wer von den Profis kann mir mal meine Frage zu der Sicherheitsproblematik von Passwörtern in Bezug auf (asymetrische) Verschlüsselungsverfahren beantworten.
Und zwar wird ja grundsätzlich der Privatekey durch eine Passphrase geschützt. Jede verschlüsselung ist doch nur so stark wie ihr schwächstes Glied?!
Wwelche Techniken kommen dann zum Einsatz, um mittels der Passphrase den (Private)Key zu schützen (oder zu erzeugen)? Sind das anerkannte Algorithmen, wenn ja wie heissen die.
Angreifen würde ich doch damit den Schlüssel, in dem ich eine Brute and Force Attacke gegen die Passphrase durchführe? Oder?
(Siehe die nachfolgende Frage, die Passphrase ist doch meist wesentlich kürzer als der Privatekey selbst. Wenn das nicht so wäre würde ich gleich einen Angriff auf den Schlüssel selbst durchführen?)
Ist es hier legitim zu rechnen, man hat einen Zeichenvorrat von ca 70 Zeichen(Alphabet(groß/klein) und Sonderzeichen) und eine Passwortlänge von 10. (Längere Passworte werden ja meist nicht angewendet)
Sprich 70 hoch 10, was mal ganz über den daumen gepeilt 2 hoch 60 ist.
Kann man nun einfach rechnen, diese Anzahl von Versuchen (im schlechtesten Fall) multipliziert mal die Zeitdauer pro Brute n Force durchlauf? Und damit hätte man die Zeit bis man den Schlüssel hat?
Welche Zahlen sind hier realistisch?
Diese Zahl 2 hoch 60 bzw. die Länge von 10 Zeichen „drückt ja letztendlich die Sicherheit der Passphrase aus“. Ist diese Zahl direkt mit der Schlüssellänge irgendwelcher Verschlüsselungsalgorithmen vergleichbar? Sprich wie kann ich diese Länge ca einer gleich sicheren Verschlüsselung mittels Blowfish oder AES was auch immer zurechnen (z.B. einem AES mit einer Schlüssellänge von XX Bit)?
Wie lang muss die Passphrase sein, damit diese keine einfachere Angriffsmöglichkeit bietet als auf den Schlüssel selbst?
(DAs ist so mit die zugrundeliegende Frage:wink:
Wäre sehr dankbar für ein paar Hinweise.
Regards
Thomas
Und zwar wird ja grundsätzlich der Privatekey durch eine
Passphrase geschützt. Jede verschlüsselung ist doch nur so
stark wie ihr schwächstes Glied?!
Ja.
Wwelche Techniken kommen dann zum Einsatz, um mittels der
Passphrase den (Private)Key zu schützen
Ich meine mich zu erinnern, es sein eine symmetrische Verschlüsselung mit der Passphrase, will mich aber lieber nicht festlegen (Quelle, wo bist Du…
(oder zu erzeugen)?
Das Schlüsselpaar wurd duch Zuhilfenahme von möglichst guten Zufallszahlen erzeugt. Deshalb soll man bei der Schlüsselerzeugung auch wahllos auf der Tastatur hämmern oder mit der Maus rotieren…
Sind das anerkannte Algorithmen, wenn ja wie heissen die.
Mist. Wo habe ich meine Doku…?
Angreifen würde ich doch damit den Schlüssel, in dem ich eine
Brute and Force Attacke gegen die Passphrase durchführe?
Ja. Dazu brauchst Du erstmal den private Key und auf den sollte man extrem gut aufpassen!
Der Schutz lautert in erster Linie ,ihn nicht anderen zugänglich zu machen.
Oder?
(Siehe die nachfolgende Frage, die Passphrase ist doch meist
wesentlich kürzer als der Privatekey selbst.
Ja, wenngleich man die Passphrase möglichst lang wählen sollte…
Wenn das nicht so
wäre würde ich gleich einen Angriff auf den Schlüssel selbst
durchführen?)
?
[…]
Wie lang muss die Passphrase sein, damit diese keine
einfachere Angriffsmöglichkeit bietet als auf den Schlüssel
selbst?
(DAs ist so mit die zugrundeliegende Frage:wink:
Hm, ich habe mir heute das Gehirn aus dem Kopf gepustet (und kann Dir hier gerade nicht weiterhelfen. Sorry.
Ich meine mich zu erinnern, es sein eine symmetrische
Verschlüsselung mit der Passphrase, will mich aber lieber
nicht festlegen (Quelle, wo bist Du…
Kommt auf die verwendete PKI an.
Sind das anerkannte Algorithmen, wenn ja wie heissen die.
Kommt wiederum auf die PKI an - meinst Du PGP oder was ?
Im Prinzip kann man jedes Symmetrische verschluesselungsverfahren nehmen
-sogar Rot 13
Mist. Wo habe ich meine Doku…?
Angreifen würde ich doch damit den Schlüssel, in dem ich eine
Brute and Force Attacke gegen die Passphrase durchführe?
Der Schutz lautert in erster Linie ,ihn nicht anderen
zugänglich zu machen.
Ganau ! Das ganze Passphrase Spiel ist im Prinzip für public-key Verfahren nicht
zentral. Es geht nur darum, den private-Key für den Fall zu schützen, dass dein
Rechner gehackt wird. Doch in diesem Fall kann der Hacker evtl auch einen keylogger installieren und das war’s dann. „Sicher“ gehts nur, wenn Du Deinen Private-Key jedesmal selbst eingibst.
Wie lang muss die Passphrase sein, damit diese keine
einfachere Angriffsmöglichkeit bietet als auf den Schlüssel
selbst?
(DAs ist so mit die zugrundeliegende Frage:wink:
Im Prinzip ist hier fast unabhängig vom Verfahren nur die Frage wieviele versuche der Angreifer pro sekunde machen kann. Da man mal annehmen kann, dass
die Schluessel gleichverteilt aus 2^1024 gezogen werden (ja man kann nicht alle nehmen, aber viel sollte man mit der Annahme nicht falschmachen koennen), dann kann es kein Kryptanalytisches Verfahren geben, das die Suche beschleunigt (Die Ausgangssprache hat halt Redundanz 0.
Das Tutorial von Fabian ist übrigens echt interessant!
Ihr habt mehr als Recht, dass die Sicherheit und allgemein der Ansatz der asymmetrischen VErschlüsselung in dern Nichtverfügbarmachung/Schutz des privaten Keys besteht.
Allerdings ist das derzeit wohl noch mehr Wunschdenken als Realität, was mich auch auf die Frage gebracht hat. So liegen nämlich sowohl meine Private-Keys für die digitale Signatur (derzeit nur Mail) und auch die meines EFSs (Encrytion File System in WinXP) auf der Platte. (Sind allerdings durch die Sicherheitsmechanismen von Windows selbst geschützt.)
Auch sehr viele andere Programm legen die der Einfachheit halber dort ab. Aber mir ist inzwischen auch klar geworden wie problematisch das ist (wobei ich mir aber dennoch wohl in nächster Zeit keinen USB Token… kaufen werde um die dort unterzubringen.)
Aus Euren Anworten und dem Tutorial läßt sich aber grundsätzlcih ableiten, dass bei einer längeren Passphrase selbst die „zugänglichen“ Private-Keys doch „relativ“ ausreichend geschützt sind. Was mich erstmal wieder beruhigt:wink:
