Kolejny experyment z brain walletem :-)

Postautor: **Bit-els** » czwartek, 29 grudnia 2016, 15:57

Zwykłe proste słowa, a może i frazy już dawno są przerobione przez boty.
3 lata temu okazało się, że z brain wallet stworzony z frazy Ala ma kota (tak chyba to brzmiało) został rozwalony jeszcze przed pierwszym potwierdzeniem.

Teraz zrobiłem tak:
Słowo bitcoin (wiem, trudno o bardziej oczywiste) wrzucilem do md5, wyszedł hash który wygenerował w brain wallecie (aplikacja na androida- klucz skompresowany) ten adres:

https://blockchain.info/address/1HmmKrN ... LBqAqmPe9H

Przeslalem 1 zl.
i.... już bitów nie ma!

Wniosek- goście tworzą boty o coraz bardziej przemyślnych sposobach generowania brain walletow.

Brain wallet jest bardzo ryzykownym pomysłem.
Bo trzeba wyważyć między frazą latwą dp zapamietania, a trudnością rozwalenia jej przez boty.

I nawet koncepcja zhashowania nic nie dała. Czyli coś takiego jest brane pod uwagę przez twórców botów.

YouTube · Postautor: **rav3n_pl** » czwartek, 29 grudnia 2016, 16:37

Aktualna wersja brainwalleta robi sporo dziwnych rzeczy, wrzucając dodatkowe słowo do solenia temat botów uważam za zamknięty.

Dodano po 2 minutach 6 sekundach:
https://brainwallet.io/
pod "generic" mamy "zwykły" salt

Bit-els pisze: I nawet koncepcja zhashowania nic nie dała.

Bo to jest już obecnie znaną sztuczką do tworzenia wizualnie pseudolosowych ciągów.
Nic dziwnego, że figuruje w słownikach.

Bit-els pisze: Brain wallet jest bardzo ryzykownym pomysłem.

To czy brain wallet jest dobrym lub złym pomysłem zależy od tego jak został zaimplementowany.
Do zabezpieczenia danych używa się wielobitowych ciągów (kluczy/seedów), które najlepiej żeby były losowe. To co jest w stanie wyprodukować mózg to zazwyczaj przyjemne wyrazy, więc bezpieczeństwo będzie zależało od tego jak z tych wyrazów jest tworzony klucz/seed. Używanie do tego celu funkcji haszujących to bardzo zły pomysł bo one nie zostały stworzone do tego celu tylko do wyliczania maksymalnie małym kosztem maksymalnie unikalnego skrótu danych. Dlatego przy tworzeniu kluczy stosuje się posolone hasze wykonywane w wielu iteracjach (np. tysiące lub miliony) lub specjalne funkcje jak scrypt albo bcrypt. Wtedy atakujący nie ma możliwości wygenerowania sobie prędzej tablic haszów a łamanie brute force jest zbyt kosztowne.

The Real McCoin pisze: Używanie do tego celu funkcji haszujących to bardzo zły pomysł bo one nie zostały stworzone do tego celu tylko do wyliczania maksymalnie małym kosztem maksymalnie unikalnego skrótu danych.

Moim zdaniem mylisz się. Problem nie polega na tym jak hashujesz, tylko co hashujesz. Idę o zakład, że gdybym założył brainwalleta z hashem MD5 zdania – dajmy na to – „minister Waszczykowski z lubością zaciągnął się papierosem z filtrem, po czym zadzwonił do kota prezesa” to nie zostanie on obrobiony. Ba, jestem zdania, że nawet jeżeli dam to zdanie jako hasło brainwalleta otwartym tekstem, to również szansa na sprzątnięcie z niego środków jest bardzo mała.

Hashowanie bcryptem utrudnia jedynie atak bruteforce. Ale przypadek opisany przez Bit-elsa jest ewidentnie atakiem słownikowym. W tym momencie kwestia wyboru algorytmu hashującego jest trzeciorzędna. Przecież atakujący może sobie zrobić tabelkę hashów zawartości słownika języka angielskiego w dowolnym algorytmie...

Chancellor pisze:Moim zdaniem mylisz się. Problem nie polega na tym jak hashujesz, tylko co hashujesz.

Człowieku, miej litość dla mózgu i palców

Jak bardzo chcesz, to tak, można wymyślać całe "opowiadania", uczyć się je na pamięć, a później jak trzeba to wklepywać je za każdym razie na klawiaturze.
Ideą do której ja piję jest to, że dzięki dobremu haszowaniu można uzyskać podobny poziom bezpieczeństwa mniejszym wysiłkiem dla człowieka.

Chancellor pisze:
Hashowanie bcryptem utrudnia jedynie atak bruteforce. Ale przypadek opisany przez Bit-elsa jest ewidentnie atakiem słownikowym. W tym momencie kwestia wyboru algorytmu hashującego jest trzeciorzędna. Przecież atakujący może sobie zrobić tabelkę hashów zawartości słownika języka angielskiego w dowolnym algorytmie...

Jak hasz będzie posolony to sobie nie zrobi z wyprzedzeniem takich tabelek, a jak dodatkowo wyliczenie jednego "hasza" będzie zajmowało 10 sekund na średnim procku i5 to atakujący więcej zyska na roznoszeniu ulotek niż łamaniu haseł i tworzeniu tabelek.

The Real McCoin pisze: Człowieku, miej litość dla mózgu i palców

Uważasz, że wpisywanie choćby 128-bitowego hasha (32 cyfry szesnastkowe) jest prostsze, albo szybsze, niż takiego zdania? Że nie wspomnę już o próbie zapamiętania takiego hasha. Jesteś skazany na zapisanie go w miejsce w miarę dostępne przy każdym użyciu. Będziesz miał skłonność do zapisania go elektronicznie i kopiowania przez schowek, co znacznie zwiększa ryzyko ataku sidechannel...

Postautor: **powered** » czwartek, 29 grudnia 2016, 18:43

Bit-els pisze: Przeslalem 1 zl.i.... już bitów nie ma!

W tym przypadku nie byłeś pierwszym właścicielem tego adresu. Już wcześniej ktoś wygenerował (i pewnie generuje dalej) miliony adresów i czeka tylko aż ktoś zrobi przelew na jego portfel.

Po pierwsze MD5 nie powinno już się używać jako zabezpieczenie, bo już dawno jest spalone.
Zobaczcie jak mogą być haszowane hasła gdzie można dobrać koszt (czas haszowania bez względu na moc procesora) oraz sól która jest zmienna. I w tym przypadku żadne tablice nie pomogą.
http://php.net/manual/en/function.password-hash.php
Ale uwaga. Tej konkretnej metody nie można stosować do brainwalleta ponieważ hasz za każdym razem będzie inny.

Postautor: **Bit-els** » czwartek, 29 grudnia 2016, 19:02

Dzięki za odzew i ciekawe spostrzerzenia.

Ja po prostu zastanawiam się nad oczywiście b. teoretycznym problemem bezpieczeństwa i dostępu do hasła i portfela w sytuacji extremalnej.

Zakładam czysto hipotetyczny scenariusz- najazd na dom, albo w wyniku jakiejś klęski unicestwienie domu, a z nim zapisanych haseł i nośników (keepass, portfele),
a jednocześnie odporność na atak w necie.

Plusem brain walleta jest to, że nośnikiem jest blockchain. Musimy tylko zadbać o mocne, ale jednocześnie łatwe do zapamietania hasło.

Więc taka koncepcja, co powiecie:
Generuję klucze losowymi 12 słowami (jak sugeruje brainwallet.io)
Oczywiście ten zestaw jest nie do zapamietania w dłuższym czasie.
Więc:
Tworzę dwie skrzynki na tutanota.com i protononie.
Loginem słowo ptak na przykład, hasłem md5 ze słowa ptak.
Przesyłam z jednej do drugiej skrzynki ten seed brainwalletowy.
Po prostu w treści te 12 słów bez opisu.
Nigdzie i nigdy, nikomu nie podaję tych dwóch skrzynek.

Zalety:
Portfelem, swego rodzaju nośnikiem, jest blockchain. Nie muszę się o niego troszczyć, jak w przypadku portfela czy keepassa.
Dostęp do seeda brainwalletowego mam o każdej porze z każdego miejsca na ziemi.
Muszę tylko zapamiętać, że mam skrzynki na protononie i tutanocie gdzie loginem jest proste dla mnie słowo, a hasłem hash md5 tego słowa.

PS może lepiej zamiast tworzyć brainwalleta, w sposób opisany wyżej zarchiwizować sobie seed od portfela hd. Electrum, mycelium itp

Jakie słabe punkty widzicie?

Chancellor pisze:Uważasz, że wpisywanie choćby 128-bitowego hasha (32 cyfry szesnastkowe) jest prostsze, albo szybsze, niż takiego zdania? Że nie wspomnę już o próbie zapamiętania takiego hasha. Jesteś skazany na zapisanie go w miejsce w miarę dostępne przy każdym użyciu.

Nie uważam, ale nikt tutaj nie proponował czegoś takiego.
To co zastosowano w pierwszym poście to pamiętanie w miarę prostego hasła i w razie konieczności jego użycia wyliczenie pojedyńczego haszu. To chyba oczywiste, że nikt normalny nie będzie uczył się go (haszu) na pamięć (bo nie ma takie potrzeby) i raczej nie będzie go też ręcznie wklepywał.

YouTube · Postautor: **rav3n_pl** » czwartek, 29 grudnia 2016, 19:25

@Bit-els, w ten sam sposób można postąpić z portfelem HD, po co brainwallet?

Postautor: **Bit-els** » czwartek, 29 grudnia 2016, 19:26

Właśnie to dopisałem.

A co powiesz na koncepcję?

YouTube · Postautor: **rav3n_pl** » czwartek, 29 grudnia 2016, 19:28

Dlaczego nie. Nie wiem tylko, na ile te serwisy mailowe są "wieczne".

Bit-els pisze: Jakie słabe punkty widzicie?

Dwa:

Bardzo słabe hasło (piszę to nie wiedząc jak narzędzia tych pocztowych usługodawców tworzą klucze szyfrujące z hasła).
Bardzo niepewni dostawcy do przechowywania danych. To są organizacje, które usiłują prowadzić kontrowersyjną działalność na większą skalę. W każdej chwili mogą pod różnymi naciskami zniknąć razem z Twoimi cennymi zaszyfrowanymi danymi. Jak chcesz przechowywać dane na obcych komputerach to wybierz takie najbardziej znane i pewne, typu Google, Microsoft, itp., w których trudno jest usunąć dane, nawet gdybyś o to prosił.

Postautor: **pm7** » czwartek, 29 grudnia 2016, 20:40

Również uważam, że poleganie na słabych hasłach i konkretnych serwisach jest słabym pomysłem.
Przede wszystkim trzeba szukać sposobów na utrudnienie ataków siłowych. Czyli bcrypt, albo wielokrotne (setki tysięcy, czy miliony) użycie "zwykłych" funkcji skrótu.
Keepass jest programem open-source do przechowywania haseł, można w nim wygenerować losowe klucze do brainwallet, czy zwyczajnie zapisać wygenerowane gdzie indziej klucze do adresów, albo seed. Tylko trzeba pamiętać o ustawieniu odpowiedniej liczby rund szyfrowania hasła. Keepass ma nawet przycisk, który szacuje ile obliczeń w sekundę nasz komputer jest w stanie wykonać. 1-5s nie przeszkadza w codziennym używaniu, a uniemożliwia złamanie dobrego hasła. Jak ktoś uważa, że mało, może nawet i kilka minut ustawić. Do tego niezła metoda generowania haseł: http://world.std.com/~reinhold/diceware.html
Taki zaszyfrowany plik keepass można dla pewności zaszyfrować innym programem, żeby nie polegać na jednej implementacji szyfrowania i można spokojnie rozsyłać w różne miejsca (własny mail, jakiś Dropbox, strona www jeżeli mamy, rodzina, itd.).

Postautor: **Bit-els** » piątek, 30 grudnia 2016, 01:22

Fajna stronka, Kasperdkyego, pokazująca moc hasła. Z rozróżnieniem na comodore, maca, klaster kart graficznych i Thiane 2 super komputer chinski.

Wychodzi, że seed 8 wyrazowy nawet dla chińskiego smoka nie do złamania.
Ale np haslo 12 znakowe (duże i małe litery, cyfry i znaki specj) to dla Thiane 51 minut

https://password.kaspersky.com/pl/

Postautor: **redbog** » piątek, 30 grudnia 2016, 01:56

A co powiecie na taki sposób utworzenia silnego hasła żeby później zaszyfrować nim seed portfela hd.
1. Bierzemy jakiś długi fragment z książki np.60 wyrazów
2. piszemy go odwrotnie
2. przesuwamy na klawiaturze o jeden klawisz w prawo (zamiast "a" piszemy "s"itd.)
3. co drugą literę piszemy dużą
Czy takie hasło ktoś by złamał?

W ogóle sie nie znam na zabezpieczeniu a potrzebne mi jest silne haslo do zaszyfrowania seeda i laptopa z portfelem offline. Intuicyjnie dla mnie takie hasło wydaje sie silne w porównaniu z kinia1, zaqwsx itp. ale żeby czasem sie nie przeliczył.

Postautor: **powered** » piątek, 30 grudnia 2016, 03:10

@edbog, Ale czy jesteś w stanie to zapamiętać? Czy tą instrukcję gdzieś sobie zapiszesz? Bo jak ktoś pozna instrukcje, to tak jak by poznał hasło.

To już bardziej byłbym skłonny zapisać sobie gdzieś całe długie hasło, ale prostą instrukcje mieć w głowie.
Instrukcja np. taka: Hasło należy przepisać nie wklepując samogłosek.

Postautor: **redbog** » piątek, 30 grudnia 2016, 03:40

powered pisze: @edbog, Ale czy jesteś w stanie to zapamiętać? Czy tą instrukcję gdzieś sobie zapiszesz? Bo jak ktoś pozna instrukcje, to tak jak by poznał hasło.

Oczywiście zakładam zapamiętanie tych reguł, samego cytatu nie - tylko mniej więcej jaki i z jakiej książki.

powered pisze: To już bardziej byłbym skłonny zapisać sobie gdzieś całe długie hasło, ale prostą instrukcje mieć w głowie.
Instrukcja np. taka: Hasło należy przepisać nie wklepując samogłosek.

A jak toś przejmie to co zapisałeś komornik, policja itp. to mogą coś już próbować zdziałać chyba.

Postautor: **pm7** » piątek, 30 grudnia 2016, 11:49

@edbog, używanie zawartości książek to trochę kiepski pomysł. Podobnie używanie "metod" zmiany haseł. Trudniej to zapamiętać niż jest to zabezpieczeniem. Jeżeli coś blokuje siłowe zgadywanie, to zadziała, ale ja bym tego jako brainwallet nie użył. Może parę lat będzie bezpieczne, ale jeżeli nastąpi postęp w mocy obliczeniowej, to takie rzeczy mogą być łamane.

Bit-els pisze: Zakładam czysto hipotetyczny scenariusz- najazd na dom, albo w wyniku jakiejś klęski unicestwienie domu, a z nim zapisanych haseł i nośników (keepass, portfele),
a jednocześnie odporność na atak w necie.

Chyba nie wymyślono lepszej metody na ochronę danych jak dobre zaszyfrowanie dobrym hasłem i umieszczenie zaszyfrowanych danych w wielu miejscach typu lokalne komputery, lokalne dyski przenośne, zdalne obce komputery (chmury dyskowo/emailowe).

Poniżej spisałem mały przykładowy poradnik (PAMIĘTAJ: to są tylko moje propozycje, działasz na własną odpowiedzialność, jak utracisz jakieś ważne dane to nie miej do mnie pretensji, w obliczeniach mogłem się pomylić, a założenia mogłem przyjąć błędne):

[Jak pracujesz na Win z niezaszyfrowanego dysku to włącz sobie szyfrowanie pliku wymiany]

Utwórz hasło metodą diceware-podobną. Daje ona bardzo dobry kompromis między bezpieczeństwem i wygodą.
W jakim języku myślisz? Jak w polskim to będziesz potrzebował polski zestaw słów, ale ja nie polecałbym tego od diceware.
Są w nim nie tylko słowa ale też krótsze różne rzeczy, które trudniej zapamiętać, a z samymi wyrazami to też tam różnie bywa.
Najlepiej wejdź na stronę Wikipedii i ściągnij sobie listy frekwencyjne dla języka polskiego.
Znajdziesz tam 10 000 najczęściej używanych wyrazów w języku polskim. Czyli są to wyrazy, które dobrze znasz, lubisz i które będzie można łatwo zapamiętać.
Scal sobie te listy w jeden plik, tak żeby jeden wyraz był w jednym wierszu i otwórz w jakimś edytorku, który pokazuje numery wierszy.
I na koniec wylosuj 5 wyrazów.
Musisz to zrobić całkowicie losowo. Np. kostką do gry.
I najważniejsze: przy losowaniu musisz wyłączyć mózg. Mózg to najmniej odpowiednia rzecz do tworzenia (i pamiętania) haseł i jak zobaczy wylosowane wyrazy może stwierdzić: ten jeden wyraz mi się nie podoba, wylosuję jeszcze raz, przecież nic się nie stanie.
Taka sytuacja nie może mieć miejsca. Musisz za pierwszym razem zaakceptować wylosowane wyrazy bo tylko wtedy będzie to losowa kombinacja, nieprzefiltrowana przez mózg.
Przykładowo, jak w słowniku będziesz miał 8129 słów to 5-wyrazowe hasło będzie odpowiednikiem 65 losowych bitów (w przeliczeniu ponad 14 losowych małych literek).
Normalnie, jak nie masz autyzmu i daru superpamięci to praktycznie trudno byłoby zapamiętać tyle losowych bitów, ale z pomocą diceware jest to stosunkowo proste.
Wylosowałem takie słowa: Baran upór śmiałość syrop koryto
Czyli taki ciąg: baranuporsmialoscsyropkoryto
28 małych liter.
Tych 5 wyrazów, normalny człowiek jest w stanie zapamiętać w ciągu od kilkunastu minut do kilkunastu dni.
Tylko dobrze jest przynajmniej raz na kilka dni je wpisać, żeby odświeżyć ścieżki w mózgu, w nim podobnie, jak na nieużywanych dyskach, dane mogą ulatywać.
Przez jakiś czas to hasło można jawnie wpisać w pliku tekstowym na tradycyjnym dysku magnetycznym na bezpiecznym komputerze jako ściąga na wypadek zapomnienia. Później nie będzie potrzebne i można je bezpiecznie usunąć jakimś narzędziem do bezpiecznego usuwania danych.
Te 5 losowych wyrazów daje 8192^5 kombinacji, czyli 36 893 488 147 419 103 232.
Najważniejsze, że takiego hasła nie da się inaczej łamać jak metodą brute force.
Inna ważna sprawa: metoda diceware jest szczególnie narażona na dźwiękowy atak. Trzeba nauczyć się tak wpisywać wyrazy, żeby nie robić między nimi wykrywalnej przerwy i najlepiej nie korzystać z głośnych klawiatur (np. mechanicznych).

Wybierz narzędzie szyfrujące, które w celu otrzymania kluczy szyfrujących zmusza komputer do wykonania pracy.
KeePass może być. To znacznie zwiększy koszty ataku brute force.
KeePass mokazał mi, że mój procek i7 wykonuje w ciągu sekundy 18 388 992 iteracji.
Dobierz ich liczbę tak, żeby komputer musiał 5 sekund pracować, żeby wyliczyć klucze zabezpieczające.
U mnie daje to 91 944 960 iteracji (KeePass wykonuje szyfrowanie AES jako pracę).
Każde otwarcie zaszyfrowanych danych, zapisanie zmian lub próba przetestowania jednego hasła zajmie 5 sekund na tym konkretnym kompie.

---Modyfikacja 2017.01.02
Jak założymy, że 1 rdzeń by tylko pracował, to praca zajmie 20 sekund.

Spoiler:

Po uwadze @pm7 zmieniam to założenie na bardziej pesymistyczne, gdzie KeePass do wyliczania klucza używa wyłącznie jednego rdzenia.
Czasy skrócą się czterokrotnie dla superkomputera Tianhe-2:
Średni czas łamania hasła 5-wyrazowego (słownik diceware 8192 słowa): 468 703 lat
Średni czas łamania hasła 6-wyrazowego (słownik diceware 8192 słowa): 3 839 622 021 lat

To założenie:

Wg Wikipedii, najlepszy współcześnie superkomputer Tianhe-2 ma 3 120 000 rdzeni.

też trzeba skorygować.
Wg listy z listopada 2016 najszybszym superkomputerem jest chiński Sunway TaihuLight, który jest 3 razy szybszy od Tianhe-2, jeżeli chodzi o Flopsy.
Czasy łamania dla TaihuLight:
Średni czas łamania hasła 5-wyrazowego (słownik diceware 8192 słowa): 156 234 lat
Średni czas łamania hasła 6-wyrazowego (słownik diceware 8192 słowa): 1 279 874 007 lat
---

Wynikowy plik KeePassa zapisz sobie jako np. foto1.jpg.
Możesz nim wytapetować (jak to zrobić wspominałem w innym temacie) swoje nośniki wymienne albo jeszcze trochę zaciemnić i użyć konkatenacji. Czyli wziąć zestaw fotek z wakacji i przed umieszczeniem ich na nośnikach wymiennych i w chmurach, do każdej z nich dokleić foto1.jpg. Niestety KeePass nie potrafi wyszukiwać swoich magicznych numerów z nagłówków w strumieniu danych, ale 7zip to potrafi.
Wrzuć plik foto1.jpg do zaszyfrowanego archiwum foto1.7z używając pustego hasła (przykład robiony na Win):

Kod: Zaznacz cały

C:\Program Files\7-Zip\7z" a -p -mhe=on foto1.7z foto1.jpg

Doklej archiwum 7z to prawdziwego pliku zdjęcia:

Kod: Zaznacz cały

copy /b wakacje.jpg + foto1.7z wakacje1.jpg

I tak otrzymałeś plik wakacje1.jpg z dodatkową zawartością.

Powrzucaj go na wszelakie, sprawdzone chmury typu Google, Microsoft, Dropbox, Onet, itp. używając w miarę prostych haseł dostępowych.

No i jak się słusznie domyślasz, fotka, którą wyżej wrzuciłem, została utworzona w taki właśnie sposób i zawiera sejf KeePassa. Możesz sobie pobrać to zdjęcie, otworzyć w GUI 7zipa, rozpakować i otworzyć plik foto1.jpg w KeePass (wszelkie hasła tutaj podałem).

Na koniec wyłącz komputer (nie żadna hibernacja czy uśpienie) i poczekaj kilkanaście minut aż ostygną kości pamięci RAM