3. Code ohne Algorithmus mit BruteForce entschlüsseln

Code ohne Algorithmus mit BruteForce entschlüsseln

  • P

    MasterCounter schrieb:

    Kann man einen verschlüsselten Text ohne den zugehörigen Verschlüsselungsalgorithmus zu kennen per Brute Force entschlüsseln? Ich denke nicht, oder?

    Du kannst alle bekannten Algorithmen mit allen Schlüsseln der Reihe nach ausprobieren. Das kann aber dauern. Und wenn es sich um OTP handelt oder um einen Algo, den du nicht kennst, dann kommt auf keinen Fall etwas brauchbares raus.

    0
  • W

    Natürlich kann man das. Man merkt nur nicht, wenn man das richtige Ergebnis ermittelt hat 🤡 .

    0
  • M

    es ging nämlich darum: wenn ich einen eigenen algorithmus entwickle, mit irgendwelche zufälligen von mir ausgedachten variablen, und niemand anders den quelltext kennt, dann hab ich ja im prinzip den sichersten algorithmus, den es überhaupt gibt, oder? 👍 🕶 😋 :p 😉 ⚠

    0
  • C

    Moin Moin

    MasterCounter schrieb:

    es ging nämlich darum: wenn ich einen eigenen algorithmus entwickle, mit irgendwelche zufälligen von mir ausgedachten variablen, und niemand anders den quelltext kennt, dann hab ich ja im prinzip den sichersten algorithmus, den es überhaupt gibt, oder?

    Angriffe auf Verschlüsselungen werden NICHT mit Brute Force durchgeführt!
    Es gibt da wesentlich andere Methoden.
    Tip: Enigma
    Eine Algo zum Verschlüsseln , der geheim bleiben muss, ist per Definition nicht sicher! Erst wenn der Algo bekannt und getestet worden ist und die Sicherheit nur vom Passwort abhängt hat das Verfahren einen Status erreicht an dem es benutzt werden kann!

    cu Jens

    0
  • T

    MasterCounter schrieb:

    es ging nämlich darum: wenn ich einen eigenen algorithmus entwickle, mit irgendwelche zufälligen von mir ausgedachten variablen, und niemand anders den quelltext kennt, dann hab ich ja im prinzip den sichersten algorithmus, den es überhaupt gibt, oder? 👍 🕶 😋 :p 😉 ⚠

    Wenn der Schlüssel genausolang ist wie der Text selbst und er nur einmal verwendet wird, ist er sicher, auch wenns nur mit Xor gemacht wird. Nennt sich dann One-Time-Pad (von nur einmal benutzen 😉 )

    0
  • W

    MasterCounter schrieb:

    es ging nämlich darum: wenn ich einen eigenen algorithmus entwickle, mit irgendwelche zufälligen von mir ausgedachten variablen, und niemand anders den quelltext kennt, dann hab ich ja im prinzip den sichersten algorithmus, den es überhaupt gibt, oder? 👍 🕶 😋 :p 😉 ⚠

    Ja, ganz toll! 😉 Reverse Engineering, Social Engineering und DAUs sind dir aber ein Begriff, oder?

    0
  • C

    es ging nämlich darum: wenn ich einen eigenen algorithmus entwickle, mit irgendwelche zufälligen von mir ausgedachten variablen, und niemand anders den quelltext kennt, dann hab ich ja im prinzip den sichersten algorithmus, den es überhaupt gibt, oder?

    security by obscurity ? 😉
    Dann musst Du immer den Algo aus dem Kopf anwenden und wenn Du es programmierst,
    darfst Du das Programm auf keinen Fall weitergeben, denn wenn irgendjemand an Dein Progamm kommt wars das (sieh reverse Engineering). So gesehen macht aber eine Verschlüsselung nur wenig sinn ;).

    0
  • M

    ich dachte man kann aus einer .exe raus nicht auf den quelltext schließen... 😕

    0
  • S

    Nicht auf den urspruenglichen Quelltext. Aber sehrwohl auf einen aequivalenten.

    0
  • T

    MasterCounter schrieb:

    ich dachte man kann aus einer .exe raus nicht auf den quelltext schließen... 😕

    Man kann die exe decompilen und erhält assembler code. Dort kann man dann alles nachvollziehen. Wird immer umständlicher je größer die exe ist, aber es ist möglich.

    Das Entschlüsseln wird deutlich einfacher wenn man den verschlüsselten Text und den Klartext vorliegen hat!

    Gab schon mehrere die solche Ideen hatten und damit böse auf die Nase gefallen sind.

    0
  • C

    ich entsinne mich nur an ein bestimmtes Shareware-Dateiverschlüsselungs Programm vor ein paar Jahren deren Autor es in einem Forum "testen" ließ. Das hatte mehrere gravierende Schwächen (schon vom Prinzip her) und der Algo war damals auch "selbsterfunden".

    Der Autor war auch der Meinung dass es "unknackbar" wäre 🙄

    Autor: ja wenn du das prog hast ist es ja keine kunst mehr

    aber ich glaube nicht das du den schlüssel in 10 stunden abschreiben könntest geschweige denn irgenwann anwenden.
    und wenn es zu schaffen ist ( was ich nicht bezweifle ) zeig es uns doch einfach !
    natürlich ohne programm!

    und sprach:

    Extrem sichere Verschlüsselungs-Technik
    Passwortschutz des Programms

    Dabei war im Programm der Schlüssel hardcodet 🙄

    im Nachhineine hat sich der Autor jedenfalls nochmal angemeldet und so ein Statement abgegeben:

    Um hier mal gewisse Sachen klarzustellen:

    1.) xxx verfolgt 3 Hauptziele:
    - schnell
    - sicher
    - sehr leicht zu bedienen und damit für die breite Masse ohne Probleme anwendbar.

    2.) Um diese Ziele zu erfüllen mussten selbstverständlich gewisse Einbußen in kauf genommen werden, wie z.B. der "simple" Passwortschutz des Programmes um den Anwender das chiffrieren mittels Schlüssel zu ersparen. Normale Anwender würde solch eine Funktion abschrecken und es geht bei xxx nicht darum, Sicherheitsrekorde aufzustellen, sondern schlichtweg leicht anwendbar zu sein.

    3.) Wie man xxx crackt braucht man mir nicht zu erzählen und auch nicht, dass packen da nichts hilft. Wer den Nutzen solcher Packmechanismen nur darauf bezieht, sollte mal etwas weitreichender denken.

    4.) Derjenige, der behauptete die Verschlüsslungmethode herrauszulesen fordere ich auf, dies zu tun und mir zu schreiben!

    5.) Dateien die mit xxx verschlüsselt wurden sind sehr schwer wiederherzustellen. In der lizezierten Version von xxx können eigene Schlüssel festgelegt werden, was die Dateien unter realistischen Bedingungen nicht wiederherstellbar macht.

    Jedenfalls hat man damals mit Hilfe des Admins/Mods rausgefunden dass der jenige der es zum Testen vorgeschlagen hat und der Autor sehr wahrscheinlich ein und die selbe Person wären. Der hat sich da auch nicht mehr gemeldet.

    Nach dem das Programm bei Computerbild (oder war das Computereasy) gelobt wurde
    "das Programm ist auch ohne registrierung einsatzbereit und sehr einfach zu bedienen blabla"
    hab ich mal probeweise im Gästebuch des Autors ein paar mal einen Link zum "universalentschlüsseler" gepostet und geschrieben dass das Programm zumindest in dieser Version sehr unsicher sei - und prompt eine e-mail des Autors mit einer Anwaltsdrohung bekommen 🙄 ...

    Sehr geehrte Herren,

    Sie haben sich wiederholt in unser Gästebuch mit unsachmäßiger Kritik
    gemeldet.
    Unser Gästebuch ist nicht dafür da, von Ihnen mißbraucht zu werden.
    Wir haben Sie deshalb aufzufordern von solchen Einträgen abzusehen.

    XYZsoft möchte Sie weiterhin darauf aufmerksam machen, dass Sie durch
    reverse engineering, dekompiliern und disassemblieren und ihren
    Gästebucheinträgen
    eine Straftat begehen und somit gegen §§ 187, 202a, 263, 303a und 303b StGB
    Verstoßen.
    Bei der Installation unserer Software "XYZPro" haben Sie dem Lizenzvertrag
    zugestimmt.
    Zur Ihrer Information haben wir Ihnen die Lizenz noch einmal am Ende dieser
    eMail angehängt.

    Sollten Sie wiederholt gegen oben genannte Punkte verstoßen, behält sich
    XYZsoft
    alle notwendigen Schritte vor.

    PS: obwohl, was solls: selber nachlesen kann man es hier:
    http://bb.ups-site.de/thread.php?threadid=11482&threadview=0&hilight=enc*&hilightuser=4323&page=1
    mittlerweise scheint die Software inzwischen blowfish und AES implementiert zu haben.

    0
  • ?

    Voll krass 😮

    Der hatte wohl keinen blassen Schimmer vom Verschlüsseln.
    Ich bis erst im 2. Semester (Informatik an Uni) und ich weiß schon, das das Programm absoluter Mist ist. So eine Verschlüsselung kann ja nicht als solche bezeichnet werden, sondern nur als Verarschung!

    0
  • M

    also, so schlecht sind meine programmierkenntnisse jetzt doch wieder nicht... 😮

    0
  • C

    MasterCounter schrieb:

    also, so schlecht sind meine programmierkenntnisse jetzt doch wieder nicht... 😮

    Bei Verschlüsselung geht es nicht um die Programmier-, sondern um die Mathematik-Kenntnisse.

    Wenn du einen Algorithmus wie RSA (falls du was asymmetrisches haben willst) mathematisch wirklich verstanden hast, kannst du dich langsam daran wagen ihn in Code zu implementieren. Ansonsten ist es leider recht wahrscheinlich, dass sich Implementierungsfehler einschleichen, die die Sicherheit zunichte machen.
    Von einer Eigenkreation würde ich sowieso erstmal absehen, das geht mit Sicherheit schief (zumindest, wenn es einigermaßen sicher sein soll).

    0
  • C

    also, so schlecht sind meine programmierkenntnisse jetzt doch wieder nicht...

    also Programiertechnisch gesehen war zumindest die Oberfläche
    recht gut und ansprechend (also nicht unbediengt nur "point and clicked" in
    einer IDE). Zumindest schein der Autor die Software sogar verkaufen zu könne,
    denn es gibt ja schon die Version 2.x. Hat mich früher nur geärgert dass
    eben solche Leute mit völlig unsicheren Programmen Geld machen und die
    besseren, freiverfügbare Programme welche auf einem "seriösen" Algo basieren
    leer ausgehen... Leider sind wohl viele Anwender der Ansicht "was nix kostet ist auch nix".
    aber:

    ch dachte man kann aus einer .exe raus nicht auf den quelltext schließen..

    die Annahme ist eben nicht richtig... es stimmt dass man einige Tricks einsetzen
    kann um dem Debugger/Disassembler das Leben schwer zu machen, gab auch schon einige Threads darüber... es verlangsammt den "Reverseengineeringprozess", verhindert diesen aber nicht. Außerdem wenn man den Hauptverschlüsselungsalgo so
    "schützt" geht die Perfomance gaaanz gehörig in die Knie ;).

    Ich meine ja zur Lernzwecken ist es gar nicht schlecht so was zu schreiben, besonders weil man da noch einige andere Sachen besser kennenlernt, man sollte nur im Hinterkopf dass es eben nicht gegen einen wirklichen "Angriff" standhält.

    0
  • T

    [quote="CDW"]

    die
    besseren, freiverfügbare Programme welche auf einem "seriösen" Algo basieren
    leer ausgehen... Leider sind wohl viele Anwender der Ansicht "was nix kostet ist auch nix".

    Der Vater meiner Freundin fragt mich ständig nach einem Programm um eine digitale Unterschrift im firmeninternen Mailverkehr einsetzen zu können. Alle Vorschläge mit GnuPG hat er abgelehnt...

    0
  • N

    the_alien schrieb:

    Der Vater meiner Freundin fragt mich ständig nach einem Programm um eine digitale Unterschrift im firmeninternen Mailverkehr einsetzen zu können. Alle Vorschläge mit GnuPG hat er abgelehnt...

    Mit welcher Begründung?

    0
  • T

    Einen Blick drauf geworfen: "Zu kompliziert"
    -"Aber guck mal hier und hier..."
    -"Zu kompliziert"

    Aber kommerzielle Varianten wie PGP sind wieder zu teuer. Zum Verzweifeln...

    Achja, erklärt mal jemandem das mit den Public und Private Keys... manche wollen es einfach nicht verstehen 😞

    0
  • N

    the_alien schrieb:

    Einen Blick drauf geworfen: "Zu kompliziert"
    -"Aber guck mal hier und hier..."
    -"Zu kompliziert"

    Naja, komplizierter als PGP ist GPG ja auch nicht.

    Achja, erklärt mal jemandem das mit den Public und Private Keys... manche wollen es einfach nicht verstehen 😞

    Hm, wenn es prinzipiell daran scheitert, dann gibts für ihn wohl einfach keine brauchbare Verschüsselung, an asymmetrischen Verfahren kommt man nicht vorbei.
    Und wenn Du das ganze so einrichtest, dass alles automatisch geht und die Leute nur mehr ihr Passwort eingeben müssen?

    0
  • T

    Ganz ehrlich bin ich nicht bereit für die Firma ein System aufzusetzen und das ganze noch umsonst...
    Tja, die assymetrische Verschlüsselung ist genau das was er benötigt, allerdings vergleicht er es zu sehr mit einer Unterschrift und steigt einfach nicht durch. Er verstand auch nicht, dass er keine Vorstandsmail VERschlüsseln kann, wenn er sie ENTschlüsseln kann.

    Er stellt sich das zu sehr wie eine Unterschrift vor. Jemand setzt etwas drunter und schwups ist sofort für alle eindeutig, dass es von ihm kommt. Quasi nur einmal nen Knopf und egal wem er es schickt, es ist eindeutig. Aber das mit dem 2. Schlüssel war ein Buch mit sieben Siegeln.

    Ohne jemandem zu nahe treten zu wollen... Computer Bild Leser.

    Den großartigen, praxisbezogenen Artikel in der c't hat er sich 5 Minuten angeguckt und gesagt das bräuchte er nicht...

    0
Anmelden zum Antworten