kostenloser Webspace werbefrei: lima-city


langes ZIP passwort knacken - wenn Inhalt bekannt

lima-cityForumHeim-PCSoftware

  1. Autor dieses Themas

    misc

    misc hat kostenlosen Webspace.

    Hi Leute

    Ich "modde" ein Computerspiel und habe einige wichtige Daten in einem passwortgeschützten ZIP Archiv. Jeder, der die Originalversion herunterlädt, weiss einigermassen, welchen Inhalt die Daten haben, weil dort liegen sie offen im Ordner. Ich will nur, dass man sie nicht abändern kann.

    Ist es möglich, ein langes, kompliziertes ZIP Passwort herauszubekommen, wenn man den Inhalt des ZIP zu 95% kennt?

    Hoffentlich kann das überhaupt jemand beantworten ;-)

    Gruss
    misc
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. m******s

    Keine Ahnung, glaub nicht, spielt aber keine Rolle, man kanns auf jeden Fall rausfinden, wenns in deinem Programm steht - was es ja tun muss, damit du was mit den Daten anfangen kannst.
    Wenn du die Integrität der Daten sicherstellen willst, bietet sich eigentlich eine Hash-basierte Methode an. Aber echte Sicherheit wirst du nicht erreichen können, mit ausreichend Mühe kommt man um jeden Algorithmus rum...
  4. Autor dieses Themas

    misc

    misc hat kostenlosen Webspace.

    Ich kann es denen ziemlich schwer machen indem ich es auf verschiedene variabeln aufteile und andere tricks brauche. Trotzdem wäre es doch logisch, wenn man mit den ZIP Dateien das Passwort bekommen könnte...
  5. misc schrieb: Hi Leute

    Ich "modde" ein Computerspiel und habe einige wichtige Daten in einem passwortgeschützten ZIP Archiv. Jeder, der die Originalversion herunterlädt, weiss einigermassen, welchen Inhalt die Daten haben, weil dort liegen sie offen im Ordner. Ich will nur, dass man sie nicht abändern kann.

    Ist es möglich, ein langes, kompliziertes ZIP Passwort herauszubekommen, wenn man den Inhalt des ZIP zu 95% kennt?

    Hoffentlich kann das überhaupt jemand beantworten ;-)

    Gruss
    misc


    der inhalt hat ja nix mit dem passwort zu tun,das kannst du doch belibig wählen
  6. Autor dieses Themas

    misc

    misc hat kostenlosen Webspace.

    Doch. Der gesamte Inhalt wird mit dem Passwort verschlüsselt und verändert. Oder meinst du, es sei ein Softwareblock der ZIP Programme? Dann könnte man es ja leicht umgehen.
  7. burgi

    Co-Admin Kostenloser Webspace von burgi

    burgi hat kostenlosen Webspace.

    Im englische Wiki (ja, wieder mal besser als das deutsche :thefinger:) steht zur Passwort-Sicherheit folgendes:

    ZIP supports a simple password-based symmetric encryption system which is documented in the ZIP spec, and known to be seriously flawed. In particular it is vulnerable to known-plaintext attacks which are in some cases made worse by poor implementations of random number generators.

    ... also übersetzt: ernsthaft fehlerbehaftet, gerade wenn der Inhalt bekannt ist.


    der inhalt hat ja nix mit dem passwort zu tun,das kannst du doch belibig wählen

    Hat schon was miteinander zu tun. Für eine Verschlüsselung sind immer Klartext, Schlüssel, Schlüsseltext und natürlich das Verschlüpsselungsverfahren maßgeblich. Wenn ich Klartext und Schlüsseltext kenne, zum anderen das Verschlüsselungsverfahren (das ZIP-Dateiformat ist dokumentiert, ist also bekannt), dann ist es in vielen Fällen kein Problem, des Schlüssel zu errechnen.

    hth
  8. burgi schrieb:
    Im englische Wiki (ja, wieder mal besser als das deutsche :thefinger:) steht zur Passwort-Sicherheit folgendes:

    ZIP supports a simple password-based symmetric encryption system which is documented in the ZIP spec, and known to be seriously flawed. In particular it is vulnerable to known-plaintext attacks which are in some cases made worse by poor implementations of random number generators.

    ... also übersetzt: ernsthaft fehlerbehaftet, gerade wenn der Inhalt bekannt ist.


    der inhalt hat ja nix mit dem passwort zu tun,das kannst du doch belibig wählen

    Hat schon was miteinander zu tun. Für eine Verschlüsselung sind immer Klartext, Schlüssel, Schlüsseltext und natürlich das Verschlüpsselungsverfahren maßgeblich. Wenn ich Klartext und Schlüsseltext kenne, zum anderen das Verschlüsselungsverfahren (das ZIP-Dateiformat ist dokumentiert, ist also bekannt), dann ist es in vielen Fällen kein Problem, des Schlüssel zu errechnen.

    hth


    ok,das wußte ich nicht,man lernt halt nie aus, danke für die info. :)
  9. Autor dieses Themas

    misc

    misc hat kostenlosen Webspace.

    burgi schrieb:
    Im englische Wiki (ja, wieder mal besser als das deutsche :thefinger:) steht zur Passwort-Sicherheit folgendes:

    ZIP supports a simple password-based symmetric encryption system which is documented in the ZIP spec, and known to be seriously flawed. In particular it is vulnerable to known-plaintext attacks which are in some cases made worse by poor implementations of random number generators.

    ... also übersetzt: ernsthaft fehlerbehaftet, gerade wenn der Inhalt bekannt ist.


    der inhalt hat ja nix mit dem passwort zu tun,das kannst du doch belibig wählen

    Hat schon was miteinander zu tun. Für eine Verschlüsselung sind immer Klartext, Schlüssel, Schlüsseltext und natürlich das Verschlüpsselungsverfahren maßgeblich. Wenn ich Klartext und Schlüsseltext kenne, zum anderen das Verschlüsselungsverfahren (das ZIP-Dateiformat ist dokumentiert, ist also bekannt), dann ist es in vielen Fällen kein Problem, des Schlüssel zu errechnen.

    hth



    Vielen Dank! Ich habe mir gedacht dass es so sein muss

    Gruss
    misc
  10. m******s

    burgi schrieb:
    Im englische Wiki (ja, wieder mal besser als das deutsche :thefinger:) steht zur Passwort-Sicherheit folgendes:

    ZIP supports a simple password-based symmetric encryption system which is documented in the ZIP spec, and known to be seriously flawed. In particular it is vulnerable to known-plaintext attacks which are in some cases made worse by poor implementations of random number generators.

    ... also übersetzt: ernsthaft fehlerbehaftet, gerade wenn der Inhalt bekannt ist.


    der inhalt hat ja nix mit dem passwort zu tun,das kannst du doch belibig wählen

    Hat schon was miteinander zu tun. Für eine Verschlüsselung sind immer Klartext, Schlüssel, Schlüsseltext und natürlich das Verschlüpsselungsverfahren maßgeblich. Wenn ich Klartext und Schlüsseltext kenne, zum anderen das Verschlüsselungsverfahren (das ZIP-Dateiformat ist dokumentiert, ist also bekannt), dann ist es in vielen Fällen kein Problem, des Schlüssel zu errechnen.

    hth


    Naja, faktishc ist der Klartext nicht wirklich bekannt. Der hängt ja auch von der Verzeichnisstruktur im Zip-Archiv sowie den Parametern ab. Nichtsdeostweniger...

    Also, wenn ich du wäre würde ich nen Signaturansatz nachgehen. Also einfach das Ziparchiv mit nem private Key signieren, den public Key mit ins Programm packen und dann die Integrität der Signatur prüfen. Wie gesagt, absolute Sicherheit lässt sich leider nicht erreichen und schon gar nicht, wenn aller Code auf dem Computer des möglichen Angreifers liegt und damit Analysen und Manipulationen offen steht.
  11. t****o

    In der aktuellen c't steht was zum Passwortknacken aber wenn ich mich recht erinnere kann das ziehmlich lange dauern (stand mal in irgendeiner PCPr@xis) aber wenn du Geduld hast kannst du ja mal versuchen da Tage, Monate, Jahre oder sogar Jahrhunderte zu sitzen wenn das Kennwort lang ist und darauf warten das der Computer das richtige findet...
    Viel spaß :biggrin:
    telelo
  12. burgi

    Co-Admin Kostenloser Webspace von burgi

    burgi hat kostenlosen Webspace.

    telelo schrieb:
    In der aktuellen c't steht was zum Passwortknacken aber wenn ich mich recht erinnere kann das ziehmlich lange dauern (stand mal in irgendeiner PCPr@xis) aber wenn du Geduld hast kannst du ja mal versuchen da Tage, Monate, Jahre oder sogar Jahrhunderte zu sitzen wenn das Kennwort lang ist und darauf warten das der Computer das richtige findet...
    Viel spaß :biggrin:
    telelo

    So würde ich das nicht sehen. Dir von dir beschrieben Ansatz ist eine BruteForce-Attacke. Dabei wird einfach "blind" probiert, ob das Kennwort paßt. Ein etwaiger bekannter Klartext bleibt hier komplett unberücksichtigt. Wenn man allerdings diesen Vorteil nutzen will, dass man sowohl Schlüsseltext und Klartext (in Teilen) kennt, kann man mit den im Internet auffindbaren Programmen nichts mehr anfangen. Von daher spielt die "schlechte" Verschlüsselung in ZIP-Arichen wiederum keine nenneswerte Rolle.


    Naja, faktishc ist der Klartext nicht wirklich bekannt.

    Wenn jemand Dateinamen, Dateipfade, oder Teile des Inhalts einer Datei weiß, ist das faktisch Klartext. Aber wie oben beschrieben, wenn man sich nicht mit dem Dateiformat ansich und dem verwendeten Kryptografie-Algorithmus beschäftigt, wird man den Vorteil einfach nicht ausspielen können, und bei stupidem Ausprobieren hängen bleiben.
  13. m******s


    Wenn jemand Dateinamen, Dateipfade, oder Teile des Inhalts einer Datei weiß, ist das faktisch Klartext.


    Das ist nicht Klartext, sondern es sind Teile des Klartextes. Das ist ein sehr bedeutsamer Unterschied. Ausserdem kommen Parameter der Kompression hinzu, die die binärdaten teils auch komplett ändern können. Je nach verwendetem Verschlüsselungsalgorithmus kann das die Attacke verhindern, dass man nicht den exakten verschlüsselten Klartext kennt, z.B. bei einem Stromchiffre, wo die Veränderung eines Bytes bereits den gesamten nachfolgen verschlüsselten Text verändert.
  14. burgi

    Co-Admin Kostenloser Webspace von burgi

    burgi hat kostenlosen Webspace.

    merovius schrieb:
    Das ist nicht Klartext, sondern es sind Teile des Klartextes. Das ist ein sehr bedeutsamer Unterschied.

    Jep, da geb' ich dir Recht!

    Mir stellt sich außerdem weiters die Frage, ob wirklich das Bestreben da ist, dieses "gemoddete" Spiel nochmals zu "modden" (wobei "modden" vermutlich mit modden nix zu tun hat :blah:). Also wird das einzige nicht mögliche, aber wahrscheinlich Angriffsszenario eine Brute-Force-Attacke sein. Geht man von dieser Annahme aus, denke ich, kann man sagen, je länger und komplexer das Passwort, desto sicherer.
  15. sagen wir mal so...
    für jemanden der "ahnung" hat, ist es ein leichtes verschiedenste verschlüsselungstechnologien mit passwort, auseinanderzusetzen und in originalversion wieder zusammenzusetzen...oder aber auch den passwortschutz zu knacken...

    für standard-komprimierungen mit pass like .zip oder .rar ist es einfach mit bruteforce zu arbeiten...
    jedoch hängt es hierbei stark davon ab, wie lange das passwort ist und welche zeichen (buchstaben, zahlen, sonderzeichen) verwendet werden...je länger das passwort, desto schwieriger das "cracken"...
    ein paket mit einem passwort das nicht mehr als 8 zeichen hat und nur aus buchstaben besteht, braucht nur wenige minuten oder sogar sekunden um "erraten" zu werden...


  16. Hi,

    Elcomsoft bietet Recovery tools für zip und rar an. Leider sind die etwas außerhalb der normaler Preisklasse. Aber es funktioniert. Selbst bei der Verwendung von Leerzeichen und Sonderzeichen ist die Dauer annehmbar.

    Cu
  17. sonok

    Moderator Kostenloser Webspace von sonok

    sonok hat kostenlosen Webspace.

    oh, tatsache

    Gegenwärtig ist diese Software die leistungsfähigste auf dem Markt für Software zur Wiederherstellung von Kennwörtern in Archiven. Zu den Vorzügen des Programms zählen die garantierte Wiederherstellung der Inhalte der meisten passwortgeschützten WinZIP Archive, unabhängig von der Komplexität des Passworts, das weltweit schnellste Ausprobieren von Kennwörtern in ZIP, ARJ und RAR-Archiven (ca. 15 Millionen Kennwörter
    pro Sekunde auf den modernen P-IV Prescott Prozessoren), die Entschlüsselung von WinZIP Archiven mit der resistenten AES-Verschlüsselung. Für ZIP und ARJ-Archive ist die so genannte known plaintext attack (Attacke auf bekannte Inhalte) vorgesehen. Ist der Inhalt wenigstens einer Datei des ZIP-Archivs bekannt, wird das Kennwort in wenigen Stunden gefunden, unabhängig von seiner Länge und Kompliziertheit


    aus dem hier - hm, inhalt wenigstens einer datei? tja, zb ein passwortverschlüsseltes, gepacktes pdf :biggrin:
    aber ein inhaltsverzeichnis können sie nicht schreiben!

    :wave:
  18. es ist nicht möglich durch den inhalt eines zip/rar archives auf das passwort zu kommen
    nur bruteforcen und durchprobieren per wordlist und mit gpu schneller als mit prozessor
    das funktionert maximal bis zu einer länge von 14 - 18 zeichen
  19. Also Zip verzeichnisse mit AES Verschlüsselung kannste nur Knacken, wenn das Passwort keine sonderzeichen hat. Je nach Programm das man nutzt und PC Hardware (GPU,CPU,RAM) brauchst du einige Wochen/Monate.

    Aktuelles Beispiel: Habe gleiches Problem mit einem Backup von einem Server von mir. Passwort ist mind. 13 längstens 19 Zeichen lang.

    Ich bin gerade bei 13 Zeichen nach 5 Monaten. mit 4 Sonderzeichen + A-Za-z0-9.

    Jetzt kannste dir ausrechnen wie lange man brauchen wird.

    Wer sich ein Paar PS3 leisten kann kann es auch schneller hinbekommen :(
  20. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!