V13 cwe Key

[i303]

Aaah, diese theoretische Variante, mit Ergebnisse in zwei Tabellen halten, sortieren und markieren, hattest Du im Sinn, hm, ja ok, einverstanden, könnte mit MITM verwandt sein.

Diese (theoretische!) Angriffsvariante war glaube ich mein Einstieg bei dem Thema (als ich noch etwas naiver war, wie jetzt) - habe ich dann aber relativ schnell verworfen, war auch nur ein Versuch und ich wollte ein Gefühl dafür bekommen, was sich da mit meiner Hardware durchrechnen lässt (wann sich die Linux-VM in der einen Woche aber genau wegen Speichermangel aufgehängt hat, ließ sich leider nicht mehr rekonstruieren)....

Und, hm, naja, also der Aufwand ist trotzdem gigantisch (und vermutlich auch -noch- für vieles ausreichend), auch wenn man nur eine "lausige" 3DES-Verschlüsselung hat, und bei dem Thema mit den effektiven 80 bit wäre ich auch ein Bischen vorsichtig. Diese vermeintlichen 80-bit mögen ja auch theoretisch richtig sein und sind sicher auch ohne weiteres zu beweisen, aber die Angriffe dafür sind halt trotzdem nicht realistisch - es scheitert in allen Varianten, die ich bis jetzt dazu studieren durfte, am benötigten (und am besten natürlich schnellen!) Speicher.

In irgendendeinem Crypto-Forum, in dem man "Rätsel-Fragen" stellen darf und die Experten antworten, hatte einer, aus Spaß, gefragt, wie lange wohl der Angriff auf die EDE-Variante dauern würde, wenn man sämtlichen Hauptspeicher, der jemals produziert worden ist, zur Verfügung hätte.., oder so ähnlich.... ;-)

Nebenbei, also mir ist es absolut nicht gelungen, auch nur ein Bruchstück an Implementierung zu den Angriffen zu finden, .... nirgends, nichts, niemand hat da was oder auch nur versucht, die theoretischen Angriffe in Code zu gießen, etc., auch .... promovierende, die darüber Vorträge halten, nicht (man würde da was funktionierendes vermutlich auch nicht so ohne weiteres öffentlich zur Verfügung stellen, das ist mir schon auch klar, aber erwähnt werden würde ein POC doch sehr wohl in der eigenen Arbeit), .... ich denke, die wissen schon auch alle, warum.

Äh, nachtrag, ja Du kennst die Arbeit ja, musste eben nachschauen, Mitchell, war auch das letzte aktuelle, was ich finden konnte, und ich werde mit vielen Pärchen würfeln versuchen ! ;-)

 

[Miese.Ratte]

Nur so für ein Gefühl der Größenordnungen...

Zwischen 56 und 80 Bit effektiver Schlüssellänge liegen Welten! Die sind 2^24 groß, was knappe 17 Millionen ausmacht. Was bei 56 Bit in einer Sekunde über die Bühne geht, braucht bei 80 Bit 12 *Jahre*!

Also immer schön Vorsichtig mit den Potenzen. Jedes popelige Bit extra verdoppelt den Aufwand. Das sieht erst mal harmlos aus, geht aber ratz fatz durch die Decke.

 

[i303]

@Miese.Ratte : Danke für diesen wichtigen Hinweis, ich glaube, das ist vielen nicht ganz so bewusst.

Ich denke, mir ist das sehr wohl klar, nicht umsonst habe ich auch irgendwann die Tage schon Mal ne realistische Zahl rausgelassen, was mit einer GPU so möglich ist (was Hashcat oder John-de-Ripper kann, weiß ich bis heute noch nicht - PS: Kleines Detail noch, bei Hashcat wird zwar 3DES/EDE aufgeführt, funktioniert aber nicht und soll auch nicht, Details dazu findet man im Hashcat-Forum, ... es wird von den Entwicklern einfach als vollkommen unrealistisch eingeschätzt, warum auch immer das dann überhaupt eingebaut wurde).

Wenn man dann einen Taschenrechner in die Hand nimmt (was ich nicht getan habe), müsste ziemlich schnell klar sein, daß man besser beraten ist, wenn man Sky einfach erwirbt (statt z.B. eine Stadt voll Grafikkarten mit einem Kraftwerk zuzulegen).

Egal, ich habe zwar noch ein gutes Stück Arbeit vor mir, aber jetzt habe ich mich schon damit beschäftigt, also lasse ich das auch mal laufen..... aber, ohne Glück wird das vermutlich auch nichts mehr in meinem Leben, ich rechne ;-) zumindest mal nicht damit, aber was soll ich auch sonst mit den ganzen 3D-Karten anfangen... :-D

 

[caveman99]

@Miese.Ratte das ändert aber nichts daran, dass wir bei der V13 vermutlich 'nur' ein 'einfaches' DES berechnen müssen. Das Handeln mit potentieller Komplexität betrifft nur die V14/15 Karten mit dem DES-EDE Mode.

 

[Gelöschtes Mitglied 488570]

Die sind 2^24 groß

Wie kommst du darauf sind doch 256 Möglichkeiten von 00 - FF und nicht nur 24
und Du darfst bei deiner Angabe davon ausgehen das es nicht nur 17Mio ausmacht sondern Anzahl der Möglichkeiten mal 17 MIO

 

[i303]

So, ich habe jetzt doch mal, das erste Mal überhaupt bei dieser Thematik, den Taschenrechner gezückt; also, mit einer Nvidia GTX-1660Ti (meine erste 3D-Karte, aktuelle Turing-Architektur) lassen sich etwa 20 GigaDES-Keys/s brutforcen, zwar mit meinem eigenen Werk, aber Hashcat z.B. sollte auch sehr gut sein und dürfte auch kaum weniger Durchsatz erreichen (Vermutung anhand des Codes), .... Wenn man das mal umrechnet, müsste sich der komplette (!) 56-bittige DES-Keyspace in 41 Tagen durchrechnen lassen...., also ich halte das durchaus für realistisch, sogar ohne USV.... ;-)

Und, PS, Nachtrag; auch wenn ein Treffer gemeldet wird, ich würde die Katze auf jeden Fall weiterlaufen lassen, theoretisch könnte es bei dem 64-bit CW ja mehrere "gültige" Keys geben, .... nur für alle Fälle, also wenn das überhaupt geht und nicht gleich abgebrochen wird, beim ersten Treffer - wirklich benutzt habe ich Hashcat auch nie.

Äh, und in dem Kontext, nochmal einen Nachtrag; bitte hier jetzt nicht Apfel mit Birnen verknüpfen, nur weil es theoretische Angriffe gibt, die die effektive Schlüssel-Länge bei 3DES/EDE auf 80 bit reduzieren, selbst in abgewandelter Form mit Realitätsbezug, sobald so was in's Spiel kommt, wird man auch nicht mehr soviele Keys/s berechnet bekommen - was so eine GPU nämlich gar nicht mag, ist ein Programmablauf, der nicht "Vorhersehbar" ist, wie ich da den Lookup zu den KnownPlainText-Pärchen umsetze, ohne daß das zu sehr in's Gewicht fällt, weiß ich selbst auch noch nicht - vielleicht wird das aber auch ein Showstopper und es stellt sich raus, daß es einfach das effizienteste sein wird, einfach alle 2^112 durchzulaufen.... nur so nebenbei. Also man kann die von mir gennanten Daten nicht einfach auf eine V14 und irgendwelche Angriffe extrapolieren.

 

[Miese.Ratte]

@Katze Flohli
Es geht um Key-*Bits* und nicht Byte. Ein kleiner aber feiner Unterschied.

 

[Gelöschtes Mitglied 488570]

1,157920892373162e+77‬ Anzahl der Möglichen Keys bei 56bit
Also das Komma um 77 stellen nach rechts rücken

ein 56bit Key sind 7Byte ...
1 Byte sind 256 Möglichkeiten
also 256 ^ 7

ein 80 Bit sind 10 Byte
also 256 ^10

 

[i303]

@Katze Flohli : Bist Du evtl. Erbsenzähler, ... also, Buchhalter meine ich? ;-)

 

[name007]

1,157920892373162e+77‬ Anzahl der Möglichen Keys bei 56bit

dein taschennrechner ist defekt 2 hoch 56 sind nur 72,057594038×10¹⁵

also 256 ^ 7

256^7 = 2^56

 

[Gelöschtes Mitglied 488570]

name007 jetzt enttäuschst du mich aber.

Brute Force - Jede Möglichkeit

Von 00 bis FF ist 256 Möglichkeiten
Jetzt kommt das zweite Byte ins Spiel
das fangt bei 00 00 bis ff 00 dann zählt es auf 00 01
das bis FF FF sind dann 256 x 256 Möglichkeiten und jedes Byte mehr ist x 256
also
Anzahl der Möglichkeiten 256 x 256 x 256 x 256 x 256 x 256 x 256
= 256 ^7

 

[name007]

ja. und ?

trotzdem gilt 256^7 = 2^56 = 7,2 * 10^16 einfachste mathematik :smiley:

10^77 könnte auch keiner von uns bruteforcen. 10^16 oder 10^17 ist dagegen (entsprechende hardware vorrausgesetzt) möglich

 

[Gelöschtes Mitglied 488570]

ja. und ?

trotzdem gilt 256^7 = 2^56 = 7,2 * 10^16 einfachste mathematik :smiley:

10^77 könnte auch keiner von uns bruteforcen. 10^16 oder 10^17 ist dagegen möglich

7,205759403792794e+16 stimmt
hab es gerade mit einem anderen Rechner getestet … da ist wohl ein Bug bei meinen Rechner drinnen bei 256^6 stimmt der noch mit dem anderen überein.

:LOL Bug im SC gefunden
Der hat auf einmal folgendes gerechnet ...
sqr(sqr(sqr(sqr(sqr(sqr(sqr(256)))))))=
das ist natürlich komplett falsch

 

[muebbel]

mit einer Nvidia GT1X660Ti (meine erste 3D-Karte, aktuelle Turing-Architektur) lassen sich etwa 20 GigaDES-Keys/s brutforcen, zwar mit meinem eigenen Werk, aber Hashcat z.B. sollte auch sehr gut sein und dürfte auch kaum weniger Durchsatz erreichen (Vermutung anhand des Codes), .... Wenn man das mal umrechnet, müsste sich der komplette (!) 56-bittige DES-Keyspace in 41 Tagen durchrechnen lassen

Und dann spiel das Szenario mal mit aktueller Hardware wie 3 RTX 2080 TI durch.. oder auch 1080ti

 

[jubidoo]

Ein paar Fragen zum Nachdenken:

Warum mit Pärchen würfeln, wenn doch das aller erste Gerücht, das durchsickerte, lautete, dass die Hälfte des Keys genullt ist?!

Ist es wirklich realistisch, dass die Schwachstelle der V13 nur bei der Berechnung von K1 auftritt? Und im Modul/Receiver, die sich ja den K1 auch herleiten müssen, dann bei v13 unsicher gerechnet wird und bei v14/15 nicht?!

Zieht sich die Schwachstelle durch die komplette Key Ladder und beruht evtl. auf einem unsicheren SCK?!

Sollte man dann nicht eher versuchen SCK zu bruten? Immerhin ist laut Spec TDES für die gesamte Key Ladder zulässig und evtl. auch in Gebrauch. Das wären nur ein paar mal mehr Berechnungen und nicht gleich ein paar Potenzen mehr und das macht den Kohl auch nicht fett.

Lässt sich dann im SCK vielleicht sogar ein Muster der Zusammensetzung (zum Beispiel Karten-Serial) erkennen, das sich auf die V14/15 übertragen lässt?

Fragen über Fragen - aber so wäre mein Ansatz, wenn ich eine V13 hätte und nicht nur aus Spaß an der Freude miträtseln würde