Se si dispone di una chiave privata GPG bloccata con una password, il "cracking" della chiave si riduce alla supposizione della password. C'è una semplice equazione per rispondere a ciò; quello che è difficile è che ci sono due incognite: il numero di bit di entropia nella password e il numero di ipotesi al secondo che l'hacker può fare.
Esempio: ci sono 96 caratteri ASCII stampabili. Il registro 2 (96) è circa 6,6. Data una password ASCII di otto caratteri, generata in modo veramente casuale, si avrebbe 6.6x8 = 52.8 bit di entropia. Se un attaccante può fare supposizioni di un miliardo (2 30 ) al secondo, ci vorranno circa 2 22.8 secondi o circa 84 giorni per provare tutte le combinazioni. Poiché ci aspettiamo che un attaccante "colpisca" circa a metà, il tempo medio di crack sarà di circa 42 giorni.
Se, invece, la password è tra le prime 10.000 (e i cracker hanno liste!) hai circa 13,3 bit di entropia e il cracking avrà successo in meno di un secondo.
Infine, supponiamo di aver usato Diceware con una frase pass di 6 parole. Avresti 66 bit di entropia e cracking richiederebbero circa 2 35 secondi, o più di mille anni.
Puoi ripetere l'aritmetica con altri valori di ipotesi al secondo.
Ci sono due cose importanti da trarre da questo. Innanzitutto, se la chiave privata è bloccata con una password e l'utente malintenzionato ha accesso alla chiave privata bloccata, il cracking riguarda esclusivamente la password, e non la crittografia della GPG o della chiave pubblica. In secondo luogo, ogni bit di entropia aggiunto a una password raddoppia approssimativamente il tempo necessario per craccarlo con la forza bruta.
Per una chiave AES derivata da una password, i calcoli sono gli stessi. Tuttavia, una chiave AES non deve essere derivata da una password. Può essere generato casualmente. Per AES a 128 bit, l'attacker brute-force impiegherà 2 128-30-1 = 2 97 secondi. Sono circa 5.000.000.000.000.000.000.000 di anni.