(Triple-)DES auf Geldkarten/Chipkarten
-
hallo,
ich habe gerade auf wikipedia gelesen, dass auf geldkarten als verschlüsselung DES oder TripleDES verwendet wird.
das kann ich nicht ganz nachvollziehen, es ist schon seit jahren bekannt, dass DES unsicher ist und geknackt werden kann. und von TripleDES brauchen wir garnicht erst zu reden, ich vertraue nicht auf TripleDES ("der apfel fällt nicht weit vom stamm").
warum wird nicht AES als verschlüsselung eingesetzt? AES gibts nicht erst seit gestern, und außerdem ist der algorithmus im grunde recht simpel. für eine firme, die solche karten herstellt sollte es kein problem sein, AES zu implementieren.
außerdem bietet AES noch weitere vorteile gegenüber DES, es ist halt noch viel schneller usw.
warum wird noch DES verwendet? ist mir echt schleierhaft!
-
TripleDES ist sicher genug, da gibts wesentlich gravierendere Probleme und Sicherheitslücken.
-
also so, wie es sich im wikipedia-artikel anhört, wird vornehmlich DES verwendet, und TripleDES für "besonders sicherheitsrelevante Objekte". stellt sich für mich die frage, was ein solches objekt ist. schlüsselkarten?
wie kann ich herausfinden, welche verschlüsselung meine karte verwendet? beim hersteller anrufen?
-
DES=(fast)unverschlüsselt schrieb:
das kann ich nicht ganz nachvollziehen, es ist schon seit jahren bekannt, dass DES unsicher ist und geknackt werden kann. und von TripleDES brauchen wir garnicht erst zu reden, ich vertraue nicht auf TripleDES ("der apfel fällt nicht weit vom stamm").
DES wurde bis heute nicht geknackt. Das große Problem damit ist lediglich der beschränkte Keyspace von nur 56 Bit. Das ist mit spezialisierter Hardware in der Tat ziemlich schnell erledigt, siehe COPACOBANA. Es handelt sich hierbei aber um eine einfache erschöpfende Suche (Brute-Force).
Daher ist das ganze auch nicht auf Triple-DES anwendbar. 3DES is nach aktuellem Stand sicher, wenn auch ziemlich lahm. Selbstverständlich wäre ein Umrüsten auf AES besser, zumindest bei 3DES gibt es aber keine akute Gefahr.
Wer einfaches DES verwendet, hat wohl mehr als das letzte Jahrzehnt verschlafen. Es sind keineswegs nur mehr Regierungseinrichtungen, die das "knacken" können. Selbst die alten COPACOBANAs haben das in etwa einer Woche geschafft. Das war vor über 5 Jahren...
-
+1. Wer sich darüber sorgen macht, sollte die Passwörter seiner Kunden allerdings auch nicht nur einfach gehasht halten.
-
bugmenot schrieb:
Selbst die alten COPACOBANAs haben das in etwa einer Woche geschafft.
Ich bin jetzt zu faul zum Suchen, aber wenn ich mich recht entsinne, hab ich vor 1-2 Jahren was von einem FPGA gelesen, dass das in paar Stunden schafft.
-
Mechanics schrieb:
Ich bin jetzt zu faul zum Suchen, aber wenn ich mich recht entsinne, hab ich vor 1-2 Jahren was von einem FPGA gelesen, dass das in paar Stunden schafft.
Der große Unterschied ist aber, dass DeepCrack Custom-Chips einsetzt und etwa 250.000 US-Dollar im Aufbau gekostet hat, während COPACOBANA auf "off-the-shelf" Xilinx-Spartan3-FPGAs (Virtex-4 in neueren Versionen) basiert, was das ganze auch für weniger finanzkräftige Einrichtungen realistisch macht.
Da sich das DES-Bruteforcen so pervers parallelisieren lässt, ist es sowieso nur eine Frage der Ressourcen die im Mittel benötigte Zeit auf wenige Stunden herunterzubringen.