News Flash Padlock 2 nun mit doppelter Kapazität

Anwalt Dr.Gonzo

Lt. Commander
Dabei seit
Nov. 2007
Beiträge
1.900
also max. 10^10 Kombinationen = 10 Mrd.

Das ist natürlich vergleichsweise wenig, wenn erst 20 Stellige Passwörter als wirklich sicher gelten (max. 256^20).

An die Daten selbst kommt man mechanisch doch sicher ran. Wie lange würde es denn dauern ein 10^10 Code zu bruteforcen?

Gruß

Doc
 

xC0re

Cadet 4th Year
Dabei seit
März 2010
Beiträge
98
nette sache...

wenn sich der Stick nach ein paar Falscheingaben für 2 min sperrt, dürfte Brute Force auch wenig bringen
 

Anwalt Dr.Gonzo

Lt. Commander
Dabei seit
Nov. 2007
Beiträge
1.900
Naja, das meine ich ja mit mechanisch umgehen.

Also die Sperre mechanisch umgehen, um dann die verschlüsselten Daten direkt auszulesen.

Stellt sich natürlich noch die Frage wie das machbar ist.

EDIT:

Aus dem Test des alten Sticks geht hervor, dass er sogar nur 12,2 Mio Kombinationen hat.

Naja, der Test und die Kommentare dazu geben schon die meisten Antworten auf meine Frage...
 
Zuletzt bearbeitet:

quotenkiller

Lieutenant
Dabei seit
Okt. 2006
Beiträge
935
brute force?
durch die sperre von 2 minuten, die du in kurzen intervallen hast, überraschend lange.
bei z.b. 3 fehlerhaften eingaben in folge, bis zur sperrung, sind es 10^10*120sekunden*"pin eingabe geschwindigkeit"*"pin verarbeitungsgeschwindigkeit*4/3
im idealfall (eingabe geschwindigkeit und verarbeitungsgeschwindigkeit aussen vor gelassen also), dauert es im worstcase etwa 18,5 tage. ich tippe aber eher auf 5 versuche bevor die sperrung zuschlägt, dann wären es nur etwa maximal 16,6 tage.
((vorausgesetzt ich hab da keinen groben denkfehler und ich habe mich eben beim rechnen wie auch immer vertan))
 

t-master

Ensign
Dabei seit
Sep. 2009
Beiträge
199
Ich nehme doch mal stark an, dass der pin dann in einen hash umgewandelt wird und dann eben für aes 256bit verschlüsselung benutzt wird ("A device that could check a billion billion (1018) AES keys per second would require about 3×1051 years to exhaust the 256-bit key space.", http://en.wikipedia.org/wiki/Brute_force_attack)
Es sei denn natürlich, man findet den Hash-Algorithmus heraus und erstellt für jede mögliche Kombination einen Hash. Das würde die Möglichkeiten auf die 1 Milliarde einschränken (aber wie lange dauert es so einen Hash zu erstellen)?

Tobi
 

KainerM

Vice Admiral
Dabei seit
Apr. 2010
Beiträge
7.016
Brute Force ist sinnlos da die Verschlüsselung im Controller erfolgt; wenn ich mich recht entsinne verschlüsselt der Stick intern mit 256 Bit. Und Brute Force über die Tasten dauert auch bei "nur" 12,2 Mio Kombinationen ewig, jedenfalls länger als der Stick hält. Die Chips sind also "absolut sicher", und eine Eingabe am Tastenfeld...die dauert.

Aber egal, es werden sicher wieder 100 Kommentare kommen "Braucht man nicht, für sowas gibts TrueCrypt", "Viel zu lahm", "Viel zu teuer".

mfg

edit: bei 12m2 Mio Kombinationen sind es im Mittel 7,7 Jahre ständigen, ununterbrochnenen Probierens, wenn der Stick nach drei Falscheingaben für zwei Minuten sperrt. Keine Ahnung wie Quotenkiller auf 18,5 Tage kommt... 12200000(Kombinationen)*120(sekunden)/3(Versuche)/3600(Sekunden/Stunde)/24(Stunden/Tag)/365(Tage/Jahr) = 15,47 Jahre. (Worst Case, sprich der letzte Pin ist richtig)
Bei den 10^10 Kombinationen, mit denen er rechnet wärens 6000 Jahre im Mittel.
 
Zuletzt bearbeitet:

Chippo

Commander
Dabei seit
Okt. 2004
Beiträge
2.331
Ich frag mich ob die Tasten immernoch doppelt belegt sind -also ehr Zahlenbereich 0-4 als 0-9 - so wie bei der 8 GB Variante. Ich denke schon.

Edit: Bevor jemand was sagt. Ich weiß das immernoch genügend Kombinationen übrig bleiben, aber eigentlich ist das Mogelpackung. Und bei einem "Sicherheits-Stick" sollte man auf solche Spässe von vor herrein verzichten.
 
Zuletzt bearbeitet:
M

Mathematiker

Gast
also, wenn die Abbildung immer noch zutrifft, dann sind es nur 5 Eingabetasten (anstatt 10) wodurch es nur 5^10 möglichkeiten gibt. und das mit dem hash auf 256bit ist unsinnig, da es um die kombinationsmöglichkeiten der eingabe geht, und die liegt halt nur bei 5^10 möglichkeiten.
 

Sukrim

Lieutenant
Dabei seit
Apr. 2009
Beiträge
956
Wenn man das knacken will, liest man die Rohdaten aus und greift diese an, nicht den Stick. Da gibt es dann auch keine künstlichen "Sperren" nach x Versuchen oder ähnliche Witze.

Für einige Bereiche reicht das schon aus, aber als "sicher" würde ich das Ding nicht einstufen - eher als "nervig" und eben mit einer gewissen Hürde versehen.
 

Chippo

Commander
Dabei seit
Okt. 2004
Beiträge
2.331
Ich habe mir das Teil (8 GB) aus Neugier mal angesehen. Schwammige Tastatur und vor allem das Design. Sieht aus wie ein Spielzeug für... ähm... Erwachsene^^

Wenn man sensible Daten unbedingt mit sich rumschleppen muss dann würde ich auf dezentere Maßnahmen zurückgreifen.
 

Alex@xelA

Lieutenant
Dabei seit
Sep. 2005
Beiträge
675
Zuletzt bearbeitet:

_CH_K_1991_

Lieutenant
Dabei seit
Nov. 2008
Beiträge
755
es gibt lappies mit Fingerabdrucksensor!

@topic: hat eben seinen Preis, wenn man einen "sicheren" Stick haben will. Ich denke der ein oder andere "nicht" privat Mensch wirds brauchen.
Gibt es, die sind jedoch nicht immer so genau (Je nach dem was du mit den Fingern vorher gemacht hast ^^ - geiler Satz- oder wie du gerade vor dem Gerät sitzt)
Also alle Lapis die ich bis jetzt gesehen habe mit einer Biometrischen Eingabe hatten auch die Möglichkeit übers Kennwort gestartet zu werden, was z.B. bei XP und Vista (fürs Win7 gibt es das glaubs noch nicht) demnach sehr leicht auch über Ophcrack möglich war.

@Topic
Ich finde den STick eher als Spielzeug als Sinnvoll, man stelle sich vor man hat an seinem Compi vorn noch keine USB Stecker :evillol:

gruss
 

Chippo

Commander
Dabei seit
Okt. 2004
Beiträge
2.331
Edit: Ich denke mit meiner Äusserung war ich ebend zu aggressiv, und kam selbst mit meiner Ausdrucksweise ins schleundern, entschuldigung. Hatte wirklich keinen bisher schönen Tag.
Aber ich denke schon das du begriffen hast wie ich das meinte. Allein der Hinweis zu dem möglichen Zahlenbereich und die Einschränkung bezüglich denn möglichen Kombinationen hätten hinweis genug sein müssen um zu wissen das ich es so meinte wie du es erkannt hast.

Also bitte mich nicht zusätzlich reizen (auch wenn versehentlich) wenn ich mich mal wieder mit diesen**** ***** vom Arbeitsamt -die es bisher geschafft haben jegliche meiner Bemühungen in Arbeit zu kommen zu "sabotieren" - Ärger hatte.

Also nochmal Entschuldigung für mein aggressives verhalten:(



BTT:
Wozu braucht man eigentlich 16 GB für solche Zwecke?
Ich hätte mich mehr darauf konzentriert die Fehler der letzten Version zu fixen. Zudem wäre ein schlankers und unauffälligeres Design ganz angebracht.


@ Alex@xelA
Definiere zerstört. Daten drauf schrott oder Stick wirklich nicht mehr les/beschreibbar. Dürfte eigentlich nicht passieren.
 
Zuletzt bearbeitet:

Wums

Lt. Commander
Dabei seit
Apr. 2010
Beiträge
1.212
es gibt lappies mit Fingerabdrucksensor!

@topic: hat eben seinen Preis, wenn man einen "sicheren" Stick haben will. Ich denke der ein oder andere "nicht" privat Mensch wirds brauchen.
Was soll ein Laptop mit Fingerabdrucksensor bringen? Der Laptop ist sowas von voll mit deinen Fingerabdrücken das es kein Problem ist den richtigen zu finden. In der Annahme das die Daten auf dem Laptop so wertvoll sind das sich 2 Tage Arbeit lohnen, und wenn nicht wozu braucht mans dann?
 

Chippo

Commander
Dabei seit
Okt. 2004
Beiträge
2.331
DAS ist ein Argument^^.

Ich hatte übrigens mal kurz einen Laptop mit Fingerabdruckscanner.
Das war so ein Teil wo man denn Finger drüber ziehen musste. Da ich 15 Versuche brauchte bis das blöde Ding auch nur ansatzweise meinen Fingerabdruck erfassen konnte, wird wohl der Angreifer a) sich entnervt eine Kugel in denn Kopf jagen oder b) andersweitig versuchen an die Daten zu kommen.
Kein System ist unknackbar. Und ich denke das wenn man wirklich sensible Daten mit sich rumschleppt, sollte man die Daten auf althergebrachte Weise ordentlich verschlüsseln, anschliessend als was anderes tarnen und nicht auf einen Stick vertrauen, der allein mit der Anwesenheit eines Keypads Aufmerksamkeit auf sich zieht. Gibt allerdings einen hübschen Köder ab^^
Ein wenige Kreativität ist oft besser als die beste Verschlüsselung. Man könnte noch nebenher auf seinen Stick eine Fake-Containerdatei packen. Nicht zu offenstlich platziert , aber so das der Angreifer doch schnell aufmerksam wird. Diese Datei verschlüsselt man ordentlich und wenn der arme Kerl sie endlich offen hat, sind drei weitere Truecryptdateien drin. Alle drei verschlüsselt mit Pornos billigster Qualität drin^^
 

Alex@xelA

Lieutenant
Dabei seit
Sep. 2005
Beiträge
675
Definition meines Posts von oben:

... auf den Fingerabdrucksensor beim USB-Stick warte ich bis heute noch ... :-(

Definition von USB-Stick Zerstoert - als beim Kumpel beim Daten kopeieren auf USB-Stick der Rechner sich aufhing und scheinbar nichts mehr machte, wurde der USB-Stick abgezogen. Nun wird er beim einstoepseln in x-beliebigen Rechner garnicht gemeldet, auch das Kontrolllaempchen am Stick schweigt. :-(
 
Top