[10.9 Mavericks] Wie lange muss ein FileVault 2-Passwort sein.

[Rastafari]

Der Recovery Key besteht aus 6x4 Zeichen.

Richtig.

Diese Zeichen werden aus einer Menge von 36 gewählt.

Falsch. Zeichen mit hoher Verwechslungsgefahr durch eine zu ähnliche visuelle Erscheinung bleiben sinnvollerweise ausgespart.

Die Anzahl der Möglichkeiten ist demnach 36[SUP]24[/SUP]

Sinnvollerweise wird nur 32**24 genutzt.
Weitere Erläuterungen dazu zB im RFC zum ähnlich gestalteten Base32-Kodierungsverfahren.

Ich verstehe nicht, was deine Prüfbits hier sollen.

Simple und effektive Vermeidung von Tipp- und Lesefehlern jeder Art.
Dreher oder Zeichenverwechslungen in Kennworten sind tödlich gefährlich.
Du weisst, dass es da draussen in der Welt Millionen von Sehbehinderten, funktionellen Analphabeten und Menschen mit Dyslexie gibt?

dann liegen wir laut deinen Angaben bei 2[SUP]96[/SUP] für den binär dargestellten Recovery Key.

Der effektiv zum Einsatz kommende Key ist nochmals um die permanent (aber dennoch zufällig) zugeteilten 64 Bit der VSDB-ID länger.
Dieser Teil muss nur nicht gespeichert werden, weil er im verwendeten Verschlüsselungscontainer bereits implizit enthalten ist und sich zur gesamten Laufzeit nicht mehr ändert.
(Und nein, das ist ganz und gar nicht unklug. Die Injektion einer Serie von verschlüsselten Blöcken in eine andere Serie mit bereits bekannter, oder auch nur bereits partiell bekannter Schlüsselabfolge wird damit komplett unmöglich gemacht. Einer der potentiellen Schwachpunkte von Blockchiffres wird so von vorneherein ausgeschaltet. Eine Sorge weniger bei der Implementation.)

Ich habe mal UTF-8 angesehen. Ein Buchstabe y ist 01111001. Die führende Null ist fix. Das ist so, damit die 128 möglichen Zeichen ASCII-konform sind. Ich gehe also davon aus, dass Großbuchstaben und Ziffern deswegen gewählt wurden.

Ob Gross-, Klein- oder auch gemalte Blümchenbuchstaben ist völlig irrelevant und nur der Lesbarkeit durch den Anwender geschuldet. Du könntest auch ein für jeden Anwendungszweck individuell frei ausgewürfeltes Zufallsalphabet verwenden, das kümmert den folgenden Hashalgorithmus nicht im geringsten. (Wäre es anders, wäre der Hashalgorithmus prinzipiell unsicher und damit nicht verwendbar.)

Berechnete Prüfbits sehe ich nicht.

Und wie wolltest du die bitte "sehen" können?
Farbig anmalen? Eine Kerbe reinschnitzen wie die Schildbürger in ihr Boot? Trickreich eingestreute Halbbits benutzen? WTF?

Damit bleibt es dabei: Der Aufwand, alle Recovery-Keys abzubilden liegt bei 24[SUP]36[/SUP] Möglichkeiten. Deine "Prüfbits" spielen hier keine Rolle.

Der Aufwand bleibt immer gleich, gedeckelt beim Maximum von 160 Bits die der angeschlossene SHA-1 ausspuckt.
Komplexere Phrasen als der Hash selbst bilden immer nur redundante Kollisionen ab, die nur ein kleines Dummerchen unter den Crackern mehrfach antesten würde.

Falls du es mal wieder aus dem Fokus verloren hast:
Deine eingegebene Passphrase wird NICHT als Key zur Verschlüsselung benutzt. Damit wird nur eine Hashfunktion initialisiert, deren Komplexität im Output IMMER gleich hoch bleibt.
Fakt ist: Zu JEDER noch komplexeren Passphrase MUSS es (mindestens) eine Kollision zu einer anderen aus dem Wertebereich der geringeren Komplexität geben, die dein Kennwort, so lang und komplex es auch immer sein mag, einfach zu ersetzen vermag.
Zur Erinnerung: Einen Angreifer interessiert nicht DEINE Passphrase, sondern nur IRGENDEINE, die in Folge zum gleichen Ergebnis führt.

 

[SilentCry]

Ich weiß, dass meine Passphrase nur zum Verschlüsseln des "Master key" verwendet wird. So wie die Passphrase von jedem Benutzer, der FV2-Berechtigung hat. So wie auch der Apple Recovery Key nur den "Master key" verschlüsselt.

Und richtig: Einen Angreifer interessiert nur _irgendein_ Key. Deswegen habe ich diese Betrachtung gestartet. Wenn meine Passphrase _besser_ ist als der Recover Key von Apple, dann muss ich mir um meine Passphrase keine weiteren Sorgen machen. UND (was für meine Betrachtung wichtiger war): Muss ich mir ein 119 Zeichen Roman-Passwort merken? NEIN, denn wie ich gezeigt habe, reicht ein 20-stelliges PWD aus, wenn man Sonderzeichen mit nimmt, um genau so gut zu sein wie der Apple Recovery Key aus Ziffern und Großbuchstaben.

Gut, wir vergessen jetzt mal die Prüfbits, ich sehe aus deiner Antwort, dass wir die sowieso nie betrachten mussten und du das jetzt auch einsiehst.

Nur dafür:

Falsch. Zeichen mit hoher Verwechslungsgefahr durch eine zu ähnliche visuelle Erscheinung bleiben sinnvollerweise ausgespart.

hätte ich gerne einen Beleg. Es kann durchaus sein, dass du fundiert _weisst_, dass Apple von den möglichen 36 welche auslässt (z.B. keine Null verwendet, weil man das mit O verwechseln kann oder kein I weil das zu ähnlich einer Eins ist, etc.) aber darüber habe ich bisher nichts gelesen UND es hat rein gar nichts mit irgendwelchen Prüfbits bei einer Passphrase zu tun.
Jetzt, nach einer kurzen Suche, finde ich nur, dass offenbar die Null nicht verwendet wird: http://en.wikipedia.org/wiki/FileVault#FileVault_2


Das "Salzen" eines Keys kenne ich auch. Ist aber in meiner Betrachtung (die sich auf das beschränkt, was der Anwender in der Hand hat) nicht relevant.

Nachdem wir (meiner Ansicht nach) nun das alles ausgeräumt haben, bleibt dein neuer Einwand:

Fakt ist: Zu JEDER noch komplexeren Passphrase MUSS es (mindestens) eine Kollision zu einer anderen aus dem Wertebereich der geringeren Komplexität geben, die dein Kennwort, so lang und komplex es auch immer sein mag, einfach zu ersetzen vermag.

Das ist für mich jetzt deswegen nicht nachvollziehbar als Argument, weil ich den Algorithmus, mit dem der "Master key" verschlüsselt wird, nicht auf die Schnelle raus finde. Bis mir aber nicht (und da hätte ich gerne mal Links gesehen) gezeigt wird, dass Apple einen Algorithmus einsetzt, der deinem obigen Postulat gehorcht (also Kollisionen produziert, die noch dazu dazu führen können, dass ich mit einer "falschen" Passphrase, die noch dazu erheblich weniger komplex sein muss, einen Hash erzeugt, mit dem ich dann den "Master key" entschlüsseln und das FV2 aufsperren kann) gehe ich mal davon aus, dass die Passphrase "PBDV-QM67-YKPC-M5JB-OVVJ-BFO7" nicht durch "12345" ersetzt werden kann und den gleichen "hash" erzeugt.

 

[Rastafari]

Das ist für mich jetzt deswegen nicht nachvollziehbar als Argument, weil ich den Algorithmus, mit dem der "Master key" verschlüsselt wird, nicht auf die Schnelle raus finde.

Apple reklamiert FIPS-Konformität, damit kommen nur eine MD-Variante wie SHA, oder ein RipeMD in Frage.
MD4 und MD5 sind jedenfalls raus, andere wie zB TIGER, Twofish oder Serpent ohnehin nur für deutlich grössere Datenblöcke geeignet, oder wie SHA-2 und -3 einfach nur noch nicht zertifiziert. Und dann gibt es noch arithmetische Hashes wie Whirlpool, die zur Generierung von AES-Schlüsseln nicht verwendet werden dürfen, das ergäbe ein Sicherheitsparadoxon.
(Man kann keine sicheren Schlüssel für AES erzeugen, indem man selbst schon AES einsetzt um den Schlüssel zu erzeugen.)
Und die Verwendung von RMD hätte ich bei Apple jedenfalls bisher noch nicht gesehen.
Also, was bleibt übrig, bei bekannter Outputlänge von 160 Bit?
Genau, SHA-1, der "Immer-noch-Goldstandard".
Aber im Endeffekt spielt das auch gar keine Rolle.

Bis mir aber nicht (und da hätte ich gerne mal Links gesehen) gezeigt wird, dass Apple einen Algorithmus einsetzt, der deinem obigen Postulat gehorcht

Es wäre ziemlich traurig wenn sie das nicht tun würden.
An der möglichst lückenlosen Umsetzung dieses Prinzips wird u.a. die Qualität von sicheren Hashalgorithmen gemessen ("Gleichverteilung").
Zumindest als statistisches Ideal. Für einige wenige Zahlen trifft das nicht zu, so wie es im Umkehrschluss auch einige Hashwerte gibt, zu denen es keinen einzigen möglichen Input geben kann. Ein als kryptografisch "hinreichend gut" erachteter Hash minimiert diese Ausreisser auf unter 1 von 10**12 - so lautet eine der Mindestanforderungen des NIST an neue Kandidaten.
Einen wahrlich mathematisch 'perfekten' Hash, der zwischen einem Eingabe- und Ausgabezahlenraum von gleicher Grösse eine lückenfreie 1:1 Abbildung erreicht ("kollisionsfrei" und "rechtstotal"), hat bis dato noch keiner erdacht. Wäre ein wenig zu viel verlangt, den allerletzten aller jemals benötigten Algorithmen schon jetzt gefunden zu haben.

also Kollisionen produziert

Eine Streuwertfunktion, die einen grösseren auf einen kleineren Zahlenraum abbildet und dennoch gleichzeitig keine Kollisionen erzeugen soll?
Hmmm....
Wirklich ein SEHR interessanter Ansatz. Könnte fast ein Gag von Dr. Sheldon Cooper sein.
Bist du sicher, darüber länger als zwei Sekunden nachgedacht zu haben, und zwar im ausgeschlafenen und nüchternen Zustand?

gehe ich mal davon aus, dass die Passphrase "PBDV-QM67-YKPC-M5JB-OVVJ-BFO7" nicht durch "12345" ersetzt werden kann und den gleichen "hash" erzeugt.

Davon muss man nicht ausgehen. Aber geschehen kann das durchaus. Man hat schon Pferde vor Apotheken kotzen sehen.
Mehr noch:
Erlaubst du unendlich komplexe (dh lange) mögliche Passphrasen, dann ist sogar beweisbar, dass "12345" ein gültiges Äquivalent zu unendlich vielen legitimen Phrasen darstellt. Und für jeden anderen Input gilt das gleichermassen, selbst ein leeres Kennwort dient als passender "Zweitschlüssel" für eine unendliche Anzahl von Kennworten mit wahrlich astronomischer Länge.

 

[SilentCry]

Ja. So wie die Zahl Pi auch ein perfektes Betriebssystem enthält, sämtliche Lottozahlen der Zukunft und eine spannende Fortsetzung von Star Wars, wenn man nur weit genug in die Unendlichkeit geht und einen hinreichen großen Zahlenraum von Pi nimmt.

Theoretisch hast du also völlig Recht mit deinen Kollisionen. Praktisch ist es, wenn der Algorithmus gut ist, irrelevant. Das meinte ich mit "keine Kollision". Bitte setze ein "so gut wie" davor. Und danke, dass du mich mit Sheldon vergleichst. Ich nehme das als Kompliment.

Ich bin aber, und das passiert bei Diskussionen mit dir oft, wiedermal nicht ganz sicher, worauf du hinaus willst. Zwar finde ich deinen Beitrag hier hoch interessant, nur zum eigentlichen Kern passt das nicht. Meine Frage vom Ursprung war, wie lange muss ein User-Passwort sein, um das generierte PWD von Apple zu übertreffen. Dieses Apple-PWD (den Recovery Key) hielt ich für das schwächste Glied der Kette und damit habe ich wohl Recht. Du hast sogar noch zur Erkenntnis beigetragen, dass die Null nicht verwendet wird, daher nur 35 Zeichen verwendet werden.

Das aber eher traurige Ergebnis ist, dass man selbst mit Ziffern, Groß/Klein-Schreibung und etlichen Sonderzeichen, die man in der Praxis kaum einsetzen wird, auch nur auf eine Länge von 20 Zeichen runter kommt. So lange muss eine Benutzer-Passphrase also mindestens sein, damit sie nicht schlechter ist als der Recovery Key. Ob eine PWD-Länge von 12 knackbar wäre in vernünftiger Zeit oder ob 10 reichen oder 14 _das_ wäre interessant, aber würde dann schon weiter führen. Und man müsste mit vielen Annahmen arbeiten, also wie stark sind die Geheimdienstverbrecher-Rechner wirklich... Das führt zu nichts, denn manche hier denken sowieso, die können Gedanken lesen und wissen daher ohnehin schon alle Passworte. Das Psi-Chor, falls einer Babylon 5 kennt.

 

[Rastafari]

So wie die Zahl Pi auch ein perfektes Betriebssystem enthält, sämtliche Lottozahlen der Zukunft und eine spannende Fortsetzung von Star Wars

Das letztere dürfte sogar da noch unmöglich bleiben.

Praktisch ist es, wenn der Algorithmus gut ist, irrelevant.

Praktisch ist es so, dass du, sobald du den Ausgabezahlenraum überschreitest, genau so viele Kollisionen produzieren *wirst*, dass deine komplexere Passphrase exakt überhaupt keinen Zuwachs an Sicherheit mehr bringt.
Das ist wie mit einem randvollen Wasserglas - da bekommst du weder mit einer Pipette, noch mit einem armdicken Feuerwehrschlauch auch nur einen einzigen Tropfen mehr Wasser rein.

Und danke, dass du mich mit Sheldon vergleichst. Ich nehme das als Kompliment.

Sheldon pur, so wie wir ihn alle lieben.

nicht ganz sicher, worauf du hinaus willst.

Darauf, dass du (mal wieder) eine Schweizer Uhr zu bauen versuchst, die genauer geht als die Sonne selbst.

wie lange muss ein User-Passwort sein, um das generierte PWD von Apple zu übertreffen.

Die Antwort: Zumindest von der Länge her geht das nicht mehr.

Dieses Apple-PWD (den Recovery Key) hielt ich für das schwächste Glied der Kette und damit habe ich wohl Recht.

Ganz und gar nicht.
(Was natürlich nicht bedeutet, man müsse einen nicht selbst und mit unbekannten Mitteln erzeugten Schlüssel für irgendwie vertrauenswürdig erachten, nur weil er einen äusseren Anschein von Sorgfalt nicht vermissen lässt. Man vertraut ja auch keinem Gebrauchtwagenhändler, nur weil er seine Fahrzeuge nicht offensichtlich verdreckt auf den Hof stellt.)

wie stark sind die Geheimdienstverbrecher-Rechner wirklich...

Naja, das kommt wohl ganz drauf an wie hoch dein individuelles Kopfgeld ist.

manche hier denken sowieso, die können Gedanken lesen und wissen daher ohnehin schon alle Passworte.

Manche hier vergessen gerne: "Sie" besitzen durchaus probate Werkzeuge zum Gedankenlesen.

Beispielsweise die "Omnilokal applizierbare Elastomerzylinder-Methode".
Oder den allseits beliebten "Dihydrogenmonoxid-Respirationssubstraktor".
Und solche klassischen Tools wie das "Numerisch antilinear geschichtete Zellstoff-Orakel".

(Oder in Altdeutsch: Einen Gummiknüppel, einen Eimer voll Wasser oder das gute alte Telefonbuch zur Seitenscheitelbegradigung.)

 

[larkmiller]

Darf ich mich hier als Unwissender zum Thema mit einer vielleicht blöden Frage einklinken?

Ich bin heute über einen Link auf Gerüchte über Intels vpro 3G Chip und dessen unsichtbarem Überwachungspotential gestossen.
Keine Ahnung, ob diese Informationen stimmen (Internetpapier ist ja bekanntlich geduldig...), aber falls das in Ansätzen machbar sein sollte was einige Websites (einfach googeln) absondern und Apple auch Intel-Boards mit wahrscheinlich genau dieser Technologie verbaut, ist dann die Diskussion über Sicherheit von Zugangcodes nicht müßig?

 

[Rastafari]

Hältst du Türschlösser und komplex aufwendige Schliesstechniken für überflüssig, nur weil es Schlüsseldienste und hinterlegte Generalschlüssel gibt?
Wohl eher auch nicht, oder?

 

[SilentCry]

Wenn sie das Passwort aus mir raus foltern und ich nicht so lange stand halte bis ich vorher sterbe, _weiß_ ich wenigstens, dass mich die Verbrecher kompromittiert haben.

Und ich muss larkmiller Recht geben: Wenn (im Sinne von "falls tatsächlich") in jedem Rechner Spyware in Hardware gegossen ist, dann ist das alles hier sinnlos, denn die wahren Verbrecher sind die mit staatlichem Auftrag. Für einen Zuhälter oder Heroinjunkie bin ich als Person zu uninteressant, der klaut mein MBP bestenfalls um es zu verscherbeln, der macht sich die Mühe auch bei einem 8-stelligen PWD nicht.

Ich halte die Gerüchte allerdings für FUD. Wie ich schon manchmal andeute, bin ich überzeugt, dass die Geheimdienstverbrecher willentlich Verunsicherung streuen. Es muss ja ihr Ziel sein, möglichst viele Leute vom Verschlüsseln abzuhalten. Und wenn sie den Eindruck erwecken: a) Wir Geheimdienstverbrecher können sowieso alles knacken und b) Selbst wenn wir Geheimdienstverbrecher es nicht können, in euren Systemen steckt die Wanze schon als Hardware, dann wird das manche Leute abschrecken. Schizo wie die Welt aber ist, müssen Geheimdienstverbrecher auch genau das Gegenteil ebenso kolportieren: "Wir Geheimdienstverbrecher spionieren euch doch nicht aus! Wir sind nur gegen die Bösen", etc. Blabla. Für jede Gruppe eben das, was wirkt. Und natürlich sind sie nicht perfekt. Dort wo Verschlüsselung oder Verschleierung nie ein Thema war (Kontaktdaten und Telefonie abschnüffeln) wird man eher die "wir überwachen nicht"-Strategie fahren, dort wo Verschlüsselung eher üblich ist (lokaler Speicher) geht man den jovialen Weg "ah, geh, mach dir doch den Aufwand nicht, wir kriegen das sowieso raus".

Wir dürfen eines nicht vergessen: Diese Art von Verbrechern hat förmlich unbegrenzte Mittel, wird vom Staat nicht verfolgt und muss keinerlei Wirtschaftlichkeit in ihrem Handeln zeigen. Dieser Abschaum kann einen unschuldigen Familienvater jahrelang für Abermillionen Euro überwachen lassen, weil niemand sie zur Rechenschaft zieht und weil sie keinerlei Gewinn machen müssen. Ich kleines Würstchen bin für die Russenmafia uninteressant, mit mir machen die kein Geld. Für den dreckigen Überwachungsabschaum hingegen gibt es derartige Überlegungen nicht. Für diese Verbrecher sind wir _alle_ interessant.

Zum Thema an sich: Deine plastischen Vergleiche liebe ich. Aber wir sind d'acord, nur scheinst du das nicht zu merken. Genau wie du schreibst möchte ich nicht Wasser in ein volles Glas füllen. Deswegen ja diese ganze Überlegung: Wie lange (und ja, LÄNGE alleine zählt nicht: "12345678910ABCDEFGHIJKLMNOP" ist ein schrecklich langes Passwort, nutzt aber nix) muss eine Passphrase von FV2 sein, um mindestens so gut zu sein wie der Recovery Key und die Antwort ist: "20 Zeichen, wenn man etliche Sonderzeichen mit nimmt" oder auch: "Am besten verwendet man auch nur Buchstaben und Zahlen und 24 Stellen".

Das war alles.