Salasanan murtaminen

Seuraa 
Viestejä5370
Liittynyt7.7.2007

Kokeilin tuossa salasanalla suojatun zip-tiedoston murtamista. Näyttää melko toivottomalta kotikoneella, jos salasana on yli seitsemän merkkiä pitkä, eikä salasana löydy sanakirjahyökkäyksellä (Dictionary-based attacks) ja joutuu käyttämään brute force'a.

Jos salasana on 7 merkkiä pitkä ja sisältää isoja ja pieniä kirjaimia sekä numeroita sekaisin, murtaminen voi kestää pahimmassa tapauksessa minun koneella yli 5 vrk. Tilanne pahenee murtoajan suhteen erittäin paljon, jos käyttää erikoismerkkejä tai kaikkia näppäimistöstä löytyviä merkkejä.

Jos salasana on 10 merkkiä pitkä sisältäen isoja ja pieniä kirjaimia, sekä numeroita, niin ohjelma ilmoittaa murtamisajan olevan enemmän kuin yksi vuosi. Sama ilmoitus tulee 9 merkin salasanalla, eli ohjelma ei osaa laskea yli vuoden pituisia murtoaikoja. 8 merkin pituisella salasanalla murtoaika on noin vuosi. Tilanne pahenee huomattavasti, jos käytetään erikoismerkkejä.

Eli murtovarman salasanan pitäisi olla:
1. tarpeeksi pitkä
2. käyttää satunnaisesti sekaisin kirjaimia, numeroita ja erikoismerkkejä.
3. Salasana olisi hyvä vaihtaa silloin tällöin.

Tässä nyt oli kyseessä zip-tiedoston murtaminen, mutta sama pätee yleensä muihinkin salasanoihin, esim. langattomissa verkoissa salausmetodista riippumatta.

Sivut

Kommentit (36)

Vierailija

Pitää paikkansa. Olen lukenut että erilaiset murtomenetelmät saa kariutettua aika näppärästi laittamalla salasanan joukkoon muutamia erikoismerkkejä. Jopa nelikirjaiminen erikoismerkkejä sisältävä salasana on vaikea murtaa. Jos kuitenkin laitetaan ne normaalit 8-20 merkkiä, niin tilanne alkaa muuttua ihan oikeasti epäkäytännölliseksi murtajan kannalta.

Tässä muutamia esimerkkejä

lampaita
Hyvin nopea murtaa. Menee dictionary attack menetelmällä kait tyyliin sekunnissa tai jotain.

l4mPa1tA
Ei mene sanakirjalla ollenkaan. Rainbow table osaa murtaa sen parissa minutissa.

£4/\/\p@!T@
Saattaa ratketa parremmilla sateenkaarilla... tai sitten ei. Jos on ratketakseen, niin aikaa saattaa mennä.

p4|-|@P4!/\/\€N
Jos kehittäisi vielä yli 14 merkkiä pitkän salasanan, jossa on kaikkea mahdollista sekaisin, niin melko varmasti jää moinen pähkinä ratkaisematta. Joillekin menetelmille juuri tuo 14 merkkiä on "maaginen" raja ainakin toistaiseksi. Eiköhän tähänkin jo joku vastalääke ole keksitty. Odotetaan innolla kvanttitietokoneiden tulemista. Sitten salasanaksi täytyy laittaa runo ja sekään ei ehkä riitä.

Vierailija

Itse käytän yleisesti täysin irrationaalisia mutta itselleni tiettyjen asiayhteyksien kautta tuttuja sanoja ja numeroita, mm. vuosilukuja(ei syntymävuosia tai mitään "tavallista") sekoitettuna. Tietokoneeni pääsalasana on 26 merkkiä pitkä ja siinä on sekaisin numeroita ja kirjaimia satunnaisessa järjestyksessä. Sähköposteissa ja muissa järjestelmissä on rationaalisesti vähintään yli 12- mutta yleensä suurempia kuin 20-merkkisiä salasanoja.

kairamo
Seuraa 
Viestejä1517
Liittynyt13.12.2006
Bushmaster
Itse käytän yleisesti täysin irrationaalisia mutta itselleni tiettyjen asiayhteyksien kautta tuttuja sanoja ja numeroita, mm. vuosilukuja(ei syntymävuosia tai mitään "tavallista") sekoitettuna. Tietokoneeni pääsalasana on 26 merkkiä pitkä ja siinä on sekaisin numeroita ja kirjaimia satunnaisessa järjestyksessä. Sähköposteissa ja muissa järjestelmissä on rationaalisesti vähintään yli 12- mutta yleensä suurempia kuin 20-merkkisiä salasanoja.



Oletko varma, että 20-merkkinen salasana riittää suojaamaan niinkin huippusalaisia viestejä, mitä sinä todennäköisesti lähetät ja vastaanotat?

An nescis, mi fili, quantilla prudentia mundus regatur.
(Axel Oxenstierna)

Vierailija

Oletteko koskaan kuulleet tietomurtojen kriittisestä pisteestä?

Se tarkoittaa sitä pistettä jolloin tietomurron suorittamiseen, esimerkiksi salasanan murtamiseen tarvittava aika on pidempi kuin vankeustuomio jonka saa salasanan selvittämisestä muilla keinoin.

Esimerkkinä jos kahdeksan merkkiä pitkän, kirjaimia ja numeroita sisältävän salasanan murtamiseen ohjelmallisesti menisi 2 vuotta ja 6 kuukautta, on saavutettu kriittinen piste ko. salasanan suhteen. Tällöin salasana on nopeampi selvittää vaikka nyppimällä salasanan omistajan varpaankynsiä hohtimilla kunnes kohde paljastaa salasanan. Tällaisesta kiduttamisesta saattaa selvitä pahoinpitelysyytteellä ja 2 vuoden vankeustuomiolla, joka on huomattavasti lyhyempi aika kuin salasanan murtamiseen tarvittava aika.

ilmaisin
Seuraa 
Viestejä1285
Liittynyt2.7.2005
Riemuidiootti
Tällaisesta kiduttamisesta saattaa selvitä pahoinpitelysyytteellä ja 2 vuoden vankeustuomiolla, joka on huomattavasti lyhyempi aika kuin salasanan murtamiseen tarvittava aika.

Tuskin se ihan noin menee. Minä ainakin pidän mieluummin konetta auki kaksi vuotta kuin istun saman ajan vankilassa.

Vierailija
Das Auto
Eikös tuo pankkien kertakäyttöinen salasana ole edelleen murtamaton ? Samaa sifferiperiaatetta käytettiin jo toisessa
maailmansodassa.



3x väärin ja 24h karenssi tilille netin kautta.

Vierailija
ilaiho
Riemuidiootti
Tällaisesta kiduttamisesta saattaa selvitä pahoinpitelysyytteellä ja 2 vuoden vankeustuomiolla, joka on huomattavasti lyhyempi aika kuin salasanan murtamiseen tarvittava aika.

Tuskin se ihan noin menee. Minä ainakin pidän mieluummin konetta auki kaksi vuotta kuin istun saman ajan vankilassa.

Niin minäkin, itseasiassa mieluiten en syyllistyisi rikokseen ollenkaan, mutta meitä on moneen junaan.

Kovin usein kuitenkin salasanoilla suojattuihin tietoihin pätee myös aikatekijä jonka jälkeen suojattu tieto on irrelevantti. Vaikkapa tuotteen julkaisu, sovittu tapaamisaika ja -paikka, oikeat lottonumerot, jne. Tällöin salasana täytyy selvittää mahdollisimman pian tai tiedoista ei ole enää hyötyä.

Mutta miksi ketjun aloittaja haluaa ylipäätään murtaa zip-tiedoston salasanaa? Tietomurron yrityskin on Suomen laissa rikos. Mutta annas kun arvaan, unohdit oman salasanasi?

Vierailija
Riemuidiootti
Mutta miksi ketjun aloittaja haluaa ylipäätään murtaa zip-tiedoston salasanaa? Tietomurron yrityskin on Suomen laissa rikos. Mutta annas kun arvaan, unohdit oman salasanasi?
Tai sitte imuttanu pornoa vertaisverkosta.

ovolo
Seuraa 
Viestejä5370
Liittynyt7.7.2007

Riemuidiootti:

Mutta miksi ketjun aloittaja haluaa ylipäätään murtaa zip-tiedoston salasanaa? Tietomurron yrityskin on Suomen laissa rikos. Mutta annas kun arvaan, unohdit oman salasanasi?



Halusin vain käytännössä kokeilla, millainen salasana olisi riittävä käytännössä. Eli itse tein salasanalla suojatun zip-tiedoston, jota sitten yritin murtaa. Eli ei kai tällainen tietoturvan riittävyyden tutkiminen ole (vielä!) rikollista.

Muuten zip-tiedosto on erittäin hankala murrettavaksi, jos salasana on riittävän pitkä ja koostunut satunnaisista merkeistä, koska:

"We've included this description to point out that the password is not stored anywhere in the ZIP file, and so it cannot be just extracted or decrypted. Instead, we can try to "guess" it by trying different passwords: all possible combinations in a given range, or from a wordlist, etc.

"PKZIP encrypts the compressed data stream. Encrypted files must be decrypted before they can be extracted.

Each encrypted file has an extra 12 bytes stored at the start of the data area defining the encryption header for that file. The encryption header is originally set to random values, and then itself encrypted, using three, 32-bit keys. The key values are initialized using the supplied encryption password. After each byte is encrypted, the keys are then updated using pseudo-random number generation techniques in combination with the same CRC32 algorithm used in PKZIP."

Vierailija

Brute forcea vastaan voidaan lisäksi kehittää itse salausalgoritmiin tai oikeastaan sen toteutukseen lisäaika, eli esimerkiksi annettua salasanaa ajetaan tiivistefunktion läpi miljoona kertaa. Siihen saattaa mennä sekunti, mutta enää ei voi ohjelmallisesti salasanoja kokeilla kuin kerran sekunnissa.

ovolo
Seuraa 
Viestejä5370
Liittynyt7.7.2007
JaakkoFagerlund
Brute forcea vastaan voidaan lisäksi kehittää itse salausalgoritmiin tai oikeastaan sen toteutukseen lisäaika, eli esimerkiksi annettua salasanaa ajetaan tiivistefunktion läpi miljoona kertaa. Siihen saattaa mennä sekunti, mutta enää ei voi ohjelmallisesti salasanoja kokeilla kuin kerran sekunnissa.



Olishan se melkoinen hidaste. Se ohjelma, mitä kokeilin, pystyi tällä tietokoneella kokeilemaan noin 7 miljoonaa salasanaa/sek. Eli jos yhden salasanan kokeiluun menisi yksi sekuntti, murtoajat tässä tapauksessa pitenisivät 7miljoonaa kertaa pidemmäksi!

Vierailija
ovolo
Halusin vain käytännössä kokeilla, millainen salasana olisi riittävä käytännössä. Eli itse tein salasanalla suojatun zip-tiedoston, jota sitten yritin murtaa. Eli ei kai tällainen tietoturvan riittävyyden tutkiminen ole (vielä!) rikollista.

Mielenkiintoinen kysymys.

Katsotaanpa mitä laki mahtaa sanoa:

Sähköisen viestinnän tietosuojalaki (16.6.2004/516)

6§ Viestin ja tunnistamistietojen suojaaminen

Tilaaja ja käyttäjä voi suojata viestinsä ja tunnistamistietonsa haluamallaan tavalla käyttäen hyväksi sitä varten tarjolla olevia teknisiä mahdollisuuksia, jollei laissa toisin säädetä. Suojauksen toteuttamisella ei saa häiritä verkkopalvelun ja viestintäpalvelun toteuttamista tai käyttämistä.

Sähköisen viestinnän teknisen suojauksen purkavan järjestelmän tai sen osan hallussapito, maahantuonti, valmistaminen ja levittäminen on kielletty, jos järjestelmän tai sen osan ensisijaisena käyttötarkoituksena on teknisen suojauksen oikeudeton purku.


Eli tuon mukaan salasanoja murtavan ohjelmiston hallussapitokin olisi rikos. Eri asia on voidaanko zip-paketti määritellä viestiksi tai sähköiseksi viestinnäksi, mutta salasana tuntuisi kyllä sopivan tunnistamistiedon määritelmään. Tämä on onnetonta, koska se heikentää tietoturvaa - sillä näin vain rikollisilla on tarvittavat työkalut tietoturvan testaamiseen.

Toisaalta rikoslaki määrittelee suojauksen purkurikoksen seuraavasti (Rikoslaki, luku 38, 8a§):

8 a § (30.11.2001/1118) Suojauksen purkujärjestelmärikos.

Joka eräiden suojauksen purkujärjestelmien kieltämisestä annetun lain (1117/2001) 3 §:ssä säädetyn kiellon vastaisesti ansiotarkoituksessa tai siten, että teko on omiaan aiheuttamaan huomattavaa haittaa tai vahinkoa suojatun palvelun tarjoajalle, valmistaa, tuo maahan, pitää kaupan, vuokraa tai levittää suojauksen purkujärjestelmää, mainostaa sitä taikka asentaa tai huoltaa sitä, on tuomittava, jollei teosta muualla laissa säädetä ankarampaa tai yhtä ankaraa rangaistusta, suojauksen purkujärjestelmärikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.




Tuossa viitataan tähän:
Laki eräiden suojauksen purkujärjestelmien kieltämisestä 30.11.2001/1117
...
2) suojauksen purkujärjestelmällä sellaista laitetta, tietokoneohjelmaa tai muuta järjestelmää taikka järjestelmän olennaista osaa, jonka tarkoituksena on poistaa televerkon avulla tarjottavan palvelun erityisellä teknisellä järjestelmällä toteutettu suojaus.
...
3§ Suojauksen purkujärjestelmää koskeva kielto

Suojauksen purkujärjestelmän oikeudeton hallussapito, käyttö, valmistus, maahantuonti, kaupanpito, vuokraus, levittäminen, myynninedistäminen, asentaminen ja huolto on kielletty.


En varmaan osaa tulkita näitä pykäliä oikein, mutta minusta näyttää kyllä siltä, että joudut ovolo nyt odottamaan aloillasi kunnes ovelle tullaan koputtamaan.

Sivut

Uusimmat

Suosituimmat