Follow along with the video below to see how to install our site as a web app on your home screen.
Note: This feature may not be available in some browsers.
On 05/26/2022 17:08, Arno Welzel wrote:
Ralph A. Schmid, dk5ras:
[...]
Redet ihr vielleicht alle nur gekonnt aneinander vorbei? Die Folge aus
dem Komprimierer vermag durchaus den Ansprüchen der Verschlüsselung
erst mal entsprechen, die Folge wirkt zufällig, und jedes Tool zur
Evaluierung wird ohne Kenntnis der Herkunft sagen, jawoll, die ist
gut, die kann der Algo verwenden. Nur eben, daà sie nicht zufällig
ist, aber man natürlich die Ursprungsdaten und den Komprimierer kennen
muÃ, um die nicht-Zufälligkeit zu erkennen.
Nein, man muss *nur* den Komprimierer kennen und kann dann *immer* die
Ausgangsdaten wiederherstellen.
Das wird in der Praxis aber nicht gemacht.
Man will keine Zufallsdaten aus komprimierten Daten gewinnen!
Das ist Nonsens.
Helmut Schellong:
[...]
Das ist aber üblich:
PaÃwörter soll(t)en oft jedes halbe Jahr geändert werden.
Nein, sollten sie nicht. Diese Empfehlung, die einst vom NIST und BSI
ausgegeben wurde, gilt schon länger nicht mehr, weil man da auch gemerkt
hat, dass das eher kontraproduktiv ist.
Wenn ein Passwort kompromittiert wurde, hilft es nicht, dass es kurz
davor im Rahmen regelmäÃigen Wechsels erneuert wurde. Sehr wohl aber
neigen Nutzer dazu, weniger sichere Passwörter zu vergeben, wenn sie
diese ohnehin alle 3-6 Monate neu vergeben müssen. Nicht selten hat man
dann auch einfach nur eine angehängte Zahl, die hochgezählt wird bei
jeder Erneuerung - und so etwas bekommen auch Angreifer heraus, wenn das
komprimittierte Passwort eine Zahlenfolge enthält.
Drei Jahre bei datei.pfx ist aber okay.Die datei.pfx bei Elster soll alle drei Jahre erneuert werden.
Es gibt sogar Experten, die raten von einer ständigen, pauschalen Erneuerung ab.
https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html
Bereits in den 1990ern las ich von Experten, daà besser nicht dauernd geändert werden soll.
Ja, aus guten Gründen.
Helmut Schellong:
On 05/26/2022 17:15, Arno Welzel wrote:
Helmut Schellong:
On 05/26/2022 16:32, Hanno Foest wrote:
[...]
Die dieharder-Tests \"beweisen\" das aber. Zumindest deinem Sprachgebrauch von \"beweisen\" zufolge.
Das ist irrelevant.
Executables können nicht random sein.
Genauso wenig wie komprimierte Dateien - denn denen liegen *nicht*
zufällige Ausgangsdaten zugrunde und das Ergebnis ist exakt
vorherbestimmbar.
Diese Aussage ist falsch.
Nein, sie ist - bezogen auf nicht zufällige Ausgangsdaten(!) - richtig.
Irrelevant!Der Beweis von Kolmogorow (et al) liegt seit 1964 vor und wurde mehrfach gepostet.
Komplett-Ignorierung?
Nein, Eingrenzung auf \"nicht zufällige Ausgangsdaten\". Wenn man die
Ausgangsdaten kennt, weià man auch, wie die komprimierten Daten dazu
aussehen. Die Zahl der Komprimierungsverfahren ist ebenfalls endlich.
Ich wuÃte aus den 1990ern, daà komprimierte Daten recht zufällig sind.Helmut Schellong:
On 05/26/2022 17:08, Arno Welzel wrote:
Ralph A. Schmid, dk5ras:
[...]
Redet ihr vielleicht alle nur gekonnt aneinander vorbei? Die Folge aus
dem Komprimierer vermag durchaus den Ansprüchen der Verschlüsselung
erst mal entsprechen, die Folge wirkt zufällig, und jedes Tool zur
Evaluierung wird ohne Kenntnis der Herkunft sagen, jawoll, die ist
gut, die kann der Algo verwenden. Nur eben, daà sie nicht zufällig
ist, aber man natürlich die Ursprungsdaten und den Komprimierer kennen
muÃ, um die nicht-Zufälligkeit zu erkennen.
Nein, man muss *nur* den Komprimierer kennen und kann dann *immer* die
Ausgangsdaten wiederherstellen.
Das wird in der Praxis aber nicht gemacht.
Man will keine Zufallsdaten aus komprimierten Daten gewinnen!
Das ist Nonsens.
Wozu dann dein wiederholter Hinweis darauf, dass komprimierte Daten die
Anforderungen an zufälliger Verteilung ausreichend erfüllen?
Warum? Weil das niemand kennt und niemals kennen wird.
Ich wohnte und wohne stets allein in allen meinen Wohnungen.
Drei Jahre bei datei.pfx ist aber okay.
Die müssen auch mal technologische Verbesserungen anbringen können.
On 06/07/2022 11:18, Arno Welzel wrote:
Helmut Schellong:
[...]
Das wird in der Praxis aber nicht gemacht.
Man will keine Zufallsdaten aus komprimierten Daten gewinnen!
Das ist Nonsens.
Wozu dann dein wiederholter Hinweis darauf, dass komprimierte Daten die
Anforderungen an zufälliger Verteilung ausreichend erfüllen?
Ich wuÃte aus den 1990ern, daà komprimierte Daten recht zufällig sind.
Nun entdeckte ich bei Tests, daà sie sogar die höchsten Ansprüche von CSPRNG erfüllen!
Und genau das teilte ich mit - nicht mehr.
Auch diese Mitteilung der Mitteilung wiederhole ich nun zum x-ten Male.
Ich habe drei solche Dateien, die haben je 10495 Byte.Helmut Schellong:
[...]
Drei Jahre bei datei.pfx ist aber okay.
Die müssen auch mal technologische Verbesserungen anbringen können.
Ja, da handelt es sich ja auch um ein *Zertifikat* und nicht um ein
Passwort. Hier ist es sinnvoll, dies auch ab und zu zu erneuern.
Diese Daten sind Gegenstand von intensiver Forschung.Helmut Schellong:
On 06/07/2022 11:18, Arno Welzel wrote:
Helmut Schellong:
[...]
Das wird in der Praxis aber nicht gemacht.
Man will keine Zufallsdaten aus komprimierten Daten gewinnen!
Das ist Nonsens.
Wozu dann dein wiederholter Hinweis darauf, dass komprimierte Daten die
Anforderungen an zufälliger Verteilung ausreichend erfüllen?
Ich wuÃte aus den 1990ern, daà komprimierte Daten recht zufällig sind.
Nun entdeckte ich bei Tests, daà sie sogar die höchsten Ansprüche von CSPRNG erfüllen!
Und genau das teilte ich mit - nicht mehr.
Auch diese Mitteilung der Mitteilung wiederhole ich nun zum x-ten Male.
Diese Mitteilung war aber komplett überflüssig, da mit diesen Daten
niemand etwas macht, egal wie zufällig sie aussehen mögen.
On 06/07/2022 14:41, Arno Welzel wrote:
Helmut Schellong:
On 06/07/2022 11:18, Arno Welzel wrote:
Helmut Schellong:
[...]
Das wird in der Praxis aber nicht gemacht.
Man will keine Zufallsdaten aus komprimierten Daten gewinnen!
Das ist Nonsens.
Wozu dann dein wiederholter Hinweis darauf, dass komprimierte Daten die
Anforderungen an zufälliger Verteilung ausreichend erfüllen?
Ich wuÃte aus den 1990ern, daà komprimierte Daten recht zufällig sind.
Nun entdeckte ich bei Tests, daà sie sogar die höchsten Ansprüche von CSPRNG erfüllen!
Und genau das teilte ich mit - nicht mehr.
Auch diese Mitteilung der Mitteilung wiederhole ich nun zum x-ten Male.
Diese Mitteilung war aber komplett überflüssig, da mit diesen Daten
niemand etwas macht, egal wie zufällig sie aussehen mögen.
Diese Daten sind Gegenstand von intensiver Forschung.
Nicht ohne Grund wurde die Zufälligkeit in den 1960ern bewiesen. ...
On 06/07/2022 14:40, Arno Welzel wrote:
Helmut Schellong:
[...]
Drei Jahre bei datei.pfx ist aber okay.
Die müssen auch mal technologische Verbesserungen anbringen können.
Ja, da handelt es sich ja auch um ein *Zertifikat* und nicht um ein
Passwort. Hier ist es sinnvoll, dies auch ab und zu zu erneuern.
Ich habe drei solche Dateien, die haben je 10495 Byte.
Die neueste hat 13183 Byte...
Ein PaÃwort muà ja dort eh eingegeben werden, nach Angabe der Datei.
Helmut Schellong wrote:
Mein PaÃwort für Unix-Betriebssysteme ist seit 1988 in Benutzung.
Also 8 Zeichen crypt().
Warum? Weil das niemand kennt und niemals kennen wird.
Ich wohnte und wohne stets allein in allen meinen Wohnungen.
Ist jedenfalls aus dem passwd-String (gab es damals schon shadow?)
einfachst rekonstruierbar.
Doch, es ist eine erstaunliche Entdeckung, daà die Qualität genau so hoch ist,Helmut Schellong:
On 06/07/2022 14:41, Arno Welzel wrote:
Helmut Schellong:
On 06/07/2022 11:18, Arno Welzel wrote:
Helmut Schellong:
[...]
Das wird in der Praxis aber nicht gemacht.
Man will keine Zufallsdaten aus komprimierten Daten gewinnen!
Das ist Nonsens.
Wozu dann dein wiederholter Hinweis darauf, dass komprimierte Daten die
Anforderungen an zufälliger Verteilung ausreichend erfüllen?
Ich wuÃte aus den 1990ern, daà komprimierte Daten recht zufällig sind.
Nun entdeckte ich bei Tests, daà sie sogar die höchsten Ansprüche von CSPRNG erfüllen!
Und genau das teilte ich mit - nicht mehr.
Auch diese Mitteilung der Mitteilung wiederhole ich nun zum x-ten Male.
Diese Mitteilung war aber komplett überflüssig, da mit diesen Daten
niemand etwas macht, egal wie zufällig sie aussehen mögen.
Diese Daten sind Gegenstand von intensiver Forschung.
Nicht ohne Grund wurde die Zufälligkeit in den 1960ern bewiesen. ...
Mag sein, das ist dennoch für den Kontext \"Verwendung als Grundlage für
Verschlüsselung\" nicht relevant.
Helmut Schellong:
On 06/07/2022 14:40, Arno Welzel wrote:
Helmut Schellong:
[...]
Drei Jahre bei datei.pfx ist aber okay.
Die müssen auch mal technologische Verbesserungen anbringen können.
Ja, da handelt es sich ja auch um ein *Zertifikat* und nicht um ein
Passwort. Hier ist es sinnvoll, dies auch ab und zu zu erneuern.
Ich habe drei solche Dateien, die haben je 10495 Byte.
Die neueste hat 13183 Byte...
Ein PaÃwort muà ja dort eh eingegeben werden, nach Angabe der Datei.
Es handelt sich dennoch um ein Zertifikat.
Niemand konnte es auslesen, auch heute nicht, und auch nicht in Zukunft.Hanno Foest schrieb:
Helmut Schellong wrote:
Mein PaÃwort für Unix-Betriebssysteme ist seit 1988 in Benutzung.
Also 8 Zeichen crypt().
Warum? Weil das niemand kennt und niemals kennen wird.
Ich wohnte und wohne stets allein in allen meinen Wohnungen.
Ist jedenfalls aus dem passwd-String (gab es damals schon shadow?) einfachst rekonstruierbar.
shadow wurde wohl erst irgendwann Anfang der 1990er Jahre als Option eingeführt mit SCO UNIX System V 3.2 Version 4.0
Helmuts Passwort (so denn seine Behauptung zuträfe - so dumm ist doch nichtmal er) wäre demnach trivial zu \"knacken\". Jeder konnte es auslesen
On 06/07/2022 15:39, Arno Welzel wrote:
Helmut Schellong:
On 06/07/2022 14:40, Arno Welzel wrote:
Helmut Schellong:
[...]
Drei Jahre bei datei.pfx ist aber okay.
Die müssen auch mal technologische Verbesserungen anbringen können.
Ja, da handelt es sich ja auch um ein *Zertifikat* und nicht um ein
Passwort. Hier ist es sinnvoll, dies auch ab und zu zu erneuern.
Ich habe drei solche Dateien, die haben je 10495 Byte.
Die neueste hat 13183 Byte...
Ein PaÃwort muà ja dort eh eingegeben werden, nach Angabe der Datei.
Es handelt sich dennoch um ein Zertifikat.
Ja, dem habe ich nicht widersprochen.
Erst das Zertifikat, dann das PaÃwort.
On 06/07/2022 17:12, Rupert Haselbeck wrote:
Hanno Foest schrieb:
Helmut Schellong wrote:
Mein PaÃwort für Unix-Betriebssysteme ist seit 1988 in Benutzung.
Also 8 Zeichen crypt().
Warum? Weil das niemand kennt und niemals kennen wird.
Ich wohnte und wohne stets allein in allen meinen Wohnungen.
Ist jedenfalls aus dem passwd-String (gab es damals schon shadow?) einfachst rekonstruierbar.
shadow wurde wohl erst irgendwann Anfang der 1990er Jahre als Option eingeführt mit SCO UNIX System V 3.2 Version 4.0
Helmuts Passwort (so denn seine Behauptung zuträfe - so dumm ist doch nichtmal er) wäre demnach trivial zu \"knacken\". Jeder konnte es auslesen
Niemand konnte es auslesen, auch heute nicht, und auch nicht in Zukunft.
Wenn daran jemand zweifelt, dann soll er erzählen, wie man es bei mir ausliest.
Ich hatte bereits geschrieben, daà zu meinem PC in meiner Wohnung nur ich Zutritt habe.
Das ist korrekt.Helmut Schellong:
On 06/07/2022 17:12, Rupert Haselbeck wrote:
Hanno Foest schrieb:
Helmut Schellong wrote:
Mein PaÃwort für Unix-Betriebssysteme ist seit 1988 in Benutzung.
Also 8 Zeichen crypt().
Warum? Weil das niemand kennt und niemals kennen wird.
Ich wohnte und wohne stets allein in allen meinen Wohnungen.
Ist jedenfalls aus dem passwd-String (gab es damals schon shadow?) einfachst rekonstruierbar.
shadow wurde wohl erst irgendwann Anfang der 1990er Jahre als Option eingeführt mit SCO UNIX System V 3.2 Version 4.0
Helmuts Passwort (so denn seine Behauptung zuträfe - so dumm ist doch nichtmal er) wäre demnach trivial zu \"knacken\". Jeder konnte es auslesen
Niemand konnte es auslesen, auch heute nicht, und auch nicht in Zukunft.
Wenn daran jemand zweifelt, dann soll er erzählen, wie man es bei mir ausliest.
Ich hatte bereits geschrieben, daà zu meinem PC in meiner Wohnung nur ich Zutritt habe.
Dann brauchst Du faktisch gar kein Passwort, es kommt ja niemand an den
PC heran.
Holger Schieferdecker:
Am 24.05.2022 um 10:28 schrieb Arno Welzel:
[...]
Bei komprimierten Daten ist das aber nicht so, weil die Komprimierung
von Daten reversibel ist und man daher aus diesen Daten auch wieder die
Ursprungsdaten rekonstruieren kann. Daher ist das Ergebnis auch nur so
\"zufällig\", wie die Ausgangsdaten.
Dann könnte man die Ausgangsdaten also bildlich gesprochen als Seed für
den \"Zufallszahlengenerator\" betrachten?
Nein, da \"Komprimierung\" ja *kein* Zahlengenerator ist, sondern nur die
Umformung von Daten in einer andere Form mit weniger Redundanz.
Für Kryptographie mag die Reversibilität negativ sein, aber wenn z.B.
Zufallszahlen für die Simulation einer Teilchenbewegung brauche, reicht
es doch, wenn sie statistisch verteilt sind.
Was ist \"statistisch verteilt\"?
Nein, Eingrenzung auf \"nicht zufällige Ausgangsdaten\". Wenn man die
Ausgangsdaten kennt, weià man auch, wie die komprimierten Daten dazu
aussehen. Die Zahl der Komprimierungsverfahren ist ebenfalls endlich.