Archief - De topics van lang geleden

juvenalis dillema

28-12-2006, 10:59 door Anoniem, 32 reacties
Volgens mij gaat de stelling 'als je het kan maken, kan je
het ook breken' zeker op in de security wereld.
Zoals in het boek 'het juvenalis dillema' (fictie) geschetst
wordt is een wachtwoord op den duur altijd te breken. Als je
maar genoeg tijd en rekenkracht hebt om gewoon elke
mogelijkheid te proberen. Hoe meer tekens, hoe meer
mogelijkheden enz enz (de brute force/ dictionairy attacks)

Nu ben ik zelf niet helemaal een nitwit wat computers, it en
security betreft (en was ooit vaste bezoeker van deze site
;-) maar aangezien hier veel mensen komen met veel meer
verstand van zaken dan ik wilde ik proberen mijn vraag hier
te posten..

Stel... dat ik een manier heb gevonden/bedacht om de brute
force attacks onmogelijk te maken. Onbreekbare wachtwoorden
dus. Voor zover ik weet echt nieuw want anders had ik het
zelf waarschijnlijk ook wel gebruikt of over gehoord.
Wat te doen hiermee...? Zoals aangegeven heb ik absoluut
geen kaas gegeten van de echte techniek erachter en kan niet
programmeren oid..

Had niet echt zin om 'het idee' als topic te posten omdat je
dan eerst super veel discussies erover krijgt en daar zat ik
niet zo op te wachten.
Zou super zijn wanneer er wat serieuze reacties zouden komen
die mij de juiste richting in zouden sturen. Mijn 1e
ingeving was natuurlijk het idee vast te leggen maar proof
of concept, hulp en advies maken het verhaal wel
makkelijker. Ook goed mogelijk dat iemand die er echt
verstand van heeft het idee binnen 10 sec van de tafel veegt
maar ben wel degelijk serieus.

Voor de duidelijkheid; het is geen onbreekbare beveiliging.
Keyloggers, schoudersurfen of gewoon dom met je wachtwoord
omgaan blijft ook hier het zwakke punt.
Ook zou het een toevoeging zijn op bestaande (en goede)
maatregelen zoals encryptie maar uiteindelijk moet absolute
beveiliging een mogelijkheid zijn!

Alle tips zijn uiteraard welkom! Bij voorbaat dank daarvoor!

T
Reacties (32)
28-12-2006, 13:29 door SirDice
Brute-force is altijd mogelijk (als er maar tijd genoeg is).. Ik zie geen enkele technische mogelijkheid om dat onmogelijk te maken, behalve OTP maar dat is weer een verhaal apart.

Zonder wat meer informatie is er ook geen zinnig woord te zeggen over jouw oplossing.
28-12-2006, 14:47 door Anoniem
Door SirDice
Brute-force is altijd mogelijk (als er maar tijd genoeg
is).. Ik zie geen enkele technische mogelijkheid om dat
onmogelijk te maken, behalve OTP maar dat is weer een
verhaal apart.

Zonder wat meer informatie is er ook geen zinnig woord te
zeggen over jouw oplossing.

Het is ook niet echt technisch maar vind het te lastig om
dat op een begrijpelijke manier uit te leggen.
Je hebt altijd zinnige dingen te zeggen (Dice) op de topics
en waardeer je mening maar geloof echt dat dit de brute
force onmogelijk maakt!

Mijn vraag was ook meer;
Wat hiermee te doen? Op papier uitschrijven, patent
aanvragen en wanneer de mogelijkheid ooit ontdekt wordt het
idee verkopen? Ik zou gewoon graag de discussie aan gaan met
iemand (of instantie) die mij kan vertellen of het ECHT niet
kan. Ik snap dat het als een raar verhaal overkomt maar ben
echt geen tiener die een loze thread wil starten en weet
beetje waar ik over praat. (klein beetje ;-)

Vandaar dat ik het boek juvenalis aanhaalde.. Daar werd ook
ingegaan op de onmogelijkheid ervan. Overigens is de
fantasie oplossing in het verhaal om dit tegen te gaan ook
'out of the box' gedacht.

Heb getwijfeld om het idee als topic te plaatsen.

T
28-12-2006, 15:35 door SirDice
Je zou het als artikel kunnen plaatsen op security.nl ;)

Weet niet precies hoe het zit met auteursrechten maar als
het onder jouw eigen naam gepubliceerd wordt kun je
tenminste aantonen dat jij het het als eerste bedacht hebt...
28-12-2006, 16:02 door Anoniem
Daar had ik idd aan gedacht maar dan maak ik een nieuw
probleem.. Dan moet de thread constant in de gaten gehouden
worden door mij en zal zelf 'het kaf van het koren' moeten
scheiden wat relevantie, inhoud en kennis van zaken betreft.

Zijn hier geen bedrijven voor die hierin adviseren oid?
(lijkt mij ook niet of je komt dus bij patentbureaus uit en
die kunnen je alleen helpen met het goed omschrijven en
vastleggen van het idee)

De persoon die de auto heeft bedacht (of de motor) was
natuurlijk ook de persoon die de 1e auto heeft gemaakt.
Helaas ben ik geen automonteur...! ;-( (en niet dat ik het
idee nu vergelijk met zo'n fantastische uitvinding als de
auto maar you get the point)

Loop er al tijdje mee en dacht ineens goh laat ik eens een
balletje opgooien en who knows wat daar uit kan komen!
28-12-2006, 17:31 door SirDice
Zijn hier geen bedrijven voor die hierin adviseren oid?
(lijkt mij ook niet of je komt dus bij patentbureaus uit en die kunnen je alleen helpen met het goed omschrijven en vastleggen van het idee)
Patentbureaus ja, dan weet je ook of iemand anders dat idee ook had. En het goed omschrijven en vastleggen kan geen kwaad lijkt me. Nadat het goed omschreven en vastgelegd is kun je het altijd nog publiceren..

De eerste auto's reden overigens op stoom, zelfs op buskruit, en waren stapsgewijs een voortvloeisel van de paard en wagen.. Het heette ook een auto-mobiel.. Een wagen die zichzelf aandreef..
28-12-2006, 18:14 door L.L. Bowen
Onbreekbare wachtwoorden dus. Voor zover ik weet
echt nieuw want anders had ik het zelf waarschijnlijk ook
wel gebruikt of over gehoord.

Ik zie geen enkele technische mogelijkheid om [brute-force] onmogelijk te maken

Onkraakbare encryptie ten behoeve van communicatie is
theoretisch mogelijk:

"Scientists [...] have demonstrated unconditionally
secure quantum key distribution (QKD)
[cursivering
van mij, LLBowen] over a record-setting 107 kilometers of
optical fiber. The work is a significant step towards
enabling communication with an unprecedented level of
security over long distances of optical fiber."

Wie het gehele artikel [1] erbij neemt , leest dat de QKD
'in principe' 'in theorie' onkraakbaar is. Het voorbehoud
wordt gemaakt omdat ' real QKD systems rely on imperfect
devices that can create a security loophole.' (Citaat uit [1]).
Kennelijk is de conclusie dat als er eenmaal 'perfect
devices' kunnen worden gemaakt, er daadwerkelijk sprake zal
zijn van onkraakbare communicatie.
Zolang die 'perfect devices' er nog niet zijn, wordt de
kraakklus overigens ook nogal een aanzienlijke kluif (citaat
uit [1]): "an eavesdropper [can] perform a
photon-number-splitting (PNS) attack, a sophisticated type
of attack that is not currently feasible but which exploits
the fact that only those signals that arise from single
photons are secure."

Lijkt mij -praktisch gezien- eigenlijk al onkraakbaar dus.

LLBowen

[1] Voor het volledige artikel:
http://www.physorg.com/news86020679.html
28-12-2006, 18:18 door Anoniem
Door SirDice
Zijn hier geen bedrijven voor die hierin adviseren oid?
(lijkt mij ook niet of je komt dus bij patentbureaus uit en
die kunnen je alleen helpen met het goed omschrijven en
vastleggen van het idee)
Patentbureaus ja, dan weet je ook of iemand anders dat idee
ook had. En het goed omschrijven en vastleggen kan geen
kwaad lijkt me. Nadat het goed omschreven en vastgelegd is
kun je het altijd nog publiceren..

Tja denk dat ik beter eerst proof of concept kan hebben voor
zoiets.
Thanks voor het advies! Gaat ook wel beetje om hele
specifieke kennis ook, maar wie weet komen er nog meer tips
op het verhaal. Durf de uitdaging wel aan om 1 en ander uit
te leggen maar een forum lijkt me gewoon niet de beste spot
daarvoor.

T
28-12-2006, 18:25 door Anoniem
Ook thanks LL maar betreft niet onkraakbare communicatie
maar wachtwoorden. Bij 'echte' communicatie spelen er weer
veel meer dingen mee. Had dat verhaal inderdaad keer gehoord
over dat glasvezel en leuk stuk. (if you're in too stuff
like that ;-)

Mijn verhaal is eerder soort van loop waardoor het niet meer
om rekenkracht draait.

T
28-12-2006, 22:54 door Bitwiper
Anoniem op 28 december 2006 16:02
Zijn hier geen bedrijven voor die hierin adviseren oid?
(lijkt mij ook niet of je komt dus bij patentbureaus uit
Je zou lid van de cryptography maillijst kunnen worden en
daar dezelfde vraag stellen (en een tipje van de sluier
oplichten), en/of iemand als Peter Gutmann in vertrouwen
nemen. Verder is het MIT Inventor's Handbook leuk om te
lezen: http://web.mit.edu/invent/h-main.html

Off the record, als ik hoofdstuk 3 daarvan lees dan begrijp
ik niet hoe Microsoft eerder FAT en recentelijk RSS
gerelateerde technieken (zie
http://tweakers.net/nieuws/45723/Microsoft-licht-rss-patentaanvraag-toe.html)
kan patenteren. Als MS echt alleen zou willen
voorkomen dat anderen ermee vandoor gaan zouden ze
natuurlijk ook voor Statutory Invention Registrations kunnen
kiezen (hoofdstuk 5, "A SIR puts a patent into the public
domain, preventing others from patenting it in the future").

L.L. Bowen op 28 december 2006 18:14
unconditionally secure quantum key distribution (QKD)
...
Lijkt mij -praktisch gezien- eigenlijk al onkraakbaar
Dat is mij al van te veel apparaten en algoritmes beweerd
(van MD5 zei men ook dat het met alle computerkracht van de
wereld niet binnen afzienbare tijd te kraken zou zijn).

De wetenschappers die aan dit soort zaken (quantum
technologie) werken zijn vaak fundamenteel onderzoekers die
(i.v.m. publicaties en financiering) een real life
toepassing goed van pas komt. We zullen moeten afwachten of
zoiets in de praktijk (buiten laboratoria) kan functioneren.
Pas zodra daar zicht op komt zullen cryptografen en andere
wetenschappers er op duiken; als dan blijkt dat er
geen onvoorziene gaten in zitten zou het nog wel eens wat
kunnen worden. Tot die tijd hebben we andere oplossingen nodig.
29-12-2006, 11:49 door SirDice
Met een quantum computer is die quantum key distributie vast ook wel te kraken ;) Maar goed, dat duurt nog wel een tijdje voor het zover is..
29-12-2006, 13:34 door L.L. Bowen
Erik van Straten: Dat is mij al van te veel
apparaten en algoritmes beweerd (van MD5 zei men ook dat het
met alle computerkracht van de
wereld niet binnen afzienbare tijd te kraken zou
zijn).

SirDice: Met een quantum computer is die
quantum key distributie vast ook wel te kraken ;) Maar goed,
dat duurt nog wel een tijdje voor het zover is.

Zonder te willen suggereren dat ik het tot in de kleinste
details begrijp, wil ik er wel graag op wijzen dat QKD een
'de facto' veilige, onkraakbare methodiek is (géén
algoritme), omdat het gebruikmaakt van 'toeval' en
'onvoorspelbaarheid', en omdat elke 'onbedoelde waarnemer'
de informatiestroom zodanig beïnvloedt dat hij/zij
onmiddellijk wordt waargenomen.

Ik zou willen stellen dat zodra deze methodiek praktisch
haalbaar is, en voor elke, zeg maar, digitale of electronische verbinding
toepasbaar, wachtwoorden onnodig zullen blijken te zijn.
But, indeed, I do carry on at times :-)

Voor wie het interesseert:
http://www.nist.gov/public_affairs/releases/quantumkeys_background.htm
29-12-2006, 17:39 door raboof
Zoals in het boek 'het juvenalis dillema' (fictie)
geschetst
wordt is een wachtwoord op den duur altijd te breken. Als je
maar genoeg tijd en rekenkracht hebt om gewoon elke
mogelijkheid te proberen.

Hoe het in dat boek wordt beschreven is het eerlijk gezegd
grote onzin, en daar is een eenvoudig tegenvoorbeeld voor te
geven. Er wordt daar gesproken over een machine die alle
codes (dus ook alle algoritmen) kan kraken. Tegenvoorbeeld:
stel je onderschept het mafia-bericht "De rozen zijn
afgeleverd bij het tuinhuisje". Zonder meer informatie ga je
er echt niet achter komen of dat betekent dat de cocaine in
Den Haag is afgeleverd, de wapens in Lutjebroek of dat het
bericht nog iets heel anders betekende. Daar helpt meer
rekenkracht echt niet voor.

on-topic: Ik denk dat je niet veel anders kunt doen dan
iemand (of een groep mensen, en eventueel onder een Non
Disclosure Agreement) in vertrouwen te nemen. In dit stadium
al een octrooi aanvragen lijkt me onverstandig (erg duur en
hoogstwaarschijnlijk weggegooid geld).
29-12-2006, 18:44 door Anoniem


on-topic: Ik denk dat je niet veel anders kunt doen dan
iemand (of een groep mensen, en eventueel onder een Non
Disclosure Agreement) in vertrouwen te nemen. In dit stadium
al een octrooi aanvragen lijkt me onverstandig (erg duur en
hoogstwaarschijnlijk weggegooid geld).[/quote]

Ja octrooi is nog ver weg en ook absoluut niet het primaire
doel. Precies mijn punt van dit topic is mensen proberen te
vinden die er over mee kunnen denken, ontwikkelen tot iets
beters of beargumenteren waar de zwakke punten liggen. In
het slechtse geval heb ik er weer wat van geleerd wanneer
gelijk al blijkt dat het idee niet haalbaar is! ;-)

T
02-01-2007, 08:09 door Anoniem
Het boek berust gedeeltelijk op waarheid en is geschreven in
overleg met ex werknemers van de nsa. idd ben ik het er mee
eens dat de manier van onbreekbare wachtwoorden en de
supercomputer die ze moet breken weer berust is op fictie en
onmogelijkheden.

Ligt voor de hand dat de nsa wel degelijk meerdere
supercomputers heeft met als enige taak wachtwoorden
proberen te breken. Echolon klonk eerst ook als een hoax.
02-01-2007, 13:03 door Anoniem
Ik ben geen security expert maar denk dat er een groot verschil is lijkt mij
de manier van denken. Om maar een voorbeeld te geven een programeur
die een security applicatie schrijft heeft te maken met andere factoren dan
een hacker die een code probeerd te breken.Het is een stuk filosophie die
totaal anders is en altijd zo zou blijven.

Een programeur is afhankelijk van protocolen de kwaliteit van het product
en tijd.Dit is precies het tegenover gestelde van een hacker deze kan in de
meest extreme situaties 20 jaar over een hack na denken waar nooit
iemand op gerekend zou hebben.

Los hiervan is er nog een andere reden een programeur die z'n eigen
software schrijft zou alleen maar dat gene testen waarvan die zelf weet
wat kwetsbaar is en wat niet.

Iemand die de code zou proberen te breken bekijkt het programa vanuit
een ander punt en zou al sneller fouten zien waaraan een programeur
nooit aan zou denken.

Daaorm denk ik dat op het gebied van security nog een hele op ontwikkelingen plaats zou kunnne vinden waardoor het moeilijker word een code te breken.Bv kunstmatige inteligentie betere crypto in plaats van een
wachtwoord en username er nog een afdeling aan toe tevoegen. Maar het
zou nooit perfect zijn omdat er altijd wel een manier is om het te
doorbreken.
02-01-2007, 13:07 door Anoniem
De kans dat dit echt vernieuwend en onbreekbaar is, lijkt me
redelijk klein. maar als je wilt, kan ik er wel serieus naar
kijken. Als er fundamentele denkfouten inzitten kan ik
mogelijk van dienst zijn.

Als je zelf wilt onderzoeken is applied cryptography van
Bruce Schneier een goed begin. Deze gaat niet in op de
beperkingen van digitale opslag en verwerking van keys.

Daarnaast is er een verschil tussen passwords en
dataversleuteling.

Kwantumencryptie gaat alleen over het feit dat
gemanipuleerde data onleesbaar wordt. Een (in theorie) heel
simpel en effectief principe om communicatie te beveiligen.

Zoals jij het hebt over bescherming van passwords tegen
brute force attacks zijn er twee basis situaties:
1) Je hebt de data, maar weet niet met welke sleutel het te
lezen is. Brute force werkt altijd)
2) Je wilt dat iemand veilig kan inloggen. Brute force is
makkelijk tegen te houden door een account te blokkeren na
drie foute inlogpogingen, of periodiek passwords te wijzigen.

Ter info, Dan Brown laat in zijn boeken een grote mate van
onkunde in de materie blijken, wat de ongeschoolde lezer een
onterecht gevoel van genialiteit geeft.


Succes!
02-01-2007, 19:24 door Anoniem
"Kijk ik heb het woord kwantumencryptie niet in de mond genomen.
De kans dat dit echt vernieuwend en onbreekbaar is, lijkt me
redelijk klein. maar als je wilt, kan ik er wel serieus naar
kijken. Als er fundamentele denkfouten inzitten kan ik
mogelijk van dienst zijn." > ?

Kijk ik heb het woord kwantumencryptie niet in de mond
genomen. Ik had idd door dat de boeken op fictie berust
waren maar door die titel te noemen bespaarde ik me het hele
verhaal uit te leggen en dat ik me tot op een punt aardig
bewust ben van de dingen die wel en niet mogelijk zijn.

Anyway i'm eager to learn dus zou idd de discussie met
iemand willen aangaan maar zoals eerder door iemand
aangegeven gaat het om specifieke kennis van het OF
beveiligen OF het breken van beveiliging.
Meest voor de hand ligt nog dat het niets is, maar aan de
andere kant who knows en is het een bruikbaar idee of stof
tot nadenken.

Lees ook zeker de links en tips dus weer bedankt voor de
insights!

T
03-01-2007, 10:10 door Anoniem
Kwantumencryptie maakt gebruik van fotonen, de kleinste basisdeeltjes
van licht, om beveiligde gegevens te versturen. De polarisatiefilter van de
zender doet de fotonen in een bepaalde richting trillen en stuurt ze naar de
ontvanger, die de reeks fotonen eveneens door een filter stuurt. Zender en
ontvanger vergelijken voor elke bit de gemeten polarisatierichting en
bepalen aan de hand daarvan de encryptiesleutel.

Kwantumbeveiliging steunt sterk op het Onzekerheidsprincipe van
Heisenberg, een belangrijk principe in de kwantummechanica, dat stelt
dat je niets kunt meten zonder het te veranderen. Wie de verstuurde
boodschap probeert af te luisteren, verandert zo de richting van de fotonen
en kan dus niets aanvangen met de onderschepte informatie. Dit betekent
niet dat kwantumencryptie absoluut onkraakbaar is

bron: http://www.zdnet.nl/news.cfm?id=42931
kwantumencryptie http://nl.wikipedia.org/wiki/Kwantum_cryptografie
fotonen : http://www.xs4all.nl/~adcs/Deeltjes/photon.html
polarisatie filter http://nl.wikipedia.org/wiki/Polarisatie_(elektromagnetisme)

Het lijkt haast wel dat we in een nieuwe soort revolutie in gaan terecht
komen.Nog even en we krijgen dat natuur kundigen het over gaan
nemen.Want dit is echt voer lijkt mij voor fysica's die onderzoek kunnen
doen.Wel geinig dat natuurkunde en wiskunde op zo manier weer bij
elkaar uit komen.
03-01-2007, 11:35 door Anoniem
Wat betreft de mogelijk te volgen procedure en eventueel te verwachten
juridische en organisatorische consequenties lijkt het me leuk voor je om
het boek "de broncode" te lezen.
Heeft niks met jouw techniek te maken, maar beschrijft wel goed wat er
allemaal bij komt kijken
03-01-2007, 12:29 door Anoniem
Door Anoniem
Wat betreft de mogelijk te volgen procedure en eventueel te
verwachten
juridische en organisatorische consequenties lijkt het me
leuk voor je om
het boek "de broncode" te lezen.
Heeft niks met jouw techniek te maken, maar beschrijft wel
goed wat er
allemaal bij komt kijken


Ja is zeker ook leuk verhaal. Over Roel Pieper (dacht ik )
en zijn manier van data compressie. Phillips had daar ook
miljoenen in zitten of zoiets. Jammer dat nooit bekend is
geworden hoe die dat deed.. Dus mocht ik hierna niets meer
posten weten jullie wat er met me gebeurd is haha

T
04-01-2007, 17:42 door Anoniem
Door Anoniem
Door Anoniem
Wat betreft de mogelijk te volgen procedure en eventueel te
verwachten
juridische en organisatorische consequenties lijkt het me
leuk voor je om
het boek "de broncode" te lezen.
Heeft niks met jouw techniek te maken, maar beschrijft wel
goed wat er
allemaal bij komt kijken


Ja is zeker ook leuk verhaal. Over Roel Pieper (dacht ik )
en zijn manier van data compressie. Phillips had daar ook
miljoenen in zitten of zoiets. Jammer dat nooit bekend is
geworden hoe die dat deed.. Dus mocht ik hierna niets meer
posten weten jullie wat er met me gebeurd is haha

T
De adviezen om je te verdiepen in applied cryptography, sci.crypt en
aanverwante mailinglists zijn volgens mij de beste tot dusver.

Indianenverhalen zoals het boek broncode zijn leuk als tijdverdrijf maar je
hebt er niets aan.

Nog een alternatief lijkt me een wiskunde leraar om hulp te vragen; als die
er niet direct een gat in schiet dan ben je weer een stapje verder.

Je mag het ook aan mij voorleggen voor een redelijk deskundige mening:
[email]crypto.2007@mailnull.com[/email].
05-01-2007, 14:41 door Anoniem
Toch kreeg ik bij de broncode niet helemaal het idee dat het
om een indianenverhaal ging. Phillips en meerdere
inversteerders hadden er toch al aardig wat geld in zitten
en die zullen ook niet helemaal gek geweest zijn. Of het was
een goede oplichter dat iedereen erin trapte, of hij had wel
degelijk een goede uitvinding gedaan.

Hij had er ook makkelijk voor kunnen kiezen het idee te
verkopen maar koos er toch voor het zelf door te
ontwikkelen. Als het een hoax was geweest had hij er zelf
ook teveel verlies aan geleden. Wat het een indianenverhaal
maakt is dat we het nooit zullen weten daar hij het idee in
z'n graf heeft meegenomen.
05-01-2007, 15:01 door Anoniem
http://www.debroncode.nl/nl/home.aspx

staan een aantal latere toevoegingen op het oorspronkelijke verhaal online.
wie er verstand van heeft mag het zeggen...
05-01-2007, 16:07 door Anoniem
Door SirDice
Brute-force is altijd mogelijk (als er maar tijd genoeg is).. Ik zie geen
enkele technische mogelijkheid om dat onmogelijk te maken, behalve OTP
maar dat is weer een verhaal apart.

Zonder wat meer informatie is er ook geen zinnig woord te zeggen over
jouw oplossing.

Bruteforce kan niet worden uitgevoerd als men niet het gebruikte
versleutelingsmethode weet.

Maw: als je niet weet welke encryptie is toegepast, kun je niet bruteforcen.

Dat lijkt me toch wel een maatregel, maar helaas wel eentje in de
klasse "security through obscurity" en is dus per definitie niet bruikbaar.
05-01-2007, 17:41 door Anoniem
Door Anoniem
http://www.debroncode.nl/nl/home.aspx

staan een aantal latere toevoegingen op het oorspronkelijke verhaal online.
wie er verstand van heeft mag het zeggen...

Het was duidelijk een zwendel en vervolgens een aangedikt verhaal. Die
patent aanvragen waren waardeloos. Het was een hoop opgetrokken mist.
Als je een beetje googled kom je stukken uit de aanvraag tegen in diverse
standaarden van beeldverwerking.
06-01-2007, 00:15 door Bitwiper
Door Anoniem op 05 januari 2007 16:07
Bruteforce kan niet worden uitgevoerd als men niet het gebruikte versleutelingsmethode weet.
Ik weet niet wat jij onder een "Brute Force Attack" verstaat, maar volgens mij is dat nou net de enige aanpak waarbij je niets van de gebruikte versleutelingsmethode hoeft te weten.

De eenvoudigste uitleg is: gewoon alle mogelijke combinaties proberen. Bij een wachtwoord van maximaal 5 karakters waarbij elk karakter een ASCII waarde 0..255 kan aannemen zijn dit 256^5 = 1099511627776 combinaties waarbij je statistisch gezien na de helft van dat aantal pogingen succes hebt. Als langere wachtwoorden mogelijk zijn wordt het verwachte aantal pogingen al gauw een astronomische getal. Zie ook http://en.wikipedia.org/wiki/Brute_force_attack.

Overigens is een brute force attack niet gegarandeerd succesvol. Als het te kraken systeem zichzelf na een onbekend (lees onvoorspelbaar) aantal onjuiste pogingen beveiligt met een account lockout (of een andere blokkade, zoals bij herhaalde SSH inlogpogingen vanaf een bepaald IP adres), zodanig dat de aanvaller geen onderscheid kan vaststellen (timing bijvoorbeeld) tussen een "ongeldig wachtwoord" en die lockout situatie, dan werkt ook brute force niet meer. Een dergelijke extra beveiliging heeft echter niets met de gebruikte versleutelingsmethode te maken.

Edit typo en nu daadwerkelijk 256^5 berekend (ipv 255^5).
11-01-2007, 17:10 door Anoniem
Door Anoniem
Je mag het ook aan mij voorleggen voor een redelijk
deskundige mening:
[email]crypto.2007@mailnull.com[/email].

Thanks voor de tips/adviezen.
ga eens proberen het verhaal in begrijpelijke taal op papier
te zetten en zal het mailen.

T
17-01-2007, 14:15 door Anoniem
Ik heb een idee waar een patent zou wil aanvragen en daarna op de markt
brengen.Ik heb geen geld voor onderzoek en de nodig juridiche weg, weet
iemand een ander oplossing?
Graag uw advies naar [email]g2desousa@hetnet.nl[/email]
17-01-2007, 15:12 door SirDice
Door Erik van Straten
De eenvoudigste uitleg is: gewoon alle mogelijke combinaties proberen. Bij een wachtwoord van maximaal 5 karakters waarbij elk karakter een ASCII waarde 0..255 kan aannemen zijn dit 256^5 = 1099511627776

Edit typo en nu daadwerkelijk 256^5 berekend (ipv 255^5).
Je berekening klopt sowieso niet.. Je moet namelijk ook rekening
houden met 0 (geen wachtwoord), 1, 2, 3 en 4 karakter
combinaties ;)

Wat dus (256^0)+(256^1)+(256^2)+(256^3)+(256^4)+(256^5) oplevert.

Dat het al snel astronomisch wordt klopt wel. Bedenk bijvoorbeeld dat NT met unicode werkt ipv ASCII. De basis is dan niet 1 byte (ASCII) maar meerdere bytes per karakter.
18-01-2007, 18:41 door Bitwiper
Door SirDice laatst gewijzigd op 17-01-2007 15:24
Door Erik van Straten
De eenvoudigste uitleg is: gewoon alle mogelijke combinaties
proberen. Bij een wachtwoord van maximaal 5 karakters
waarbij elk karakter een ASCII waarde 0..255 kan aannemen
zijn dit 256^5 = 1099511627776

Edit typo en nu daadwerkelijk 256^5 berekend (ipv
255^5).
Je berekening klopt sowieso niet.. Je moet namelijk ook rekening
houden met 0 (geen wachtwoord), 1, 2, 3 en 4 karakter
combinaties ;)

Wat dus (256^0)+(256^1)+(256^2)+(256^3)+(256^4)+(256^5)
oplevert.
Uhh ik heb nog even zitten nadenken hoe ik
me hier uit kon lullen, maar je heb gewoon helemaal gelijk!
Nu maar eens kijken hoe ik dat rood van m'n hoofd af kan
krijgen...
20-01-2007, 19:33 door Anoniem
misschien beetje offtopic maar wanneer je een dictionairy
hack zou gebruiken wordt het wachtwoord eerder gevonden als
je bijv 111111 gebruikt of 1kd*_2u) (dus allebei 6 tekens en
aantal mogelijkheden hetzelfde)

Gaat mij dus om de tijd die het in beslag neemt.
05-02-2007, 16:40 door Anoniem
Door Anoniem
misschien beetje offtopic maar wanneer je een dictionairy
hack zou gebruiken wordt het wachtwoord eerder gevonden als
je bijv 111111 gebruikt of 1kd*_2u) (dus allebei 6 tekens en
aantal mogelijkheden hetzelfde)

Gaat mij dus om de tijd die het in beslag neemt.

Het aantal mogelijkheden is dan wel hetzelfde maar de optie
met de 1 zal eerder gevonden worden (je moet ergens
beginnen) dan als je alleen 999999999 gebruikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.