um sicherzustellen, dass das Passwort gegen diese Art von Angriff sicher ist, selbst wenn der Angreifer über die leistungsstärkste Hardware der Welt verfügt.

Frage: Mit "der leistungsstärksten Hardware der Welt" meinen Sie "die leistungsstärkste Hardware, die heute plausibel auf der Welt existieren kann", "die leistungsstärkste Hardware, die nach unserem derzeitigen Verständnis der Physik jemals plausibel existieren könnte" oder irgendwozwischen diesen beiden Extremen?Beide aktuellen Antworten basieren auf der zweiten dieser Optionen, aber für * realistische * Zwecke ist die dritte wahrscheinlich die nützlichste.
_ "Das Zitat muss also angeben, wie viel Entropie in Bits (oder wie groß N ist), um sicherzustellen, dass das Passwort gegen diese Art von Angriff sicher ist ..." _ - Sie können dies ** niemals ** garantieren.Egal wie viel Entropie Ihr Passwort hat, es besteht immer die Möglichkeit, dass ein Angreifer es errät.Dies gilt auch für Schlüssel für die normale Verschlüsselung.Sie können nur definieren, welche Wahrscheinlichkeit für Sie akzeptabel ist, und von dort aus arbeiten.
@marcelm Nicht unbedingt;Es kommt darauf an, was Sie garantieren - wenn es sich um Brute-Force-Angriffe handelt, handelt es sich immer um eine * durchschnittliche Fall * -Garantie.Natürlich ist es möglich, beim ersten Versuch Glück zu erraten, aber es ist ebenso wahrscheinlich, dass zuerst alle Möglichkeiten bis auf eine erraten werden müssen.Insbesondere * "das Passwort ist gegen diese Art von Angriff sicher" * ist eine Garantie dafür, dass * im Durchschnitt * der Angriff mehr Zeit / Energie als verfügbar benötigt - das ist genau das "Definieren einer akzeptabel niedrigen Wahrscheinlichkeit", die Sie sindBeziehen auf, normalerweise auf 128 Bit Rätselraten eingestellt.
Die folgende Frage kann auch hilfreich sein, wenn es darum geht, wie sicher ein 80-Bit-Passwort ist: https://security.stackexchange.com/questions/69374/is-an-80-bit-password-good-enough-for-all-praktische Zwecke
Sicherlich besteht die Möglichkeit, dass jeder Computer in kurzer Zeit Glück hat und einen Brute-Force-Angriff gegen eine beliebige Länge erfolgreich durchführt, oder?Vielleicht bin ich mit dem Wort "Garantie" übermäßig pedantisch.
Die einzige Entropie, die "wirklich" unzerbrechlich ist, ist ∞ Bit
Wenn ich Ihr Passwort immer noch erraten kann, egal wie lange es ist, ist es garantiert immer noch nicht knackbar?Was meinst du sonst?
Für diejenigen, die pedantisch sind, was "unknackbar" bedeutet, bedeutet er meiner Meinung nach, dass ein Angreifer mit "der leistungsstärksten Hardware der Welt" oder der leistungsstärksten Hardware nicht mehr als 50% der Chancen hat, das Passwort in 10 oder 10 zu findenvielleicht 100 Jahre.Ja, es besteht immer noch die Möglichkeit, dass Sie beim ersten Versuch Glück haben und mit einer willkürlich großen Anzahl von Jahren immer erfolgreich sind. Der Versuch, ein solches Passwort zu knacken, wäre wie der Versuch, einen Rubix-Würfel durch zufälliges Drehen von Ebenen zu lösen.
_ "Für diejenigen, die pedantisch darüber sind, was" unknackbar "bedeutet, glaube ich, dass er einen Angreifer bedeutet ... würde sich das Passwort nicht mehr als 50% ändern ..." _ - Und das ist ** genau ** dasGrund, warum ich pedantisch bin.In einer solchen Analyse würde ich 50% als völlig inakzeptabel empfinden und darauf bestehen, eine niedrigere resultierende Wahrscheinlichkeit anzugeben, eher 10 ** - 18.Die Wahrscheinlichkeit, mit der Sie arbeiten, ist wichtig und Teil des Problems. Daher sollte sie von Anfang an festgelegt werden.
Wenn Sie darüber nachdenken, ist die Antwort möglicherweise weniger nützlich als Sie denken.Da Sie sich ein rein zufälliges Passwort nicht manuell merken oder generieren können, egal ob es 80, 128 oder mehr Entropiebits hat, können Sie einfach mit einer typischen Stärke (dh 128 Bit, auch bekannt als 22 base64-Zeichen) arbeiten, selbst wenn diese etwas kleiner istimmer noch nicht erreichbar sein
Eine "Chance von mehr als 50%" macht nicht wirklich Sinn, oder?In diesem Fall knackbar bedeutet, dass der Angreifer in der Lage ist, alle möglichen Passwörter innerhalb einer angemessenen Zeit aufzulisten und zu validieren.Wenn Sie eine gleichmäßige Verteilung annehmen, können Sie daraus eine Wahrscheinlichkeit für einzelne Vermutungen machen (wenn Sie wirklich wollen).
@marcelm - Wenn Sie Sicherheit tun und nicht pedantisch sind, machen Sie es wahrscheinlich falsch.
Über 100 Jahre wird die GPU jedes Jahr mindestens 20% betragen, und nach meinen Berechnungen insgesamt 82,8 Millionen Mal schneller.Bei gegebener CPU werden ähnliche Erhöhungen erzielt, wenn auch nur bei der Anzahl der Kerne, sie werden ähnlich schneller sein.Und das ist pro CPU oder GPU, wir könnten 10+ pro Computer in 100 Jahren haben.Brute Force viel praktischer machen.Auch Quantencomputer könnten diese Zahlen in 100 Jahren vollständig in den Schatten stellen.Wenn du also unknackbar sagst, siehst du nur dann wie ein Idiot aus, wenn es geknackt ist.Besonders bei Seitenkanalangriffen.
@marcelm Ich versuche pedantisch zu sein, so dass wir praktische Bedeutungen von unknackbar diskutieren können, anstatt aufzugeben und zu sagen, dass kein Passwort unknackbar ist (oder in den Antworten selbst zu diskutieren, was unknackbar bedeutet).Beachten Sie, dass die 50% ige Wahrscheinlichkeit, das Passwort bei einem unangemessen schwierigen Angriff zu knacken, dem LD50-Toxizitätsstandard (50% ige Wahrscheinlichkeit, dass Ratten sterben) entspricht.Der Standard legt eine Stufe fest, bei der Sie eindeutig versagt haben, und Sie sollten sich dieser 50% igen Gefährdungsstufe niemals annähern.Sie entscheiden anhand Ihrer Risikoaversion, wie weit sie von diesem Standard entfernt sein möchten.
@marcelm Cody P und alle Gute Punkte - gefragt zu werden, was "unknackbar" bedeutet, ist schwieriger als ich dachte - Nehmen wir an, wenn die leistungsstärkste Hardware eine Million Jahre lang lief, hätte sie eine Chance von eins zu einer Million, das Passwort zu finden.Die Definition von Cody P analog zu LD50 ist ebenfalls in Ordnung.Wenn ein Experte sagen würde, dass mit X-Bits eine 50% ige Chance besteht, sie in einem Jahr zu knacken, dann kann ich nur ungefähr 40 Bits (je nach Geschmack) hinzufügen, um in einer Million Jahren eine Chance von ungefähr einer von einer Million zu erhalten.
@cybernard Seitenkanalangriffe haben absolut nichts mit Sicherheit vor roher Gewalt zu tun.Unabhängig davon, wie effektiv diese Angriffe sind, sind sie Schwachstellen in Implementierungen und nicht in Algorithmen.Ich könnte Ihnen eine verschlüsselte Festplatte geben, und kein Seitenkanalangriff würde Ihnen dabei helfen, sie zu knacken.
@cybernard Darüber hinaus können Quantencomputer symmetrische Chiffren nur mit dem Grover-Algorithmus angreifen, was nicht sehr effizient ist, wenn Sie ihn parallelisieren müssen.Ganz zu schweigen davon, dass Sie selbst den Vorteil eines perfekten, idealen Quantencomputers vollständig zunichte machen können, indem Sie die Schlüsselgröße nur einmal verdoppeln.
Vier antworten:
A. Hersean
2017-08-30 17:32:07 UTC
view on stackexchange narkive permalink

In dieser crypto.SE-Antwort von Bruce Schneier in Applied Cryptography (1996), S. 157–8.

Bruce Schneier zitiert sich auch in seinem Blog (2009), wenn Sie ein Online-Zitat wünschen.

Hier ist das vollständige Zitat für den Fall, dass die Links brechen :

Eine der Konsequenzen des zweiten Hauptsatzes der Thermodynamik ist, dass eine bestimmte Energiemenge erforderlich ist, um Informationen darzustellen. Das Aufzeichnen eines einzelnen Bits durch Ändern des Zustands eines Systems erfordert eine Energiemenge von nicht weniger als kT, wobei T die absolute Temperatur des Systems und k die Boltzman-Konstante ist. (Bleib bei mir; die Physikstunde ist fast vorbei.)

Vorausgesetzt, k = 1,38 × 10 erg / ° Kelvin und die Umgebungstemperatur des Universums ist 3,2 ° Kelvin, ein idealer Computer, der mit 3,2 ° K betrieben wird, verbraucht jedes Mal 4,4 × 10 16 Erg, wenn er ein wenig eingestellt oder gelöscht wird. Um einen Computer zu betreiben, der kälter als die kosmische Hintergrundstrahlung ist, würde zusätzliche Energie benötigt, um eine Wärmepumpe zu betreiben.

Jetzt beträgt die jährliche Energieabgabe unserer Sonne etwa 1,21 × 10 41 sup> ergs. Dies reicht aus, um auf unserem idealen Computer etwa 2,7 × 10 sup> 56 sup> Einzelbitänderungen durchzuführen. genug Statusänderungen, um einen 187-Bit-Zähler durch alle seine Werte zu führen. Wenn wir eine Dyson-Kugel um die Sonne bauen und 32 Jahre lang ohne Verlust ihre gesamte Energie einfangen würden, könnten wir einen Computer mit Strom versorgen, um bis zu 2 192 sup> zu zählen. Of Natürlich würde nicht die Energie übrig bleiben, um mit diesem Zähler nützliche Berechnungen durchzuführen.

Aber das ist nur ein Stern und noch dazu ein dürftiger. Eine typische Supernova setzt ungefähr 10 51 Erg frei. (Etwa hundertmal so viel Energie würde in Form von Neutrinos freigesetzt, aber lassen Sie sie vorerst los.) Wenn all diese Energie in eine einzige Rechenorgie geleitet werden könnte, könnte ein 219-Bit-Zähler durch alle zyklisiert werden seiner Staaten.

Diese Zahlen haben nichts mit der Technologie der Geräte zu tun. Sie sind die Maxima, die die Thermodynamik zulässt. Und sie deuten stark darauf hin, dass Brute-Force-Angriffe gegen 256-Bit-Schlüssel erst möglich sind, wenn Computer aus etwas anderem als Materie aufgebaut sind und etwas anderes als Platz einnehmen.

Update: Wenn Sie möchten, dass ein Zitat die Stärke eines zufällig generierten Passworts bewertet, können Sie diese Website verwenden, die regelmäßig mit Empfehlungen verschiedener Institute aktualisiert wird. Ein zufälliges Passwort entspricht einem symmetrischen Schlüssel. Dies ist also der Wert, nach dem Sie suchen. (Hier ist ein Wayback-Maschinenlink, falls diese Website geschlossen werden sollte.)

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/65108/discussion-on-answer-by-a-hersean-expert-quote-on-entropy-for-uncrackable-passw).
Cody P
2017-08-31 01:30:42 UTC
view on stackexchange narkive permalink

Nehmen wir einen anderen Riss aus monetärer Sicht als aus physikalischer Sicht. Skylar Nagao von Peerio erklärte, dass:

In einem Forschungsbericht über die Speicherbarkeit von Passwörtern 2014 die Sicherheitsforscher Joseph Bonneau (Stanford) und Stuart Schechter (Microsoft) schätzte die Kosten eines Angriffs basierend auf der jährlichen Gesamtauszahlung an Bitcoin-Miner im Jahr 2013.

"Im Jahr 2013 führten Bitcoin-Miner insgesamt ≈ 2 75 sup> SHA durch -256 Hashes im Austausch gegen Bitcoin-Belohnungen im Wert von 257 Mio. US-Dollar… Dies ist die einzige öffentlich bekannte Operation, die mehr als 2 sup> 64 sup> kryptografische Operationen ausführt und daher die beste verfügbare Schätzung liefert. Selbst wenn eine zentralisierte Anstrengung angenommen wird Um eine Größenordnung effizienter zu sein, haben wir immer noch eine Schätzung von 1 Mio. US-Dollar für die Durchführung von 2 70 SHA-256-Bewertungen und etwa 1 Mrd. US-Dollar für 2 80 US-Dollar Auswertungen. "

Hier haben wir die Schätzung des Passworts in Milliardenhöhe - selbst für einen zentralisierten Angreifer würde die Berechnung von 2 80 US-Dollar etwa 1 Milliarde US-Dollar kosten p> SHA-256-Hash-Funktionen im Laufe eines Jahres. Dies ist so, als würde man sagen, es würde 1 Milliarde USD kosten, 2 80 sup> Schlosskombinationen über ein Jahr zu testen. Da ein Angreifer mit nur einer Vermutung nach der Halbzeit wahrscheinlich richtig raten würde, verwendet Peerio für unsere computergenerierten Passphrasen einen 81-Bit-Mindeststandard (2 80 sup> mal zwei). Wir haben uns für diesen Standard entschieden, weil wir sicherstellen wollten, dass selbst ein Angreifer auf Bundesstaatsebene 1 Milliarde US-Dollar fallen lassen muss, um die Chance einer Münze zu haben, eine Peerio-Passphrase zu knacken.

An 81- Das Bit-Passwort kostet schätzungsweise 1 Milliarde, um wahrscheinlich zu knacken, und wird daher von Peerio als "nicht knackbar" angesehen. In Laienbegriffen würden 81-Bit zu 17 zufälligen Kleinbuchstaben, 13 zufälligen Zeichen von einer US-Tastatur oder 7-8 zufällig aus einem Wörterbuch ausgewählten Wörtern führen.

Zugegebenermaßen gibt es viele technische Details wie Preise, Risikostufen und Hashing-Algorithmen. Vielleicht werden die Passwörter mit bcrypt viel, viel stärker gehasht. Vielleicht sind diese Zahlen veraltet und modernere Bergbaukosten oder die neuesten Bergbaueinnahmendaten bringen die Hashes / Dollar auf 10 16 sup> Hashes /Dollar. Möglicherweise ist Bitcoin aufgrund von Marktunterschieden oder Hardwareunterschieden nicht der beste Vergleich. Letztendlich haben wir immer noch eine Größenordnung für die niedrigsten Kosten für Hashing im Maßstab.

Selbst wenn ein Nationalstaat oder Millionär eine Hash-Breaking-Farm von der Größe von zusammengestellt hat Bitmains Ordos-Mine, es würde noch Monate dauern, bis sie eine gute Chance haben, Ihr 80-Bit-Passwort aus einem unsicheren Hash heraus zu finden und Millionen oder sogar Milliarden von Dollar an Kosten und potenziellen Einnahmeverlusten wegzuwerfen. Wenn eine Regierung eine Milliarde Terahashes pro Sekunde erreichen könnte, hätte sie bestimmt bessere Dinge mit dieser Geldmaschine zu tun, als Ihr 81-Bit-Passwort zu knacken.

Wenn wir ' Wenn es um Garantien und Verteidigung gegen unglaublich mächtige Gegner geht, ist es wichtig zu beachten, dass es viele Möglichkeiten gibt, um ein unknackbares Passwort zu umgehen. Zu den Methoden gehören Sitzungsentführung, MITM-Angriffe, Exploits zum Zurücksetzen von Passwörtern, Keylogger, das Bitten der Website / des Administrators um Zugriff und Phishing. Obwohl einige Bedrohungen wie physische Manipulationen an Ihrem Computer absurd erscheinen mögen, sind sie vernünftiger als ein Milliarden-Dollar-Aufwand zum Knacken von Passwörtern ( relevante xkcd).

Dies ist eine wirklich gute Verwendung der verfügbaren Daten.Es ist erwähnenswert, dass dies eine Art Untergrenze ist, da korrekte Passwort-Hashes (Verschlüsselung usw.) langsamer zu berechnen sind als SHA-256.Selbst wenn Sie SHA-256 iterieren, können Sie den Arbeitsfaktor erhöhen.
Ein bisschen ironisch war 2013 nur der „Tipp“ für die Massenverlagerung des Bitcoin-Bergbaus auf ASICs, was zu einer mehr als tausendfachen Kapazitätssteigerung führte, ungefähr so viel wie die Verlagerung auf GPUs in den Jahren 2010-11.jetzt (2018) sind es ungefähr 2 ^ 90 / Jahr.Die Bergbaueinnahmen haben sich nur geringfügig verzehnfacht (einschließlich der zweiten geplanten Halbierung der Blockbelohnung im Jahr 2016).
Mike Ounsworth
2017-08-30 17:04:14 UTC
view on stackexchange narkive permalink

UPDATE:

Ein wirklich gutes YouTube-Video zu diesem Thema ist:

Wie sicher ist 256-Bit-Sicherheit? von 3Blue1Brown

Ich habe kein Zitat oder keine Originalquelle, aber ich beantworte Fragen wie diese oft mit einer Energieeinsparung. Das Argument lautet wie folgt: Nehmen wir an, die Menschheit kann eines Tages Prozessoren an einer physikalischen Effizienzgrenze herstellen. Berechnen Sie dann die Strommenge, die diese Prozessoren benötigen, um das Passwort zu knacken, und berechnen Sie dann die Anzahl der Sterne in der Größe der Sonne, die Sie verbrauchen müssten, um so viel Strom zu produzieren. Kurzversion: Um eines der 32-stelligen Zufallspasswörter eines Passwort-Managers zu knacken, müssen Sie allein 2x10 15 sup> Sterne an Stromkosten verbrauchen. Sehen Sie sich zum Beispiel meine letzten Antworten hier an:

Sollte ich die Länge meiner vollständig zufälligen Passwörter für die beste Sicherheit variieren?

und hier

Warum das Passwort anstelle des Schlüssels direkt brutal erzwingen?

Ich bin mir eigentlich nicht sicher, woher ich die Idee hatte, aber es könnte Ihnen eine geben Ausgangspunkt für das Googeln, um eine zitierfähige Quelle zu finden.

Denken Sie auch daran, dass Sie, wenn Sie in der Öffentlichkeit über "Passwörter" sprechen, sehr vorsichtig sein müssen, um sie als "richtig zufällige Passwörter aus a Passwortmanager". Wenn Sie Benutzern erlauben, ihre eigenen Passwörter zu wählen, ist die Länge mehr oder weniger irrelevant, da Menschen dumm vorhersehbare Passwörter wählen, zum Beispiel diesen Artikel:

So brechen Sie 30 Prozent der Passwörter in Sekunden

Hinweis: Diese Antwort gilt für klassische Computer.Der Grover-Algorithmus kann in $ O (\ sqrt {n}) $ -Schritten brutale Gewalt anwenden, sodass 256 Bit zu 128 Bit werden (der konstante Faktor kann jedoch viel größer werden).
Seien Sie sich bei der Sache [sqrt (n)] (https://eprint.iacr.org/2017/811) nicht so sicher.(Dieses Papier kam erst vor ein paar Tagen druckfrisch heraus)
@mikeazo Interessant, aber was ich aus dieser Zusammenfassung entnehme, ist, dass sqrt (n) immer noch gilt, aber der konstante Faktor für Quantencomputer aufgrund fehlender Parallelisierung viel, viel größer wäre.Trotzdem könnten wir ein 256-Bit-Passwort in viel weniger als 2x10 ^ 15 Sternen brutal erzwingen.
@Solomonoff'sSecret Guter Punkt.Ich sollte die Berechnungen mit $ O (\ sqrt {n}) $ Atomoperationen wiederholen.Obwohl Quantencomputer zeitsparender als klassische Computer sind (im Verhältnis zur Größe des Suchraums), ist es schwer vorstellbar, dass sie energieeffizienter sind.Ich sehe Zahlen wie 2 ^ 20 - 2 ^ 50 für die Anzahl der Quantentore pro Operation und für die Anzahl der physikalischen Qubits pro fehlertolerantem logischem Qubit, was der Beschleunigung des Grover hinsichtlich des Energieverbrauchs entgegenwirkt.
Kaiyi Li
2017-09-04 00:41:11 UTC
view on stackexchange narkive permalink

Ich stimme dem zu, was andere geschrieben haben. Weitere Informationen finden Sie in diesem aktuellen (relativen) Vortrag zu Argon2. Eine Seite (Folie 8) enthält ein relativ aktuelles Zitat zu den Auswirkungen von Fortschritten in der Hardware auf die praktische Stärke von Passwörtern bei Brute-Force-Angriffen.

Brute-Force-Angriffe (z. B. das Erraten von Schlüsseln) sind auf benutzerdefinierter Hardware am effizientesten: mehrere Rechenkerne auf großen ASICs. Praktisches Beispiel für SHA-2-Hashing (Bitcoin):

  • 232 Hashes / Joule auf dem ASIC;
  • 217 Hashes / Joule auf dem Laptop.

Konsequenzen:

  • Schlüssel verlieren 15 Bit
  • Passwörter werden 3 Kleinbuchstaben kürzer
  • PINs verlieren 5 Stellen

Angreifer mit ASIC-Ausstattung sind die Bedrohung der nahen Zukunft. ASICs haben hohe Einstiegskosten, aber auch FPGA und GPU werden eingesetzt.

Hoffentlich erhalten Sie dadurch eine praktische, aktualisierte Perspektive auf die "effektive" Länge von Schlüsselgrößen bei Brute-Force-Angriffen mit modernen Hardware.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...