Das ist nun einmal so und gehört zum Prinzip. Das Geheimnis ist das
Passwort. Man könnte stattdessen auch eine Chipkarte oder einen
Magnetstreifen verwenden oder was auch immer, wenn die Technik zur Verfügung
stünde, grundsätzlich würde sich am Verfahren nichts ändern.
Nein, eben nicht. Du verwechselst da was. Es ist etwas anderes, die
Hashwerte in der SAM des Betriebssystems auszulesen und so lange zu
probieren, bis sich eine Übereinstimmung ergibt, als hier Brute Force
anzuwenden.
Brute Force ist immer eine Frage des Aufwandes. Der wurde hier recht hoch
gelegt, zum Beispiel dadurch, dass der Angreifer erst sehr aufwendig
ermitteln muss, nach welcher "Übereinstimmung" er überhaupt suchen soll.
Auch der zufällige Startwert erschwert einen solchen Angriff ungemein, weil
eine vorbereitete Tabelle mit den Hashwerten der "gängigen" Passwörter
(darauf beruhen die Passwortknacker, die Du in den Zeitschriften an der
Tankstelle findest) nicht greift.
Ich behaupte nicht, dass es unmöglich wäre, aber der Aufwand ist hoch. Sehr
hoch.
Nein.
Meiner ersten Beschreibung nach verwende ich _einen_ (recht kurzen)
Schlüssel immer wieder. Heiko merkte an, dass Header-Daten in der Regel
deutlich strukturiert sind und deshalb an bestimmten Stellen vorhersehbare
Bytes zu stehen haben. Dies zu verschleiern macht keinen großen Sinn, weil
man diese Verschleierung mit einem Disassembler leicht rekonstruieren kann.
Wenn man aber das Klar-Ergebnis und die Verschlüsselung dieses Ergebnisses
kennt, dann hat man daraus mit XOR sofort den Schlüssel - zumindest für
diese Bits, wenn nicht gar Bytes.

Durch eine wiederholte Anwendung dieses Schlüssels wären damit zumindest
Teile der Daten bereits geknackt, bevor die richtigen Waffen zum Einsatz
kommen. Somit hätte man vielleicht eine Chance, durch logische Analyse der
Daten - insbesondere unterstützt durch die fortlaufende Wiederholung des
recht kurzen Schlüssels - den Schlüssel zu erraten.

Sorry, dass ich anfangs dieses wichtige Detail vergessen hatte. Aber ich
habe mich schon berichtigt. Der Schlüssel für den Header wird nur einmal
angewandt. Die eigentlichen Daten werden mit einem anderen Schlüssel
verschlüsselt. Und da ist die Wiederholung des Schlüssels kein Problem, weil
durch die vorherige Komprimierung die Datenstruktur völlig unbekannt ist.
Der Angreifer weiß nicht, ob er ein x oder ein u sucht.
Heikos Einwurf bezog sich auf das, was ich eben noch einmal erklärte, da
trifft Dein Argument nicht zu.
Ich habe es mir vorhin verkniffen, aber jetzt muss ich es doch loswerden:
Abgesehen davon, dass kein vernünftiger Mensch größere Datenmengen mit einem
unsymmetrischen Verfahren verschlüsseln würde (es dauert schlicht zu
lange...), kann ich auch überhaupt nicht erkennen, was ein
Public-Key-Verfahren hier soll. Du hast selbst richtig erkannt, dass man den
privaten Schlüssel irgendwo sicher unterbringen muss. Das ist hier nicht
möglich, Smartcard etc. scheiden definitiv aus.
Das ist zwingend erforderlich.
Dann ist halt die Situation falsch.
Nein, nein, nein!
Im Programm darf nichts stecken, was mit der Schlüsselerzeugung zu tun hat,
außer dem Algorithmus natürlich. Kein geheimer Wert! Wenn er im Programm
steckt, ist es kein Geheimnis mehr, das Programm hat der Kunde doch in der
Hand, der kann es untersuchen und wird den Wert finden.
Auch das ist falsch.
Der Startwert ist ja nicht geheim und wird deshalb nicht verschlüsselt. Er
dient auch nicht der Verlängerung des Schlüssels, sondern nur dazu, dass
jedesmal ein anderer Schlüssel erzeugt wird.
Beispiel: Der Normal-Benutzer wählt als Passwort "Sonne". Der zufällige
Startwert ist "&x4TG=#81Pgm".
Damit wird der Schlüssel aus "&xS4ToG=n#8n1Pegm" erzeugt. Du wirst zugeben,
dass eine solche Zeichenkette nicht in der Tabelle der gängigsten Passwörter
zu finden ist.
Der Witz am MD5-Hash ist, dass die Veränderung nur eines Bits bei der
Eingabe einen ganz anderen Hash-Wert ergibt. Viel Spaß beim Suchen nach
Übereinstimmungen.
Keineswegs. Der zufällige Startwert ist ja auch nicht meine Erfindung,
höchstens meine Wortschöpfung. In der Literatur firmiert der unter dem Namen
"Salt" (Salz in die Suppe des Angreifers streuen...)
Grundfalsch.
Public-Key-Verfahren nicht per Definition sicherer als symmetrische
Verfahren, sie dienen einem anderen Zweck, weil damit das
Schlüsseltausch-Problem gelöst werden kann. Um Schlüsseltausch geht es hier
aber gar nicht.
Ich schrieb schon, dass Du über Public-Key-Verfahren erst nachdenken musst,
wenn Du weißt, wo und wie Du den privaten Schlüssel aufbewahrst.
Gängige PK-Verschlüsselungsverfahren (PGP etwa) sind Hybrid-Verfahren: Auch
hier wird jedesmal neu ein zufälliger symmetrischer Schlüssel erzeugt
(allerdings erheblich aufwendiger als ich das tat) und damit die Nachricht
verschlüsselt. Dieser symmetrische Schlüssel wird an die Datei angehängt(!)
und - jetzt kommt's - mit dem öffentlichen Schlüssel verschlüsselt. Nur wer
den privaten Schlüssel hat, kann den symmetrischen Schlüssel entschlüsseln.
Und dann wird der Rest der Datei durch ein ganz normales symmetrisches
Verfahren wieder entschlüsselt.
Diese Möglichkeit darf es nicht geben.
Na, jeder andere sicher nicht.
Ein paar Mindestanforderungen müssen schon erfüllt sein...
Warum nicht?
Mir ist schon klar, dass man XOR nur unter bestimmten Bedingungen für die
Verschlüsselung nehmen kann. Die sind hier meiner Meinung nach gegeben.
Das Problem ist aus meiner Sicht nicht das Verschlüsselungsverfahren,
sondern die Implementierung des Verfahrens. Auch mit so einer
Fertig-Komponente, die idealerweise auch fehlerfrei arbeitet, kann man bei
der Implementierung noch fürchterlich viel falsch machen.

Das XOR-Verfahren wäre das sicherste aller denkbaren
Verschlüsselungsverfahren und man bräuchte an alle anderen Verfahren keinen
Gedanken verschwenden, wenn beim Entschlüsseln
- derselbe geheime Schlüssel zur Verfügung steht wie bei der Verschlüsselung
und
- der Schlüssel absolut zufällig, gleichverteilt und
- genausolang wie die Nachricht ist,
- außerdem nur einmal verwendet wird,
- ansonsten aber sicher geheim bleibt.
Das zu schaffen oder anzunähern ist Aufgabe der Implementation.
Für mich hat sich gezeigt, dass die Schlüsselerzeugung eines der
gravierendsten Probleme ist. Deshalb meine Frage im OP.

Andre

Ja, das sehe ich auch so, dem "ungeübten" Angreifer gebe ich dafür allerding
gar keine Chance.

Die Frage ist, ob der Aufwand dafür in vernünftigen Grenzen gehalten werden
kann. Irgendein Passwortknacker aus den "Fachzeitschriften" von der
Tankstelle tut es definiv nicht. Der Angreifer braucht erhebliches Know-How,
muss einen Tag Arbeit oder länger in die Entwicklung eines Tools stecken,
dass den Angriff ausführen soll, und dann muss er noch eine Weile warten,
bis die Arbeit erledigt ist.

Heiko schrieb hier im Thread:
| Aber wie schon geschrieben, bei deinem Verfahren macht sich niemand
| die Mühe, das Passwort herausfinden zu wollen. Es ist sehr viel einfacher,
| den Schlüssel direkt anzugreifen statt die Schlüsselgenerierung.

Zumindest dem zweiten Satz stimme ich nicht zu.

Ich gehe davon aus, dass der qualifizierte Angreifer (nur über den reden
wir) recht schnell durch Disassemblierung begreift, was hier läuft, und sich
für den ersten Weg entscheiden muss.

Die Frage, die ich nicht beantworten kann, ist: Wie lange muss er einen
Computer rechnen lassen, um - bei einem Passwort vernünftiger Qualität - mit
einem Ergebnis rechnen zu können?
Für Hundert Prozent Erfolg muss er jedes denkbare Passwort ausprobieren und
dann noch ein paar Operationen ausführen, um festzustellen, ob er einen
Erfolg gelandet hat.
Die Verwendung von Spezial-Hardware schließe ich als völlig unangemessen
aus.
Was mich interessiert ist: Wie ist der Erwartungswert für eine
80%-Erfolgsquote bei Benutzung eines gängigen PCs?

Ich lese von Milliarden von Möglichkeiten... wie lange dauern eine Milliarde
Versuche? 15 min oder 15 Jahre? Wenn ein Versuch eine hundertstel Sekunde
dauert, braucht man für eine Milliarde Versuche 115 Tage. Dauert ein Versuch
dagegen eine zehntel Sekunde, braucht man dafür über drei Jahre. Das reicht.

Bei einem "weichen Passwort" braucht man keine hunderttausend Versuche, dann
geht es nur um 1000 Sekunden, selber schuld.

Andre

Natürlich.
Aber es gibt keine Rainbow-Tabellen mehr, die beschleunigend wirken.
Die Berechnungen werden erzwungen.
Daran habe ich gedacht. Du vermutest deshalb falsch.

Mir ist völlig klar, dass XOR nur unter bestimmten Bedingungen als
"Verschlüsselung" durchgehen kann.
Entweder
- der Schlüssel ist mindestens so lang wie die zu verschlüsselnden Daten
(unerfüllbar) oder
- der Schlüssel ist hinreichend lang (so bei der EFS-Verschlüsselung) oder
- der Schlüssel ist eigentlich zu kurz, aber er verschlüsselt Daten, deren
Bytes zwischen 00 und FF einigermaßen gleichverteilt sind und deren Struktur
nicht bekannt ist.

Nur Punkt 3 ist erfüllt. Das reicht aber.

Die Komprimierung, von der ich schrieb, ist nicht wegen der Komprimierung
eingeführt worden (Nebeneffekt willkommen), sondern um unvorhersagbare
Datenstrukturen zu schaffen. Dabei fallen zwischendurch einige unbenutzte
Bits und auch einige unbenutze Bytes am Ende jeder Tabelle an. Du darfst mir
glauben, dass die nicht alle auf 0 stehen...

Meine Zuversicht, ich schrieb das schon, beruht ja darauf, dass der
Angreifer die Datenstrukltur nicht kennt, obwohl er den Algorithmus durch
Disassemblierung herausfinden kann.
So habe ich auch darauf geachtet, dass der Anfang der ersten Tabelle ohne
entschlüsselte Header-Daten nicht erkennbar ist. Genau deshalb wird der
zweite Teil des Headers überhaupt verschlüsselt. Es ist kein großer Aufwand,
Blöcke zu verschieben, die Wirkung ist aber gewaltig.

Die Frage ist im Kern: Wie lange dauert es auf einem handelsüblichen PC bei
einem MD5-Brute-Force-Angriff, eine Milliarde Passwörter auszuprobieren?

Andre

OK.
Das war konstruktiv. Danke.

Der Sinn der Etüde will aber MD5 und XOR.

Am Ende ist muss die Einschätzung stehen, dass das Verfahren
- allgemein brauchbar ist (natürlich nicht) oder
- für diesen speziellen Fall brauchbar ist (nach meiner derzeitigen
Überzeugung) oder
- generell unbrauchbar ist

Ich habe der bisherigen Diskussion entnommen, dass der Ansatz mit dem Hash
nicht ganz falsch ist, aber niemand meiner Versicherung traut, dass die zu
verschlüsselnden Daten quasi zufällig verteilt sind. Das wäre jedoch
notwendige Bedingung für eine wirkungsvolle XOR-Verschlüsselung mit "zu
kurzem" Schlüssel.

Natürlich werde ich Deinem Hinweis nachgehen und vergleichen.

Andre