testowanie porównawcze odporności na różne ataki

[wiocha]

Witam szanownych forumowiczy,
Mam do was ogromną prośbę o pomoc.
Mam na pracę inżynierską zrobić dodatkowo testowanie porównawcze odporności na różne ataki.
Aplikacja jest oparta o AES 256.
czy mogę to wykonać cryptoolem?
Proszę o podpowiedź
z góry dziękuję
Darek

[TQM]

testujesz aplikacje czy algorytmy szyfrujace i z czym porownujesz ze tak zapytam?
jak na razie z Twojego pytania nic konkretnego nie wynika

[wiocha]

chodzi mi o test zabezpieczenia jakie oferuje rohos logon key (zmiana systemu logowania do systemu przy użyciu sprzętowego klucza USB).
Znalazłem aplikacje proactive password auditor która testuje siłę hasła opierając się na ataku brute-forc, mask, słownikowym oraz Rainbow Tables.
Myślę że przy pomocy tej aplikacji uda mi się wykonać test szybkości złamania hasła. oczywiście mówię tu o jakimś rozsądnym haśle bo czekać kilka miesięcy czy lat nie zamierzam
Jeszcze jedno czym odszyfrować hasło z pliku. Hasło jest zaszyfrowane algorytmem AES-256 i nie jest skomplikowane. Jeśli to istotne to plik ma rozszerzenie roh.
Darek

[TQM]

Patrzac co podaja na stronie producenta... mowimy o zlamaniu AES-256 albo reverse-engeener'ingu aplikacji.

Moim zdaniem aplikacja szyfruje dane ze statycznym kluczem AES bo inacze nie moznaby uzywac tego samego pen-drive'a na wiecej niz jednym kompie... ewentualnie tworzony jest jeden plik dla kazdego kompa i ten plik ma w srodku (byc moze ma a moze nie ma) zaszyfrowane haslo do profilu... albo pen-drive ma zaszyfrowany plik, w ktorym jest haslo otwierajace nastepny zaszyfrowany plik, ktory jest na docelowej maszynie... i tam dopiero jest username/haslo lub cos co odblokowuje dostep poprzez API.

Hasło jest zaszyfrowane algorytmem AES-256 i nie jest skomplikowane

Known plain-text attack?

Jeśli to istotne to plik ma rozszerzenie roh.

Istotne jest czy znasz format tego pliku!

Jesli mam byc szczery, zmien temat pracy bo:
1. nie jestes moim zdaniem w stanie zrobic brute-force na AES-256 w rozsadnym czasie
2. podales kilka metod lamania co oznacza ze bedzie to jeszcze dluzej trwalo
3. temat pracy to analiza porownawcza - do czego? musisz cos jeszcze 'zlamac' aby moc porownac...

Jesli chcesz oddac prace do oceny za powiedzmy 50 lat to moze masz szanse... chyba ze znajdziesz blad w samej aplikacji - wtedy metoda szyfrowania zupelnie nie ma znaczenia.

EDIT:
Aplikacja dziala z touchtag'ami - tam mozna male ilosci informacji zapisac... a mozna calkiem polegac na ID sprzetowym karty RFID albo pen-drive'a a cale dane trzymac na kompie do ktorego ma byc dostep. Moze prosciej zmienic numer ID napedu USB