[PASSWORD]Protezione 256bit
Ciao ragazzi volevo capire un po' come funziona la protezione attuale nei nostri sistemi, per esempio il mio router ha una protezione WIFI di tipo WPA-PSK AES 256-bit.
Ora non riesco a capire a cosa siano riferiti i 256 bit dato che posso inserire solo fino a 32 caratteri ASCII...
Pensavo allora che 256 era in base binaria ma esso corrisponde comunque a soli 8 bit, quindi non mi trovo...
Poi stavo cercando di capire quante combinazioni essa può assumere, ovvero quante combinazioni (al più) dovrebbe tentare un brute force prima di trovare la password e dunque l'ho pensata in questo modo: dato che la password può contenere solo caratteri [0 - 9, a - z, A - Z] siamo a 26+26+10=62 caratteri diversi che può assumere ogni singola lettera che compone la password quindi $ 62^32=(2,272657884)10^57 $ se non ho toppato il ragionamento quelli sono i tentativi che al più un brute force dovrebbe fare per individuare la password...
E che dire del tempo che impiegherebbe? Facciamo finta di avere un computer con 2GHz di CPU, che è in grado di elaborare 2MIPS e che ogni brute force impiega 2 istruzioni (solo un esempio) quindi ogni secondo abbiamo 1 milione di chiavi provate, ora approssimo il numero di chiavi da provare (quel 2,27....) a semplicemente $ 10^57 $ in un ora abbiamo 3600 secondi ed in un giorno 86400 secondi quindi
$ 10^57/86400000000=(1,157....)*10^46 $ GIORNI
$ 10^46/365=(2,73....)*10^43 $ ANNI
Cosa sbaglio?
mi sembra un numero troppo grande cioè praticamente si spegne prima il sole piuttosto che finire di provare tutte le combinazioni
Ora non riesco a capire a cosa siano riferiti i 256 bit dato che posso inserire solo fino a 32 caratteri ASCII...
Pensavo allora che 256 era in base binaria ma esso corrisponde comunque a soli 8 bit, quindi non mi trovo...
Poi stavo cercando di capire quante combinazioni essa può assumere, ovvero quante combinazioni (al più) dovrebbe tentare un brute force prima di trovare la password e dunque l'ho pensata in questo modo: dato che la password può contenere solo caratteri [0 - 9, a - z, A - Z] siamo a 26+26+10=62 caratteri diversi che può assumere ogni singola lettera che compone la password quindi $ 62^32=(2,272657884)10^57 $ se non ho toppato il ragionamento quelli sono i tentativi che al più un brute force dovrebbe fare per individuare la password...
E che dire del tempo che impiegherebbe? Facciamo finta di avere un computer con 2GHz di CPU, che è in grado di elaborare 2MIPS e che ogni brute force impiega 2 istruzioni (solo un esempio) quindi ogni secondo abbiamo 1 milione di chiavi provate, ora approssimo il numero di chiavi da provare (quel 2,27....) a semplicemente $ 10^57 $ in un ora abbiamo 3600 secondi ed in un giorno 86400 secondi quindi
$ 10^57/86400000000=(1,157....)*10^46 $ GIORNI
$ 10^46/365=(2,73....)*10^43 $ ANNI
Cosa sbaglio?


Risposte
"DigYourOwnHole":
Ora non riesco a capire a cosa siano riferiti i 256 bit dato che posso inserire solo fino a 32 caratteri ASCII...
Pensavo allora che 256 era in base binaria ma esso corrisponde comunque a soli 8 bit, quindi non mi trovo...
Puoi inserire fino a 32 caratteri ASCII, i quali sono codificati in UTF-8, il che significa che ogni carattere ASCII ti occupa 8bit. Quindi 32*8=256bit e ci troviamo!
Infatti, la dimensione della Chiave misura il numero di possibili chiavi utilizzabili per cifrare un messaggio. Dato che i moderni sistemi di cifratura utilizzano chiavi binarie la lunghezza della chiave viene specificata in bit. - WIKIPEDIA
Per quanto riguarda il tuo calcolo del tempo è abbastanza approssimativo, ma non mi spaventerei affatto leggendo quel numero. Comunque puoi utilizzare questo tool: http://lastbit.com/pswcalc.asp per effettuare calcoli sul bruteforce!
"grausof":
[quote="DigYourOwnHole"]
Ora non riesco a capire a cosa siano riferiti i 256 bit dato che posso inserire solo fino a 32 caratteri ASCII...
Pensavo allora che 256 era in base binaria ma esso corrisponde comunque a soli 8 bit, quindi non mi trovo...
Puoi inserire fino a 32 caratteri ASCII, i quali sono codificati in UTF-8, il che significa che ogni carattere ASCII ti occupa 8bit. Quindi 32*8=256bit e ci troviamo![/quote]
I caratteri ASCII sono codificati in ASCII, non un UTF-8. Ogni carattere ASCII occupa in realtà 7 bit, ma probabilmente vengono usati 8 bit (UTF-8 invece è a lunghezza variabile, per alcuni caratteri servono fino a 32 bit).
Per il resto, sì, sei ben protetto da attacchi bruteforce. Il problema sono gli altri tipi di attacco. Attualmente credo che l'unico sistema di protezione ritenuto sicuro sia WPA2 AES CCMP, tutti gli altri sono più o meno facilmente attaccabili.
Giusto vero sono in ASCII quindi 8 bit per carattere, ora mi trovo grazie
Comunque non pensavo ci volesse così tanto tempo per trovare una password con un attacco di tipo brute force! bene difficilmente un utente userà mai una password di lunghezza 32 per le password "quotidiane" però comunque mi sembra un numero abbastanza significativo di tempo, chissà che diavolerie usano per velocizzare la ricerca

Comunque non pensavo ci volesse così tanto tempo per trovare una password con un attacco di tipo brute force! bene difficilmente un utente userà mai una password di lunghezza 32 per le password "quotidiane" però comunque mi sembra un numero abbastanza significativo di tempo, chissà che diavolerie usano per velocizzare la ricerca

L'utente comune usa "password" o "123456". Gli attacchi bruteforce funzionano molto bene se invece di provare tutte le password possibili si provano solo quelle più comuni (con un dizionario da 10k password, facendo solo 3 tentativi al secondo, finisci in meno di un'ora).
"claudio86":
L'utente comune usa "password" o "123456". Gli attacchi bruteforce funzionano molto bene se invece di provare tutte le password possibili si provano solo quelle più comuni (con un dizionario da 10k password, facendo solo 3 tentativi al secondo, finisci in meno di un'ora).
Effettivamente la mia vecchia password di MSN sta nelle prime 10

[ot]
utenti comuni sì...ma anche amministratori sbadati
[/ot]
Per il quotidiano ci sono ottimi strumenti come Keepass per ricordarsi passw da 256 bit o più.
"claudio86":
L'utente comune usa "password" o "123456".
utenti comuni sì...ma anche amministratori sbadati

Per il quotidiano ci sono ottimi strumenti come Keepass per ricordarsi passw da 256 bit o più.