I file chiave possono essere forzati come le password?

4

Supponiamo che tu usi un programma come Truecrypt o Keepass che ti permette di avere un file di password + chiave. Capisco che le password possano essere brute-forzate / attaccate dal dizionario, ma è la stessa cosa per i file chiave?

    
posta IMB 27.04.2012 - 20:06
fonte

2 risposte

6

Sì, è lo stesso: i file di chiavi possono essere forzati brutemente.

Un file chiave è come digitare la password e memorizzarla da qualche parte, invece di digitarla ogni volta.

Al programma (nel tuo esempio, TrueCrypt), passwords e keyfile e ogni altra informazione vengono utilizzate per alimentare l'algoritmo di crittografia / decrittografia. Non importa da dove provengano le informazioni. Per rompere la crittografia, è necessario eseguire la fase di decriptazione corrispondente utilizzando le stesse informazioni utilizzate nella crittografia. Se fosse una password, una password + keyfile, o una password + keyfile + un numero che proviene da un dispositivo che legge le impronte digitali, è la stessa cosa.

I file di chiavi, in generale, lo rendono più sicuro perché utilizzano tutti i possibili byte al suo interno, quindi hai 256 combinazioni per ogni "carattere" all'interno del file di chiavi. Quando qualcuno sceglie una password, in genere utilizza solo lettere, numeri e alcuni simboli. L'entropia fornita dal file chiave è, solitamente, più grande.

    
risposta data 27.04.2012 - 20:21
fonte
3

Oltre alla risposta di woliveirajr e al commento statistico di dr jimbobs, tieni presente che un file chiave non viene memorizzato dall'utente. Il file chiave deve essere memorizzato da qualche parte accessibile. Un utente malintenzionato, nelle condizioni appropriate, può utilizzare questo fatto per ridurre in modo significativo lo spazio di attacco da qualsiasi numero enorme a qualsiasi file che possa associare all'utente. Naturalmente, se qualcuno è abbastanza intelligente da ricorrere ai file chiave, è auspicabile che stiano proteggendo il file chiave in modo appropriato.

    
risposta data 27.04.2012 - 23:54
fonte