Blowfish bruteforcing

0

Sono abbastanza nuovo per la crittografia e recentemente ho giocato con blowfish (l'implementazione di openssl).

Sto usando una password di 23 caratteri (casuale alfanumerico maiuscole e minuscole). Stimo che l'entropia sia all'incirca di 128 Bit (- > forza della password di wikipedia).

La mia domanda sarebbe: Se qualcuno acquisisse il mio testo crittografato, quanto tempo impiegherebbe lui / lei a rinforzarlo? Come la tua risposta sarebbe diversa se fosse un grande giocatore (tre agenzie di lettere ...)

Modifica:

Inoltre, il blowfish sembra essere piuttosto vecchio, Wikipedia afferma che Bruce Schneier raccomanderebbe invece twofish (anche se non è disponibile tramite openssl).

Che cosa significa questo e ha qualche conseqeunces pratico?

"Quattro round di Blowfish sono suscettibili a un attacco differenziale di secondo ordine (Rijmen, 1997); [1] per una classe di chiavi deboli, 14 round di Blowfish possono essere distinti da una permutazione pseudocasuale (Vaudenay, 1996). " [src: link "]

    
posta randor 02.10.2014 - 16:01
fonte

2 risposte

2

La difficoltà della forzatura bruta del testo cifrato dipende dalla dimensione della chiave utilizzata durante la crittografia: Blowfish ha una dimensione della chiave regolabile, che va da 32 bit a 448 bit; questa dimensione è indipendente dalla complessità della tua password. Alla fine dei 32 bit, il tuo testo cifrato potrebbe essere decodificato in pochi minuti, mentre a 128 bit o più, richiederebbe più tempo della durata residua dell'universo.

Che cosa significa la tua citazione è che le versioni semplificate di Blowfish hanno attacchi più veloci della forza bruta. Dal punto di vista pratico dell'attacco, significa che per le dimensioni delle chiavi più lunghe, un attaccante è meglio ricercare gli attacchi piuttosto che cercare di indovinare la chiave, perché ci sono buone probabilità che siano in grado di trovare un attacco pratico.

    
risposta data 03.10.2014 - 06:42
fonte
1

Blowfish ha conosciuto debolezze chiave che possono portare alla scoperta del tuo testo in chiaro se ti capita di scegliere una chiave vulnerabile. La risposta di Mark è anche abbastanza precisa, chiavi più piccole equivalgono a tempi di cracking più semplici, e con chiavi più grandi è quasi impossibile fare la forza bruta. Poiché Blowfish ha vulnerabilità chiave, è stato sostituito con versioni più recenti (Twofish e Threefish)

Se si tratta di qualcosa che ti preoccupa, le dimensioni delle chiavi più grandi diventeranno sempre i tuoi migliori amici e alcune implementazioni di crittografia possono utilizzare dimensioni chiave fino a 4096 bit. Probabilmente non è necessario, ma nulla lo romperà per il prossimo futuro.

Dipende da cosa vuoi nascondere;)

E per quanto riguarda la tua modifica: Alcuni algoritmi applicano l'algoritmo più volte per ottenere un aspetto più pseudo-casuale. Blowfish con chiavi deboli ha quelle vulnerabilità dichiarate dopo 4 e 14 round in particolare. Alcuni codici utilizzeranno più round per prevenire tali problemi.

    
risposta data 03.10.2014 - 17:46
fonte

Leggi altre domande sui tag