tid på att knäcka en kod/kryptering?

Jag antar att du menar att träffar rätt lösenord genom bruteforcing... för anger du inte krypteringsmetod finns det ju inga genvägar att gå.

(Antalet tecken)^(antalet möjliga olika tecken)/ tester/tidsenhet.

Om vi ska ta ett konkret så säger vi att din kod valdes ut från en uppsättning av 70 tecken utan någon inneboende ordning och om de kan testa ett lösenord per sekund så skulle det hålla i 70^35 sekunder... antar att det är längre än vad universum existerat, men jag orkar inte kolla upp det.

Meeen... det är ju inte riktigt så det fungerar, de kollar ju efter mönster i krypterad data.

Jag tror att du har blandat ihop begreppen "kryptografi" och "leet-speak".

Du menar tvärt om - (antalet möjliga olika tecken)^(Antalet tecken), som du skrev i exemplet.

Men säg att din "kryptering" bygger på en bok du har hemma i garderoben och i boken står det att 8:an i början betyder "nu är det morgon" då skulle det väl vara omöjligt för någon att lista ut vad hela din kod betyder om den inte har tillgång till boken.

Visst, förutsatt att mappningarna mellan klartext och chiffertext i boken är helt slumpmässiga och oberoende, samt att den endast används till kryptering en enda gång någonsin och att mottagaren har samma bok.

I praktiken kan det ta Väldigt Lång tid att knäcka starka lösenord. Exempelvis TrueCrypt transformerar användarnyckeln väldigt många gånger innan den används för att försvåra attacker (för den som är intresserad, se min artikel här: http://blog.bjrn.se framförallt Key Strengthening). Detta är ett problem för alla förutom möjligtvis FRA, men om FRA ska bry sig om din data måste du antagligen vara ett hot mot rikets säkerhet. Och även FRA har förmodligen problem med AES bara nyckeln är tillräckligt stark.

Jag skulle nog påstå att krypteringen är det minsta problemet (så länge ett hyfsat bra lösenord används) för den som vill skydda sin data. Ett svårare problem för vanliga användare är att se till att känslig okrypterad data inte läcker. Många operativsystem och program skriver väldigt mycket temporära filer överallt. Jag skulle gissa att om man tog en slumpvald person som krypterar vissa filer (men inte hela hårddisken) så är det nog väldigt stor sannolikhet att man kan hitta spår av hans krypterade data helt enkelt genom att köra ett undelete-program på disken eller i en temporär katalog.

Hardcoresäkerhetsnördar löser detta genom att kryptera hela hårddisken vilket är relativt smärtfritt under BSD och Linux. Nu för tiden stödjer även TrueCrypt systempartionkryptering vilket löser stora delar av tempfilproblemet.

Edit: Detta är förresten ett väldigt spännande och aktuellt ämne i min mening. I hela mänsklighetens moderna historia har människor kunnat haft hemligheter som enkelt går att radera. På mitten av 1900-talet var det säkert vanligt att personer skrev dagböcker och sedan brände upp dessa efteråt. Nu för tiden är det inte bara väldigt svårt att förstöra data som lagrats på en hårddisk, var och varannan politiker vill dessutom läsa den eller i alla fall har möjlighet att göra detta i lagens mening.

Någon mer än jag som börjar bli lite trött på allt loggande, övervakande osv? Detta är egentligen lite off-topic, men ett sidospår om privatliv även på Internet tror jag inte dödar diskussionen.

Jag undrar om ens en väldigt stor organisation med ofantliga resurser typ, CIA, NSA osv kan knäcka 256-bitars AES-kryptering, även om de var väldigt motiverade, inom en rimlig tidsram.

Inte en chans att APB kan göra det.

Ja det fungerar på samma sätt. Vanligen så har man antingen ett lösenord som man memorerar, likt ditt ovan, eller så har man en längre slumpmässig nyckel som kan förvaras på exempelvis ett USB-minne. En kombination är förstås också möjlig.

Vadå? Upp mot 40-50 oberoende tecken är ju inget svårt att komma ihåg, har man bara en lapp med sig de första 10-15 gångerna du ska skriva in det kommer den sitta rätt bra sen

Är väl hyffsat mycket enklare att komma på någon lagom lång historia och använda första eller alternativt andra bokstaven i varje ord. Därefter kanske ha något i stil med att använda stor bokstav i alla substantiv och en siffra efter varje adjektiv som går efter antalet bokstäver i ordet.

leet speak är väl mer eller mindre ett subtitutions chiffer, kankse med ett flertal alternativ i vissa fall, men extremt lätta att lösa. Med bra algoritmer och tillräckligt lång kryptotext för att få ett svar är det nog över på ett ögonblick ^^

Helt klart, men dock är det ju alltid bättre med endast massa tecken utan någon koppling mellan dem. Ord är nått jag inte tycker man bör ha i lösenord, eller några som helst regler som det följer.

Riktigt intressant, indeed!
Men om nu Du skulle vara regeringen, så skulle då Du inte vilja, - svara ärligt, kunna övervaka ditt folk in i det minsta?

nepp den består av 128 bitar, sen kankse dom bitarna kan kodas till tecken på något sätt

dvs, 2^128 möjliga kombinationer av ettor och nollor

jag kanske är ute och cyklar nu (trött)
128bitars nyckel är 128/8 = 16 byte
192bitars nyckel är 192/8 = 24 byte
256bitars nyckel är 256/8 = 32 byte

Du kan tex använda ordet "katt" som lösenord ifall du hashar(SHA-1/md5) det till tex 16/24/32 byte.
I så fall behöver du inte skriva så pass många tecken.

1 byte per tecken
1 byte (8 bitar)

jag har börjat köra mig egna lilla kryptering ^^ brukar titta på någon gammal produkt o se om jag kan hitta något meningslöst nummer på den. kan vara allt från en hårddisk till någonprislapp på en kratta.

Sen så lägger jag till lite siffror och ändrar bokstäver mot felskrivningar C och K byter plats med varandra osv. kör dock alldrig upprepningar på samma 'stäng' utan tycker ajg det blir för kort så letar jag upp ett till nummer eller liknande och bakar in det i mitten på det första och vips har man fått ett lösen på 15-25bokstäver och siffror med lite tecken i.

Dock tar det sin lilla tid att memorera det. på mindre viktiga ställe så kör jag oftast bara någon beteckning och byter ut det mot leet språket.

Hela tråden lider av total begreppsförvirring. Psionicist verkar veta vad han pratar om iaf
Till att börja med -=FULLMOON=-: att ta fram en nyckel är inte kryptering, det är styrkan hos nyckeln du pratar om, dvs hur slumpmässig är nyckeln. En mycket viktig del, men det är inte det som är kryptering.
Att svara på frågan "hur svårt är det att knäcka ett 128 bitars krypto" går inte, man måste ju givetvis säga vilken algorirm man användt sig av.
Man kan av samam anledning inte svara på hur man knäcker en kryptotext.

Men ett bra krypto går matematiskt enbart att knäcka med bruteforce eller genom en birth day attack i det senare får man bara se till att öka längden på nyckeln för att det ska bli säkert.

till sist moderna kryopton (tex AES) är i dagsläget omöjiga att knäcka rent matematiskt på annat sätt än med bruteforce. Men det bytder inte att det är oknäckbart, man ger sig istället på protokollet som används för att byta ut nycklar mm. Detta är mycket svårare att få helt vattentätt då det oftast inte går att bevisa ett protokolls säkerhet som man kan göra med sjävla algoritmen.
En av de mer kända är väl attacken på SSL protkollet:
Password Interception in a SSL/TLS Channel

Kryptotext är väl typ l33tspeaket i det här fallet, ju längre det är desto säkrare kan man vara på att man har en entydig lösning.

Ett riktigt subtitutionschiffer löses enklast med frekvensanalys. Räkna frekvensen på varje symbol och jämför med frekvensen av bokstäver i vanliga språket. Det finns sådana värden uträknade för vanlig klartext.

Tack Psionicist! Jag gått och funderat på varför LRW är minde lämpligt än XTS för fulldiskkryptering men att det samtidigt spelar mindre roll för volym-/parition-kryptering.

...

Nyckeln - eller snarare lösenordet - som trådskaparen presenterar får väl anses vara rätt stark ändå. Men ändå, minnesregler i all ära, det bästa är ändå att helt slumpa fram sitt lösenord och sedan memorera. Man behöver inte falla för gamla omotiverade it-policys (ja, jag vet att pluralformen på engelska är 'policies' men det är inget fel att försvenska) som att t.ex. byta lösenord var och varannan månad.

En sådan policy borgar bara för att man blir "slapp" och tar första bästa sträng som inte verkar alltför uppenbar.

Så, om ni vill ha ett bra lösenord, använd en slumpgenerator (en bra sådan!) och låt den skapa en sträng av en lämplig längd.

Vad är en lämplig längd? Det är för mycket begärt att man ska komma ihåg en 256-bitarssträng, dvs 32 binära tecken eller runt 50 om man använder alfabetet och siffror. För det första vill vi bara använda lättåtkomliga tecken och helst bara gemener och siffror. Bestämmer vi att bara använda små bokstäver och siffror får vi en talbas om 36 till 39 beroende på språk. Låt oss säga att vi vill ha ett lösenord med en entropi på minst 64 bitar. Det är lite lite, men står ändå i proportion mot vad en privatperson kanske vill skydda under några år framöver. Det visar sig att 13 tecken slumpmässigt framtagna ur mängden a-z, 0-9 (inklusive w) har en entropi på 67 bitar. 13 tecken går utmärkt att "plugga in". 16 tecken ger en entropi på närmare 83 bitar, 20 tecken 103 bitar osv.

Under förutsättning att strängen verkligen är slumpmässig kan man räkna ut hur många bitar den motsvarar genom formeln log(bas ^ längd) / log(2) där "log" kan vara vilken logaritm som helst. Basen är 36 i mitt exempel och motsvaras av a-z och 0-9. Längden är längden på lösenordet, givetvis.

Lösenordet lancen presenterar innehåller stora och små bokstäver samt siffror. "Alfabetet" har alltså omkring 46 tecken. Längden på lösenordet är 36 tecken. Nu är ju lösenordet visserligen inte slumpmässigt, men vi kan låtsas att det är så. Då motsvarar det log(46 ^ 36) / log(2) vilket blir nästan 199 bitars entropi. Trots att strängen inte är helt slumpmässig är den ändå jäkligt stark.

Men, precis som många påpekat, spelar lösenord, nycklar och krypton liten roll om man ändå låter data läcka, använder dålig implementation eller saknar säkerhetstänkande rent allmänt. Meningslöst är det att ha ett "omöjligt" lösenord men ändå glömma att logga av eller att nyckeln läcker på något sätt.

Har en liten liten fråga till er kunniga. Kör en VPN tunnel mot mitt hemlan när jag inte är hemma så jag kan komma åt alla filer. Trafiken är givetvis krypterad så att ingen ska kunna "intercepta". "Hur lätt" är det att knäcka tunneln och kunna läsa min trafik? Jag använder mig av OpenVPN som i sin tur använder sig av OpenSSL. Gjorde mina nycklarmed denna guiden:

http://openvpn.net/index.php/documentation/howto.html#pki

Utan att veta hur bra just openVPN standarden är så skulle jag svara mycket svårt (omöjligt?) att knäcka den.
Som vanligt lättare att försöka hacka din dator i så fall och ta reda på nycklarna den vägen, skulle jag tro.