Winrar ab 3.x AES Verschlüsselung

[Sonnengelb]

Hat von euch schon jemand Erfahrung mit der Passwortsicherheit bei Winrar ab Version 3.x?

Winrar verwendet AES mit 256 Bit Schlüssel, welches aktuell noch als sichr gilt, vorausgesetzt man verwendet einen vernüftiges Passwort (in meinen Augen ab 20 Stellen mit Sonderzeichen).

Es gibt neben Spielzeug Passwortcrackern auch professionelles programmwerk a la AWPR (Advanced Winrar password Recovery) von Elcomsoft.
Das kostet zwar Geld, trumpft aber mit netten Features auf.

Mich würde mal interessieren, wie lange AWPR benötigt um ein 8stelliges Passwort zu knacken?
Schon mal jemand getestet?

 

[Mike Lowrey]

Was für ein achtstelliges PW? Welche Entropie welcher Zeichensatz?...
Da auch die Software von Elcomsoft an die Rechenleistung des Rechners gebunden ist wie jede (selbst geschriebene) Software macht dies kaum einen Unterschied.

Wenn du auf hohe Sicherheit angewiesen bist und nicht auf Security by Obscurity setzen willst, würde ich das relativ gut analysierte Programm 7-Zip nehmen.

 

[Behemoth08]

Es empfiehlt sich ohnehin bei sicherheitsrelevanten Sachen auf OpenSourceprogramme zurückzugreifen, denn was offenliegt ist meist auch gut geprüft, gerade was Verschlüsselung etc. angeht. Andernfalls musst du dich auf das verlassen was dir die Hersteller proprietärer Software erzählen.

 

[claW.]

ein 8 stelliges passwort sagt überhaupt nix über sicherheit aus. darin können sich nur zahlen befinden, welche immens einfacher zu knacken sind, als z.b. schon groß- + kleinbuchstaben. sagen wir, das passwort besteht aus maximal 102 zeichen (groß-, kleinschreibung (inkl. umlaute und ß), zahlen, sonderzeichen), dann gibt es bei 8 stellen 11.716.593.810.022.700 (= 12 billiarden; 102^8) mögliche kombinationen. diese zahl teilst du dann durch die anzahl der schlüssel, die die software (durch was auch immer) generieren kann. dann erhälst du die zeit, welche die software brauch, um das passwort herauszubekommen.

andere/sinnvollere verfahren als bruteforce, sind bei aes wohl sinnlos/existieren nicht (mir ist nichts bekannt). außer man ist so doof und nimmt ein wort/konstrukt von rainbow tables.

 

[Sonnengelb]

Mit Passwort meine ich selbstverständlich eine Kontrukt von zahlen, Buchstaben klein/groß und Sonderzeichen, alles anderes wäre ja auch ziemlich unsinnig.

Die theoretische Berechnung ist mir schon klar, trotzdem danke.
Ich meinte primär den Ablauf in der Praxis, also auch das Zusammenspiel mit AWPR.
AWPR unterstützt ja auch load balancing, bzw. kann mehrere Rechner im Netzwerk bündeln.

 

[Mike Lowrey]

Selbst wenn man die Grafikkarte nutzen würde (die eine höhere Leistung als die meisten gebündelten Heimrechner hat) wären es immer noch die oben genannte Zeit/100 Bruteforce ist einfach ineffektiv egal wie toll das Programm beworben wird.

 

[claW.]

hier vllt mal ein link zum golem artikel.

laut dem verlinkten kommentar, soll eine 8800gtx bis zu 365.000.000 schlüssel pro sekunde generieren können. bei 102 möglichen zeichen, würde ein 14 stelliges passwort maximal 9 stunden brauchen. ein 15 stelliges passwort dagegen, braucht schon 910 stunden. wenn jemand nun 10 rechner mit 8800gtxen zusammenschraubt, setzt du halt ein zeichen dazu, womit wir bei 16 stellen wären, wodurch diese 10 stück maximal 9000 stunden bräuchten.

 

[Sonnengelb]

Ja, das liest sich schon gut, aber dies die Theorie!
Man muss immer sehen, wie die jeweiligen Programme dies bewerkstelligen.

Bei Winrar, Zip und Office klappt das recht einfach, weil es jeweils ein File ist, welches benutzt wird.

Was aber, wenn man seine Systempartition z. B. mittels Truecrypt verschlüsselt?
Hier müßte für jeden Versuch das System neu gebootet werden, welches natürlich kostbare Zeit verschenkt.
Somit wäre schon ein 10stelliges Passwort (Sonderzeichen etc.) nahezu sicher oder?
Oder würde man hier anders vorgehen?

 

[claW.]

Somit wäre schon ein 10stelliges Passwort (Sonderzeichen etc.) nahezu sicher oder?
Oder würde man hier anders vorgehen?

nein, das geht genauso nur durch probieren. wie bei truecrypt vorgegangen wird bei einem falschem passwort, weiß ich nicht und ebenso nicht wann dieses eingegeben werden muss. insofern es beim booten passiert, nützt die allertollste gpu nix, da die anwendung dort einfach nicht greift. natürlich muss auch die zeit zwischen den jeweiligen keys mit einberechnet werden (z.b. gibts auch systeme, welche nach 5 fehlgeschlagenen versuchen, den zugriff für 5 minuten o.ä. sperren).

das 10 stellige passwort hier wäre weniger sicher als ein 16 stelliges, da die chance auf das passwort zu kommen geringer ist (1:2^10 < 1:2^16).

 

[abulafia]

Klar, die Tools benutzen ja auch die vorgegebenen Schnittstellen der Anwendungen ... omfg

 

[Sonnengelb]

Genau, so sehe ich das auch.
Habe Truecrypt in den letzten beiden Stunden ausprobiert.
Die Container lassen sind gut per Bruteforce ansteuern, da es eine Datei ist.
Wenn ich aber die Systempartition mit TC verschlüssel, sind Tools dieser Art unbrauchbar.

Wenn ich es schaffe, ein mit TC verschlüsseltes System (Systempartition!) zu virtualiseren, geht das zwar viel schneller, aber ist immer noch ansatzweise zu langsam und den Key oer Bruteforce zu ermitteln.

TC mit verschl. Systempartition erscheint mir aktuell echt am Sichersten zu sein, weil da nichts greifen kann.

 

[abulafia]

Aha, Platte in ein anderes System stecken und den Header angreifen geht also nicht? Vielleicht von CD booten? Und das sind die unkreativen Möglichkeiten.

 

[claW.]

selbst wenn bräuchtest du jahre dafür, diesen einen schlüssel zu finden von den zich milliarden. der aufwand-nutzen-faktor ist kleiner null. da kannst du die festplatte sonst wohin bauen, an die daten kommst du nicht ran. außer du findest eine lücke in aes, was ziemlich unwahrscheinlich ist. und was bringt es dir den header anzugreifen? die daten sind trotzdem verschlüsselt in jedem einzelnen byte. da bringt dir der header gar nix. und von cd booten? siehe oben: dauert jahre.

 

[abulafia]

Äh, mein Beitrag bezog sich auf den Beitrag über meinem Beirag ....