Kennwörter zurücksetzen in OS X (zu?) leichtgemacht

[MacMark]

3DES ist nur leider keine Verschlüsselungsmethode, sondern nur ein Algorithmus. …

Such Dir halt eine beliebige Triple-DES-Implementation aus. Beispielsweise die von MasterCard.

Ein weiteres symmetrisches Verschlüsselungsverfahren ist der AES wie er auch von FileVault eingesetzt wird. Bekannte erfolgreiche Angriffe gab es nur gegen Varianten mit reduzierter Rundenzahl, so daß hier auch nur die vollständige Schlüsselsuche bleibt. Bei einer 128-Bit-Implementation völlig aussichtslos.

 

[below]

Wenn ich mich aber nicht täusche, dann gilt das nur unter der Annahme, dass P ≠ NP.

Neulich habe ich einen 2-Bit Quatencomputer (ETH Zürich) gesehen, und es soll auch schon welche mit 8 Bit geben.

Nicht, dass die jetzt schon wirklich zum Code knacken taugen würden, und es ist auch unwahrscheinlich, dass jemand, der die Platte des TE klaut Zugriff zu so einem Rechner hat.

Aber nicht ohne Grund ist die NSA einer der größten Sponsoren dieser Art von Forschung, denn wenn man mal einen leistungsfähigen Rechner dieser Art hat, dann fallen auch Tripple-DES und AES auf lineare Komplexität zurück.

Egal: Einerseits ist das weit in der Zukunft, andererseits ist es aber im Prinzip richtig, dass kein Code sicher ist.

Below

 

[Rastafari]

Such Dir halt eine beliebige Triple-DES-Implementation aus. Beispielsweise die von MasterCard.

Kommt wo zum Einsatz?

 

[MacMark]

Kommt wo zum Einsatz?

http://www.icbnd.com/newsletters/feb2003.pdf

 

[Rastafari]

http://www.icbnd.com/newsletters/feb2003.pdf

Du weisst aber schon, dass der erwähnte "physische Zugang" zu einem "ATM" (sprich: Geldautomat) doch eher selten ist, oder?

 

[below]

Du weisst aber schon, dass der erwähnte "physische Zugang" zu einem "ATM" (sprich: Geldautomat) doch eher selten ist, oder?

Das geht jetzt vollkommen ins Off-Topic, aber es sind schon mal ATMs aus der Wand gerissen worden.

Allerdings waren die Täter da einfach daran interessiert, das Bargeld mitzunehmen

Alex

 

[MacMark]

… wenn man mal einen leistungsfähigen Rechner dieser Art hat, dann fallen auch Tripple-DES und AES auf lineare Komplexität zurück …

Verschlüsselungsverfahren gelten als schlecht oder "geknackt", wenn es einen leichteren Weg gibt als per "brute force" alle Schlüssel auszuprobieren. Beim normalen AES (wie in FileVault) und Triple-DES ist mir ein solcher Knack-Fehler nicht bekannt.

Damit bleibt die Frage, kann man alle Schlüssel durchprobieren? Und wie schnell? Das oben genannte Buch "Kryptografie" von Klaus Schmeh macht dazu folgende Überlegung:

• 128-Bit Verschlüsselung hat 2^128 = 3,4 * 10^38 Schlüssel.
• Der Angreifer "Mallory" hat eine Super-CPU, die 10 Millionen Schlüssel pro Sekunde probiert. Dann benötigt Mallory 3,4 * 10^31 Sekunden.
• Nun soll Mallory eine Million dieser CPUs haben, dann braucht er 3,4 * 10^25 Sekunden.
• Mit Glück muß er nur 1% durchprobieren, um den richtigen Schlüssel zu erwischen: 3,4 * 10^23 Sekunden.

Ist das schnell? 3,4 * 10^23 Sekunden sind circa 10^16 Jahre. Das Universum ist zum Vergleich etwa 10^10 Jahre alt. Mallory müßte also vom Urknall bis heute eine Million Mal durchleben, um mit diesen Super-Chips und dem Glück von oben, den Schlüssel zu finden.

Ok, nun tun wir so, als ob wir einen Rechner hätten, der den 128-Bit-Schlüssel schnell genug findet. Der Rechner sei nicht nur superschnell, sondern auch extrem stromsparend: Er möge nur ein Billionstel Joule an Energie benötigen, um einen Schlüssel auszuprobieren, was völlig undenkbar ist zur Zeit, dann ergäbe sich folgendes:

• 3,4 * 10^38 Schlüssel mal ein Billionstel (10^-12) Joule ergeben 3,4 * 10^26 Joule, um alle Schlüssel zu probieren.
• Damit sind also 9,4 * 10^19 Kilowatt-Stunden nötig.
• Mallory möge Glück haben und muß nur 1% der Schlüssel probieren, um den richtigen zu erwischen, dann braucht er 9,4 * 10^17 Kilowatt-Stunden.

Um das Jahr 2007 lag die weltweit produzierte jährliche Energie aller Kraftwerke bei etwa 8,2 * 10^12 Kilowattstunden. Mallory müßte also alle Kraftwerke der Welt über 100 Jahre lang nur für sich arbeiten lassen. Bei einem billigen Preis von einem Cent pro Kilowatt-Stunde ergäbe das eine Stromrechnung von etwa 9,4 * 10^15 Euro. Das weltweite Bruttosozialprodukt lag jedoch nur bei 3 * 10^13 Euro.
Zusatz-Schmankerl: Ein anderer Autor wies darauf hin, daß ein solcher Rechner mehr Silizium benötigte als es im Universum gibt.
Schlußfolgerung: 128 Bit Schlüssellänge sind per Brute Force nicht mehr zu knacken.

 

[below]

Damit bleibt die Frage, kann man alle Schlüssel durchprobieren? Und wie schnell? Das oben genannte Buch macht dazu folgende Überlegung:

• 128-Bit Verschlüsselung hat 2^128 = 3,4 * 10^38 Schlüssel.
• Der Angreifer "Mallory" hat eine Super-CPU, die 10 Millionen Schlüssel pro Sekunde probiert. Dann benötigt Mallory 3,4 * 10^31 Sekunden.

Ist das alles immer noch richtig, wenn wir einen Quantencomputer mit entsprechender Bitgröße haben?

Ich bin kein Crypto Profi, aber ich meine mich zu erinnern, dass alle diese Verfahren davon ausgehen, dass ein NP Problem (Brute Force) nicht in polynomieller Zeit zu lösen ist.

Ein Quantencomputer tut doch genau das. Wie gesagt, im Moment hat die fetteste Maschine da acht Bit, aber es gibt schon ein rennen zwischen den Leuten, die bessere Quantencomputer bauen, und den Leuten, die bessere Verschlüsselungen bauen.

Alex

 

[MacMark]

Wenn der Quanten-Compi 10^16 mal schneller ist als der theoretische Rechner (1 Million CPUs, die jede jeweils 10 Millionen Schlüssel pro Sekunde probieren können) oben, dann braucht er mit Glück nur ein Jahr. 10^16 hat 16 Nullen. Also utopisch schneller als ein ohnehin schon utopischer Vergleichsrechner
Der Strom und dessen Kosten sind auch noch da, die beide wie beschrieben die Möglichkeiten der Menscheit in Summe übersteigt.

Es gibt ja auch noch längere Schlüssel mit 256 Bit und so. Der Grund, warum die Verschlüsselung gegen Angriffe gewinnt ist, daß die Entschlüsselung (Knacken durch Probieren) unglaublich viel mehr Rechenleistung als die Verschlüsselung benötigt. Werden die Rechner nur etwas schneller, dann kann man einen längeren Schlüssel mit gleichem Aufwand nutzen, aber der Aufwand zum Knacken wächst um viele Größenordnungen schneller.

 

[Rastafari]

Wenn der Quanten-Compi 10^16 mal schneller ist als der theoretische Rechner

Falsch gedacht. Der ideale Quantenrechner ist (im mathematisch wörtlichen Sinn) unendlich schneller als jede bisher bekannte Maschine.
Anders gesagt: Dieser ideale (natürlich nur theoretische) QC wird dazu genau einen einzigen Rechenschritt benötigen, und den absolviert er in Echtzeit.

 

[below]

Falsch gedacht. Der ideale Quantenrechner ist (im mathematisch wörtlichen Sinn) unendlich schneller als jede bisher bekannte Maschine.

Ich habe es auch so verstanden, dass in der Theorie ein Quantencomputer mit 128 Bit einen 128 Bit Schlüssel mit konstantem Aufwand knacken kann.

Alex

 

[Rastafari]

ein Quantencomputer mit 128 Bit

Der ideale QC hat überhaupt keine Bits. Er ist die pure und ultimative Analogmaschine.
Anders gesagt: Ein Bit hat dort nicht zwei, sondern unendlich viele Zustände, und zwar alle gleichzeitig.
Klingt zwar total crazy - ist es aber auch.

 

[below]

Der ideale QC hat überhaupt keine Bits. Er ist die pure und ultimative Analogmaschine.
Anders gesagt: Ein Bit hat dort nicht zwei, sondern unendlich viele Zustände, und zwar alle gleichzeitig.
Klingt zwar total crazy - ist es aber auch.

Ja, richtig richtig (auch mit dem total crazy). Aber real existierende QCs haben Bits die -- wie Du schon sagst -- nicht 0 oder 1, sondern 0 UND 1 GLEICHZEITIG sein könnten. Klingt total crazy, ist es aber auch.

Ich hatte das grosse Vergnügen, im Forschungszentrum der ETH Zürich eine Privatvorführung von einen echten, realen 2-Bit Quantencomputer zu bekommen.

Anders hätte ich das auch nicht in meinen Kopf bekommen

Alex

 

[Der W aus M]

Sehr Interessant, below. Wie sah den die Vorführung aus, was wurde mit dem QC gezeigt?
Das interessiert mich wirklich, da ich mir einen QC garnicht vorstellen kann.

 

[below]

Hier ist eine schöne Beschreibung, die sicher genauer ist als alles, was ich wiedergeben könnte:

"In English, what did you do?"
http://www.qudev.ethz.ch/content/science/CircuitQEDFAQ.html#english

Das ganze ist eine riesige Tonne, in der vor allem Flüssiggas zur Kühlung, und mittendrin eine winzig kleine Platine ist. Ausserhalb der Tonne kann man sich die Plätze für die Qubits ankucken. Während des Experiments kann man das dann natürlich nur auf Monitoren sehen.

Alex

 

[Der W aus M]

Danke für den Link, below. Ich hab mir den Artikel auch durchgelesen, muss aber ehrlich zugeben - viel hab ich nicht verstanden. Das liegt zum Teil an meinem ausbaufähigen Englisch, aber das Thema ist ja auch recht schwierig. Der Wikipediaartikel zum QC hat mir etwas weitergeholfen - ich weiss aber, warum ich kein Physiker geworden bin.
Ich finde solche Dinge interessant und bin zugleich froh, dass ich sie nicht verstehen muss.

 

[MacMark]

Der ideale QC hat überhaupt keine Bits. Er ist die pure und ultimative Analogmaschine.
Anders gesagt: Ein Bit hat dort nicht zwei, sondern unendlich viele Zustände, und zwar alle gleichzeitig.
Klingt zwar total crazy - ist es aber auch.

Gleichzeitig ist wohl falsch. Zumindest laut Wikipedia (Fettdruck von mir):

Das Superpositionsprinzip wird oft so verstanden, dass ein Quantencomputer in einem N-Qubit Register gleichzeitig alle 2N Zahlen von 0 bis 2N − 1 speichern könnte. Diese Vorstellung ist irreführend. Da eine am Register vorgenommene Messung stets genau einen der Basiszustände auswählt, lässt sich zeigen, dass der Informationsgehalt eines Qubits wie im klassischen Fall genau ein Bit beträgt.

http://de.wikipedia.org/wiki/Quantencomputer

Angenommen ein QC könnte tatsächlich alle Schlüssel gleichzeitig probieren, dann müßte er alle Schlüssel gleichzeitig im Speicher haben und alle Entschlüsselungs-Ergebnisse ebenso zeitgleich im Speicher prüfen. Das Universum hat schon bei 128 Bit Verschlüsselungen nicht genug Material für so einen Speicher. Wir bräuchten noch ein Parallel-Universum oder mehr als Ressource für den Angriff.

Klaus Schmeh schreibt in "Kryptografie", daß Quantencomputer im Vergleich zu herkömmlichen Rechnern mit demselben Aufwand eine doppelte Schlüssellänge knacken könnten. Insofern steht ein theoretischer QC bei 256 Bit Verschlüsselungen (gibt es schon seit Jahren) vor dem gleichen Problem wie wir heute bei 128 Bit.

Der QC würde unter den in meinem anderen obigen Posting optimistischen Annahmen "nur" die Hälfte von 10^16 Jahren benötigen, um eine 128 Bit Verschlüsselung zu knacken. Also 500.000 mal das Alter des Universums seit dem Urknall benötigen. Viel Glück

 

[below]

Klaus Schmeh schreibt in "Kryptografie", daß Quantencomputer im Vergleich zu herkömmlichen Rechnern mit demselben Aufwand eine doppelte Schlüssellänge knacken könnten.

Ich will mich mit Herrn Schmeh nicht anlegen, aber wenn das so ist, dann hätte die NSA doch überhaupt keinen Grund, nervös zu sein?

Wie gesagt, die NSA gehört zu den wichtigsten Sponsoren dieses Forschungsgebiets denn offensichtlich glauben sie, das es wohl etwas schneller gehen könnte

Alex

 

[MacMark]

Die NSA kümmert sich sehr oft um Verschlüsselungs-Forschung:
• Als IBM den DES erforschte, machten sie kaum Fehler. Seine größte Schwäche ist der zu kurze Schlüssel von 56 Schlüsselbits, für den die NSA sorgte. IBM hatte 128 Bits geplant.
• Die NSA bekam auch 24 Bit des 64-Bit-Schlüssels von Lotus Notes.
Es gibt noch mehr Beispiele. Die NSA beschäftigt mehr Mathematiker als jedes andere Unternehmen der Welt und sie kauft die meiste Hardware.

Ein Quantencomputer würde auch bessere Kryptographie ermöglichen:
Kapitel "Quantenkryptographie" aus http://www.mbezold.de/quantencomputer/pdf/quantencomputer.pdf

Alles, was mit Sicherheit und Verschlüsselung oder Angriffen darauf zu tun hat, interessiert die NSA.

 

[Rastafari]

Gleichzeitig ist wohl falsch. Zumindest laut Wikipedia

Hier geht der Autor aber fehl, oder besser gesagt sich selbst auf den Leim.
Nicht der QC selbst ist es nämlich, der die Zustände auf das klassische Binärverhalten reduziert, sondern seine Prämisse dass man auf diese althergebrachte Art und Weise eine Messung durchführt.
Wie er darauf kommt, wissen wir nicht.

Angenommen ein QC könnte tatsächlich alle Schlüssel gleichzeitig probieren, dann müßte er alle Schlüssel gleichzeitig im Speicher haben und alle Entschlüsselungs-Ergebnisse ebenso zeitgleich im Speicher prüfen.

Welchen Speicher denn? Den braucht ein idealisierter QC überhaupt nicht. "CPU" und Speicher sind ein und das selbe.

Das Universum hat schon bei 128 Bit Verschlüsselungen nicht genug Material für so einen Speicher.

...wenn man von unserer gegenwärtigen Binärtechnik ausgeht.
Die Quantenphysik sagt aber:
Die gesamte im Universum verfügbare Informationsmenge findet sich in jedem einzelnen Elementarteilchen wieder.
(Was bei weiterer Betrachtung den Schluss nahelegt, dass das gesamte Universum aus nur einem einzigen Teilchen besteht, welches sich bei seiner endlosen Schwingung durch die Zeit als myriadenfaches Echo seiner selbst wiederspiegelt... ein Phänomen der "vierten" Dimension, welches wir dann aus unserer naiven "drei"dimensionalen Betrachterposition heraus "Materie" nennen...)

Wir bräuchten noch ein Parallel-Universum oder mehr als Ressource für den Angriff.

Warum nur eines, wo es unendlich viele hat?