---

DFD mener at Security-through-Obscurity er en falsk sikkerhed.

Jeg er medlem af DFD (og er egentligt ikke principielt uenig på dette
punkt), men mener dog at for en kort periode er denne form for sikkerhed
lige så god som en 512b signeret og krypteret data-transf.

Med en kort periode mener jeg en periode på under et år.

Har jeg egentligt ret i denne holdning, eller hvor hurtigt kan en 512b
krypteret fil brydes?

Og hvor hurtigt kan en protokol der udnytter 128b krypteret digitalt
signeret datatransfer brydes? (herved forstået at indholdet kan læses og
ændres, inden vidersendelse til beregnet modtager).

PS. DFD. er DigitalForbrugerDanmark (http:www.digitalforbruger.dk)
--
Mvh
Allan Stig Kiilerich Frederiksen
NB. Hvorfor skal man bruge mange timer på at få folk til at læse denne
gruppes FAQ/OSS, når de velvilligt spørger en til råds ang. valg af
personlige firewalls og andre comp. relaterede spørgsmål?

---

ASKF wrote:

> DFD mener at Security-through-Obscurity er en falsk sikkerhed.
>
> Jeg er medlem af DFD (og er egentligt ikke principielt uenig på dette
> punkt), men mener dog at for en kort periode er denne form for sikkerhed
> lige så god som en 512b signeret og krypteret data-transf.
>
> Med en kort periode mener jeg en periode på under et år.

Det kommer an på så meget.

Er filen krypteret med en anerkendt krypteringsalgoritme? Er
krypteringsalgoritmen implementeret korrekt? Er der anvendt et stærkt
kodeord (kommer meget an på typen af krypteringsalgoritme)?

> Har jeg egentligt ret i denne holdning, eller hvor hurtigt kan en 512b
> krypteret fil brydes?

Feh? Det kommer igen an på, hvilken algoritme er brugt.

Derfor er "Security-through-Obscurity" som oftest en falsk sikkerhed,
idet man ikke har nogen sikkerhed for at sikkerheden(!) er implementeret
ordentligt.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

ASKF <nospam@askf.dk> writes:

> DFD mener at Security-through-Obscurity er en falsk sikkerhed.

Det er de slet ikke ene om, det er en meget udbredt mening.

> Jeg er medlem af DFD (og er egentligt ikke principielt uenig på dette
> punkt), men mener dog at for en kort periode er denne form for sikkerhed
> lige så god som en 512b signeret og krypteret data-transf.

> Med en kort periode mener jeg en periode på under et år.

Problemet med "sikkerhed gennem obskuritet" (S/O) er at du *ingen* idé
har om hvor svært det er at bryde. Det kan være det holder et år. Det
kan være det falder i morgen. Derfor er det meget svært at sige hvor
god sikkerheden er i forhold til en kendt metode.

Du har måske en chance, hvis du selv har skrevet programmet. Hvis du
blot køber det, som så meget andet slangeolie, så ved du ikke hvad
der gemmer sig bag obskuriteten. Måske ikke noget overhovedet.

Hvis S/O er den eneste beskyttelse, så vil *alt* falde lige så snart
obskureteten er gennemskuet. En 512-bits ciffer holder indtil der
findes en *effektiv* måde at angribe cifferen på eller nogen lærer at
bruteforce 512 bits i brugbar tid (*meget* usandsynligt).

Hvis nogen finder en krypteringsnøgle (fx ved at banke den ud af din
gamle mor), så kan du blot vælge en ny, og de må starte forfra
(stakkels mor!).

Hvis S/O falder, så skal du skifte program (og det skal modtagerne
også), en noget større investering i tid, og måske endda penge ...,
men i det mindste er det sikkert så nemt at din mor kan være i fred.

> Har jeg egentligt ret i denne holdning, eller hvor hurtigt kan en 512b
> krypteret fil brydes?

512 bits, brute force ... det tager laaaaaaaaaaaaaaaaaaaaang tid.

512 bits svarer til et udfaldsrum på 2^512 muligheder. Vi er flinke
og runder det ned til 10^150.
Antag så at de har mange parallelle maskiner der er vanvittigt hurtigt,
så de kan teste en milliard muligheder hvert picosekund. Det er
altså 10^9 * 10^9 tests per sekund. Vi er igen flinke og siger at der
er 10 millioner (10^7) sekunder på et år (alt for meget).

Så vil det stadig tage dem 10^125 år at teste alle muligheder (og de
finder gennemsnitligt løsningen efter halvdelen af tiden).

> Og hvor hurtigt kan en protokol der udnytter 128b krypteret digitalt
> signeret datatransfer brydes? (herved forstået at indholdet kan læses og
> ændres, inden vidersendelse til beregnet modtager).

Bryde 128 bits? Stadig 10^13 år med samme udrustning som ovenfor
(altså 10 billioner år, eller i størrelsesordenen tusinde gange
universets alder).

Her skal du så vide at resultaterne ovenfor er for brute-force.
Signaturer bruger ofte public key-krytografi, og der er nøglerne ikke
lige så effektive som ved symmetrisk kryptering. Jeg læste engang en
tommelfingerregel der sagde at sikkerheden i en public key-nøgle var
ca. en tredjedel af bitlængden. Derfor er det nødvendigt at vide hvad
de 128 bits bruges til.

Hvis det er rent nøglerum til en god symmetrisk algoritme, så er
svagheden ikke i krypteringen, men snarere i nøglegenereringen og
-håndteringen.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
Art D'HTML: <URL:http://www.infimum.dk/HTML/randomArtSplit.html>
'Faith without judgement merely degrades the spirit divine.'

---

Lasse Reichstein Nielsen wrote:

> 512 bits svarer til et udfaldsrum på 2^512 muligheder. Vi er flinke
> og runder det ned til 10^150.

Ikke helt så mange ... Husk fødselsdagsparadokset.

http://www.howstuffworks.com/question261.htm

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

Christian Andersen <zv856hm02@sneakemail.com> writes:

> Lasse Reichstein Nielsen wrote:
>
> > 512 bits svarer til et udfaldsrum på 2^512 muligheder. Vi er flinke
> > og runder det ned til 10^150.
>
> Ikke helt så mange ... Husk fødselsdagsparadokset.
>
> http://www.howstuffworks.com/question261.htm

Det kommer så an på om du vil bryde en kryptering med 512-bits nøgle
(så er der 2^512 muligheder) eller du blot vil finde en vilkårlig
kollision for en hashfunktion (så gælder fødselsdagsparadokset).

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
Art D'HTML: <URL:http://www.infimum.dk/HTML/randomArtSplit.html>
'Faith without judgement merely degrades the spirit divine.'

---

>>>>> "LRN" == Lasse Reichstein Nielsen <lrn@hotpop.com> writes:

LRN> Hvis S/O er den eneste beskyttelse, så vil *alt* falde lige så
LRN> snart obskureteten er gennemskuet. En 512-bits ciffer holder
LRN> indtil der findes en *effektiv* måde at angribe cifferen på eller
LRN> nogen lærer at bruteforce 512 bits i brugbar tid (*meget*
LRN> usandsynligt).

De eneste 512-bits krypteringsalgoritmer jeg har set i almindelig
drift var asymmetriske. F.eks. RSA-512 kan bruteforces i brugbar tid.


/Benny

---

Benny Amorsen wrote:
>
> >>>>> "LRN" == Lasse Reichstein Nielsen <lrn@hotpop.com> writes:
>
> LRN> Hvis S/O er den eneste beskyttelse, så vil *alt* falde lige så
> LRN> snart obskureteten er gennemskuet. En 512-bits ciffer holder
> LRN> indtil der findes en *effektiv* måde at angribe cifferen på eller
> LRN> nogen lærer at bruteforce 512 bits i brugbar tid (*meget*
> LRN> usandsynligt).
>
> De eneste 512-bits krypteringsalgoritmer jeg har set i almindelig
> drift var asymmetriske. F.eks. RSA-512 kan bruteforces i brugbar tid.

Det var derfor, der blev skelnet mellem symmetrisk og public-key
kryptering. Jeg kender ikke lige nogen 512 bits symmetrisk
kryptering. AES kan bruge op til 256 bits. Der findes symmetriske
algoritmer med langt flere bits nøgle, men jeg tvivler på, at de
reelt giver meget større sikkerhed. (Du kan nemt bruge en større
nøgle med AES, den genererede keyschedule er på 1280-3584 bits
afhængig af nøgle- og blokstørrelse. I stedet for at generere
keyschedule ud fra en mindre nøgle kan du bare vælge en helt
tilfældig keyschedule. Men du kan ikke forvente nævneværdigt
større sikkerhed ved at gøre det.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

---

ASKF <nospam@askf.dk> writes:

> DFD mener at Security-through-Obscurity er en falsk sikkerhed.

Som andre har kommenteret så er problemet med security-by-obscurity at
man ikke kan lave en ordentlig sikkerhedsvurdering. Det kan godt være
at du tilsyneladende står med en 512 bit-nøgle, men du har ingen
anelse om om det egentlige nøglerum er 2^512 eller om det er meget
mindre.

Og endnu værre, hvis angriberen ved mere om implementeringen end man
selv gør, så har man førts rigtigt problemer.

For eksempel kunne man forestille sig en doven implementør af RSA der
ikke gider at finde 2 store primtal og derfor bare bruger et af
tallene 2, 3, 17, 23 eller 27 som det første primtal.

--
Peter Makholm | According to the hacker ethic, the meaning of life
peter@makholm.net | is not Friday, but it is not Sunday either
http://hacking.dk | -- Peeka Himanen

---

Peter Makholm wrote:
>
> For eksempel kunne man forestille sig en doven implementør af RSA der
> ikke gider at finde 2 store primtal og derfor bare bruger et af
> tallene 2, 3, 17, 23 eller 27 som det første primtal.

Store primtal er ulige, og det er en egenskab jeg i en eller anden
forbindelse har brugt, da jeg skulle bevise noget om RSA. Så mon
RSA faktisk vil give det rigtige output i alle tilfælde, hvis det
ene primtal er 2? Og 27 er ikke et primtal.

Hvis man vil teste RSA nøgler for de mest oplagte dårlige valg af
primtal, kan man jo gennemføre følgende tests:

1) Prøv alle primtal op til 2^32 eller noget i den retning.
2) Prøv faktorer i nærheden af kvadratroden af n.
3) Beregn parvis største fælles divisor mellem n fra mange
forskellige nøgler.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

> Store primtal er ulige, og det er en egenskab jeg i en eller anden
> forbindelse har brugt, da jeg skulle bevise noget om RSA. Så mon

Det kan du have ret i.

> ene primtal er 2? Og 27 er ikke et primtal.

Nej og din pointe er?

--
Peter Makholm | There are 10 kinds of people. Those who count in
peter@makholm.net | binary and those who don't
http://hacking.dk |

---

Peter Makholm wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> > ene primtal er 2? Og 27 er ikke et primtal.
>
> Nej og din pointe er?

At hvis du prøver at bruge 27 som primtal i en RSA kryptering, så
er jeg ikke sikker på, at du faktisk kan dekryptere igen. Så mon
ikke det hurtigt ville blive opdaget.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

---

>>>>> "KD" == Kasper Dupont <kasperd@daimi.au.dk> writes:

KD> At hvis du prøver at bruge 27 som primtal i en RSA kryptering, så
KD> er jeg ikke sikker på, at du faktisk kan dekryptere igen. Så mon
KD> ikke det hurtigt ville blive opdaget.

RSA fungerer fint med ikke-primtal, hvis du er ligeglad med
sikkerheden. Der er endda en vis risiko for at krypteringsnøgler i
daglig brug ikke er primtal - de færreste har ressourcer til at
primteste tal i størrelsesordenen 2^2048, så man anvender nogle tests,
der ind i mellem tager fejl. Yderst sjældent ganske vist, men dog.


/Benny

---

Benny Amorsen wrote:
>
> >>>>> "KD" == Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> KD> At hvis du prøver at bruge 27 som primtal i en RSA kryptering, så
> KD> er jeg ikke sikker på, at du faktisk kan dekryptere igen. Så mon
> KD> ikke det hurtigt ville blive opdaget.
>
> RSA fungerer fint med ikke-primtal, hvis du er ligeglad med
> sikkerheden.

Jeg har lige givet et eksempel, hvor dekrypteringen fejler. Så det er
ikke kun et spørgsmål om sikkerheden. Men muligvis opstår fejlen kun
i tilfælde, hvor data og nøgle ikke er indbyrdes primiske, jeg gider
dog ikke lige læse op på beviset igen.

> Der er endda en vis risiko for at krypteringsnøgler i
> daglig brug ikke er primtal - de færreste har ressourcer til at
> primteste tal i størrelsesordenen 2^2048, så man anvender nogle tests,
> der ind i mellem tager fejl. Yderst sjældent ganske vist, men dog.

Jeg ved det. Men de sammensatte tal, som evt. måtte slippe gennem
testen er vist også dem, som sjældent vil føre til forkerte
dekrypteringer. Og så vidt jeg husker blev det for nyligt bevist, at
man kan undersøge i polynomiel tid, om et givet tal er et primtal.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

---

Kasper Dupont wrote:
>
> Peter Makholm wrote:
> >
> > Kasper Dupont <kasperd@daimi.au.dk> writes:
> >
> > > ene primtal er 2? Og 27 er ikke et primtal.
> >
> > Nej og din pointe er?
>
> At hvis du prøver at bruge 27 som primtal i en RSA kryptering, så
> er jeg ikke sikker på, at du faktisk kan dekryptere igen. Så mon
> ikke det hurtigt ville blive opdaget.

Her er mine udregninger i et konkret tilfælde, hvor der faktisk
bruges to primtal:

p=29 q=43 n=29*43 phi(n)=28*42
e=17 d=761
42 => 515 => 42

Her er mine udregninger, hvis det ene primtal udskiftes med 27.
Når 42 krypteres får jeg 945. Når 945 dekrypteres får jeg 945.

p=27 q=43 n=27*43 phi(n)=26*42
e=17 d=257
42 => 945 => 945

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

---

Peter Makholm wrote:
> ASKF <nospam@askf.dk> writes:
>
>
>>DFD mener at Security-through-Obscurity er en falsk sikkerhed.
>
>
> Som andre har kommenteret så er problemet med security-by-obscurity at
> man ikke kan lave en ordentlig sikkerhedsvurdering. Det kan godt være
> at du tilsyneladende står med en 512 bit-nøgle, men du har ingen
> anelse om om det egentlige nøglerum er 2^512 eller om det er meget
> mindre.


Som en tilføjelse skal det måske nævnes at DFD specielt fremhæver
problemerne ved de såkaldte "kopisikringer".
D.v.s. produkter hvor man forsøger at give modtageren af noget data en
mulighed for at "afspille", men ikke "kopiere". Dette er selvsagt
umuligt at sikre på et åbent digitalt system som en computer.

Alligevel forsøger man igen og igen at gøre det umulige ved at levere
specielle proprietære programmer med, der kan afkode det "hemmelige"
format og afspille, men ikke tillader kopiering.

Så i denne form for security-through-obscurity giver man endda den ikke
"trustede" part (brugeren) nøglen til hele systemer.
OK.. det er muligt at han skal reverse-engineere den, men han sidder
faktisk med alt informationen til at omgå den smule sikkerhed, der måtte
være.

Peter Mogensen,
DFD