Girando una frase Diceware in una frase diminuisci la sua sicurezza?

27

Le lunghezze della passphrase di Diceware sono in aumento - fino a sei o sette parole ora. Il vecchio adagio che le passphrase sono più facili da ricordare potrebbe essere vero per frasi più brevi, ma sei parole veramente casuali possono essere difficili da ricordare. D'altra parte, alcune frasi complete potrebbero essere più facili da ricordare per alcuni.

Prendi ad esempio la passphrase generata da Diceware tracy optic renown acetic sonic kudo . Potremmo trasformarlo in una frase (senza senso) come Tracy's optics were renowned, but her acetic sonic cost her kudos.

La passphrase di Diceware ha un'entropia di 77.4 se l'hacker sa che stai usando sei parole Diceware ( 12,9 per parola ) e 107.219 (secondo questo calcolatore ) se non lo fanno. La forma della frase ha un'entropia (secondo la calcolatrice) di 255.546. Tuttavia, non è più completamente casuale, il che dovrebbe essere uno dei grandi vantaggi dell'approccio Diceware.

Supponendo che l'autore dell'attacco in qualche modo sappia che stai usando questo metodo di generazione della passphrase, la forma della frase diminuisce la sicurezza della passphrase in qualche modo? Ad esempio, forse possono usare qualche tipo di analisi della struttura della frase inglese per restringere le loro ipotesi richieste?

Supponendo che la risposta a quanto sopra sia "No, la forma della frase non diminuisce la sicurezza", ecco un'altra considerazione:

Un vantaggio del formato della frase è che è molto lungo e include caratteri non alfabetici (ad esempio l'apostrofo e la virgola). Tuttavia, questo è uno svantaggio decisivo quando provi a digitarlo su un dispositivo mobile. Diciamo che abbreviare la frase Diceware in tre parole - tracy optic renown - e poi trasformarla in una frase [a-z] - tracy is optically renowned o forse tracy is optically renowned worldwide (per distinguerla ulteriormente dalla lista di parole di Diceware).

Se dovessimo usare tre parole Diceware e l'hacker sa che stiamo usando Diceware, allora abbiamo un'entropia di 38.7. Tuttavia, tracy is optically renowned worldwide è 100.504 bit di entropia in base alla calcolatrice.

Considerate le differenze tra la frase Diceware a tre parole e la forma a frase breve, che il calcolo dell'entropia è più accurato - il calcolo Diceware (cioè le differenze sono troppo piccole per la materia) o il calcolo della calcolatrice (dizionario / forza bruta / ecc.)?

Nota: si presuma che qualsiasi lunghezza o combinazione di caratteri sia accettabile per la password

    
posta mayhewluke 26.03.2016 - 20:42
fonte

5 risposte

25

Non diminuisce la sicurezza. Quello che sta realmente accadendo è che il tuo "calcolatore dell'entropia" ti sta dando una falsa misura di entropia. Può solo dare una stima approssimativa, dopo tutto. Esistono in realtà prove interessanti che dimostrano che non si può mai conoscere effettivamente la quantità di entropia in una particolare stringa di testo a meno che non si sappia qualcosa su come è stata costruita. Una stringa di passata lunga 1000 parole creata da un "generatore di numeri casuali fisici" come una rete di rumore di resistore apparirà per avere la stessa quantità di entropia di una stringa passata lunga 1000 parole generata con un Mersene Twister, fino a ti rendi conto che il twister Mersene in realtà perde tutte le sue informazioni seme in un blocco contiguo di 624 valori. I calcolatori entropici possono solo formulare supposizioni euristiche su come i dati siano effettivamente casuali.

Questo, naturalmente, è il motivo per cui abbiamo Diceware. Può dimostrare [una sottostima su] entropia perché la casualità è incorporata nel processo. Per provare la sicurezza di una frase pass-like, guarda un test di oracolo. Seleziono un gruppo di parole usando Diceware e poi ne costruisco una frase. Poi ti fornisco un oracolo che costruisce frasi da loro. È garantito che, se fornisci all'oracolo l'insieme corretto di parole selezionate da Diceware, fornirà esattamente la frase che ho usato. Per tutti gli altri gruppi di parole, produrrà una frase arbitraria che li usa. È banale vedere che l'entropia della mia password non può essere inferiore all'entropia costruita nelle parole Diceware che ho selezionato. Anche con questo oracolo immensamente potente per ridurre il processo molto umano di formazione della frase al nulla, la casualità del diceware rimarrà. Non puoi indovinare la mia password più velocemente di quanto tu possa immaginare il set originale di parole Diceware che ho selezionato.

Ora ci sono alcuni avvertimenti. Se usi meno parole diceware, come il tuo esempio successivo, ottieni meno bit di entropia dal livello diceware. Ciò significa che l'oracolo che ho menzionato sopra diventa sempre più utile per rompere la password basata sulla frase. Inoltre, alcune delle serie di parole che ottieni da diceware possono essere particolarmente difficili da trasformare in frasi. Se mai respingi un insieme di parole diceware come parte del tuo processo di costruzione della frase d'accesso, stai mettendo in discussione la casualità perfetta su cui fa affidamento il diceware.

Ora, perché l'attacco oracolare? Gli oracoli sono strumenti molto potenti per testare la teoria crittografica. In realtà, tracy is optically renowned worldwide è in realtà probabilmente molto più strong dei 38,7 bit delle parole diceware tracy optic renown . Spezzare quella frase richiederà più lavoro delle parole, anche se probabilmente non i 100,504 bit completi calcolati euristicamente dal calcolatore dell'entropia. Quindi quanto più strong? Non lo sappiamo Questo è il punto degli attacchi di oracolo. In un attacco di oracolo diciamo "assumiamo solo questo difficile per calcolare parte del processo offre zero maggiore sicurezza." Nessuna in assoluto. ?" Se è sicuro sotto questa ipotesi estrema, allora è chiaramente sicuro contro gli attacchi di vita reale in cui l'attaccante non ha necessariamente un oracolo di tale magia magicamente a sua disposizione.

    
risposta data 26.03.2016 - 21:58
fonte
4

Supponendo che tu vada con qualsiasi parola tu faccia rotolare (invece che rotolare finché non trovi qualcosa da cui puoi fare una frase, e tu usi loro nell'ordine in cui sono stati lanciati (non riorganizzandoli per fare un frase migliore), questo schema non può diminuire l'entropia. Lo farà aumentalo; ma fino a che punto è difficile da quantificare.

Supponiamo che il caso peggiore, che l'attaccante sappia che stai usando questo schema. L'entropia delle parole diceware è invariata. Se tu fossi usando solo quelle parole, l'attaccante dovrebbe provare ogni tupla di parole diceware. Ma ora l'attaccante deve prendere ogni tupla e inserire in una delle varie forme possibili di frasi.

Le forme di frase che hanno senso grammaticalmente varieranno in base a le parti del discorso delle parole del diceware. Alcuni potrebbero richiedere più parti del discorso; "annuale" potrebbe essere un aggettivo o un nome, per esempio. È anche possibile che tu possa utilizzare la grammatica sbagliata di proposito.

Quindi il numero di passphrase possibili è aumentato, così come il entropia. Tuttavia, poiché la quantità di aumento di entropia è difficile da quantificare, direi che è zero, e usare tutte le parole diceware come useresti senza questo schema. Il vantaggio quantificabile è quello la frase espansa è più facile da memorizzare.

    
risposta data 27.03.2016 - 12:36
fonte
3

Dice ware ha la sua sicurezza nel numero di bit di entropia per parola. Partiremo dal presupposto che hai selezionato le parole a caso con un ordine particolare.

Se aggiungi parole intermedie per trasformarla in una frase, ha ancora la stessa entropia ed è quindi altrettanto sicura. (C'è un possibile problema qui se includi le parole aggiunte nella password che inserisci nel modulo sul computer perché potrebbero fornire suggerimenti a qualcuno che ha incrinato metà della password "se le tue parole sono" pizza eat ", potresti memorizzare è "pizza è quello che mangio", ma se entri in quella cosa e qualcuno scopre "la pizza è ciò che io ..." Allora non è difficile indovinare "mangia" ma se digiti solo "pizzaeat" allora non lo fai ho quel problema)

Se riorganizzi le parole, diminuisci la sicurezza perché il numero di opzioni per parola è inferiore (perché limiti artificialmente il numero di opzioni per ogni parola a quelle che funzionano bene con la seguente parola). Ad esempio, si eliminano opzioni come "pizza eat" perché non avrebbero senso, e quindi il numero di opzioni per la prima parola è minore perché "pizza" non è più una di queste).

    
risposta data 26.03.2016 - 21:04
fonte
2

tl; dr : Q1: un po ', Q2: circa l'entropia del dado originale

versione più lunga

Aggiungere puramente caratteri aggiuntivi, anche se non sono casuali, non dovrebbe danneggiare la forza della tua frase di accesso, in modo astratto.

Tuttavia ci sono alcune preoccupazioni; la cosa più importante qui forse: un attaccante che ha una conoscenza della tua tecnica potrebbe probabilmente dedurti digitando la tua pass phrase:

  • la lunghezza del file di dadi che hai iniziato con
  • quali sono le parole aggiunte per generare una frase da quella (perché generalmente sono brevi)
  • quali parole in cui le posizioni sono più probabili (perché la grammatica, non tutte le parole del dizionario dei dadi (a seconda del dizionario, ovviamente) possono essere modificate in una parola che si adatta alla struttura della frase)

Quest'ultimo punto riduce le possibili combinazioni con cui puoi iniziare, che l'attaccante può prendere in considerazione. Da lì, potrebbe essere possibile che una parte della tua passphrase sia già trapelata; le parole in mezzo seguono rigorose regole grammaticali e sono quindi relativamente facili da indovinare.

Questa è anche la risposta alla tua seconda domanda. L'entropia che si sta aggiungendo per creare una frase valida è bassa, poiché la maggior parte è sintassi con pochissimo spazio per il gioco. Quindi la calcolatrice sta superando di molto la tua costruzione.

Tuttavia, se non sto trascurando qualcosa qui, la forza complessiva del risultato del dado modificato dovrebbe generalmente essere alla pari con quella originale.

    
risposta data 26.03.2016 - 21:46
fonte
-3

L'entropia viene ridotta una volta rivelato il dizionario della metodologia utilizzata, rispetto all'implementazione originale, motivo per cui se si utilizza un calcolatore di entropia online per calcolarlo e lo si fa da una macchina che utilizza lo stesso schema o da un insieme di macchine che sono identificabili con le parole utilizzate, quindi l'entropia è zero.

    
risposta data 27.03.2016 - 22:21
fonte