AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein "Sicheres" Passwort erzeugen...Wie?
Thema durchsuchen
Ansicht
Themen-Optionen

"Sicheres" Passwort erzeugen...Wie?

Ein Thema von Daniel G · begonnen am 28. Nov 2005 · letzter Beitrag vom 9. Dez 2005
Antwort Antwort
Seite 7 von 8   « Erste     567 8      
Benutzerbild von HariboHunter
HariboHunter

Registriert seit: 5. Okt 2004
Ort: Kentucky
78 Beiträge
 
#61

Re: "Sicheres" Passwort erzeugen...Wie?

  Alt 5. Dez 2005, 11:57
Hmm sicheres Passwort erzeugen.

Geh zu Deinem Bücherregal,
schlag eine Seite auf,
lese einen Satz und nimm die Anfangsbuchstaben des Satzes als Passwort.
oder ist das jetzt zu wenig mathematisch?
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#62

Re: "Sicheres" Passwort erzeugen...Wie?

  Alt 5. Dez 2005, 12:37
bei einer Entropie von ca. 3.75 Bits pro Buchstaben des deutschen/englischen Zeichensatzes und einem Passwort mit minimaler Länge von 128 Bit benötigen wir also 35 Zeichen, aber eher zufälig verteilt. Wir gehen sicherheitshalber mal von 70 Zeichen als Text mit Wörtern aus.

70 Zeichen. Wir nehmen mal an das in einer Durchschnittlichen Schrankwand ca. 300 Bücher stehen mit jeweils 200 Seiten a 1024 Buchstaben pro Seite. Dies macht also 300 * 200 * 1024 = 61440000 also 62 Millionen Buchstaben.

Wir benötigen ein Passwort aus einer Menge von 2^128 möglichen und durchschnittlich betrachtet hat jeder eine Buchauswahl mit 2^35 möglichen Kombinationen.

Man müsste mit dieser Rechnung also zb. 27900 solcher Bücher haben.

Ergo: ein netter Vorschlag aber längst nicht so sicher als 70 Zeichen einfach mal eben auf dem Keyboard wahllos eingehämmert.

Gruß Hagen
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#63

Re: "Sicheres" Passwort erzeugen...Wie?

  Alt 5. Dez 2005, 12:58
Sorry, 62 Miliionen sind nur 2^26. Und dann falle ich immer wieder auf die Logarithmen rein, wir benötigen dann tatsächlich 1521180720273875281796043846451200 solcher Bücher um die Differenz von 2^26 zu 2^128 auszugleichen.

Also 2^26 zu 2^27 ist das doppelte an Bücher -> 600
2^27 zu 2^28 wieder das doppelte -> 1200
2^29 zu 2^30 wieder -> 2400
usw usw.

1521180720273875281796043846451200 ! Naja ich fange schon mal an meine Schrankwand zu vergrößern

Gruß Hagen
  Mit Zitat antworten Zitat
Benutzerbild von TeronG
TeronG

Registriert seit: 19. Jul 2004
Ort: München
960 Beiträge
 
Delphi 2007 Professional
 
#64

Re: "Sicheres" Passwort erzeugen...Wie?

  Alt 5. Dez 2005, 13:28
Zitat:
Dieses Zitat meinerseits widerspricht ja nicht der aktuellen Argumentation hier in diesem Thread
ja ne .. sollte es auch garnet ..
Zitat von negaH:
1521180720273875281796043846451200 ! Naja ich fange schon mal an meine Schrankwand zu vergrößern
ui noch n Bibliophiler
龍 Der Unterschied zwischen Theorie und Praxis ist in der Praxis größer als in der Theorie.
  Mit Zitat antworten Zitat
Benutzerbild von Sharky
Sharky

Registriert seit: 29. Mai 2002
Ort: Frankfurt
8.252 Beiträge
 
Delphi 2006 Professional
 
#65

Re: "Sicheres" Passwort erzeugen...Wie?

  Alt 5. Dez 2005, 14:31
Zitat von negaH:
Sorry, 62 Miliionen sind nur 2^26. ...
Hai Hagen,

ich möchte dich, so wie alle anderen auch, darum bitten bei Ergänzungen zu einem Posting die Edit-Funktion zu verwenden.
Solange es noch keine neuen Beiträge anderer User gibt ist es nicht notwendig für alles einen neuen Beitrag zu erzeugen.

Danke.
Stephan B.
"Lasst den Gänsen ihre Füßchen"
  Mit Zitat antworten Zitat
r2c2

Registriert seit: 9. Mai 2005
Ort: Nordbaden
925 Beiträge
 
#66

Re: "Sicheres" Passwort erzeugen...Wie?

  Alt 6. Dez 2005, 21:47
Wie soll ich denn auf das alles antworten können? Hilfe. Da hat man mal n bisschen wenig Zeit und schon tippt ihr da wie wild... Naja, dann mal meine Antwort in Kurzfassung:

Zitat von negaH:
Fragen wir doch mal was du unter Sicherheit verstehst ?

Du verstehst daraunter das man einen Beweis erbingt das irgendwas sicher sein muß.
Ne, ich verstehe darunter einen Beweis, dass ein Angreifer qusi Chancenlos ist, wenn es darum geht die Daten zu kriegen. Denn darum gehrt es ja: die Daten sollen geheim sein... Geheimer als geheim geht nicht oder kann jemand weniger wissen, als nichts?

Zitat:
Ich verstehe darunter das ich nicht nur einen Beweis erbringen kann das was sicher ist, sondern auch einen Beweis das wenn ich mit den gleichen Parametern arbeite exakt das gleiche Resultat wiedeerholt erzeugen kann.
Ich hab schon verstanden, dass du das darunter verstehst, nur warum? Welchen Vorteil bringt das?

Zitat:
Ich kann also einerseits sicheren "Zufall" erzeugen, so wie Du auch, aber das ich meinen sicheren "Zufall" zusäzlich noch wiederholt reproduzieren kann habe ich einen praktischen Beweis dafür das alle in diesem involvierten Systeme (die eventuell Fehlerhaft sind) keinen Fehler enthielten.
Auch, wenn du das testtest, hast du immer noch keinen Beweis dafür. Und wenn du wirklich statistisch zeigen willst, dass deine Systeme wahrscheinlich funktionieren, so musst du einen enormen Aufwand treiben. Ich frage dich also: Wer macht das? Du müsstest also jeedes Mal, wenn du etwas verschlüsselst 100 Computer(mit unterschiedlicher Hardware) mit 100 verschiedenen Implemantationen des selben Algorithmus und gleichen Parametern testen ob auch alles geklappt hat. Dann kannst du dir sicher sein. Dann hast du aber auf 100 Computern in der Auslagerungsdatei verräterische Spuren...

Zitat:
Also obwohl und weil die Grundlagen ein konstruiertes System ist:
Zitat:
Nur hast dieses System nichts mehr mit dem zu tun, was wir unter "Realität" verstehen...
hat es eben mit Realität zu tuen, weil ich es physikalisch absolut reproduzieren kann.
Du bringst hier 2 Dinge durcheinander. Du wolltest mit deiner Mathematik "hinter die physikalischen Grenzen" schauen und ich habe dir u.a. mit diesem Satz gezeigt, dass dies nicht möglich ist. Dies hatte nichts mit der Kryptographie und ihren Systemen zu tun...

Zitat:
Ja und ? Erstmal "berechnen" wir in meiner Argumentation reingarnichts, sondern wir gehen einfach mit Logik vor.[...]
So bringt das nichts. Wir reden hier aneinander vorbei. Wir reden hier von 2(zwei) Dingen: Einmal von der Kryptographie: da argumentierst du. Dann reden wir aber auch noch von der Physik und da hast du behauptet man könnte mit der Mathematik "hinter die physikalischen Granzen" schauen, der Unschärferelation "ein Schnippchen schlagen" und einfach trotzdem rechnen. Oder hab ich dich da total missverstanden? Und zu diesem Punkt habe ich gesagt: das hat nichts mehr mit Realität zu tun...

Zitat:
Aber bitte, unterstelle mir bitte keine persönliche Annahmen oder interpretiere in meine Worte solche Annahmen die dort nicht vorhanden sind.
Wenn ich so etwas gemacht haben sollte, bitte ich um Entschuldigung. Meine Kritik bezog sich hauptsächlich auf den oben genannten Punkt(ich hoffe dies nun deutlich gemacht zu haben). Ich möchte also weder dir noch sonstwem etwas unterstellen sondern nur drauf hinweisen, dass sowohl Physik, alsauch Mathematik ihren Sinn haben. Vielleicht war auch dies ein missverständnis und du bezogst alles auf die Kryptigraphie und ich verallgemeinerte zu viel...?

Zitat von TeronG:
Zitat:
Axiom1: Quantentheorie Daraus folgt Axiom2: Unschärferelation
Axiome folgen nicht, sie zeichnen sich gerade durch ihre Unabhängigkeit aus.
Ich geb ja zu, ich hätte mich da besser ausdrücken sollen. Ich hätte wohl besser "darauf ausbauend" oder so sagen sollen. Naja, passt auch nicht ganz, spielt aber eigentlich keine Rolle.

Zitat von negaH:
Das Problem der Diode ist es eben das wir die Eingangsparameter nicht kennen, was es uns unmöglich macht sie zu reproduzieren, egal ob wir nun eine Formel für die Diode haben oder nicht.

Bei einem deterministischen Verfahren haben wir die Wahl ob wir ein bewusst gewähltes Passwort verwenden wollen, oder eben ein unbewusstes durch willkürliches rumhämmern auf dem Keyboard. In beiden Fällen kennen wir alle Parameter.
Was macht das aber? Hat den Vorteil, dass ich keine Parameter - bewusst oder unbewusst(z.B. durch Spuren auf der Festplatte: Zugegeben etwas konstruiert) - ausplappern kann... Ich hab immer noch nicht verstanden, was daran schlimm ist, dass wir die Zufallszahlen nicht reproduzieren können.

Nochmal zusammenfassend:
1.) man kann nicht mit der Mathematik "hinter physikalische Grenzen gucken"
2.) hab ich noch nicht verstanden, warum der Zufall reproduzierbar sein muss

mfg

Christian
Kaum macht man's richtig, schon klappts!
  Mit Zitat antworten Zitat
Daniel G
(Gast)

n/a Beiträge
 
#67

Re: "Sicheres" Passwort erzeugen...Wie?

  Alt 6. Dez 2005, 22:52
Zitat:
2.) hab ich noch nicht verstanden, warum der Zufall reproduzierbar sein muss
Ja, das ...ähm... geht mir auch so.

da hat man den Thread erstellt und kapiert jetzt nur noch die Hälfte...
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#68

Re: "Sicheres" Passwort erzeugen...Wie?

  Alt 7. Dez 2005, 02:11
Zitat:
Vielleicht war auch dies ein missverständnis und du bezogst alles auf die Kryptigraphie und ich verallgemeinerte zu viel...?
Ja logisch bezog ich alles auf die Kryptographie, worauf denn sonst bei der Fragestellung. Ich war nicht derjenige der die Physik auf biegen und brechen in die Kryptographie einführen wollte, obwohl das beweisbar unsicherer wäre.

Zitat:
Ich hab schon verstanden, dass du das darunter verstehst, nur warum? Welchen Vorteil bringt das?
Weil ich dir live demonstrieren kann das mein Verfahren beweisbar funktioniert, das kannst du mit Diodenrauschen nicht da ich bei jeder deiner Demonstrationen behaupten werde "beweise es mir". Und jetzt komme nicht wieder mit Heisenberg, DU sollst es mir beweisen.

Zitat:
Du bringst hier 2 Dinge durcheinander. Du wolltest mit deiner Mathematik "hinter die physikalischen Grenzen" schauen und ich habe dir u.a. mit diesem Satz gezeigt, dass dies nicht möglich ist. Dies hatte nichts mit der Kryptographie und ihren Systemen zu tun...
Ja, und das tut der Mensch mithilfer der Mathematik doch schon längst. Astrophysiker berechnen die Temperaturen in der Sonne obwohl sie niemals ein Thermometer reinhalten können, mit was berechnen sie denn sowas ? Und schon wieder Physik obwohl Kryptographie primär reine Mathermatik ist.

Zitat:
Ich geb ja zu, ich hätte mich da besser ausdrücken sollen. Ich hätte wohl besser "darauf ausbauend" oder so sagen sollen. Naja, passt auch nicht ganz, spielt aber eigentlich keine Rolle.
Doch spielt es weil wir nur effizient diskutieren können wenn wir präziese sind, und nicht schwammig mit Allgemeinplätzen versuchen zu argumentieren. Bisher hast du dich nicht im mindestens auf meine Beweisführung eingelassen und in ähnlicher Weise diese mit logischen Gegenbeweisen entkräftet.

Zitat:
Was macht das aber? Hat den Vorteil, dass ich keine Parameter - bewusst oder unbewusst(z.B. durch Spuren auf der Festplatte: Zugegeben etwas konstruiert) - ausplappern kann... Ich hab immer noch nicht verstanden, was daran schlimm ist, dass wir die Zufallszahlen nicht reproduzieren können.
Weil du mir eben nicht beweisen kannst das es keine entdeckbare Formel und erfahrbare Eingangsparamter hinter deinem Diodenrauschen stecken könnte. In diesem Moment kannst du mir auch nicht beweisen das das Rauschen einer Diode auch wirklich zufällig ist.

Früher hätte man die Bahnen der Atome als Zufallsrauschen genommen, weil man noch keine Elektronenraster Mikroskope kannte.Heute kennt man sie und man nimmt Quanteneffekte. Aber wie siehts in der Zukunft aus ? Wissen der Physik altert schneller als das der Mathematik. Solange nicht grundsätzliche Axiome der Mathematik umgestoßen werden wird zb. der BBS Generator sicher bleiben.

Zitat:
Nochmal zusammenfassend:
1.) man kann nicht mit der Mathematik "hinter physikalische Grenzen gucken"
2.) hab ich noch nicht verstanden, warum der Zufall reproduzierbar sein muß
1.)
Doch man kann hinter physikalische Grenzen schauen, man muß nur die korrekten Annahmen=Axiome aufstellen diese dann logisch auskonstruieren und hat dann ein mathematisches Modell eines Systemes. Nur die Komplexität dieser Axiome und den Formel verhindert das wir zur Zeit nicht hinter alle Physikalsichen Phänomene schauen können. Aber das wird sich ändern je älter die Menschheit wird.
Was sich aber nicht mehr so schnell ändern wird sind die Axiome auf denen Verfahren wie der BBS-RNG aufbauen.

2.)
Er darf es ja auch nicht, nämlich nicht für den Angreifer der die Eingangsparameter nicht kennt. Der Angreifer kennt aber die Formel mit der der "Zufall" erzeugt wurde und denoch kann er auf Grund der Komplexität der Parameter nicht in 1 Milllionen Jahre diesen "Zufall" vorhersagen. Wenn er als 1 Bit bekommt und weis das es 0 ist so wird er denoch nicht in der praktischen Lage sein das nächste Bit vorherzusagen ! Na, wie ist das bei deiner Diode ?
Der NIcht-Angreifer muß aber diesen Zufall reproduzieren können damit er das Verfahren verifizieren kann, verifizieren durch Reproduktion. Na, deine Diode kannst du nicht verifizieren. Und erzähl mir nicht von 100 Comoputern und so'n Quatsch, ist ein schwaches Argument. Selbst UNendlich viele deiner Dioden können sich erst recht nicht verifizieren. Aber ein mathem. sicheren RNG Algorithmus kann ich sehr wohl mit 100 Computern + 100 Kopfrechnern verifizieren.


Reproduzierbarkeit ist eines der wohl wichtigsten Grundprinzipien in der Wissenschaft, egal ob Mathematik, Physik, Biologie etc. pp.

Du solltest als Programmierer sehr wohl verstanden haben warum Reproduzierbarkeit so wichtig ist. Denn viele beweisbare Vorgänge werden erst als beweisbar vermutet weil man ein Muster, eine Reproduktion erkannt hat. Und umgekehrt kann der Mensch durch exakte Beweise und eben Reproduktion sich weiterentwicklen. Deine ganze Umwelt basiert darauf, Maschinen, Industrie, Forschung und eben auch Wissen und Beweise. Und gerade weil wir einen Fakt Reproduzieren können ergibt sich somit eine Verifizierung des Faktes.

So mir reicht es jetzt aber. Es wird leider langweilig und ich habe alle logisch richtigen Beweise vorgebracht. Statt diese logisch korrekt zu widerlegen kann man sie auch einfach ignorieren und weiterhin glauben. Tue das wenn du das möchtest.

Gruß Hagen
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#69

Re: "Sicheres" Passwort erzeugen...Wie?

  Alt 7. Dez 2005, 02:21
Zitat von Daniel G:
Zitat:
2.) hab ich noch nicht verstanden, warum der Zufall reproduzierbar sein muss
Ja, das ...ähm... geht mir auch so.

da hat man den Thread erstellt und kapiert jetzt nur noch die Hälfte...
Dann lese meine obigen Argumente nochmal sorgfälltig durch. Wenn zwei Verfahren mathematisch als gleichwertig bewiesen wurden aber eines davon auch praktisch immer wieder beweisbar verifiziert werden kann, dann ist dieses eines Verfahren in seiner praktischen Anwendung sicherer als das andere. Reproduktion ermöglicht Verifikation ohne das man zangsläufig alles verstanden haben zu müssen.

Was findest du besser:

Es fallen 1000 Milliarden Euros wahllos vom Himmel, oder
es fallen 1000 Milliarden Euros durch dich gesteuert in deine Hände ?

Ich würde es, wenn ich es steuern könnte weil ich weis wie, eben steuern, statt weiterhin darauf zu hoffen das durch echten Zufall auch mal was bei mir landet. Mann so dumm kann man doch garnicht sein, oder

Vielleicht ein Vorschlag zur Güte:

Wir nehmen unser deterministes und beweisbar sicheres Kryptoverfahren und als Seed einen Zufall aus einer Diode ! Somit wäre der Output bei unbekannten Seed garantiert sicher in den Schranken des mathematischen Verfahrens, und durch das Rauschen der Diode auch ect zufällig. Und da wir deises Seed auch noch haben können wir auf einem anderen System verifizieren das mit diesem Seed die gleichen Bits durch das Verfahren produziert werden.

So, nur warum nimmt man dann nicht gleich ein Passwort oder hämmert die Zeichen wahllos ins Keyboard ?

Das war aber jetzt wirklich mein letzter.

Gruß Hagen

[edit]

Sorry Sharky, ich habs schon wieder getan

[/edit]
  Mit Zitat antworten Zitat
Der_Unwissende

Registriert seit: 13. Dez 2003
Ort: Berlin
1.756 Beiträge
 
#70

Re: "Sicheres" Passwort erzeugen...Wie?

  Alt 7. Dez 2005, 11:05
Hi,
wollte auch noch mal schnell was zu Heisenberg und Reproduzierbarkeit sagen (ok, möchte eigentlich nur meinem Namen alle Ehre machen).

Das Hauptproblem der Kryptographie ist es, dass sie ein Teilgebiet der Mathematik ist. Wie hier schon ausführlich gesagt wurde gibt es keine absolute Sicherheit (da sind sich ja auch alle einig), also kann ich die Unsicherheit abschätzen. Und wenn etwas zu unsicher ist, dann werde ich nicht diese Verschlüsselung benutzen (unterstelle ich jetzt einfach mal jedem Kryptographen).

Vielleicht habe ich ja auch die Unschärferelation falsch in Erinnerung, aber ich glaube Heisenberg (bzw. alles was folgt) schließt gar nicht aus, dass z.B. ein Elektron einer festen Bahn folgt, die man berechnen könnte. Er sagt doch eigentlich nur, dass diese nicht beobachtet (und damit verifiziert) werden kann. Nun ist das Problem, dass er wahrscheinlich sogar recht hat, aber es gibt keinen (math.) Beweis dafür.

Also sind auch alle Folgerungen der Unschärferelation unbewiesen.
Wenn ich nun eine Aussage habe, ist diese doch immer solange gültig, bis ich sie wiederlege. So ganz banale Beispiele sind doch Folgerungen über alle Elemente der Leeren Menge (sie sind einfarbig und unsichtbar, alle grün, alle gelb, alle teuer, alle billig,...) Ist immer alles wahr weil es kein Element der leeren Menge gibt, dass eine Eigenschaft nicht erfüllt.

Aber genauso kann ich doch die (unbewiesene) Zufälligkeit des Diodenrauschens als 0% Zufällig, 1% Zufällig... annehmen und es kann nicht wiederlegt werden (Sorry falls ich jetzt irgendwo schon einen totalen Denkfehler drin habe!).
Eigentlich reichen sogar die zwei Extrema, 0% Zufällig weil berechenbar (nur noch nicht bewiesen) oder 100% Zufällig (auch noch nicht bewiesen).
In der Kryptographie muss ich aber immer von der schlechtesten Abschätzung ausgehen, hier doch eher die 0% Wahrscheinlich. Damit wäre dieser Zufall sehr schlecht.

Natürlich kann ich das Rauschen nehmen und es wird im Moment keinem ernsthaft gelingen zu zeigen, dass es nicht zufällig war, aber ich denke, dass es aus Sicht der Kryptographie nicht als sicher gelten wird.

Natürlich basiert das auf eventuell falschen Annahmen, freue mich auch wenn mir jmd. erklärt wo sie liegen.

Dazu dass dieser Thread keinen Wissenschaftlichen Charakter besitzt wollte ich auch noch was sagen, mag sein, aber ich denke die Leute die hier Diskutieren haben nicht den Anspruch gerade 100% korrekte Wissenschaft an den Tag zu legen. Ich denke das würde nun wirklich den Rahmen dieses Threads sprengen und wäre nicht wirklich gewollt.
Natürlich wird es auch in der DP genug Leute geben, die diese Diskussion auf einem anderen Niveau weiterführen könnten (unterstell ich jetz einfach mal einigen), aber ungenaue Formulierungen und nicht immer 100%ige Korrektheit sind doch auch mal nett. Und wenn Leute denken, dass sich hier jmd. profilieren möchte (kann hier Minikecks nicht mehr zitieren, wurde ja schon gestrichen), na ja, gibt schon Gründe warum so etwas gestrichen wird (bevor man meinen Beitrag streicht sage ich nicht mehr dazu).
Es muss jedenfalls von keinem gelesen werden der keine Lust dazu hat und ich denke die zwei/drei die hier am meisten geschrieben haben wissen schon wie die Diskussion gemeint ist und werden auch weiterhin für ähnliche Diskussionen zu haben sein.

Ok, dieser Beitrag ist (falls es jmd. noch nicht gemerkt hat) 100% Subjektiv.

Gruß Der Unwissende
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 7 von 8   « Erste     567 8      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:34 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz