アカウント名:
パスワード:
と思って読んだら、なるほど.DS_Storeのパターンが限られているので「既知平文が手に入る」という条件を簡単に満たせてしまうのか
「zipcryptが簡単に破れる」ってよく言うけど、パスワードがちょっと長いだけで結構時間掛かるのよね。長さや文字種組み合わせに確信がないと心折れるくらいは掛かる。だから既知平文攻撃ができるってのは割と強い。
既知平文攻撃自体は知ってたけどzipcryptでここまで気楽かつ強力とは知らなかった。.DS_Storeに限らず既知平文は割合ありがちだからリアルに怖いね。個人用途では7zipの暗号化を使ってるからそう心配はないが。
「zipcryptが簡単に破れる」ってよく言うけど、パスワードがちょっと長いだけで結構時間掛かるのよね。
821日が 64日になる、という計算らしいけど、それほどお手軽では無いとも言えるし。クラウド環境などを動員されたら、そんなに差は無いのかも。
7z あたりが OS で標準サポートされないのはどうしてなのかな。
今回の手法で全パターン(65536通り) を総当たりするのにかかる時間は、以下のようになります。 (先程のスクショを取得したのと同じ端末の場合)
.DS_Store 1パターンあたりにかかる時間 (85秒) * 65536 = 5570560秒 = 92842分 = 1547時間 = 64日
また、同端末のhashcatのベンチマ
既知平文攻撃はパスワードの長さ(強度)を無視できます(結果としてパスワードが不明なまま展開される)そのためパスワードを長くすればするほど総当たりとの差は広がる一方で、それが> つまり、単純なパスワードの総当たりと比べ、今回の手法は8文字の段階で10倍以上高速であることがわかります。という一文に現れています
> 7z あたりが OS で標準サポートされないのはどうしてなのかな。cab があるから、というのと 7z は GNU LPGL なのでライセンス上リバースエンジニアリングの許可が必要など Windows に標準で載せるには縛りが厳しいからではないかな
> 7z は GNU LPGL なので
7-ZipはLGPLだけどLZMA SDK [sevenzip.osdn.jp]はpublic domainだよ。7zをサポートするだけならこれで十分なのでライセンスが理由ではない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
zipcryptが簡単に破れるって話の何が新しいの? (スコア:1)
と思って読んだら、なるほど.DS_Storeのパターンが限られているので「既知平文が手に入る」という条件を簡単に満たせてしまうのか
Re: (スコア:0)
「zipcryptが簡単に破れる」ってよく言うけど、パスワードがちょっと長いだけで結構時間掛かるのよね。
長さや文字種組み合わせに確信がないと心折れるくらいは掛かる。
だから既知平文攻撃ができるってのは割と強い。
既知平文攻撃自体は知ってたけどzipcryptでここまで気楽かつ強力とは知らなかった。
.DS_Storeに限らず既知平文は割合ありがちだからリアルに怖いね。
個人用途では7zipの暗号化を使ってるからそう心配はないが。
Re: (スコア:2)
「zipcryptが簡単に破れる」ってよく言うけど、パスワードがちょっと長いだけで結構時間掛かるのよね。
821日が 64日になる、という計算らしいけど、それほどお手軽では無いとも言えるし。クラウド環境などを動員されたら、そんなに差は無いのかも。
7z あたりが OS で標準サポートされないのはどうしてなのかな。
今回の手法で全パターン(65536通り) を総当たりするのにかかる時間は、以下のようになります。 (先程のスクショを取得したのと同じ端末の場合)
.DS_Store 1パターンあたりにかかる時間 (85秒) * 65536 = 5570560秒 = 92842分 = 1547時間 = 64日
また、同端末のhashcatのベンチマ
Re:zipcryptが簡単に破れるって話の何が新しいの? (スコア:1)
既知平文攻撃はパスワードの長さ(強度)を無視できます(結果としてパスワードが不明なまま展開される)
そのためパスワードを長くすればするほど総当たりとの差は広がる一方で、それが
> つまり、単純なパスワードの総当たりと比べ、今回の手法は8文字の段階で10倍以上高速であることがわかります。
という一文に現れています
> 7z あたりが OS で標準サポートされないのはどうしてなのかな。
cab があるから、というのと 7z は GNU LPGL なのでライセンス上リバースエンジニアリングの許可が必要など Windows に標準で載せるには縛りが厳しいからではないかな
Re: (スコア:0)
> 7z は GNU LPGL なので
7-ZipはLGPLだけどLZMA SDK [sevenzip.osdn.jp]はpublic domainだよ。7zをサポートするだけならこれで十分なのでライセンスが理由ではない。