Preiswert SchlĂĽssel knacken in der Cloud
Mehrere billige virtuelle Maschinen in der Cloud senken die Kosten für Brute-Force-Angriffe auf Schlüssel und Passwörter. Lange und komplexe Keys sind jedoch auch für diese Verfahren noch zu harte Nüsse.
- Christian Kirsch
Absolute Sicherheit gibt es für heute verwendete Kryptotechnik nicht. Sie kann lediglich den finanziellen oder zeitlichen Aufwand für das Knacken von Passwörtern und Schlüsseln so hoch treiben, dass es sich nicht lohnt.
Allerdings sinken die Kosten nun durch Cloud-Verfahren. Denn mit Hilfe vieler leistungsfähiger virtueller Rechner lässt sich die Zeit für das Knacken deutlich verkürzen. Das haben Mitarbeiter der Sicherheitsfirma Electric Alchemy jetzt am Beispiel eines PGP-ZIP-Archivs gezeigt.
Sie ließen dafür einen verteilten Brute-Force-Angriff auf die Datei in Amazons Web Dienst EC2 laufen. Die Software (EDPR) für die Attacke stammt von der russischen Firma Elcomsoft. Auf einem Dual-Core-PC mit Windows 7 hätte sie für das Ermitteln des Passworts per Versuch und Irrtum 2100 Tage gebraucht. 10 simultan EDPR ausführende virtuelle Rechner verkürzten diese Zeit auf 122 Tage. Eine Stunde EC2-Rechenzeit kostet pro Instanz in diesem Fall 0,30 US-Dollar, das Knacken der Schlüssel wäre also für knapp 9000 US-Dollar zu bekommen. Da EDPR nach Beobachtung der Electric-Alchemy-Berater fast linear skaliert, sollte sich für denselben Preis die Arbeit mit 100 Instanzen bereits in 12 Tagen erledigen lassen.
In einem weiteren Blog-Eintrag verweist die Firma jedoch darauf, dass auch in Zukunft das Knacken hinreichend langer und komplexer Schlüssel zu teuer sein dürfte. Für 9 Zeichen lange Schlüssel aus dem gesamten ASCII-Vorrat veranschlagen sie mindestens 10 Millionen US-Dollar, für 12 Zeichen schon 8 Billionen. Wer sich allerdings bei seinem Passwort auf Ziffern und Buchstaben beschränkt, senkt die Kosten erheblich: Solche Keys mit neun Zeichen lassen sich schon für weniger als 2000 US-Dollar ermitteln. (ck)