Domanda sugli attacchi di dizionario sulla crittografia simmetrica di GnuPG

Naviga le tue risposte
13

Loro dicono che algoritmi come AES non possono essere praticamente interrotti se si ha una lunghezza abbastanza lunga della chiave (> 128 bit). Se utilizzo GnuPG per crittografare un file usando AES:

gpg -c --cipher-algo AES secretfile

mi chiede una passphrase. Capisco che, insieme alla mia passphrase, viene utilizzata una funzione di derivazione di una chiave e una chiave per generare una chiave a 128 bit per la crittografia. La mia domanda è, non è possibile utilizzare un attacco di dizionario sulla passphrase per interrompere la crittografia? In tal caso, penserei che la crittografia non sia estremamente strong, non abbastanza per le "informazioni classificate" del governo degli Stati Uniti. Mi sto perdendo qualcosa qui?

MODIFICA: i rispondenti sembrano concordare sul fatto che la passphrase sia il "collegamento più debole". La mia risposta a questo argomento è la seguente: perché utilizzare lunghe chiavi lunghe? Non sono questi che dovrebbero rendere più difficile la rottura della crittografia? In altre parole, la crittografia AES a 192 bit con una determinata passphrase è presumibilmente più potente della crittografia AES a 128 bit con la stessa passphrase (correggimi se ho torto). Ma se il modo per rompere la crittografia è utilizzare un attacco di dizionario, la lunghezza della chiave dovrebbe essere irrilevante. Questo ragionamento è errato?

    
posta Mukul 06.05.2011 - 22:05
fonte

3 risposte

9

Sì, quando si utilizza la crittografia simmetrica con una chiave derivata da una password, il risultato è intrinsecamente soggetto a una ricerca esauriente sulle possibili password, noto anche come "attacchi di dizionario". GnuPG include i soliti deterrenti, ovvero sali (in modo che l'attacco non possa essere ottimizzato attraverso tabelle precalcolate) e una funzione di derivazione a chiave lenta (con migliaia di iterazioni interne). La sicurezza risiede ancora nell'entropia della password. La documentazione di GnuPG utilizza il termine "passphrase" per sottolineare la necessità di un'alta entropia della password (le password molto lunghe - in particolare le password composte da più "parole" - tendono ad avere un'alta entropia).

Se un determinato sistema di crittografia è ritenuto abbastanza strong per i documenti classificati statunitensi è definito da alcune regole federali arcane che non darebbero mai una generica benedizione su una semplice descrizione dell'algoritmo in ogni caso. AES è di per sé un algoritmo "approvato", ma un sistema di crittografia reale può essere "approvato" solo se si tratta di un'implementazione "approvata" di un algoritmo "approvato". Per quanto ne so, è improbabile che GnuPG sia così approvato, soprattutto perché è stato scritto principalmente in Germania (ma, con i progetti opensource, non si può davvero sapere da dove viene il codice - e questo è un grosso problema per le persone che "approvano "implementazioni).

    
risposta data 07.05.2011 - 20:29
fonte
4

Qualsiasi crittografia che richiede solo una passphrase per decrittografare può essere valida solo come quella passphrase stessa. Questo è il motivo per cui gnupg ha contenuti chiave pubblici e privati.

Se usi il nome del tuo gatto come passphrase, allora potrebbe essere indovinato; ma ti auguro buona fortuna se la passphrase è 512 byte di /dev/random . Ecco perché alcuni frontend cercano di verificare la "forza" di una password. KCryptography è come una catena, strong solo quanto il link più debole.

    
risposta data 06.05.2011 - 23:12
fonte
0

Per la tua domanda aggiornata: AES a 192 bit non è notevolmente più strong di AES a 128 bit con o senza passphrase - gli aspetti AES di entrambi sono fuori portata per il prevedibile futuro, nonostante la legge di Moore, a meno che tu non sia preoccupato la possibilità di attacchi di calcolo quantistico. C'è qualcuno là fuori che sostiene che sia? Non innamorarti.

Non interpretare i requisiti degli Stati Uniti come approvazione delle passphrase deboli finché si utilizza AES-192. Ogni parte di un crittosistema è importante e la gestione delle chiavi (passphrase) è tra le parti più difficili.

Le risposte precedenti riguardano già il fatto che una passphrase è spesso il link più debole e ci sono alternative ad esso.

    
risposta data 10.05.2011 - 00:39
fonte

Leggi altre domande sui tag

Devo generare nuove chiavi private SSH per ogni macchina da cui lavoro? Quanti bit di entropia contiene un identificatore?