Bruteforcing af krypteret 7z-arkiv

7z har Strong AES-256 encryption, den kan du ikke bryde med bruteforcing.

Hvis det er et svagt password, tror jeg ikke det er helt umuligt

Man skal jo ikke bryde kryptionen.. man skal gætte passwordet.. så det er naturligvis muligt, men kan tage lang tid..

Jo mere kompleks passwordet er, jo længere tid tager det..

Forstil jer, at passwordet ikke kun indeholder a-z, men også 0-9, og alle mulige andre tegn..

Brydning af tekst der er krypteret: kan (måske) være umulig
Gæt af kodeord: er mulig, men tager tid

Det er håbløst, men det finder spørgeren nok ud af, når bruteforce har kørt i
nogle år:) http://www.bitzipper.com/dk/aes-encryption.html

som thesurfer er inde på, hvis passwordet er "c", så skal du prøve tre gange, så er du igennem

I min kommentar, går jeg ud fra, at spørgeren er normalt begavet, så hans
password ikke er "jonas"

Det kommer jo an på så meget. Tit og ofte sætter folk bare et symbosk password på. Anyways, så er det passwordets kompleksistet der afgør hvor lang tid det tager

Det bliver jo nemmere og nemmere at bryde disse kodeord.. fordi:

- folk bliver ikke specielt bedre til at benytte komplekse kodeord
- computerene bliver hurtigere og hurtigere, og har nu multi-core CPU'er

Med de rette programmer, der er designet til at udnytte al CPU-kraften i multi-core systemer, vil det ikke tage så lang til at bryde simple til mellemsvære kodeord..

Simple til mellemsvære password hvad er det? Jeg mener, at et simpelt består
af 8 "blandede bolcher"  Jeg har selv AES256 og mit password har 25 enheder.

Jeg tro at der er en os, eller spørgeren, der har misforstådet opgaven..

Spørgeren skriver godnok AES osv, men eksemplet på det programmet skal kunne (komprimeret), forstæller mig, at det ikke er kryptionen han vil knække, men at han vil gætte passwordet.

Alt efter hvad det egentligt er spørgeren vilk, så: 09/03-2008 14:18:59

Vi kan prøve på at gætte os frem til hvad det er spørgeren vil, eller vente til feedback fra spørgeren.. :-)

Ja lad os vente på spørgeren, hvis vi da ellers hører noget fra ham:)

Jeg har lige lavet et test program, hvor hver tråd tester op til 3 tegn..

Med 1 tråd, tager det ca 10 sekunder at testes a* (dvs, aa til abz)

Med 2 tråde, en der tester a* og en der tester b*, tager det omkring 20 sekudner, så det er også ca 10 sekunder per tråd..

Med 3 tråde, der tester henholdvis a*, b* og c*, tog det ca 28 sekunder, svarende til ca 9,3 sekunder per tråd.. jeg forstår ikke helt dette resultat.. :-)


Der er kun testet med små bogstaver.. tænk hvis man også testede store bogstaver! yayks! :-)

Jeg kører med et password på 11 tegn, hvisn du laver et stykke software, som tester 1000 kombinationer i sekundet, tager det 1,1 milliard år at teste alle kombinationer. Tænkt lige lidt over det !

Jeg er ikke bevandret i matematik, men hvis dette gælder." AES er sikker nok til at beskytte klassificeret information helt op til TOP SECRET niveau, hvilket er det højeste sikkerhedsniveau i USA." Så må det være kombinationen af store og små
bogstver og eventuelt tal, som gør det uoverskueligt at gennemsøge inden for en
tidsramme, som er realistisk.
Jeg tror, at med mit password med 25 tegn, store og små bogstaver og tal, er jeg
folængst død, inden en computer finder ud af det - Hvis det ellers skulle
interessere nogen*G*

1,1 milliard år. Ok jeg må tro dig på dit ord:) Men så kan jeg kun henvise
til min første kommentar.

Ja, og bemærk at det er i fald man er klar over at password'et er på 11 tegn. Hvis det er på 12 tegn vil det såmænd bare tage ca. 70 milliarder år !!!!!!!

Når man tester et krypteret arkiv på denne måde, er det i princippet ligegyldiget hvilken krypteringsalgoritme der er brugt, for det er ikke den man skal bryde.

Jeg snakker ikke om ad bryde kryptering, men om at gætte sig til password.

Nej det fremgår jo af det du skriver, at det er et gætteri på passwordet.
Så er spørgsmålet vel, hvor mange kombinations muligheder giver 11 tegn med store
og små bogstaver plus tal? Hvis mulighederne ikke er astronomiske, hvad er
kryptering så værd for et firma eller for forsvaret? Hvis en hurtig computer kan
gætte det på få timer, så er det da nytteløst.

Hvis man er fræk, krypterer/komprimerer man flere gange, med forskellige passwords.. :-)

Ved lidt mere seriøs brug, som f.eks. i Windows' filkryptering, kan man bruge en 256-bit binær nøgle. Det giver 2^256 kombinationsmuligheder. Det giver lidt mere end ved 11 blandede tegn med bogstaver og tal

Jeg foretrækker Steganos Safe. Hvis man kan nøjes med 2 boxe a 1GB, kan man
få en gratis version.
https://www.steganos.com/us/products/home-office/safe-one/overview/

Ps. Steganos Safe kan altid åbnes, ved en ny windows installation, så snart,
man har installeret Steganos igen. Så man mister intet, fordi windows går ned.
Det forudsætter selvfølgelig, at man ikke er så tåbelig, at lægge sin box på
C-drevet, med risiko for, at formatere.

Når man krypterer med windows tager man selvfølgelig en backup af sin nøgle. Så mister man heller ikke noget ved nedbrud og evt geninstallation

Det fremgår af indlæg her på E. at det ikke er alle, som ved det, og de har
derfor mistet deres data. Jeg kender ikke selv windows kryptering, men ved dog
godt det med nøgle kopien. Har nu ikke sat mig ind i hvordan man gør.

Det er jo så noget andet, at man ikke har læst manualen godt nok :)

Det har du selvfølgelig ret i:)

Kan vi få en respons fra spørgeren?

????????????????????????????????????????????

Øhm... nej? :-)

Hvis jonashn ikke har reageret på en eneste af de 29 nuværende indlæg, reagererer han nok ikke på de her.. :-)

Vi må vel bare vente..

Gider spørgeren ikke at følge op på sit eget spørgsmål, gider jeg ikke at have
mere med ham at gøre. Jeg abonnerer ikke på spørgsmålet længere, tiden kan bruges bedre.

Jeg er meget ked af at jeg ikke har svaret, men ekspertens mailrobot har ignoreret alle jeres gode svar totalt.

Jeg ved alt om AES, og jeg ved at det tager LAANG tid at bruteforce. Mit password er på omkr. 18 cifre, og jeg kan huske de første 14. Så det er kun et 4-cifret kodeord der skal gættes.

Jorn asveg-> Må jeg anbefale trueCrypt? Det er fantastisk til at kryptere virtuelle drev i fil-/disk-/partitionscontainere, og kan yderlige kryptere hele ens drev hvis man ønsker det (bootdrevet).

-og filen er krypteret med AES, men indeholder naturligvis en header i klartekst, så 7z ved at det er en 7z fil der er krypteret og pakket med LZMA o.s.v

Mit spm. drejer sig altså ikke om at cracke AES direkte, men om at køre en commandline app med de bruteforcende argumenter, som skifter for hver kørsel.

Nogen der aner hvordan man kan får ekspertens mailrobot til at virke? Jeg abonnerer på dette spm., og eksperten har min mailaddr..

4 cifre er kun 10000 muligheder.

Det maa vaere muligt at lave et lille program som udfoerer den kommando linie og checker
om det er gaate godt 10000 gange.

Det er i orden jonash, jeg var åbenbart for hurtig ude med kritik. Godt ord igen:)

Arne v -> Præcis.. Jeg har arbejdet en del i C/C++, man kan vel bare lave en simpel rekursiv algoritme?

Jorn -> Tak:)

- og jeg ved yderligere at de 4 tegn kun er a-z (IKKE A-Z eller tegn/numre)

Jeg ville bare lave 4 nestede for loekker som konstruerer password og
saa kalder 7z via system funktionen.

Hvis det er 4 lowercase bogstaver, saa er det dog 26^4 ikke 10^4 som ved 4 cifre.

ahh.. ja det er rigtigt.. Jeg prøver lige med et C++ program.

returnerer 7z programmet en error code afhaengig af om det er gaat godt eller ej ?

Nej, ikke direkte, men strengen "data error" bliver sendt med til outputtet, så jeg skal bare søge i outputtet efter denne streng.. Er der ikke smartere måder at få fat i outputtet af system() end at redirecte til en fil og læse den?

Tror jeg ikke, men du kan bruge popen fremfor system.

okay.. fin funktion:) Jeg kan desværre ikke skrive programmet færdig før mandag, da jeg får en ny bærbar (Zepto 6625WD, 14000 kr.) mandag og lige skal reinstallere VS '08 på den (er ved at afinstallere alt på den gamle).

Husk at lukke.

ja.. jeg kan mærke at jeg ikke får færdiggjort programmet lige med det samme.. skal ud og rejse de næste to uger. Jorn asveg og arne v, vil i ikke dele pointene? Jeg synes at i har hjulpet mig bedst.

svar

Jorn?

Undskyld jeg ikke har set det før. Skal ikke have point:)