Siamo cracker che ci mettono le mani su un file crittografato. Sappiamo che l'intero file è la crittografia AES-256 del file di testo in chiaro originale.
Sappiamo anche che PBKDF2 è stato eseguito 1000 volte sulla password semplice originale per creare la chiave e IV.
In questo caso, sappiamo come creare una crepa bruteforce:
- Genera password in chiaro
- Esegui PBKFD2 1000 volte
- Prova a decodificare il file
- Ripeti 1-3 finché non avremo successo
Ma cosa succede se non conosciamo il conteggio iterazione PBKFD2 ? Potrebbe essere 500, 1050, 5400 o qualsiasi numero.
Quanto più difficile è il crack?
Per me sembra quasi impossibile fare un attacco di forza bruta. Non so da dove iniziare, perché non conosco il conteggio delle iterazioni. Sono corretto?
La domanda può essere riformulata: quanta sicurezza viene realmente aggiunta a un file se è protetta non solo da una normale password ma anche dal conteggio delle iterazioni? Al momento della decrittografia, sarebbe necessario specificare sia la password che il numero di iterazioni.