Make-Grafik's Encryption Tool

Sehr schöne Methode. Erinnert mich an das One Time Pad (wenn ich mich nicht verguckt habe ist das Verfahren sehr ähnlich).
In deinem Skript funktioniert bei mir das BinaryToString nicht, sodass unten nur der Hexcode angezeigt wird, ist aber nicht weiter Tragisch, ließ sich leicht beheben

M

Aso, dann ist natürlich alles so wie es sein soll.
Dachte die Ausgabe wäre für Normale Zeichen ausgelegt, damit man die Verschlüsselung besser begutachten kann.
Bei einer Ausgabe als Hex sieht man auf den ersten Blick nämlich nichts außer Zahlen

Zitat von Make-Grafik

ô.Ô - Ja, die beiden Verfahren ähneln sich wirklich sehr...

Bis auf die Länge... *hust* *hust* *hust*
Aber sieht gut aus!

Habe deine Methode zu verschlüsseln jetzt mal bei einem meiner Skripte angewendet und es geht mega schnell...

Ich habe zwei Fragen:
1. Für wie sicher haltet ihr diese Verschlüsselung?
2. ist es mit dieser Methode möglich auch ganze Dateinen zu verschlüsseln?

Zitat von Christoph54

Bis auf die Länge... *hust* *hust* *hust*
Aber sieht gut aus!

Als ob das so besonderes wäre.

Zitat von Gandalf

1. Für wie sicher haltet ihr diese Verschlüsselung?
2. ist es mit dieser Methode möglich auch ganze Dateinen zu verschlüsseln?

1. Das erinnert denke ich eher an den Vigenère Chiffre als an das One-Time-Pad (bzw. ist eigentlich fast genau dasselbe). Dadurch wird es relativ einfach das Passwort (teilweise) zu erraten, wenn du einen Teil des unverschlüsselten Textes kennst. Je nach Passwort sollte es aber ausreichend sein, auch wenn ich eher zum One-Time-Pad (XOR Verschlüsselung) raten würde. Wenn das Passwort so lang ist wie der Text sollte es aber sicher genug sein, ansonsten taugt auch das OTP nicht sehr viel.
2. Natürlich. Einfach Datei öffnen, Inhalt auslesen und verschlüsseln und dann in eine neue Datei schreiben.

Make-Grafik meinte man könne nur durch Bruteforce das Passwort erraten. Tja im XOR Thread kapiere ich es ja gerade nicht... Soll ja eigentlich eines der sichersten Verfahren sein.

Diese Methode (geht finde ich sehr schnell) aber ist also nicht ganz so sicher. Im Vergleich mit AES? Bei AES ist halt das Problem, dass man ein ewig langes Passwort braucht um die 256 bit zuu nutzen.

Die Xor Verschlüsselung ist bei kurzen Passwörtern nur so sicher, wie das Passwort lang ist. Bei einem 5 Stelligen PW also 5*log(n)/log(2) Bit. (n = Anzahl zugelassener Zeichen)
Nimmt man z.B. nur Zahlen hat man 5*log(10)/log(2) = 16,6 Bit. Das ist nicht sonderlich sicher.

Ein Spezialfall dieser Methode ist das One Time Pad. Der Schlüssel muss sowohl vollkommen zufällig, als auch gleichlang wie die Eingabe sein. Dieses Verfahren ist nachweislich nicht entschlüsselbar.

Durch dein Rechenbeispiel steige ich nicht ganz durch... Mathe Grundkurs
Es heißt ja nun aber das ich wenn ich z.B. 20 Stellen alles mische (also die gesamte Tastaur nutze) es sicher ist.

War die aussage mit nachweislich nicht entschlüsselbar auf XOR oder das one time pad bezogen?

Auf das OTP. Die XOR-Verschlüsselung ist wie schon gesagt recht einfach zu entschlüsseln, wenn du ein sehr schlechtes Passwort benutzt (z.B. 1234).

Hi,

Zitat

Die XOR-Verschlüsselung ist wie schon gesagt recht einfach zu entschlüsseln, wenn du ein sehr schlechtes Passwort benutzt (z.B. 1234).

Made my day....
JEDE Verschlüsselung ist recht einfach zu entschlüsseln wenn man ein "schlechtes" Passwort nutzt!

Gandalf

Zitat

War die aussage mit nachweislich nicht entschlüsselbar auf XOR oder das one time pad bezogen?

Sowohl als auch.
Wenn man bei der XOR-Verschlüsselung einen zufällig erzeugten Schlüssel in der Größe der zu verschlüsselnden Nachricht hat, dann ist JEDE mögliche Nachricht als Ergebnis mit einer weiteren XOR-Verknüpfung enthalten.
Das heisst, per XOR kann ich mit vorhandenem Geheimtext und dem "passenden" Schlüssel JEDEN MÖGLICHEN KLARTEXT erzeugen.
Natürlich erhalte ich, wenn ich die XOR-Methode brutforce, irgendwann den Klartext. Genau wie alle Zitate aus der Bibel oder die Notation von Mozarts Zauberflöte oder eine MP3 oder eine Bitmap mit dem Bild der Mona Lisa.
Ob der so gefundene Klartext dem gesuchten Klartext entspricht, ist ohne den exakten Schlüssel nicht feststellbar!
Daher ist XOR mit zufälligem Schlüssel in der Länge der Nachricht sicher.

In der Länge der Nachricht also sicher...

Wenn ich hetzt also z.B. den String "Gandalf" verschlüsseln will muss ich als Passwort z.B. "Passwor" nehmen damit es sicher ist?. Wenn ich jetzt aber nen Text verschlüsseln will dann brauche ich ein seeeehr langes Passwort welches ich ja auch sichern muss bzw. Wahrscheinlich zu lang ist um es sich zu merken...

Die Sicherheit wird vermutlich stark reduziert wenn ich das Passwort mehrfach nutze alo mehrmals hintereinandern setze?

Lesen bildet:
- Das PW muss absolut zufällig sein, damit 100%ige Sicherheit erreicht wird.
- Wenn man das PW immer hintereinander setzt kann man es extrem leicht herausbekommen
- Man darf für 100%ige sicherheit das PW niemals für mehr als eine Nachricht verwenden. (einfach mal One Time Pad googeln)

Wenn man den Hash des PW zum Verschlüsseln nutzt (und sich einen Algorithmus baut der aus dem PW einen Hash der Länge der Nachricht machen kann), so hat man eine nicht mehr erratbare Verschlüsselung. In diesem Fall muss Brute Force angewendet werden. (Annahme: Gehashte Daten sind optimal zufallsverteilt).
Für Brute Force gilt immer die Regel (wie oben bereits erwähnt): Sicherheit in Bit = LängePW * log(ZeichenSatz) / Log(2)

lg
M

Zitat von Gandalf

Die Sicherheit wird vermutlich stark reduziert wenn ich das Passwort mehrfach nutze alo mehrmals hintereinandern setze?

Wenn du 500Kb Text verschlüsseln willst, kannst du natürlch 10x einen ZUFÄLLIGEN Schlüssel von 50Kb hintereinanderhängen. Ob es dann "extrem" Leicht ist, wie von Mars beschrieben, wage ich mal zu bezweifeln^^
Wenn du allerdings 50000x einen Schlüssel von 1Kilobyte aneinanderhängst, wird es kritisch, verstanden?
AES und Konsorten rotieren daher die Bits, um den "kurzen" Schlüssel sicherer zu machen.
Imho Schwachsinnig, da angreifbar!
Wer meint, diese Verfahren seien sicher, der betrachtet bitte die Entwicklung in den letzten 5 Jahren. Was vor einigen Jahren als "unknackbar" galt, wird heute von keinem einzigen Sicherheitsexperten mehr empfohlen!
Problem ist die geistige unflexibilität der Entscheider in den großen Firmen, die haben vor 10 Jahren gelernt "ist sicher" und sehen deshalb absolut keine Notwendigkeit, dieses Verfahren heute nicht mehr einzusetzen....

Hab eine kleine Funktion geschrieben, die aus einem kurzen PW einen pseudozufälligen String erzeugt.
Verwendet wird folgendes:
1. Solange Hashwerte erzeugen, bis die Ziellänge überschritten ist.
2. Da nur der erste Hashwert Bezug zum PW besitzt, und alle anderen daraus abgeleitet sind, ist das Verfahren eventuell nicht so schön. Daher wird hier nochmal zeichenweise vermischt.
3. Zu guter letzt wird der gemischte String in 16er Ketten nochmals gehasht. Der Hash ersetzt dann die Kette.

Das was rauskommt ist nach einer kurzen Häufigkeitsanalyse nicht wirklich gleichverteilt, aber 100.000x besser als die Hintereinanderreihung des eigentlichen Passworts.
Es sollte bedacht werden, dass der Output im Hex Format ist. (falls jemand die Funktion nutzen will)

Hey
Also zu deiner Funktion...

Wenn ich sie benutzen will dann kann ich dort ja nur denn zu Hashenden Wert angeben. Aber woher will die Funktion wissen wie lang der mit XOR zu verschlüsselnde Text ist?

An welcher Stelle muss ich die Funktion von Mars denn aufrufen?
Achja...wenn ich die Funktion nun verwende dann kann ich ja trotzdem ein möglichst langes Passwort benutzen um eine höhere Sicherheit zu erreichen.?

Du hast zu wenig Fantasie
Also die Abhandlung ist komplett als Binary Datentyp, damit es keine Probleme mit nicht anzeigbaren Zeichen, oder Chr(0) en gibt. (AutoIt spinnt da manchmal etwas, aber als Binarys kann man so ziemlich alles abhandeln).

Die folgende Crypt Funktion kann daher nur mit Binarys benutzt werden. Um das Casten (StringToBinary und anderstherum muss sich der User kümmern, eine DAU Programmierung ist mir jetzt zu anstrengend).

Im Beispiel wird ein String mit dem Passwort "0" Verschlüsselt.

Im Prinzip gaukelt man hier ein One Time Pad vor, indem man einen großen "zufälligen" String zum XORen benutzt. Von außen (nach der Verschlüsselung) sollte man das nicht mehr so leicht erkennen. Wenn man das Verfahren kennt kann man natürlich mittels BF ran. Und hier gilt die schon 1000x angesprochene Regel für die Laufzeit eines PW knackers.

Zitat

Also die Abhandlung ist komplett als Binary Datentyp, damit es keine Probleme mit nicht anzeigbaren Zeichen, oder Chr(0) en gibt. (AutoIt spinnt da manchmal etwas, aber als Binarys kann man so ziemlich alles abhandeln).

AutoIt "spinnt" nicht mit dem NUL-Zeichen, viele Anwender haben blos keinerlei Ahnung, was es damit auf sich hat, der Bot soll ja einfach nur laufen....
Chr(0) wird bei der ANZEIGE von Strings, wie in C, als Stringende-Zeichen interpretiert. Genau lesen, bei der ANZEIGE! (Msgbox, Consolewrite usw.)
AutoIt ist sehr wohl in der Lage, mit den Stringfunktionen auch das Chr(0) zu behandeln. Extrem schnell übrigens....wenn man in der Lage ist, auch die Parameter der Funktionen richtig zu setzen (Case-sensitiv ftw! )

$string="ABC"&chr(0)&"DEFGHIJKLMNOPQRSTUVWXYZ"
msgbox(0,"Stringlänge "&stringlen($string),$string)

$pos=stringinstr($string,chr(0),1)
msgbox(0,"Position NUL-Zeichen",$pos)

$String=stringreplace($string,chr(0),"")
msgbox(0,"NUL-Zeichen ersetzt, Stringlänge "&stringlen($string),$string)

Mars
Ist es nicht besser "echten Zufall" zu benutzen?

Etwa so:

Ist Wahrscheinlich suuuper unsicher oder? aber eigentlich sollte nur noch Bruteforce übrig bleiben zu entschlüsseln?!