Riesci a forzare bruscamente l'URL di Dropbox? Bene, sì, è anche possibile eseguire la crittografia forzata del file crittografato AES256. Penso che quello che stai veramente chiedendo sia, avresti successo?
È piuttosto improbabile. Attualmente, l'URL di condivisione di Dropbox è composto da 11 caratteri composti da lettere minuscole e numeri (36 caratteri possibili). Questo dà uno spazio chiave di 36**11 ≈ 1.31621704 × 10^17
chiavi possibili o ln(36**11) / ln(2) ≈ 56.869175 bits
.
Ora questo si riduce a un problema di matematica: supponiamo che ci siano m tasti occupati in uno spazio chiave di 36 ** 11, se un attaccante invia n ipotesi, qual è la probabilità che almeno una delle ipotesi corrisponda a un occupato chiave.
Quanti file ci sono in Dropbox con URL condiviso? Non penso che Dropbox abbia pubblicato questi dati, quindi farò un'ipotesi. Supponiamo che ci siano 1 miliardo di file con URL di condivisione.
Se l'attaccante fa una singola ipotesi, ha una probabilità di 1000000000/36**11 = 7.59753119 × 10**-9 =
di indovinare una chiave in una ipotesi.
Supponiamo che l'intero team di risposta alla sicurezza di Dropbox sia in vacanza e che l'autore dell'attacco sia riuscito a fare 1 milione di ipotesi prima che Dropbox si accorga di qualcosa e chiude l'aggressore. Quindi la possibilità che almeno uno dei milioni di tentativi corrisponda a un documento esistente è 1-(1-1000000000/36**11)**1000000 = 0.00756874289
.
Che è circa lo 0,75% di probabilità che l'autore dell'attacco sia in grado di recuperare un singolo file casuale dopo un milione di tentativi.
In pratica però, Dropbox probabilmente ha misure per rilevare e bloccare le richieste automatizzate di chiavi casuali.