Qualche delucidazione sulla CRITTOGRAFIA..per appasionati..

[CryptoXXX]

salve,
non sono un esperto a riguardo ma la CRITTOGRAFIA mi interessa parecchio. Avrei a tal proposito alcune domande a voi esperti della materia.


Cifrando un file/disco/partizione con ad esempio AES a 256 bit e una PASSWORD che puo' essere una sequenza di 10 numeri (= 32 bit ) questo significa che per decifrare i dati mi basta forzare la PASSWORD da 32 bit ?
In sostanza ciò che non capisco è a cosa serva una CHIAVE DI CIFRATURA da 256 bit se poi magari ho una PASSWORD debole... Se ho ben capito per avere davvero una protezione alta anche la PASS dovrebbe essere a 256 bit ? Chi eventualmente andrebbe a forzare la crittografia COSA CERCHEREBBE ? LA CHIAVE O LA PASS ?

E se l'anello debole è davvero la PASS, da quanti BIT in su è considerata INVIOLABILE considerati i processori attuali ?

grazie per le delucidazioni in merito...

[Habanero]

In base a cosa sostieni che 10 numeri equivalgano a 32 bit?
Se per numeri intendi cifre (ma a tal proposito dovresti sapere che la password è composta esclusivamente da cifre) allora puoi dire che ogni cifra contiene log2(10)=3.32 bit di informazione. Le tue 10 cifre contengono quindi poco più di 33bit.
Ma non so se è questo il ragionamento che hai fatto...
In ogni caso, molto più probabilmente il il set simboli da cui la password attingerà sarà ben più ampio (ad es maiuscole, minuscole e cifre). In tal caso log2(62)=5.95. I dieci caratteri conterrebbero circa 60bit.

In ogni caso... le tue considerazioni sono assolutamente frutto di un ragionamento sensato.
Tieni presente che l'input di un algoritmo crittografico è la chiave, non la password. La password serve solo a sveltire l'accesso ad informazioni criptate da parte di un essere umano. Una password è memorizzabile, una chiave no. In pratica la scelta di una password ha l'effetto di ridurre il numero delle potenziali chiavi con cui effettuare una attaco a forza bruta. Per far si che questo vada a impattare il meno possibile sulla sicurezza ed in particolare esistono alcune tecniche.
In tutti gli algoritmi simmetrici la password serve da base per calcolare la chiave. Esistono algoritmi specifici, ad es. PBKDF2, adibiti alla generazione di chiavi crittografiche.
In genere l'algoritmo è costituito da una particolare funzione di hashing eseguita sulla password e su salt casuale. La chiave è generata eseguendo tale funzione di hashing migliaia di volte. Tutto questo significa che la generazione della chiave a partire dalla password è piuttosto lunga.
Un brute forcing esaustivo sulla password dovrebbe calcolarsi la relativa chiave per ogni tentativo... cosa che diventa estremamente onerosa in termini di tempo * potenza_di_calcolo.

A questo punto la domanda è lecita.... dal punto di vista di un attacco la creazione di una chiave a partire da una password produce la stessa sicurezza di una chiave scelta in modo casuale? in genere no, e comunque dipende dalla password. Se scelgo una parola composta da sole 3 cifre numeriche e suppongo che la generazione della relativa chiave impieghi 1 secondo, un bruteforcing sull'insieme delle sole cifre impiegerebbe non meno di 3000sec (50min) a raggiungere l'obiettivo.
Se invece scegliessi una password di 10 simboli alfanumerici impiegherei più di 26*10^9 anni (26miliardi di anni... il doppio dell'età dell'universo). Posso anche pensare di investire il mio denaro e usare hardware che mi permetta di calcolare la chiave in un millesimo del tempo.... sono sempre 26milioni di anni.

La conclusione è che la complessità della password fa comunque la differenza.

Spero che il discorso sia abbastanza chiaro.

Discorso completamente diverso è quello degli algoritmi asimmetrici. In tal caso si ha una unica relazione tra chiave privata e chiave pubblica generate su base completamente casuale, non da una password. La password che spesso ti viene richiesta è una semplice protezione all'utilizzo della chiave privata, non alla sua generazione.

[CryptoXXX]

Originariamente inviato da Habanero
In base a cosa sostieni che 10 numeri equivalgano a 32 bit?

Ho preso come riferimento questa tabella, presa da Wikipedia (voce "password strenght")



Inoltre ho verificato con Keepas che fornisce il valore in bit di una password e una password composta da dieci numeri casuali ha proprio attorno ai 30 bit...


Comunque prendiamo ad esempio l'AES. Se io ho la possibilità di inserire milioni di volte la password consecutivamente per forzare il sistema perche' dovrei andare a cercare una chiave a 256 bit quando mediamente la password ne ha molti meno ? Quindi l'anello debole del sistema e' proprio la pass giusto ? Ed e' il numero di bit della pass che fornisce il vero dato sull'inviolabilità della crittografia... E' ovvio che con un pass tipo "pippo" i 256 bit della chiave non servono a niente...
Siamo concordi su questo ?
Ecco stabilito questo, qualcuno sa quanti bit deve avere la PASSWORD per poter considerare la crittografia INVIOLABILE attualmente ?

[Habanero]

La tabella presenta risultati approssimati in accordo con la formula che ho usato nel mio post. I 33bit vengono approssimati a 32, e così è fatto per tutti gli altri valori.

Per quanto riguarda le caratteristiche che deve avere una password per essere ragionevolmente sicura... diciamo che oltre alla lunghezza conta anche l'ampiezza del set di caratteri. Se scegli cifre, caratteri maiuscoli e minuscoli e aggiungi anche qualche segno di interpunzione/simbolo la complessità di un attacco cresce.

Nel link che ti ho precedentemente fornito
http://en.wikipedia.org/wiki/Key_strengthening
alla sezione "Strength and time" ci sono alcune considerazioni su questo argomento.
Ovviamente il tutto dipende dalla potenza della macchina e dal numero di round usati dall'algoritmo PBKDF2 per derivare la chiave dalla password. Tieni inoltre presente che grazie alla diminuzione del costo dell'hardware e grazie al progresso nella tecnologia, una parola chiave discretamente sicura oggi potrebbe non esserlo per nulla domani.
Ultima considerazione inoltre va fatta riguardo l'importanza dei dati da proteggere. Da chi devo proteggere i miei dati? Quali mezzi a disposizione potrebbe avere il soggetto interessato ai miei dati? Devo difendermi dall'amico burlone o da un ente governativo?

[CryptoXXX]

Innanzitutto grazie per la risposta.

In documento di Seagate del 2008 che ho trovato in rete si dice che non c'è molta differenza in termini di sicurezza tra una chiave a 128 e una a 256 bit.

L'esempio, basato su dati e studi in merito, (NIST ecc ) era questo :

BRUTE FORCE DI UNA CHIAVE A 128 BIT

"Se ogni abitante della Terra possedesse 10 computer, ci fossero 7 miliardi di persone e ciascuno di questi computer fosse in grado di elaborare 1 miliardo di operazioni al secondo e fosse in media possibilie individuare una chiave al 50% dei tentativi, tutta la popolazione terreste ci metterebbe 77.000.000.000.000.000.000.000.000 anni "

Inoltre nel documento c'era anche questa tabella :



Quindi, nel 2008, si assumeva che anche un agenzia di intelligence con 300 milioni di dollari di budget avesse serie difficoltà a forzare una chiave con piu' di 88 bit.
Secondo la legge per cui ogni 18 mesi si dovrebbe rafforzare una chiave di 1 bit per pareggiare l'aumento di potenza delle CPU, oggi questi 88 bit diventano 91.

Detto questo, e tornando alla nostra password, è ragionevole pensare che oggi (2011) una cifratura con password di complessità dai 100 bit in su che genera una chiave da 256 bit (vedi AES) sia praticamente inviolabile a livello di brute force da chiunque, enti governativi compresi ?

[Habanero]

Nel 1996 un manipolo di guru tra i quali Schneier, Rivest e Diffie asserivano che, a quei tempi, 75bit erano sicuri per proteggersi da enti governativi in grado di spendere tra i 10M$ e i 300M$. In tal caso i tempi di cracking sarebbero variati tre i 6 e i 70anni.

C'è un'altra domanda che però bisogna porsi... Per quanto tempo deve essere sicuro il mio segreto? Se voglio che lo sia per 20 anni devo aggiungere 14 bit, 2 ogni 3 anni, in accordo con la legge di Moore.
In sostanza a quei tempi consigliavano lunghezze di almeno 90bit.

Ai giorni nostri, per una analoga protezione, 100-105bit dovrebbero essere sufficienti...