sicherheit Verschlüsselung Passwort schlüssel Länge passphrase Algorithmen

Profifrage;-) Passphrase Priv-Pub-Key BrutenForce

Von: , Frage gestellt am Di, 15. Jul 2003

Hallo,

wer von den Profis kann mir mal meine Frage zu der Sicherheitsproblematik von Passwörtern in Bezug auf (asymetrische) Verschlüsselungsverfahren beantworten.

Und zwar wird ja grundsätzlich der Privatekey durch eine Passphrase geschützt. Jede verschlüsselung ist doch nur so stark wie ihr schwächstes Glied?!

Wwelche Techniken kommen dann zum Einsatz, um mittels der Passphrase den (Private)Key zu schützen (oder zu erzeugen)? Sind das anerkannte Algorithmen, wenn ja wie heissen die.

Angreifen würde ich doch damit den Schlüssel, in dem ich eine Brute and Force Attacke gegen die Passphrase durchführe? Oder?
(Siehe die nachfolgende Frage, die Passphrase ist doch meist wesentlich kürzer als der Privatekey selbst. Wenn das nicht so wäre würde ich gleich einen Angriff auf den Schlüssel selbst durchführen?)

Ist es hier legitim zu rechnen, man hat einen Zeichenvorrat von ca 70 Zeichen(Alphabet(groß/klein) und Sonderzeichen) und eine Passwortlänge von 10. (Längere Passworte werden ja meist nicht angewendet)
Sprich 70 hoch 10, was mal ganz über den daumen gepeilt 2 hoch 60 ist.

Kann man nun einfach rechnen, diese Anzahl von Versuchen (im schlechtesten Fall) multipliziert mal die Zeitdauer pro Brute n Force durchlauf? Und damit hätte man die Zeit bis man den Schlüssel hat?
Welche Zahlen sind hier realistisch?

Diese Zahl 2 hoch 60 bzw. die Länge von 10 Zeichen "drückt ja letztendlich die Sicherheit der Passphrase aus". Ist diese Zahl direkt mit der Schlüssellänge irgendwelcher Verschlüsselungsalgorithmen vergleichbar? Sprich wie kann ich diese Länge ca einer gleich sicheren Verschlüsselung mittels Blowfish oder AES was auch immer zurechnen (z.B. einem AES mit einer Schlüssellänge von XX Bit)?

Wie lang muss die Passphrase sein, damit diese keine einfachere Angriffsmöglichkeit bietet als auf den Schlüssel selbst?
(DAs ist so mit die zugrundeliegende Frage;-)

Wäre sehr dankbar für ein paar Hinweise.
Regards
Thomas

4 Antworten zu dieser Frage

1. Antwort von nach einer Stunde 0 hilfreich

   Re: Profifrage;-) Passphrase Priv-Pub-Key BrutenFo

   Und zwar wird ja grundsätzlich der Privatekey durch eine
   Passphrase geschützt. Jede verschlüsselung ist doch nur so
   stark wie ihr schwächstes Glied?!
   Ja. Wwelche Techniken kommen dann zum Einsatz, um mittels der
   Passphrase den (Private)Key zu schützen
   Ich meine mich zu erinnern, es sein eine symmetrische Verschlüsselung mit der Passphrase, will mich aber lieber nicht festlegen (Quelle, wo bist Du... (oder zu erzeugen)?
   Das Schlüsselpaar wurd duch Zuhilfenahme von möglichst guten Zufallszahlen erzeugt. Deshalb soll man bei der Schlüsselerzeugung auch wahllos auf der Tastatur hämmern oder mit der Maus rotieren... Sind das anerkannte Algorithmen, wenn ja wie heissen die.
   Mist. Wo habe ich meine Doku...? Angreifen würde ich doch damit den Schlüssel, in dem ich eine
   Brute and Force Attacke gegen die Passphrase durchführe?
   Ja. Dazu brauchst Du erstmal den private Key und auf den sollte man extrem gut aufpassen!
   
   Der Schutz lautert in erster Linie ,ihn nicht anderen zugänglich zu machen. Oder?
   (Siehe die nachfolgende Frage, die Passphrase ist doch meist
   wesentlich kürzer als der Privatekey selbst.
   Ja, wenngleich man die Passphrase möglichst lang wählen sollte.... Wenn das nicht so
   wäre würde ich gleich einen Angriff auf den Schlüssel selbst
   durchführen?)
   ?
   
   [...] Wie lang muss die Passphrase sein, damit diese keine
   einfachere Angriffsmöglichkeit bietet als auf den Schlüssel
   selbst?
   (DAs ist so mit die zugrundeliegende Frage;-)
   Hm, ich habe mir heute das Gehirn aus dem Kopf gepustet (und kann Dir hier gerade nicht weiterhelfen. Sorry.
   

   • Antwort von nach 15 Stunden 0 hilfreich

     Re^2: Profifrage;-) Passphrase Priv-Pub-Key Bruten

     Ich meine mich zu erinnern, es sein eine symmetrische
     Verschlüsselung mit der Passphrase, will mich aber lieber
     nicht festlegen (Quelle, wo bist Du...
     
     Kommt auf die verwendete PKI an. Sind das anerkannte Algorithmen, wenn ja wie heissen die.
     Kommt wiederum auf die PKI an - meinst Du PGP oder was ?
     Im Prinzip kann man jedes Symmetrische verschluesselungsverfahren nehmen
     -sogar Rot 13 :-) Mist. Wo habe ich meine Doku...? Angreifen würde ich doch damit den Schlüssel, in dem ich eine
     Brute and Force Attacke gegen die Passphrase durchführe?
     Der Schutz lautert in erster Linie ,ihn nicht anderen
     zugänglich zu machen.
     Ganau ! Das ganze Passphrase Spiel ist im Prinzip für public-key Verfahren nicht
     zentral. Es geht nur darum, den private-Key für den Fall zu schützen, dass dein
     Rechner gehackt wird. Doch in diesem Fall kann der Hacker evtl auch einen keylogger installieren und das war's dann. "Sicher" gehts nur, wenn Du Deinen Private-Key jedesmal selbst eingibst.
     Wie lang muss die Passphrase sein, damit diese keine
     einfachere Angriffsmöglichkeit bietet als auf den Schlüssel
     selbst?
     (DAs ist so mit die zugrundeliegende Frage;-)
     Im Prinzip ist hier fast unabhängig vom Verfahren nur die Frage wieviele versuche der Angreifer pro sekunde machen kann. Da man mal annehmen kann, dass
     die Schluessel gleichverteilt aus 2^1024 gezogen werden (ja man kann nicht alle nehmen, aber viel sollte man mit der Annahme nicht falschmachen koennen), dann kann es kein Kryptanalytisches Verfahren geben, das die Suche beschleunigt (Die Ausgangssprache hat halt Redundanz 0.
     
     MfG
     ML
     

2. Antwort von nach 21 Stunden 0 hilfreich

   Re: Profifrage;-) Passphrase Priv-Pub-Key BrutenFo

   Ich empfehle dir die Lektüre "Introduction to Crpytography" die bei PGP 7 dabei war:
   
   http://www.pgpi.org/doc/guide/7.0/en/intro/
   
   Da steht alles wichtige drinnen. Hat mir SEHR geholfen.
   
   Grüße
   Fabian
   

3. Antwort von nach einem Tag 0 hilfreich

   DAnke für eure Antworten!

   hi,
   
   vielen Dank!
   
   Das Tutorial von Fabian ist übrigens echt interessant!
   
   Ihr habt mehr als Recht, dass die Sicherheit und allgemein der Ansatz der asymmetrischen VErschlüsselung in dern Nichtverfügbarmachung/Schutz des privaten Keys besteht.
   
   Allerdings ist das derzeit wohl noch mehr Wunschdenken als Realität, was mich auch auf die Frage gebracht hat. So liegen nämlich sowohl meine Private-Keys für die digitale Signatur (derzeit nur Mail) und auch die meines EFSs (Encrytion File System in WinXP) auf der Platte. (Sind allerdings durch die Sicherheitsmechanismen von Windows selbst geschützt.)
   
   Auch sehr viele andere Programm legen die der Einfachheit halber dort ab. Aber mir ist inzwischen auch klar geworden wie problematisch das ist (wobei ich mir aber dennoch wohl in nächster Zeit keinen USB Token... kaufen werde um die dort unterzubringen.)
   
   Aus Euren Anworten und dem Tutorial läßt sich aber grundsätzlcih ableiten, dass bei einer längeren Passphrase selbst die "zugänglichen" Private-Keys doch "relativ" ausreichend geschützt sind. Was mich erstmal wieder beruhigt;-)
   
   viele Grüße
   Thomas
   

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!