Transponder Bezahlkarten

In article , Rafael Deliano writes: |> Man war aber vorsichtig genug den Entwurf vor Verabschiedung der |> einzigen Regierungsstelle die sich auf das Thema verstand d.h der NSA |> vorzulegen, die auch prompt kommentarlos kleinere Änderungen vornahm.

Das Problem betraf ja speziell die S-Boxen. Im Unterschied zu AES, wo klar ersichtlich ist, wie diese zustandekommen, war das bei DES nicht der Fall.

Drum vermutete man eine Backdoor.

Rainer

Reply to
Rainer Buchty
Loading thread data ...

Der Betrogene im Einzelfall nicht. Aber grundsätzlich wäre eine Karte nur duplizierbar - eigene Karten könnte nur herstellen, wer den Private Key des Herausgebers besitzt. Und duplizierte Karten fallen jedenfalls bei echten Geldkarten an all jenen Stellen auf, die eine Onlineprüfung vornehmen, also spätestens beim Auf- oder Entladen in der Bank, da dann die zweite Karte eine zuviel, mit unterschiedlichen Buchungssätzen, wäre.

Na ja, selbst bei trivialen Karten mit der relativen Unwichtigkeit einer Kantinenkarte geht das auch jetzt schon in aller Regel nur destruktiv...

Die Risiken sind da nicht anders als bei jedem anderen bargeldlosen Kartenverfahren - und die kommen auch ohne den absoluten Zwang zur totalen Onlineprüfung aus, sondern delegieren das Risiko im Fall des Verzichts auf Prüfung an den Händler...

Gruß Sevo

Reply to
Sevo Stille

In article , snipped-for-privacy@atbode100.lrr.in.tum.de (Rainer Buchty) writes: |> In article , |> snipped-for-privacy@atbode100.lrr.in.tum.de (Rainer Buchty) writes: |> |> Der Schlüsselraum ist 2^56, d.h. schlimmstenfalls brauchen wir auf einem |> |> Einzelprozessor 139 Tage für die Brute-Force-Attacke. |> |> Ich hasse das ja, wenn ich mich selbst korrigieren muß, aber bevor mich |> jemand anderes drauf aufmerksam macht, es sind natürlich 139000 Tage. |> |> Dämliches 1000er-Komma bei kcalc.

Aber mit ein paar FPGAs für den Preis von eine paar gut ausgestatteten PCs sollte sich das in ein paar Tagen erledigen lassen. In echter HW ist das ja wesentlich einfacher als in SW...

--
         Georg Acher, acher@in.tum.de
         http://www.lrr.in.tum.de/~acher
 Click to see the full signature
Reply to
Georg Acher

Ähhh - du solltest den Text vielleicht nicht nur überfliegen, sondern auch mal auf die Links clicken. Die zitierten 22Std wurden anno 1998 im Rahmen der "DES challenge II" (also vor fast 10 Jahren!) erreicht.

Seitdem haben nicht nur gewöhnliche PCs um mehrere Zehnerpotenzen in der Leistung zugelegt, auch leistungsfähige CPLDs sind eine für jedermann verfügbare und von jedem ambitionierten Studenten beherrschbare Technologie geworden.

Es dürfte heute kein grosses Problem darstellen, eine wohnzimmer- und taschengeldkompatible "DES cracking machine" zu bauen, die locker unter die 22Std kommt.

Hergen

Reply to
Hergen Lehmann

Rainer Buchty schrieb:

Sehr spannend finde ich:

formatting link

Das eindrucksvoll zeigt, wie Kollisionen in MD5 genutzt werden können, um digitale Signaturen zu fälschen. Auf der Seite finden sich zwei PostScript-Dokumente mit identischem Hash, aber absolut nicht identischem Inhalt. Sehr cool :-)

Viele Grüße, Johannes

--
PS: Ein Realname wäre nett. Ich selbst nutze nur keinen, weil mich die
meisten hier bereits mit Namen kennen.
 Click to see the full signature
Reply to
Johannes Bauer

Am Entwurf von DES war viel empirisch. Vgl. daß man ja herausgefunden hat, daß die Permutationen ziemlich redundant sind. Die Sicherheit/Unsicherheit eines Verfahrens wird typisch durch versuchsweise Krytoanalyse nicht durch Professoren- gutachten bestimmt.

MfG JRD

Reply to
Rafael Deliano

In 30 Jahre intensiver Kryptoanalyse von DES ist niemand dahintergekommen wie sie technisch funktionieren könnte. Hat die NSA durch ihre Änderung DES geschwächt um mit eigenen Rechnern besser brute-force Nachrichten brechen zu können ? Wohl kaum, sonst wären bis heute derartige Versuche ausserhalb der NSA nicht so erfolglos.

MfG JRD

Reply to
Rafael Deliano

Wenn die was Wert wären, wären sie prominenter im Text angeführt worden.

Ich weiß: jeder Depp kann, aber in dieser newsgroup kann keiner.

Ich warte mal darauf, daß ein Professor/Experte seinen "DES-Cracker" auf Handkarren auf eine Konferenz schleppt. Dort die Diskette mit Chiffre von jemand aus dem Publikum mit einem ASCII-File der Länge eines kurzen A4 Briefes ( also vielleicht 1k Byte ) nimmt und in die Maschine steckt.

10 Stunden klappern lässt. Danach hämmert der Dot-Matrix Drucker los und der Orginal-Brief kommt raus. Genau darauf wartet die Welt seit 30 Jahren. Genau das wissen die ominösen Kryptoanalysten auch. Genau dieses können sie aber offensichtlich noch nicht.

Vgl mal Kasparov vs. Deep Blue: das war vor breiter Öffentlichkeit. IBM wäre nie angetreten, wenn die Maschine eine Laborkuriosität gewesen wäre die nur in Schaltjahren bei Mondschein manchmal funktioniert. Sie haben zwar 1996 nicht sofort gewonnen, aber sofort passable Leistung gezeigt.

MfG JRD

Reply to
Rafael Deliano

Hätte wohl ein Smiley dahintergehört. Aber da die TUM ja jetzt Eliteuniverstät ist und in Geld schwimmt könnte sie ja geeignete Diplomarbeit vergeben und dann beim nächsten Vintage Computer Festival (

formatting link
) neben den ganzen Ataris und Amigas vorführen.

MfG JRD

Reply to
Rafael Deliano

Also wenn jemand auch nur ein Bit verändert, dann wird die Signatur und die Verschlüsselung ungültig. Darauf basieren alle Cryptoapps, man kann nicht von der Annahme ausgehen dass es dann noch geht, weil es dann keine Crypto App ist.

Eine signatur auf der Basis von derzeit als sicher geltenden Algos, also Bsp SHA1 oder ähnliches ist deshalb als eindeutig und sicher zu betrachten, da es weder praktische noch teoretische Lösungsansätze in der ganzen weltweiten Wissenschaft dafür gibt.

Wenn also der Leser etwas unsterschreibt, dann ist es von dem Leser welcher es unterschrieben hat und von keinem anderen. Ein Fake ist hier nicht möglich soweit die der Menschheit gegenwärtig zur Verfügung stehenden Kenntnisse und Mittel bekannt sind.

Eine digitale signatur kann nicht gefälscht werden, sonst ist es keine signatur eben.

Bei dem MD5 hash hat man zum Bsp rein teoretisch zwar aufgezeichnet, dass es möglich wäre zwei Nachrichten haben die den gleichen hash ergeben zu produzieren. Zwar hat es kein Computer der Welt bisher geschafft es auch zu tun, aber dadurch ist schon dieser Algo als nicht sicher eingestuft worden.

Merke: ein Bit Veränderung , beendet jede normale Crypto Verbindung.

Und wenn jemand nichts verändert hat, dann ist es noch original, also kein Problem.

Also für Zweifler: Applied Cryptography, by Bruce Schneider oder sonst so was durchblättern.

Reply to
Otto Sykora

Rainer Buchty schrieb:

inem

Naja, solange will keiner gern aufs Essen warten... SCNR Harald

Reply to
Harald Wilhelms

In article , snipped-for-privacy@in.tum.de (Georg Acher) writes: |> Aber mit ein paar FPGAs für den Preis von eine paar gut ausgestatteten PCs sollte |> sich das in ein paar Tagen erledigen lassen. In echter HW ist das ja wesentlich |> einfacher als in SW...

Das ja. Sowohl Expansion- wie Compression-Permutation sind ja letztendlich nur Wires, in Software hingegen richtig teuer.

Und dann läßt sich DES wunderbar pipelinen, selbst komplett abgerollt nehmen die 16 Runden nicht wirklich Platz weg (das teuerste sind noch die S-Boxen).

Rainer

Reply to
Rainer Buchty

Wozu? Der aufmerksame Leser wird wissen, was ihn näher interessiert. Literaturhinweise in Büchern werden schliesslich auch nicht fett gedruckt.

Wir haben hier etliche Leute, die beruflich Elektronikentwicklung betreiben. Darunter sicher auch welche, die VHDL oder Verilog im Schlaf beherrschen, und für die eine schnelle DES-Implementierung nicht viel mehr als eine Fingerübung ist. Fehlt nur noch ein Informatiker, der sich auf Kryptologie versteht, und noch ein paar Optimierungstips geben kann.

Wozu? DES ist tot. Selbst ein DES-Cracker, der in die Hosentasche passt und nur 1min zum Knacken benötigt, würde den Fachkollegen wohl nur ein gelangweiltes Schulterzucken entlocken. Die Energien verwendet man lieber auf aktuelle Cryptoverfahren.

Hergen

Reply to
Hergen Lehmann

In article , Rafael Deliano writes: |> Hätte wohl ein Smiley dahintergehört.

Nuja, nehmen wir den SecuCore DES als Beispiel -- 5 Zyklen pro Block, um das PC-Beispiel weiterzuführen also statt 139000 Tagen nur noch etwa 2780, wenn in entsprechender Technologie vorliegend.

Nun ist DES in HW wirklich nicht sonderlich groß, d.h. es spricht nichts dagegen, beispielsweise mal ein n*16-Array aufzubauen (jede Runde eigenständig ausgeführt); das ganze mit sagen wir 300MHz, da wir ja keinen ASIC bauen.

Du willst eine Stunde, d.h. pro Sekunde müßten 2*10^13 Schlüssel überprüft werden, respektive 2*10^13/300*10^6=66719 Schlüssel pro Taktzyklus.

Wieviele Cores man in den größten aktuellen Spartan reinbekommt, weiß ich nicht; aber selbst wenn ich von einem Core pro Spartan ausgehe und den einzelnen Spartan mit 5 Euro veranschlage, reden wir hier von

Reply to
Rainer Buchty

Infos gibt es, aber man muss sich zuerst anmelden bei Phillips, dann kann man es runterladen. Ist etwas was die selber entwickel haben.

Da wir nur mit der ersten ISO kompatibel sind und ich erst in etwa 6 Monaten die Mifare Leser bauen muss, kann ich zu dem noch nichts genaues sagen.

Reply to
Otto Sykora

Von Gurus wimmelt es in sci.crypt nur so. Und Diffie/Hellman anno 1977 fehlten ja nur 20 Mio $ für das TTL-Grab. Irgendwas geringfügiges fehlt also immer. Und wohl auch die nächsten 10 Jahre noch. Da alles andere als brute force bei DES anscheinend versagt solls gefälligst Moore´s law richten. Wobei das auch ein Hase/Igel-Rennen ist: 3DES hat ja schon ohne nennenswerten Mehraufwand die Zielposten wieder ein Stückchen verschoben.

Wie ja von Sykora rausgesucht: es werden weiterhin ICs mit DES angeboten. Die Industrie vertraut einem System das seit langem in der Praxis nicht zu brechen ist mehr als jedem neuen System das von Akademikern und Gurus in den Himmel gehoben wird aber in der Praxis ungeprüft ist.

MfG JRD

Reply to
Rafael Deliano

Den selbsternannten Crypto-Experten ist mit Sachargumenten nicht beizukommen, selbst die Tesla-Jünger fühlen sich mehr der Physik verbunden.

Auch gut: Menzes,Vanstone,Oorschot "Handbook of applied Cryptography" CRC 1996

DES wird ausführlich behandelt in: Fumy, Riess "Kryptographie" Oldenbourg 1994

MfG JRD

Reply to
Rafael Deliano

In article , Otto Sykora writes: |> Eine signatur auf der Basis von derzeit als sicher geltenden Algos, |> also Bsp SHA1 oder ähnliches ist deshalb als eindeutig und sicher zu |> betrachten, da es weder praktische noch teoretische Lösungsansätze in |> der ganzen weltweiten Wissenschaft dafür gibt.

Otto, das stimmt einfach nicht.

formatting link

|> Eine digitale signatur kann nicht gefälscht werden, sonst ist es keine |> signatur eben.

Auch das stimmt nicht.

|> Bei dem MD5 hash hat man zum Bsp rein teoretisch zwar aufgezeichnet, |> dass es möglich wäre zwei Nachrichten haben die den gleichen hash |> ergeben zu produzieren. Zwar hat es kein Computer der Welt bisher |> geschafft es auch zu tun, aber dadurch ist schon dieser Algo als nicht |> sicher eingestuft worden.

Auch das stimmt nicht.

|> Also für Zweifler: Applied Cryptography, by Bruce Schneider oder sonst |> so was durchblättern.

Ja, aber bitte die aktuellste Version und nicht die Ausgabe von 1992.

Oder vielleicht auch mal das Blog des Herrn Schneier lesen sowie die News bei RSA-Security.

Rainer

Reply to
Rainer Buchty

Sowas gibt es: Copacobana. Für etwa 10.000? soll sie DES in 9 Tagen knacken. Das ist ein Brute-force-Hardwarecracker mit FPGAs.

formatting link

Bernd

Reply to
Bernd Laengerich

Wenn Du einen Geldschein klonst, also einen _EXAKT_ identischen aus einem echten herstellst und diese dann vermischst, welches ist dann der "falsche"?

Wenn Du den notwendigen Schlüssel zu "richtig programmiert" dazuzählst, natürlich nicht, denn dann hast Du den exakten Klon. Das ist in aller Regel aber nicht die Frage, die Frage, die für ein sicheres Verfahren gestellt werden muß, lautet: Kann ich während der maximalen Lebendauer des Verfahrens per brute force den Schlüssel herausfinden, um überhaupt solch einen Klon herzustellen?

Bernd

--
   np: (Winamp is not active ;-)
Reply to
Bernd Laengerich

ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here. All logos and trade names are the property of their respective owners.