Thema: CNV-Encryption(Verschlüsselung)

Einzelnen Beitrag anzeigen

Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#9

Re: CNV-Encryption(Verschlüsselung)

  Alt 13. Aug 2006, 21:40
Zitat:
Sorry, aber ich sehe den Sinn in der Aktion wohl nicht ganz.
Ja, ist schon klar

Der Sinn ist sehr einfach, es ist ein Beweis dafür das es sehr einfache Angriffe gegen deine Methode gibt, die das Ding sehr unsicher machen. Unsicher eben deshalb weil ein Angreifer in der Lage ist ein beliebiges Benutzerpasswort quasis unsicher zu machen. Mit einem KeyFile aus lauter Nullen zb. wird mit jedem beliebigen Passwort rein garnichts durch dein Verfahren verschlüsselt. Die Inputdaten sind identisch mit den Outputdaten.

Probiere es einfach mal aus. Du entfernst deine sinnlosen Konvertierungen mit IntToStr() und so'n Quatsch und benutzt stattdessen den Datentyp Byte oder ähnlich. Mit einem KeyFile aus lauter Nullen wirst du dann sehen das das Passwort egal ist und garnichts verschlüsselt wird.

Wo ist das Problem ?

1.) Ein guter Cipher wird absolut sicherstellen das alle möglichen Passwörter absolut gleiche Sicherheiten erzeugen. Es gibt also keine Passwörter die stärker oder schwächer als andere Passwörter sind.
In deinem Falle kann man aber über das KeyFile die Stärke eines Passwortes soweit verändern das im Grunde garnichts verschlüsselt wird.

2.) Die Sicherheitsstufen können von -100% bis +100% gehen
100% -> ein Cipher verschlüsselt so sicher das er nicht geknackt werden kann ausser mit einer Brute Force Attacke
0% -> keine Verschlüsselung, der Anwender weis das er nichts verschlüsselt hat und das seine Daten unsicher sind. Er wird dementsprechend handeln.
-100% -> der User verschlüsselt mit zb. deinem Programm seine Daten. Er GLAUBT es ist sicher und wir WISSEN das es unsicher sein muß.

-100% sicher ist dein Algo. Das ist demzufolge unsicherer als garnicht zu verschlüsseln, da sich der Anwender in Sicherheit wähnt die nicht existent ist.

3.) mein DEMO-Angriff ist offensichtlich durchführbar und stellt somit ein durch rein logische Analyse ermittelter Angriff dar. Das ist ein sehr starkes Indiz dafür das du noch einige Sachen an deinem Verfahren verändern solltest. Denn wichtig ist nur eines -> gibt es andere Verfahren die im vergleich zu deinem es anders machen und dadurch sicher sind, ja die gibt es.


Ich empfehle dir das Buch "Angewandte Kryptographie" von Bruce Schneier. Er geht sehr gut auf die Designkriterien guter Verschlüsselungen ein.

Gruß Hagen
  Mit Zitat antworten Zitat