Dienstag, 6. Mai 2008

Crypto - Done (Sort of) Right...

Nun ja... ich hör ja bekanntermaßen zum 2. Mal zur Zeit die Vorlesung Cryptography beim coolsten Prof Deutschlands (laut Bild-Zeitung). Wie immer werden dafür mittwochs regelmäßig Quizzes geschrieben. Wer mich näher kennt... Quizzes findet der Kai gar nich toll... Denn, der arme Kai sieht jedes einzelne Quiz als Prüfung über Leben und Tod an... Und dann fängt der Kai natürlich an alles zu lesen und und lernt was das zeug hält und so weiter und so fort. Nun, da ich die Vorlesung ja wie schon gesagt schon irgendwann mal gehört hab, kommt mir die ganze Veranstaltung so vor, wie wenn man im Kino sitzt und sich einen Film ansieht, den man schon mal vor 2 Wochen gesehen hast. So wie in 2 Wochen Indiana Jones und das Königreich des Kristallschädels z.B. Aber ich schweife ab. Der Kai ist wie gesagt mächtig am Lernen, als ihm da ein altes Buch in die Hand fällt...
"Angewandte Kryptographie" von Wolfgang Ertel. Und da auf Seite 23 stand dann neben den üblichen Kryptografischen Angriffen noch das folgende:
Angriff mit Gewalt: Der Kryptanalytiker bedroht oder foltert eine Person mit Zugang zum Schlüssel.

sowie
Angriff mit gekauftem Schlüssel: Der Schlüssel wird mittels Bestechung "gekauft".

Wow... Welch unerwartete Möglichkeiten. Angenommen ich hab da einen Typpie, der seine Festplatte mit eingebauter AES-Verschlüsselung mit irgendwelchen geheimen Daten gefüllt hat, die die nationale Sicherheit bedrohen, und aus irgendwelchen hanebüchenen Gründen (kann man sich ja immer noch ausdenken) muss gerade ich als lokaler Jack Bauer Ersatz herhalten und muss die geheimen Dateien entschlüsseln. Also ein Bruteforce Angriff kann etwas lang dauern... in etwa so lange wie das Universum existert. Aber es geht einfacher... viel einfacher... Mit Waterboarding zum Beispiel. Erstens im Vergleich zu üblichen Krypto-Verfahren deutlich schneller ("Mama, ich brech da nen DES-Code in den kommenden 3 Tagen, bitte geh in den nächsten drei Tagen nicht zu WKW, das kann das Brechen verlangsamen. Währenddessen fahr ich mal nach London shoppen. Bis dann..."). Zweitens, man hat das Gefühl was geschafft zu haben, und zwar das physische Brechen des Opfers... ^^. Hey, und das liefert deutlich bessere Angriffsmöglichkeiten. Beispielsweise könnte man ja das Opfer auf die GeForce Achterbahn im Holidaypark ketten. Andererseits kann das wiederum dazu führen, dass die Opfer sich schnell an die 4.5 G-Kräfte gewöhnen, die auf den Körper wirken, wie man das bei diesen Kandidaten auf diesem Bild hier genau sehen kann.

Deutlich zu erkennen ist hier der sehr gelangweilt aussehende Gesichtsausdruck der Probanten. Aber auch das Waterboarding kann so relativ simpel und einfach durchgeführt werden... Durch unendliches Donnerfluss-Fahren zum Beispiel. Hier ein erschreckendes Video, wie ein solcher Angriff aussehen könnte...

Was man doch alles mit einem Chosen-Roller-Coaster-Attack (CRCA) anstellen kann. Schockierend...

Ach ja... natürlich... was ich vergessen hab... Wenn man richtig viel Gewalt anwenden will, sollte man hier einen Blick drauf werfen... die Bruce Schneier Facts.

1 Kommentar:

Unknown hat gesagt…

Es gibt aber noch deutlich einfachere (und nettere) Wege an Passwörter zu kommen: http://www.newstube.de/Sicherheit/frauen-tauschen-passwoerter-gegen-schokoriegel-1/