1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › IMHO: Gebt uns die Daten

doofe crypto frage

  1. Thema

Neues Thema Ansicht wechseln


  1. doofe crypto frage

    Autor: chris m. 21.05.14 - 18:33

    wenn ein whitehat einen identitätsdiebstahl entdeckt, könnte er doch die liste mit ner günstigen passwort-ableitungsfunktion direkt veröffentlichen?

    es müsste halt für den whitehat möglich sein, die ableitungen schnell zu erstellen, und betroffene müssten dagegen das weilchen warten müssen. weiss nicht ob bcrypt oder pbkdf das können.
    auf wikipedia steht, das bcrypt die verlangsamung beim rundenschlüssel macht, wäre nicht so gut, weil man die liste ja schnell veröffentlichen will

    ich meine quasi so:

    a = zufall

    name des betroffenen + kreditkartennummer
    wird zu
    name des betroffenen + teil_von(a) + aes(klartext="entschlüsselt!", passwort="a + kreditkartennummer")

    teil_von(a) verrät halt so viel von a dass man mit nem gängigen smartphone in etwa 60 min prüfen kann, ob die eigene kreditkartennummer dazu passt. macht für blackhats nen aufwand von 10^16 stunden um alle kartennummern zu prüfen,
    und der whitehat hat für so ne liste nicht viel cpu aufwand. die funktion wäre halt kaskadiert um die 60 min mit ner gewissen abweichung zu treffen

  2. Re: doofe crypto frage

    Autor: chris m. 21.05.14 - 19:04

    edit geht nicht. naja kleiner nachtrag:

    http://www.gwern.net/Self-decrypting%20files

    hier ist u.a. "weak keys" (von mir angesprochene methode) und lcs35 für die sogenannten "time capsules" beschrieben

    aber was in dem text ausser acht gelassen wird, ist, dass eine kaskade von schwachen keys sinn macht, wenn ein fürs 'nächste innere' notwendiger key in den klartext gepackt wird. ziemlich einfache logik, hatte ich mal aus jux mit blocktea ausprobiert. "entschlüsselt!nächste_notwendige_nonce" ist dann jeweils sozusagen der klartext. und die teil_von(a) werden aneinandergehängt, afaik ähnlich wie in lcs35

  3. Was schreibst du denn für wirres Zeug?

    Autor: Yes!Yes!Yes! 22.05.14 - 08:01

    Was hat das denn mit E-Mail-Adressen-"Klau" zu tun?

  4. Re: Was schreibst du denn für wirres Zeug?

    Autor: chris m. 22.05.14 - 12:40

    die überschrift lautet "gebt uns die daten" und fordert die herausgabe, um die korrektheit der geklauten daten zu prüfen. weiter wird gesagt, es wäre für anwender nützlich, wenn sie das passwort einfach erfahren könnten.

    das erste problem ist, ob das bsi überhaupt mit dem richtigen nutzter spricht. denn wie herr böck sagt, ist die "alte e-mail-adresse" nicht mehr verifizierbar, dennoch ist das passwort evtl mehrfach gebraucht worden.

    und das zweite problem ist, dass es nicht trivial ist, etwas partiell herauszugeben. wenn ein institut einem eventuell betroffenen mitteilt, zu yesyesyes@gmail.com sei das passwort ******7d, würdest du das wollen? dein passwort wäre dann nur noch so sicher wie ein sechstelliges. es liesse sich z.b. um etwa den faktor 65536 schneller in einer anderen datenbank finden, schwupps ist das bsi schuld an einem problem.

    meine frage zielt ebenfalls auf eine herausgabe der daten. damit man die korrektheit eines feldes überprüfen kann, wäre eine (weitere) password derivation eben praktikabel. wenn da nicht das problem wäre, dass es um sehr viele datensätze geht. meine frage war deshalb, welche funktionen es gibt, deren cost-parameter sich eben nur auf die umkehrung der funktion auswirken.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stromnetz Hamburg GmbH, Hamburg
  2. Ferring GmbH, Kiel
  3. Bundesamt für Sicherheit in der Informationstechnik, Freital bei Dresden
  4. Stadtverwaltung Eisenach, Eisenach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 15,00€
  2. 2,44€
  3. 33,99€
  4. 5,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile Games: Mit Furz-Apps wird man kein Millionär mehr
Mobile Games
"Mit Furz-Apps wird man kein Millionär mehr"

Mit cleveren Kartenspielen wie Card Thief hat der Berliner Mobile-Games-Macher Arnold Rauers von Tinytouchtales seine gewinnbringende Nische gefunden. Im Gespräch mit Golem.de nennt er Zahlen - und gibt konkrete Empfehlungen für andere Entwickler.
Von Rainer Sigl

  1. Mobile Games Stillfront kauft Storm 8 für bis zu 400 Millionen US-Dollar
  2. Mobile Games Verspielt durch die Feiertage
  3. Mobile-Games-Auslese Märchen-Diablo für Mobile-Geräte

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Ölindustrie Der große Haken an Microsofts Klimaplänen
  2. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  3. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10

  1. Deutsche Bahn: Träges Betriebssystem des neuen IC2 verzögert Zugfahrten
    Deutsche Bahn
    Träges Betriebssystem des neuen IC2 verzögert Zugfahrten

    Etwa eine Stunde soll es dauern, einen IC2 komplett hochzufahren. Dabei sind die Züge für viel Geld erst neu eingeführt worden. Derzeit sorgt das problematische Betriebssystem an Bord für Frust bei der Deutschen Bahn und den Fahrgästen.

  2. EU-Instrumentarium: EU lässt Huawei bei 5G mit Einschränkungen zu
    EU-Instrumentarium
    EU lässt Huawei bei 5G mit Einschränkungen zu

    Die EU-Kommission beschließt erhöhte Sicherheitsanforderungen für 5G, schließt aber keinen Anbieter pauschal aus. Huawei äußert sich erfreut über die Entscheidung.

  3. Smartphones und Tablets: Neuer EU-Vorstoß für einheitliche Ladekabel
    Smartphones und Tablets
    Neuer EU-Vorstoß für einheitliche Ladekabel

    Die EU-Kommission will einen neuen Vorstoß für einheitliche Smartphone-Ladekabel unternehmen. Damit soll auch Elektronikschrott reduziert werden. Vor allem Apple sträubt sich seit Jahren dagegen.


  1. 14:59

  2. 14:41

  3. 14:22

  4. 14:01

  5. 13:41

  6. 13:17

  7. 12:27

  8. 12:05