¿Qué tan segura es una contraseña de 100 bits en 2018 y posteriores?

Navega tus respuestas
3

En pocas palabras, comparto un servidor con otras personas y almaceno mis copias de seguridad allí. Todas estas copias de seguridad se archivan en un archivo .7z utilizando el cifrado AES-256, utilizando una contraseña generada aleatoriamente de aproximadamente 100 bits de entropía. Suponiendo que mis copias de seguridad se hicieran públicas, ¿qué tan difícil sería acceder a sus contenidos en 2018 y más allá?

    
pregunta towelegg32 13.12.2018 - 16:07
fuente

1 respuesta

2

Todos los comentarios suponen un ataque de fuerza bruta contra el archivo cifrado. En criptografía, sin embargo, esto está lejos de ser el único ataque a considerar.

Como ejemplo, AES-256 generalmente se considera 'computacionalmente seguro' según los estándares modernos pero hay muchas suposiciones al decir eso. La seguridad informática significa que, si bien es seguro según los estándares modernos, la historia ha demostrado que no siempre será segura.  AES opera en diferentes modos (CBC, ECB, CFB, OFB, CTS), cada uno con sus propios ataques dirigidos contra cada modo.

Como ejemplo en Encadenamiento de bloques de cifrado, después de la primera ronda, el texto cifrado de la ronda anterior está xorado con el texto sin formato en el bloque actual pero regresando a la primera ronda, el cifrador debe tener los primeros bits. de aleatoriedad (llamado Vector de Inicialización o IV). Si esto no se hace correctamente, se puede usar para derivar sistemáticamente el texto cifrado que está xord en todos los bloques subsiguientes y, por lo tanto, proporcionar el texto cifrado unCBC'd que puede ser analizado estadísticamente o forzado brutalmente para derivar la clave.

Además, su contraseña puede ser apuntada. Ya has filtrado alguna información interesante al respecto.

  • Usted dijo que se generó al azar con 100 bits de entropía y Alrededor de 20 caracteres. Con eso, casi puedo derivar el espacio de teclas y Probablemente haga una suposición educada en cuanto a la aleatoriedad (partes superiores, inferiores, números, y un puñado de especiales comunes).
  • Usted dijo que se generó al azar ... ¿fue generado criptográficamente al azar o utilizó un generador de números pseudoaleatorios? La mayoría de los PRNG tienen una debilidad significativa (p. Ej., En función de los valores del reloj atómico); por lo tanto, si sé cuándo se creó el archivo, los metadatos del archivo o el nombre del archivo mismo, es posible que pueda derivar la semilla y generar el mismo valor que tenía en ese momento , lo que limita significativamente la efectividad de la "aleatoriedad" casi hasta el punto de negarlo.
  • Usted dijo que era una frase de contraseña, y no una contraseña. Esto también filtra información. Si es verdadero, significa que su contraseña probablemente no sea criptográficamente segura (por ejemplo, 1r5% vb9 *? _ Ad! @KLvnd) y probablemente sea más cercana a I < 3G0ldenR3tri3v3rs!. El lenguaje L337 no es criptográficamente seguro y un buen cracker tendrá archivos de diccionario con variaciones comunes en el lenguaje l337 para reducir significativamente el tiempo de crack.

Entonces ... para responder a su pregunta sobre ¿qué tan difícil sería acceder a sus contenidos en 2018 y más allá? - depende en gran medida de una serie de factores .

    
respondido por el thepip3r 13.12.2018 - 20:07
fuente

Lea otras preguntas en las etiquetas

¿Es seguro el certificado autofirmado para uso personal si se verifica antes de acceder? [duplicar] ¿La activación del protocolo SMB evitará que el ransomware ataque como WannaCry se propague en la red?