3. Wie sicher ist XOR ?

Wie sicher ist XOR ?

  • ?

    volkard ist Profi-Puzzler, der kann sich solche Aussagen erlauben.

    0
  • ?

    SeppJ schrieb:

    Auf diese Herausforderung zitiere ich mal volkard:

    volkard schrieb:

    Es wäre bloß Mühe, in der Art, ein gekauftes 5000-Teile-Puzzle zu lösen. Das kann jeder Erstklässler. Und wenn jetzt ein Kindergartenkind mit der Laubsäge ein "unlösbares" 100-Teile-Puzzle bastelt und alle herausfordert, so mache ich mir einfach nicht die Mühe, sein Puzzle zu lösen. Es ist eh trivial und keineswegs unlösbar. Auch wenn er mich zwingen will, indem er so lange die Luft anhält, bis ich damit anfange.

    Du kannst ja mal beschreiben, wie du die Datei entschlüsseln würdest.

    0
  • ?

    Das ist natürlich nur möglich, wenn man das Ergebnis irgendwie überprüfen kann. Eine Datei mit zufällig gefüllten Bytes (darauf spielt HerausForderder vermutlich an), die XOR-"verschlüsselt" wurde, kann man nicht sinnvoll entschlüsseln.

    0
  • Mod

    HerausForderder schrieb:

    SeppJ schrieb:

    Auf diese Herausforderung zitiere ich mal volkard:

    volkard schrieb:

    Es wäre bloß Mühe, in der Art, ein gekauftes 5000-Teile-Puzzle zu lösen. Das kann jeder Erstklässler. Und wenn jetzt ein Kindergartenkind mit der Laubsäge ein "unlösbares" 100-Teile-Puzzle bastelt und alle herausfordert, so mache ich mir einfach nicht die Mühe, sein Puzzle zu lösen. Es ist eh trivial und keineswegs unlösbar. Auch wenn er mich zwingen will, indem er so lange die Luft anhält, bis ich damit anfange.

    Du kannst ja mal beschreiben, wie du die Datei entschlüsseln würdest.

    F schrieb:

    Das ist natürlich nur möglich, wenn man das Ergebnis irgendwie überprüfen kann. Eine Datei mit zufällig gefüllten Bytes (darauf spielt HerausForderder vermutlich an), die XOR-"verschlüsselt" wurde, kann man nicht sinnvoll entschlüsseln.

    Das hier. Oder besser: Falls mehr bekannt ist, kann man da auch statistisch drangehen, das macht die Sache erheblich einfacher. XOR ist gegen so ziemlich alle Attacken anfällig.

    0
  • M

    XOR ist durchaus auch in professionellem Umfeld einsetzbar. Auch die One-Time-Pad Technik ist kein akademisches Beispiel! Wir haben viele Kunden die sehr zufrieden sind mit XOR: http://unsicher-im-netz.de/loesungen.html

    @kantaki Melde dich vllt. mal bei mir telefonisch. Die Nummer findest du auf der Webseite in meiner Signatur. Ich hab Interesse an deinem Programm, wenn man das noch ein wenig ausbaut könnte man es wahrscheinlich gewinnbringend einsetzen!

    0
  • R

    Mario Sandler schrieb:

    XOR ist durchaus auch in professionellem Umfeld einsetzbar. Auch die One-Time-Pad Technik ist kein akademisches Beispiel! Wir haben viele Kunden die sehr zufrieden sind mit XOR: http://unsicher-im-netz.de/loesungen.html

    Das klingt nach Snake-Oil. One-Time-Pads sind ein akademisches Beispiel, da sie für die Praxis viel zu kompliziert sind. Wie erstellt ihr denn den Schlüssel, so dass er wirklich komplett zufällig ist? Wie sichert ihr den Schlüssel? Wie handhabt ihr die Größe des Schlüssels? (Wenn ich 1TB Daten sichern will, dann brauch ich ja einen 1TB großen Schlüssel und das jedes mal, wenn ich ein Backup mache)

    Siehe auch Warning-Sign #6: http://www.schneier.com/crypto-gram-9902.html#snakeoil oder http://www.interhack.net/people/cmcurtin/snake-oil-faq.html#SECTION00057000000000000000

    Warum nehmt ihr nicht einfach etablierte Standard-Verfahren? zB AES?

    0
  • M

    Ist auf der Webseite beschrieben.
    Der Kunde erstellt natürlich den Schlüssel, aus Datenschutzgründen, selbst.
    Auch muss er diesen selbst aufbewahren. Nur so behält er die volle Kontrolle über seine Daten.
    Man beachte auch die weiteren IT-Lösungen, unter der Backuplösung 😉

    0
  • R

    Mario Sandler schrieb:

    Ist auf der Webseite beschrieben.
    Der Kunde erstellt natürlich den Schlüssel, aus Datenschutzgründen, selbst.
    Auch muss er diesen selbst aufbewahren. Nur so behält er die volle Kontrolle über seine Daten.
    Man beachte auch die weiteren IT-Lösungen, unter der Backuplösung 😉

    Wie erstellt der Kunde den Schlüssel, so dass der wirklich komplett zufällig ist? Bekommt er dafür Spezialhardware? Und wo ist der Sinn, wenn der Kunde sich jetzt um die Sicherung des Schlüssels kümmern muss, der ja genauso groß ist, wie die ohnehin zu sichernden Daten?

    0
  • C

    Mario Sandler schrieb:

    Der Kunde erstellt natürlich den Schlüssel, aus Datenschutzgründen, selbst.
    Auch muss er diesen selbst aufbewahren.

    1TB Zufallsdaten muss ein Kunde erstmal erstellen können.

    Unabhängig davon: Der Kunde ist für das Backup des Schlüssels zuständig. Und den Schlüssel zu backuppen ist genauso schwierig wie das Backup der Daten, weil der Schlüssel genauso groß ist wie die Daten. Irgendwie schiebt man das Backup-Problem also nur durch die Gegend.

    0
  • M

    Ok und was sagt uns das jetzt über den Sinn/Unsinn von XOR bzw. One-Time-Pad Verschlüsselungen? Genau es ist eine extrem sichere Art und Weise der Arbeitsbeschaffung 🕶
    Wie gesagt, beachetet auch die anderen Lösungen 😉

    0
  • Mod

    Mario Sandler schrieb:

    Ok und was sagt uns das jetzt über den Sinn/Unsinn von XOR bzw. One-Time-Pad Verschlüsselungen?

    Es zeigt nur, dass man immer ein paar Dumme findet. Nichts für ungut, aber deine Dienstleistung fällt doch wirklich unter Quacksalberei und ich bedauere jeden der da drauf reinfällt. Es sieht ein bisschen professioneller aus als die Seite von dem, der nicht genannt werden darf, aber inhaltlich ist es ähnlich.

    0
  • Z

    Mario Sandler schrieb:

    Auch muss er diesen selbst aufbewahren. Nur so behält er die volle Kontrolle über seine Daten.

    D.h. du gewährleistest deinen Kunden, dass sie sich nicht um ein Backup ihrer Daten kümmern müssen, sie müssen dazu nur den Schlüssel aufbewahren? Damit erhöhst du die Ausfallgefahr, bist im Endeffekt also unsicherer als wenn der Kunde seine Daten selbst behalten würde.
    Einen Vorteil zu AES oder RSA seh ich ebenso nicht

    0
  • M

    Es ist tatsächlich unsicherer als wenn der Kunden die Daten selbst backuped, aber wofür bräuchte er dann noch meine Firma? Das ist wirklich keine Alternative bei der ich Geld verdiene.

    Die Lösung ist das optimalste was Datenschutz, unbrechbare und performante Backuplösungen und Gewinn angeht.

    Allen Kritikern empfehle ich die Webseite in meiner Signatur nochmal genau zu lesen. Ich bin mir sicher ich biete für jeden von euch eine passende Dienstleistung an.

    0
  • Mod

    Das einzige was ich sehe ist eine Geldsenke, für die mein Backup auch noch unsicherer wird.

    Dass du daran verdienst, ist kein Vorteil deiner Methode.

    0
  • R

    Mario Sandler schrieb:

    Wie gesagt, beachetet auch die anderen Lösungen 😉

    Ah, ok. Es ist ein Witz. Ich hatte schon große Angst.

    0
  • ?

    Mein Vorgänger benutzte auch XOR um unsere Lizenz-files zu verschlüsseln. Dabei speicherte er die Lizenz-Flags in einem 64-Bit Feld binär in eben diesem Lizenzfile. Jedes Bit dieses Feldes war genau ein Feature das an- bzw ausgeschaltet wurde. Und nein, auf die Bildung einer Checksumme über das ganze Lizenz-File verzichtete er aus "Performancegründen", so das man das File problemlos mit einem Hexeditor manipulieren konnte...

    Der Schlüssel war natürlich absolut sicher "Hard Coded" im Sourcecode.

    Was glaubt ihr wie "sicher" dieses Verfahren gegen Manipulationen war?

    0
  • Mod

    rüdiger schrieb:

    Mario Sandler schrieb:

    Wie gesagt, beachetet auch die anderen Lösungen 😉

    Ah, ok. Es ist ein Witz. Ich hatte schon große Angst.

    Woah, der war aber subtil. Aber ich glaube du hast Recht. Ist aber irgendwie nicht witzig, wenn es so versteckt ist 😞 .

    loks schrieb:

    Was glaubt ihr wie "sicher" dieses Verfahren gegen Manipulationen war?

    lol:

    Der Schlüssel war natürlich absolut sicher "Hard Coded" im Sourcecode.

    Da braucht man nicht weiterlesen.

    0
  • K

    ja ich min noch ziemlich neu in c++ und habe einfach mal nach einer einfachen verschlüsselung gegoogled.
    da bin ich auf XOR gestoßen und hab es direkt mal runtergeschrieben, ist ja ein sehr einfaches verfahren.

    wie kann ich meine verschlüsselung noch ausbauen ?
    ja der key ist leider im sourcecode aber ich habe keine ahnung wie ich das umgehen soll.

    0
  • B

    @Mario Sandler:

    Ich wage hier mal einen Bruch in dem ich behaupte das deine Verschlüsslung vieleicht theoretisch sicher ist aber nicht praktisch.

    Deine Lösung ist erstens sehr anfällig für Man-In-The-Middle Attacken, die heutzutage leider sehr oft passieren.

    Zweitens, wie erzeugst du gute Schlüssel ? Denn ein Schlüssel 111... ist leider genauso schlecht wie 101010... und du must für absolute Sicherheit so einige Korrelanzen eleminieren.

    Wie schädlich ist es wenn ein Angreifer deinen Schüsselgenerator klaut und eine Krpytoanalyse darüber macht. Wie zufällig sind deine Schlüssel ? Wie verhinderst du das ein Angreifer die Verteilung deiner Schlüssel bestimmt und daraus eine statistische Brute Force Attacke startet ?

    So nach dem Motto: Der Schlüsselgenerator bestimmt so die Zufallszahlen also kann ich die möglichen Schlüssel nachrechnen und damit versuchen die Nachricht zu entschlüsseln.

    Oder der Geheimtext soll meine empfangene Nachricht über einem Kanal sein, der Schlüssel meine additive Störung mit jener Wahrscheinlichkeitsverteilung also versuche ich durch Entwicklung eines an die Störung angepassten Filters das Störsignal herauszufiltern.

    0
  • E

    kantaki schrieb:

    wie kann ich meine verschlüsselung noch ausbauen ?
    ja der key ist leider im sourcecode aber ich habe keine ahnung wie ich das umgehen soll.

    Google mal nach RC4.

    0
Anmelden zum Antworten