Easy3DESCrypt

H

Huggy

0
Hallo!


Ein bekannter von mir schreibt derzeit ein Programm. Toll :rolleyes:

Nun soll ich mich an der sicherheit zu schaffen machen, nur will das wohl nicht wie ich!
Es wird alles mit dem Programm Easy3DESCrypt encrypted.

Das programm ist so eine art kallendersammlung und jeder kllender wir PW geschützt.

Frage: kennt einer ne schwachstelle davon oder kann mir helfen?


Brutforcen ist ausser frage :]


Ich danke mal!

p.s ein verschlüsselter kalende rsieht ca soaus

䔫铔鰯뾄냚䌖쑿Âﺝ㸎圤䆇뒔㲐뱱ீ䅷尫婍竌㣨康뒺᪆쓚轘緿撶姚䌍課ೖୌ⿿悈츚絮魢?᧟ኘ欁皡쎤쉺퍓ﭨ㕧緯ጌ쟢膅㯷ꭶ暏 옑訰堌楀㵡虼㯽뻗꥽䚍䧌㫨蝭ꗽ樂큉⤴뫯﫵<얖륵䁜龥똗븕揗⮈싷굼鯣䪔嬶菟ﯛ࣬䌂䋤냮薬챟姽늤竉拔뽭⌸䈔骓愩г꩓橡ғ衁굀츜夑ඏႮ뻨㽺胟邛憯瞿఩⬶犳䓤重掉揽ꬼ油隵ㆮ뛩࿩틹䏗䍋䆅닲誘⾨姆䦷䏖ᐠ俴꒚鎁㉨簋뫔偦䔲랚ꃪ봅ꫲ둈淐⢝ꡖ尥፧㶒ࡧ魒℺뾼왽᫨向蝴濃瀜蠢ⴭ?ྲྀﱥ뵡䞷뭀愣哧蹃ꊺ끪㫿見횪䦜啒耳ዌ㢼Ќ᱂仧뇡髏ꅯퟗ儯㿱埃曎㤳嘜꟢뭟佻틘堑톼罦蟎﫳⥏ꅥꕝꊻ먇씳揬ꔶ鶒蛧⧟⥨ꨵ궢붚⨂᷀᷒ጿ⢲묐㋉ꙉ韕聪鳺雈৸㽶쏜텧૱앳瓱ఋᑇᗖ᭫搖䘳㬭ԕᰌᏯ翙墨Ṣ㨷৳ט䧃苜垭홳巃絔론坪봏좞敓鴇랾㧗맩묎鑝훲䒇のᯓ퐌▌쑻㑴올᪡䘂뤎ꎦᖜ鐔Ḻ쉰ூ嚭Ꞡ䖶쑖窾諈츀홎쁷䫗䷓齬⬽癶ॆὛᥚ㲅㋨᝝떴豏ꈻ빇剂㰵ᴿ扷騶፭泶澼桁᮫犝瞚쀲覩☁夛┡⠷訂챵ﴱ㢥戛믉鵉჆騏脗뱎좒蔻兜愱ꉉﶦ좗헵愇✞욪ꨗ⣎ꝙꊉ꼴ꉮ굯ត礥舋륀殝࢙䤢酖℮挰륹䱒ꍽ鼃褕顕茷쀸鮝뜹瘮모憾បᐮﴰﵫ⽞냶㞎앛뽃뭓ꐏꇨ୤薿쓁뫁糛륫찴⻘쾺뵳륙꾒쿵ౡ깷桄簳䞔У鴿륑䲩騵茣鸀ꍧ쪇葑쬱ও休패坕쀻썒嶼≯௓鎤᪘썪둯攙ᥱ쯦⻴轅Ꜵଦ穧痁냡侕먢蛱蛒䕘괄鉎Ꮿₚ쓤ⰵ펶һ䫴ꭴ겛◙讌鲄렒⦀茦帠꟔◉亭赭቟繕匰⮊닷㐏ﰺ㽴鐥珚띈⁉늺᪹푊⓶ꐑΊ龐젩橪瑑눞ﮒ媫响᥁㶭벺莈ℎ⎄ꐓ槴퐋⫪ї嵚໕횳凤ꨔ﹆芆䜾쥷ᡬ䁈茋냫냜齖饹귝悰侥垀⤌턚꾺츣엖䣁뼩婿䓮⁷⦻ꬬ뒙좐㍕‫漳Л티缃⌜㻃篮ꝶ毹塡⠺შ೧眬ࠐᒏ䢶漯ffiⷚ揯뽦䠼㺱륜૞銗⠴艂ቘㄔ漢睃ꘘ⾼៸ڇ鹵鬴갭惈㜫ᒖﳣⵈ맾㻱턌捋磄娢䟲䗪范Ú熐騉㣊䣇셿튃亡曎葨ﴳՃז滟粜랗餣벊ῲ袥⢃赸쑟響缿횶鉁䏬࠽٣쯺闭禬索⋦嗅蒈鶯顰᣶ⅳ䞒넠둸ᮓ숃䫣ݞ溌衃ܚᗫ꾳Ó栏태惡ꝥꋝ嗘⿗ꎰ三䤮㕂楦標饜㛓봌献㈎镨ꎗ뉾亮劧릷㲘皃苏寕暼ﺛ뉽⽄鿰件팰③堶긃ૺ頟␙鰫ℹ㽁㶍ଋ䊿渠횓텶ᡷ㪽뱵泡覺酐鰫剽冠巽׳ぞ叝蓥⸻拑䇳嘞簬㹇좀舉㡢肄椸퐥灝i娆뇙鋘ﻢ◰飜譥့隳깼ィ굢䓈ፒ鼧愀恰뱇陂薲퍠僉㼼浸쬝爻ⷊ뒙螹ꐉꬳ襺?豌禍떟뤸ტ鿜淀缐胪?Ԕ샌ᏼ묜⌐䍆뿧羀堀빐෢혔飿返捇烛㤠択거⒨뒉访펺曃ℱ䋖蚎暄ཛࠋ뇚詩蚁糍鑕⼤௩꽗ۡ鱏꧖㢟乴᣽鈶恤鼊鋝浗듅됬㌑梙ਃRᕷ뛐됑㰬᪯痠ゆᱮ憰썕㙧␲匞껡㉬⣗암뒱ᛑᅚ콹鹄ஞன᭜乲䴛臞㣩㨼浜幨࠹뀭ᵇ퐰ꑞ泼㢝⺰垊蹎久漕덗а㠴똬정⢥뺏 ᫯랙뚢Ᏻᯡ荕졸糋ፆ푞몊댵觽ቔ蟺 픢䉓뒱臸싘횉❜䅠꓈ฑ輂㥝팱ꪛ⠐䇜Ϻ푯擹ꃏ翓듖嗊鷨℉鹦﵄⾸㻲郲蔫⍌騅᭴䕇뭘㵇儺ֵ⑮䠞婈欤捞ዕ쌯镅䦂핯か컖ﰮ细᳘世㏼樎ꔎ∶ꄇ㕠췠즎易࢜븓検ሗ쭵喼ⶒ燷░鄏⋎ힳ❷ळꌠ᧋⥥숏བ꺋㚍蟨뚸麻ႀ擔㙲靾䙽뙾게퇏ᛯ隰ṟ늝ᑬ矙艡ߡ䌷洝똃瀸⣲峞鶷刖伫铳출杞鶳꿳澨ꖇ版ࡀ峒絛泌꯵怓Ꭶ혼訷瞠䝃ꠁ샛璂㣘ᰈ鬜粣娦췻╣ầ뎐ა剖磎䷀?㱄꾊떷鐖㎗䩱㣦῏툤༗䵕暴޲㧢㪣咍ང뱦ᵧ骎谶᧜畳枍ⓐ굶萨櫡坾쟊尉蟼䚨ጨ냵޴얂ຓᱞ㍶ഹ홳Ꙍ癩㰓숖÷싄蹮ℿဒ怽躓熄㠢욓ᕌ囵諾墨瓉䋍⫖髙Ꮿ答櫓漵ྡྷ뷟슎凯窐㐽ꝳᘡ褗嗴༂㔚蝥閮釀쫟挬蜉遽걎鈃蹯똿ᒄ簆噓캈為褳꘣襐둒纒㺹웪㮳㲄즸턡^䤀⮁썜붝繰貞慛⌡Tᖨ氀齹䁃༸ﷆ廴륾ﴒ珲௯顁᳚갤䩯롿⥂뷣援ꐳ蛉ત妿䅄遟嗊稇婧ᶵ鴮圢䙑ᚿ▉익灄䋆嶑ḟ成麹긮ᠰ舯׀₂裮ᴰ뢋﷪蕧リ꬟ྴ芊৔큵롁ホ⼿᤿繣赈凡♯敪뮥툁촗鳘鑊ॸ㋅އ㎞汕륄㲬䐐暑แ뭛䕻䲡ﰨꅆ䘩悁栙濛㷗졗胃烎쁑裦探ꋳꄆ芆໾餱࠺騎滕瞆觖몽?鞙푈隆᢫敳Ⱀ泗눱臂ꝣ읤貛ﮥ씹僦ﳵ鉓ன鬓乺ள㰚呛쬛㔑쵣ࣕ䶲럝乾ᇳ㎾㔬톁⟛瘮엚Ⲋ咟ꣷ੪췿㋷硦뢢ꔒꩡ눔㜺䨡࿋嬷⟹௾䇁ᱹ麎빜亸֞巪䇖馀㠁쭟฾㕁丐ꨓ倲ⷿߞ㎀䋢꼷볭⯇뷆놮乖縀>㻍灪䓤熢ꡑਨ뙩都仝啹꣸뉬兪鑔刺᚛㠄蕁綟敫堁ꬴ뭉鏡豿潋࣒茉᷊䤳齃峑적㴇ჶ㬩捬喈ฑ๥㐽伷趆厐﫚哓ࠍ璺䬞좥標耥ﲆ讏屓攤꠲ⵕ᪲᥮省嵺온ꢥ嵞澼ヮ愎灭㋧洶㷈濫鄏纗樕몮ꓶᅶ蓝뽬돊⹼磇횳ٚ㛦泠⾌䘕딐삛糢뭯櫎뭎섺穱ꒈ涴䇺Ꞧꃲ汆퓿趍䊤讆廆ᄁ봷䩣껚꾧篕걍吮匢〭㴛蜩别ツ鱣솔ኺﯳ꧙篰뉐龌௘餠霿챬ㆊ篐괫䐩娱㽮ဣⵋᡩ뽩䈮ย࣪❧潣椽뎮⒒߂旵䷃Ꞟ뇪逪襅ꍓ罅菲頷8ࠥ폎৭Ԥ㜧촵a窫ꧥ刵㊇ꯀ樤♈䤕뛗둂걒倷ኵ⢀ῷ癃㧙՘싘᱄䫣㱇ᩍᬤ笢ힴ蠭∊䚦꿴ሦ옾茐认ὕ쐨쩦骺癄﷘竄Ჱ䇖叶⊶墬놋옔ლ넏♛︓괛䜈䒊ᰏ渀翔֘걎燨뢲ሦᤆ⋿苴䛀늉賐풋휯뢊丩杷铉腿摂膛輅亻㫅흹蚕杰▴쯽䭞價進䅶泶銑捥肁瞀쭫槰オ职艗贡늲⠹롟᰾␆㤸?ḟꎿ捘苕߬윝竍ꊐ東눭缸콇푒㉍厀?ꏦ몺崍ᵐለ蘰䵊Ꞃ㑖콺펜싈쇼ᚮ⃛诚벐コ阺螰ৱ䂝옉ᝐ쵯徏봆鿱Ꭰ㱵藡쯳⊨墐檍ꥴለ웕䍂獡烖雁ﳽ끷ꕓꐊ煍䴿먔ㄻ녮꒒ﴰ磐 䘳ꭙ픏ո詐繾읕顅N䘰⮝릪᪶噜뛋过ⱆ!膿ळ⢫൶ꓰ睜䓙讋삢뚾ꚭㇱ跔䌾邶㎑支䟳뭗⩠锍눱鹬쥛蒊䨳캍戨쩫縞⠡㞫㜵疨鿸滹ਠ臢휖ᩎ瓎᭽䖢汬ꏦᐆ═梙쀁骙䒴禉ꢇ멲岛⋦許烂꼜ꮨ궸璩ࢹ鎹Ἶ敩䒬久ⷳ甅뼺䫯㣌뗻汚꣝靉荻?枂۩抝⎄ᕪ趥춉객ܤ䋽瞚ꩾ蚬缥녽ᨨ䪋睾쏓㞥ꕒ빝財臝쟂஗粘騠챝ꃕ⪝ꚵ烝艠걏韁溕袏㲘㗬陟_猨䨥쯬㓵¨뿾䓲돼䵏蒿ヸ앝暿㧙賍᷁ꎇꩬ⽪⢹侤㴳龗幼둳꬞橐Ꮿ碟蕤鍿큧Ḣ슟櫮疰鱆叶䖔炦춡ჱ榝ꭽฒ來奌뻗㛎繍螑ᴋ㜣妴ꈈ溑亲녦⋰䨄㮍德ꨦӭ쮵ᆝ습䎀韬酋Ⴆࠊﰥ닠鯵搈櫣㒈崱뤗ป朲ㄅ于ケ돜⨲䓗щ䩷?㺜∦䥃黾玝瞟ᄊ☠␻‑ᇈ⮖剏慉쏥輥車琿㬥始酎ኼ拰࡚槭櫺䘩디䫳蹂䮔꿷缶൉뒦막跠ᣊ묣㴂䉝텙姼浲팎瑼焭໙᏶ネt靄︡㋄㑯揆ꕎ䒧揲軃衘ᖚ辽砳┯귟켊㕼䛹༽玗⍸䨅間㊴Ḙ莏콞%ꕶ캟뱉儣䮩娈䷠肷?歄뮃뛸㴔差遆㡴롇鿄ུ뿒좖끍麦䔏蟳伖끭蓊傴트钠䱸緿ꎉᇛ쑺ㆈ둦밞狌䴩첩獵솞狀᤭渪戈튧ṃ鐰趍ⅲⱚ뒦旵Ⱛ芥雈禔⇚첚ꭺ簕᭧켪虆娣預ꖂ䱽땂㎥ゐߓ䨙䯃轋⢐춯璪凸㷂䟚栚昙檝鬘쥞涹꾞棧〟훱ࢂ嗂팼攌ꫤ೼笣隶缭᎓쒡帅毷襝㍾謐慽言〥㼩葺ૐ褚秏岋掎躍⠴빮룠▯㗍㮧纂俩㇯먛疠ೱ澙諬稯ࣻ঺㝬?ᶃ⣍侃ⷓ럡䄨숃缪િ貤릐盲犀⃊㗂衦⿊ↂ䂃볕⥏쭅蹺磌賃櫠㟙扺⸱p㿫앋蘭ꮟ䢒䎿继邛ട䇴赺ᳲ倰义溼鄹욏⽔堺े帜鯲ㆎ셭꒡䂅玒缷绛ꤟ㍾茳芀⛣飖㏰飗ࣻ঺㝬?ᶃ⣍侃ⷓ럡䄨숃缪િ貤릐盲犀⃊㗂衦⿊ↂ䂃볕⥏쭅蹺磌賃櫠㟙扺⸱p㿫앋蘭ꮟ䢒䎿继邛ട䇴赺ᳲ倰义溼鄹욏⽔堺े帜鯲ㆎ



Nur sind diese ? keine fragezeichen sondern eigentlich solche 4 ecke :D


Danke auf jeden fall!!
 
lol
hab das mit dem verschlüsselten kalender noch nich so ganz verstanden. kannst du vielleicht noch ein zwei hier posten? :D
 
Hallo,
sofern er 3DES verwendet, wie es der Name sagt, wirst du wahrscheinlich keine Schwachstelle finden, denn die besten Cryptographen der Welt haben noch keine verwertbare gefunden, oder halten diese unter Verschluss. Also sofern der Algorithmus richtig implementiert ist, ist darüber kein weiterkommen.

Aber evt. verwendet das Programm ein Master-PW, welches Fest im Programmcode steht. Wenn du es schafft, dieses auszulesen, kannst du auch den Kalender entschlüsseln.
 
Moin!

Nach langer Zeit soll ich wieder fragen:

Wurden schwachstellen gefunden?

Wenn ja, kann man sie beheben?


Mfg :D
 
Elderan hat gesagt.:
Hallo,
sofern er 3DES verwendet, wie es der Name sagt, wirst du wahrscheinlich keine Schwachstelle finden, denn die besten Cryptographen der Welt haben noch keine verwertbare gefunden, oder halten diese unter Verschluss. Also sofern der Algorithmus richtig implementiert ist, ist darüber kein weiterkommen.

Aber evt. verwendet das Programm ein Master-PW, welches Fest im Programmcode steht. Wenn du es schafft, dieses auszulesen, kannst du auch den Kalender entschlüsseln.
Zum Vergrößern anklicken....


hallo,

wie sieht das 6jahre später aus ist 3des immer noch sicher ???
 
man geht davon aus dass 3DES noch etwa bis 2030 halten wird... danach sind die nötigen rechenleistungen vermutlich zu leicht zu haben ...

aktuell stehts mit meet in the middle bei 112 bits rest vom 168 bit key ...

angriffe gegen spezielle keys sind aktuell nicht praktikabel


was aber nicht heißt dass 3DES geschützte daten immer sicher sind ...

meist lohnt sich ein blick auf die keyderivation methode ...
 
GrafZahl hat gesagt.:
man geht davon aus dass 3DES noch etwa bis 2030 halten wird... danach sind die nötigen rechenleistungen vermutlich zu leicht zu haben ...

aktuell stehts mit meet in the middle bei 112 bits rest vom 168 bit key ...

angriffe gegen spezielle keys sind aktuell nicht praktikabel


was aber nicht heißt dass 3DES geschützte daten immer sicher sind ...

meist lohnt sich ein blick auf die keyderivation methode ...
Zum Vergrößern anklicken....

"was aber nicht heißt dass 3DES geschützte daten immer sicher sind "....wie meinst du das? ...........etwa wenn man teile kennt die im verschlüsselten string sind?
 
ich formuliere mal anders:

was nützt dir das tollste krypto system, wenn bei der schlüsselerzeugung mist gebaut wird?


sagen wir mal du hast 3des mit einem 112 bit schlüssel ... sagen wir mal ferner du machst dir gedanken, dass du nicht jedesmal den gleichen schlüssel verwenden willst ... wenn mal einer geknackt wird, öffentlich zugänglich abgelegt wurde, etc ... potentiell eine sicherheitsmaßnahme ... sagen wir mal wir nehmen den unix timestamp und stellen ihn einem klartextpasswort voran, und nehmen nun die ersten 112 bit als schlüssel ... dass das so gemacht wird weiß ja keiner (security by obscurity) ... und da wir die datei ja im dateisystem haben und diese eine creation time hat, brauchen wir uns den teil des schlüssels auch nicht merken ... wie stark ist der schlüssel nun?

sobald sich jemand den code ansieht, oder mal ein paar ihm bekannte schlüssel statistisch untersucht, fällt das mit dem timestamp auf ...

effektive schlüssel länge 112-32 bit = 80 bit ... damit bereits fast bruteforcebar

da das passwort direkt in den schlüssel eingeht, und in der regel aus lesbaren zeichen besteht, schrumpft der schlüsselraum weiter: ein ascii zeichen hat 8 bit ... damit sind 256 zustände darstellbar ... es gibt aber selsbt mit sonderzeichen gerade mal 96 zeichen die aus der ascii tabelle in frage kommen ... gerade mal 6,6 bit informationsgehalt ... wir können also für jedes der anstehenden 10 byte darauf verzischten alle 256 werte zu testen, es reichen besagte 96 ... macht gute 66 bit effektive schlüssellänge

geht man nun hin und nimmt noch utf8/unicode statt ascii ... weil hat ja mehr möglichkeiten für sonderzeichen ... holt man sich ein neues problem ins haus ... die zeichen sind nun nicht mehr 8 sondern mindestens 16 bit lang ... die vermutlich am meisten verwendeten zeichen beginnen alle mit einem null byte ... sprich von den verbleibenden 10 byte für das passwort ist jedes zweite byte wharscheinlich 0 ... oder aber im niedrigen bereich

man kann bei der wahl von kryptografischen schlüsseln einiges falsch machen, oder mit einem verbesserungsversuch probleme erst verursachen ...

um nicht in solche fallen zu tappen gibt es auch hierfür algorithmen, die sich bewährt haben ... beispielsweise PKCS#5v2.0/PBKDF2

nur werden immernoch viel zu oft eigene lösungen gebastelt und als sicher gepriesen weil sie ja geheim sind ... :rolleyes:
 
Da wäre ich mir nicht so sicher das 3des sicher ist,es gibt beweise in gewissen scenen das 3des key gebrochen wurden.

nur die frage ist wie??????????????????........ich weiß nur das der 3des key
aus 16bytes besteht und key/klartext nur aus 00bisFF geht und man weiß
ein paar bytes aus der verschlüsselten nachricht.
 
GrafZahl hat gesagt.:
um nicht in solche fallen zu tappen gibt es auch hierfür algorithmen, die sich bewährt haben ... beispielsweise PKCS#5v2.0/PBKDF2

nur werden immernoch viel zu oft eigene lösungen gebastelt und als sicher gepriesen weil sie ja geheim sind ... :rolleyes:
Zum Vergrößern anklicken....

In letzterem Punkt möchte ich dir (teilweise) widersprechen.
Es ist durchaus sinnvoll Function chaining bei PBKDF2 zu betreiben, weil das sehr effektiv verhindert, dass jemand off the shelf software zum Knacken nimmt. Und es ist aus kryptographischer Sicht unbedenklich.
 
enkore hat gesagt.:
In letzterem Punkt möchte ich dir (teilweise) widersprechen.
Es ist durchaus sinnvoll Function chaining bei PBKDF2 zu betreiben, weil das sehr effektiv verhindert, dass jemand off the shelf software zum Knacken nimmt. Und es ist aus kryptographischer Sicht unbedenklich.
Zum Vergrößern anklicken....
unbedenklich wenn bestimmte annahmen erfüllt sind ...

sollte man nur tun, wenn man weiß was man da tut und explizit bekannt ist, dass man mit der anderen funktion den keyspace nicht verkleinert oder die wahrscheinlichkeiten verändert ... stichwort surjektivität und gleichverteilung ... andernfalls könnte man versuchen bekannte häufungspunkte und ihre umgebung zuerst zu durchsuchen ... oder kann teile des keyspace ausschließen, weil sie nicht mehr teil der bildmenge sind ...

auf der anderen seite ist es recht sinnfrei, wenn man weiß wie man pbkdf2 und co verwendet ... es ist egal ob da jemand fertige knack proggies für hat, da er schlicht vor ein problem der rechenkapazität gestellt wird ... ist der itteration counter hoch genug, schaffen selbst moderne rechner nur ein paar schlüssel pro sekunde ... die wartezeit ist für die eigentliche anwendung relativ egal ... aber wenn du für ne schlüsselberechnung 0,01 oder gar 0,1 sekunden brauchst, wird es unpraktikabel massen an schlüsseln zu testen ...selbst mit verteiltem rechnen ... verfügbare rechenzeit ist schlicht eine begrenzte größe ... es ist irgendwann einfacher die eigentliche chiffre direkt anzugreifen ...
 
ja es ist wohl tatsächlich nur ein zeitproblem ,den die software dafür gibt es natürlich deshalb habe ich den CUDA thread aufgemacht.
 
wie muß den der code aussehen um 3des zu brutforcen?also das die suche von 00000000000000000000000000000000 bis FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF geht ??kennt sich da jemand in c++ aus???
 
;(


bau dir deinen schlüssel ... eine struktur aus bytes, oder unsigned integern, soviele wie du brauchst um den schlüssel abzubilden ...

verschachtel ein paar schleifen zum hochzählen oder bau ne rekursion ...

rufe an geeigneter stelle deine 3des implementation auf und übergebe ihr den schlüssel
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben