GPG a slovnikovy utok na secret keyring

Jan Houstek jan.houstek na mff.cuni.cz
Čtvrtek Srpen 25 11:24:20 CEST 2005 

Tak tise jsem doufal, ze tento ubohy thread uz konecne vysumi ...

On Thu, 25 Aug 2005, Michal Vymazal wrote:
> > No, on mu totiz Shawn Quinn v comp.security.pgp.discuss snazil poradit
> > a napsal, ze pri pouziti osoleneho a iterovaneho S2K to neni tak
> > jednoduche. Cimz ovsem bylo mysleno, ze to vyznamne zvysuje mnozstvi
> > prace, kterou musi utocnik pri brute-force udelat, a ne ze by to neco
> > zmenilo na principu, ktery samozrejme je trivialni. To uz ale je
> > zjevne mimo intelektualni dosah p. Vymazala :-(
>
> Honzo, skutecne jsem tak ranil Tve ego, kdyz jsem si dovolil
> zapochybovat o GPG? Navic nevim, proc mi vykas :-)

Nevsiml jsem si, ze bys pochyboval o GPG. Nevsiml jsem si, ze bych ti
nekde vykal (naopak, v nejakem predchozim prispevku ti explicitne tykam).
Vykani je oslovovani druhou osobou mnozneho cisla (od to je to VYkani),
doufam, ze se tu nechces ztrapnovat jeste ve znalostech materskeho jazyka.

> Ale to je jina vec, tim nebudeme zatezovat konferenci.

Tak proc ji zatezujes?

> Hledal jsem cloveka s praktickymi zkusenostmi a konkretne se jednalo o
> ten generator pro vstup na bruteforce. Dalsi vec je stanoveni 'odhadu"
> (je to skutecne jen odhad) vypocetni narocnosti pro urceni vsech
> moznosti (realnych moznosti, tj. zadatelnych z klavesnice). Slo o to, do
> kolika stroju ma ta farma, pro rozdeleni vypocetniho vykonu, smysl
> (pokud ma farma vubec smysl) apod. To, ze jsis to (Honzo) vysvetlil tak,
> ze hledam nekoho, kdo mi napise ten generator, je Tvoje chyba. Lituji.

Hledas zrejme nekoho, kdo se v urovni abstraktniho mysleni dostal
alespon nekam na uroven 4. tridy zakladni skoly. Ten by ti totiz
vysvetlil, ze prumerna doba utoku se spocita jako

<doba testu jedne passphrase> * <prumerny pocet passphrase, ktere je
potreba vyzkouset> / <pocet stroju, ktere to testuji>

Dobu jednoho testu si snadno zmeris, tady bude prave zalezet na tom, jake
S2K bylo pouzito. Horsi to bude s poctem passphrase, to zalezi predevsim
na tom, kdo tu passphrase zadal. Pokud vygeneroval nahodne 8 tisknutelnych
znaku, tak to je rekneme 48 bitu, tedy 2^48 pokusu maximalne, 2^47
prumerne, a neni, jak to srazit.

Typicky uzivatel ale nevoli 8 znaku dlouhe nahodne passphrase, takze
vyborne funguje heuristika, ktera nektere pravdepodobnejsi passphrase
projde driv. Zacne se slovnikem a pak se zkousi ruzne zkomoleniny
slovniku, kombinace slov ze slovniku a nejakych nahodne pridanych znaku,
kombinace vic slov, vyslovitelna slova ... Tim se da na vetsinu realnych
hesel prijit mnohem driv nez na 2^47 pokusu, ale to uz je uplne OT a vubec
to nema nic spolecneho s GPG.

> Smysluplny cas? Rekneme tak do 40 dnu.

No, pokud by zustalo u zcela nahodne passphrase a tech 2^47 pokusu, tak si
snadno muzes spocitat, kolik pocitacu bys potreboval, aby to stihly do 40
dni. Zavisi to na dobe jednoho testu, ale kdyz ji sdola odhadneme
1 mikrosekundou, vychazi minimalne ... no, ale to uz si urcite umis
spocitat sam, ze?

-- Honza Houstek

Další informace o konferenci Linux