Re: GnuPG: Länge und Beschaffenheit der Passphrase (Mantra)
Von: Juergen P. Meier (nospam-2007@jors.net) [Profil]
Datum: 06.03.2008 08:06
Message-ID: <18259.32222.1204787172@news.jors.net>
Newsgroup: de.comp.security.misc
Datum: 06.03.2008 08:06
Message-ID: <18259.32222.1204787172@news.jors.net>
Newsgroup: de.comp.security.misc
Max.Zwettler@web.de <Max.Zwettler@web.de>: >> Die 24. Auflage des Duden umfasst laut Wikipedia 130000 Wörter. Fünf >> zufällige Wörter aus diesem Wörterbuch haben so eine Stärke von knapp 85 >> Bits. Das ist als verhältnismäßig sicher anzusehen. Das gilt natürlich >> nur, wenn tatsächlich der Duden als Wörterbuch verwendet wurde (oder ein >> anderes mit ähnlichem Umfang). > > Nein, ich habe den Passsatz gebildet wie auf > http://www.glump.net/dokuwiki/howto/gpg_intro#about_key_security Das ist ein guter Ansatz. > beschrieben: Ich habe diese Liste http://freenet-homepage.de/benjamin-t/diceware_german.txt > heruntergelade, gewürfelt und dann die Passphrase gebildet. Das ist nuetzlich, wenn man sich nicht sicher ist, dass man kontextfrei zufaellige Woerter aus seinem eigenen Wortschatz auswaehlen kann (was durchuas nicht leicht ist, mit einem geeignet detailierten Persoenlichkeitsprofil kann ein Angreifer den Suchraum oft erheblich verkleinern.) > Weshalb ist die Passphrase nun weniger sicher, als wenn ich sie aus > dem Duden heraus gebildet hätte? > Das verstehe ich nicht. Zitat: "The complete list contains 7776 short English words" Die deutsche Liste ist erheblich kuerzer. Mein eigener sprachlicher Wortschatz umfasst schon deutlich mehr Woerter, das Duden Rechtschreibbuch hat "insgesamt rund 130.000 Einträge" und das Duden Woerterbuch sogar 250.000. Wenn du dir also eine Passphrase aus 3 Woetern zusammenwuerfelst, hast du bei der englischen Liste von oben eins von 7776^3 bzw. 470184984576 Moeglichkeiten. Ein Angreifer braucht also "nur" bis zu 470184984576 Kombinationen durchzuborbieren (im Mittel nur die haelfte). Beim Duden sind das 250000^3 oder 15625000000000000 Moeglichkeiten. Nehmen wir an, GPG Passphrase Bruteforce schafft 100.000 Versuche¹ pro Sekunde, dann wuerde ersteres nach spaetestens 470185s geknackt sein. Das ist nicht mal eine Woche. Wenn der Angreifer das auf 130 Rechner verteilt, hat er deine Passphrase in einer Stunde geknackt. Beim Duden braeuchte er knapp 5000 Jahre. Mit einem grossen Botnetz (teuer) wuerde es also bis September dauern. Wenn du 5 oder gar 6 woerter aus dem Duden nimmst, vergehen ein oder zwei Universen bis das brute-force geknackt wurde. ¹ Frei aus der Luft gegriffen. Mir geht es um den Unterschied. Juergen -- Juergen P. Meier - "This World is about to be Destroyed!" end If you think technology can solve your problems you don't understand technology and you don't understand your problems. (Bruce Schneier)[ Auf dieses Posting antworten ]