3. Wie sicher ist XOR ?

Wie sicher ist XOR ?

  • O

    kantaki schrieb:

    wie sicher ist eigentlich XOR ?

    XOR alleine ist niemals sicher, aber XOR ist aufgrund seiner statistischen Eigenschaften in jedem verschlüsselungsalgorithmus enthalten. XOR alleine liefert aber nicht die notwendigen mathematischen Sicherheiten.

    Xor ist nur sicher, wenn du:
    1. Jeden Text mit einem echt zufallsgenerierten Passwort verschlüsselst
    2. Das Passwort exakt genauso lang wie der verschlüsselte Text ist

    Das ist in der Praxis nicht sinnvoll, da man ja ein Passwort will, dass klein genug ist, dass man es besser schützen kann als die verschlüsselte Datei. Ausserdem ist Punkt 1 total wichtig. Du darfst keinen einzigen Schlüssel doppelt verwenden. In der Zeit um die Entwicklung der Atombombe herum sind Spione auf dem elektrischen Stuhl gelandet, weil sie den Fehler gemacht haben, ein passwort doppelt zu verwenden und dann auf einmal klar war, dass sie die Pläne für die Atombombe kopiert hatten...

    0
  • Mod

    XOR ist eher eine Scherzverschlüsselung. Eine bei der der Prof in der Kyptographievorlesung sagen kann "Guckt mal, das ist vollkommen sicher, wenn man einen Schlüssel in Größe der Nachricht benutzt". Oder die man in ein einfaches Computerspiel einbaut um Zeichenketten ein bisschen zu verschleiern, weil's damit so einfach ist. Sicher ist es nur und zwar nur, wenn man ein echtes One-Time-Pad hat, also ein echt zufälliger, einmal benutzter Schlüssel in Nachrichtenlänge. Aber dann ist es eher ein akademisches Szenario, da man das Problem des Nachrichtenaustausches auf das Problem des Schlüsselaustausches verschoben hat. Das heißt bei einem Computerporgramm könnte man einfach die Schlüssel aus dem Programmcode holen und bei unsicherer Kommunikation könnte man den Schlüssel mitlesen.

    0
  • E

    Mr.Fister:
    Achso, mit seinem Programm. Okay.

    0
  • K

    kantaki schrieb:

    wie sicher ist eigentlich XOR ?

    Kommt drauf an, wie Du es verwendest. So, wie das klingt, was Du gesagt hast: Gar nicht sicher.

    Es gibt Krypto-Standards und gut getestete Bibliotheken, die diese Standards implementieren. Marke Eigenbau ist bei Krypto immer eine ganz schlechte Idee.

    0
  • ?

    Meint hier irgendwer, er kann ein beliebiges File (nicht nur Textfiles) entschlüsseln, wenn es mit einem maximal 20 Zeichen langen Schlüssel verschlüsselt wurde?

    0
  • ?

    *XOR verschlüsselt

    0
  • Mod

    Auf diese Herausforderung zitiere ich mal volkard:

    volkard schrieb:

    Es wäre bloß Mühe, in der Art, ein gekauftes 5000-Teile-Puzzle zu lösen. Das kann jeder Erstklässler. Und wenn jetzt ein Kindergartenkind mit der Laubsäge ein "unlösbares" 100-Teile-Puzzle bastelt und alle herausfordert, so mache ich mir einfach nicht die Mühe, sein Puzzle zu lösen. Es ist eh trivial und keineswegs unlösbar. Auch wenn er mich zwingen will, indem er so lange die Luft anhält, bis ich damit anfange.

    0
  • ?

    volkard ist Profi-Puzzler, der kann sich solche Aussagen erlauben.

    0
  • ?

    SeppJ schrieb:

    Auf diese Herausforderung zitiere ich mal volkard:

    volkard schrieb:

    Es wäre bloß Mühe, in der Art, ein gekauftes 5000-Teile-Puzzle zu lösen. Das kann jeder Erstklässler. Und wenn jetzt ein Kindergartenkind mit der Laubsäge ein "unlösbares" 100-Teile-Puzzle bastelt und alle herausfordert, so mache ich mir einfach nicht die Mühe, sein Puzzle zu lösen. Es ist eh trivial und keineswegs unlösbar. Auch wenn er mich zwingen will, indem er so lange die Luft anhält, bis ich damit anfange.

    Du kannst ja mal beschreiben, wie du die Datei entschlüsseln würdest.

    0
  • ?

    Das ist natürlich nur möglich, wenn man das Ergebnis irgendwie überprüfen kann. Eine Datei mit zufällig gefüllten Bytes (darauf spielt HerausForderder vermutlich an), die XOR-"verschlüsselt" wurde, kann man nicht sinnvoll entschlüsseln.

    0
  • Mod

    HerausForderder schrieb:

    SeppJ schrieb:

    Auf diese Herausforderung zitiere ich mal volkard:

    volkard schrieb:

    Es wäre bloß Mühe, in der Art, ein gekauftes 5000-Teile-Puzzle zu lösen. Das kann jeder Erstklässler. Und wenn jetzt ein Kindergartenkind mit der Laubsäge ein "unlösbares" 100-Teile-Puzzle bastelt und alle herausfordert, so mache ich mir einfach nicht die Mühe, sein Puzzle zu lösen. Es ist eh trivial und keineswegs unlösbar. Auch wenn er mich zwingen will, indem er so lange die Luft anhält, bis ich damit anfange.

    Du kannst ja mal beschreiben, wie du die Datei entschlüsseln würdest.

    F schrieb:

    Das ist natürlich nur möglich, wenn man das Ergebnis irgendwie überprüfen kann. Eine Datei mit zufällig gefüllten Bytes (darauf spielt HerausForderder vermutlich an), die XOR-"verschlüsselt" wurde, kann man nicht sinnvoll entschlüsseln.

    Das hier. Oder besser: Falls mehr bekannt ist, kann man da auch statistisch drangehen, das macht die Sache erheblich einfacher. XOR ist gegen so ziemlich alle Attacken anfällig.

    0
  • M

    XOR ist durchaus auch in professionellem Umfeld einsetzbar. Auch die One-Time-Pad Technik ist kein akademisches Beispiel! Wir haben viele Kunden die sehr zufrieden sind mit XOR: http://unsicher-im-netz.de/loesungen.html

    @kantaki Melde dich vllt. mal bei mir telefonisch. Die Nummer findest du auf der Webseite in meiner Signatur. Ich hab Interesse an deinem Programm, wenn man das noch ein wenig ausbaut könnte man es wahrscheinlich gewinnbringend einsetzen!

    0
  • R

    Mario Sandler schrieb:

    XOR ist durchaus auch in professionellem Umfeld einsetzbar. Auch die One-Time-Pad Technik ist kein akademisches Beispiel! Wir haben viele Kunden die sehr zufrieden sind mit XOR: http://unsicher-im-netz.de/loesungen.html

    Das klingt nach Snake-Oil. One-Time-Pads sind ein akademisches Beispiel, da sie für die Praxis viel zu kompliziert sind. Wie erstellt ihr denn den Schlüssel, so dass er wirklich komplett zufällig ist? Wie sichert ihr den Schlüssel? Wie handhabt ihr die Größe des Schlüssels? (Wenn ich 1TB Daten sichern will, dann brauch ich ja einen 1TB großen Schlüssel und das jedes mal, wenn ich ein Backup mache)

    Siehe auch Warning-Sign #6: http://www.schneier.com/crypto-gram-9902.html#snakeoil oder http://www.interhack.net/people/cmcurtin/snake-oil-faq.html#SECTION00057000000000000000

    Warum nehmt ihr nicht einfach etablierte Standard-Verfahren? zB AES?

    0
  • M

    Ist auf der Webseite beschrieben.
    Der Kunde erstellt natürlich den Schlüssel, aus Datenschutzgründen, selbst.
    Auch muss er diesen selbst aufbewahren. Nur so behält er die volle Kontrolle über seine Daten.
    Man beachte auch die weiteren IT-Lösungen, unter der Backuplösung 😉

    0
  • R

    Mario Sandler schrieb:

    Ist auf der Webseite beschrieben.
    Der Kunde erstellt natürlich den Schlüssel, aus Datenschutzgründen, selbst.
    Auch muss er diesen selbst aufbewahren. Nur so behält er die volle Kontrolle über seine Daten.
    Man beachte auch die weiteren IT-Lösungen, unter der Backuplösung 😉

    Wie erstellt der Kunde den Schlüssel, so dass der wirklich komplett zufällig ist? Bekommt er dafür Spezialhardware? Und wo ist der Sinn, wenn der Kunde sich jetzt um die Sicherung des Schlüssels kümmern muss, der ja genauso groß ist, wie die ohnehin zu sichernden Daten?

    0
  • C

    Mario Sandler schrieb:

    Der Kunde erstellt natürlich den Schlüssel, aus Datenschutzgründen, selbst.
    Auch muss er diesen selbst aufbewahren.

    1TB Zufallsdaten muss ein Kunde erstmal erstellen können.

    Unabhängig davon: Der Kunde ist für das Backup des Schlüssels zuständig. Und den Schlüssel zu backuppen ist genauso schwierig wie das Backup der Daten, weil der Schlüssel genauso groß ist wie die Daten. Irgendwie schiebt man das Backup-Problem also nur durch die Gegend.

    0
  • M

    Ok und was sagt uns das jetzt über den Sinn/Unsinn von XOR bzw. One-Time-Pad Verschlüsselungen? Genau es ist eine extrem sichere Art und Weise der Arbeitsbeschaffung 🕶
    Wie gesagt, beachetet auch die anderen Lösungen 😉

    0
  • Mod

    Mario Sandler schrieb:

    Ok und was sagt uns das jetzt über den Sinn/Unsinn von XOR bzw. One-Time-Pad Verschlüsselungen?

    Es zeigt nur, dass man immer ein paar Dumme findet. Nichts für ungut, aber deine Dienstleistung fällt doch wirklich unter Quacksalberei und ich bedauere jeden der da drauf reinfällt. Es sieht ein bisschen professioneller aus als die Seite von dem, der nicht genannt werden darf, aber inhaltlich ist es ähnlich.

    0
  • Z

    Mario Sandler schrieb:

    Auch muss er diesen selbst aufbewahren. Nur so behält er die volle Kontrolle über seine Daten.

    D.h. du gewährleistest deinen Kunden, dass sie sich nicht um ein Backup ihrer Daten kümmern müssen, sie müssen dazu nur den Schlüssel aufbewahren? Damit erhöhst du die Ausfallgefahr, bist im Endeffekt also unsicherer als wenn der Kunde seine Daten selbst behalten würde.
    Einen Vorteil zu AES oder RSA seh ich ebenso nicht

    0
  • M

    Es ist tatsächlich unsicherer als wenn der Kunden die Daten selbst backuped, aber wofür bräuchte er dann noch meine Firma? Das ist wirklich keine Alternative bei der ich Geld verdiene.

    Die Lösung ist das optimalste was Datenschutz, unbrechbare und performante Backuplösungen und Gewinn angeht.

    Allen Kritikern empfehle ich die Webseite in meiner Signatur nochmal genau zu lesen. Ich bin mir sicher ich biete für jeden von euch eine passende Dienstleistung an.

    0
Anmelden zum Antworten