Wieso keine PRNG für Kryptografische Schlüsselgenerierung?

Wieso werden manchmal keine PseudoRandomNumberGenerators sondern "echter" physikalischer Zufall für die Schlüsselgenerierung genutzt. Zum Beispiel von Cloudflare

https://www.youtube.com/watch?v=1cUUfMeOijg

Lavalampen, die gefilmt werden.

Welche kryptografische Schwachstelle würde es erzeugen, wenn nur aus PRNG generierte Nummern benutzt werden?

1 Antwort

Von Experte Halbrecht bestätigt

KarlRanseierIII

26.08.2023, 18:54

Kenne ich den Startwert/inneren Zustand, kann ich die Folgewerte bestimmen, da deterministisch beim PRNG.

Kenne ich die Zufallszahlenfolge, kann ich die Erzeugung des Schlüssels rekonstruieren und kenne folglich den Schlüssel.

Selbst wenn ich den inneren Zustand nicht kenne, sondern nur relaativ genau abschätzen kann, ergibt sich das gleiche, anstatt des einen Schlüssels erhalte ich dann eben eine überschaubare Anzahl von Kandidaten, die ich durchtesten kann.

Ähnliche Fragen

Mac oder PC?

Was benutzt ihr, Mac oder PC? Und aus echter Überzeugung oder weil es beruflich vorgegeben ist oder eher aus Zufall?

...zur Frage

Welche DNS Abfragen werden derzeit hauptsächlich verwendet?

Ich kenn die Möglichkeiten, aber weiß nicht im Internet eigentlich wirklich zum Einsatz kommt. Mir gehts um eine grobe Richtung.

Werden "Rekursive Anfrage", "Iterative Anfrage" oder "Nicht rekursive Anfrage" genutzt?

Zu welchen Teilen werden die 13 "Root-Server", Firmenserver (Google, Cloudflare) oder dezentrale/eigene Server benutzt?

...zur Frage

Komische Whatsappnachricht von Fremden?

Hallo. Habe heute morgen eine komische Whatsapp-Nachricht von einer arabischen Nummer erhalten. Ich habe diese Nummer seit knapp 2 Monaten. Was merkwürdig ist..ich hatte ebenfalls eine Aldi-Talk nummer die ich aber nie benutzt habe. Die war in einem anderen Handy drin. Da kam auch gestern eine Whatsappnachricht von einer unbekannten Nummer, jedoch war das diesmal eine Deutsche Nummer. Als Whatsappbild war Christian Heubel drauf. Und in der Nachricht stand ,,Hallo Peter hast du heute oder morgen Zeit." Das kann doch kein Zufall sein, dass innerhalb von zwei Tagen beide Nummern solche Nachrichten kriegen. Zudem ich die Aldi Talknr auch nie benutze und die Nummer auch nicht weitergegeben hatte.

Die Nachrichr kam heute morgen auch meine richtige Nummer. Ich habe seit 2,5 Monaten Cyberghost instaliert und seit dem kommen komische Nachrichten. Kank es damit zusammenhängen?

...zur Frage

Existierenden Private Key in Putty laden?

Hallo,

Folgendes Problem: Nachdem ich einen neuen PC angeschafft habe und alles neu installiert werden musste möchte ich mich hier grade mit Putty per SSH in einen Server einloggen. Ein direktes Laden der Session / Schlüsselfiles vom Image, dass ich vom alten Rechner auf Externer kreiert habe funktioniert aus unerfindlichen Gründen nicht, (evtl. wg. fehlender Zugriffsrechte?) somit musste alles neu eingegeben werden.

IP, Port, Benutzer, doch anscheinend kann der Server ohne den Private Key nicht viel damit anfangen, der zwar vorhanden ist doch jetzt kommt die ganz blöde Frage: Wo oder mit was öffnet man diesen File in Putty? Leider scheint es in der Software entweder nirgends eine funktionierende Option zu geben (oder bei der hier installierten Puttyversion ist irgendwas verkehrt) oder ich bin mal wieder wirklich zu dumm das hier zu bedienen??

Mit dem separaten PuttyGen kann man diesen zwar importieren, doch es wird lediglich ein neues Private / Public Key Paar mit neuer Passphrase in einem beliebigen Verzeichnis kreiert... Ich finde das irgendwie ziemlich rätselhaft, da ja der Schlüssel irgendwo abgelegt werden muss!? Versteh ich hier nun irgendwas komplett falsch oder gibt es ein Verzeichnis von wo aus die Session mit dem pk gestartet wird?

Thx schon im voraus...

...zur Frage

Kryptographie Schlüsselmanagement in der Praxis?

Hallo,

für ein IT Audit muss meine Firma das Schlüsselmanagement für kryptographische Anwendungen dokumentieren.

Da wir keine eigene IT Abteilung haben, wurde mir diese Aufgabe übertragen obwohl ich da nur wenig Know-How habe.

Wir setzen folgende Anwendungen ein, die Verschlüsselung verwenden:

VPN (SSL-VPN)

Web-Zertifikate (https)

WLAN (WPA2 Enterprise)

Bitlocker

Für das automatische Erstellen und Speichen von Passwörtern benutzen wir die Anwendung "KeePass"

Wenn ich nach "Schlüsselmanagement" im Internet suche dann finde ich viele Treffer, diese beschreiben aber nur was Schlüsselmanagement ist, z.B dies:

• Ausstellung und Einholung von Public-Key-Zertifikaten

• Provisionierung und Aktivierung von Schlüsseln für beteiligte Dritte

• Sicheres Speichern eigener Schlüssel (sonstiger Dritter) einschließlich der

• Beschreibung, wie autorisierte Nutzer den Zugriff erhalten

• Ändern oder Aktualisieren von kryptografischen Schlüsseln einschließlich Richtlinien, die festlegen, unter welchen Bedingungen und auf welche Weise die Änderungen bzw. Aktualisierungen zu realisieren sind

• Umgang mit kompromittiertem Schlüssel

• Entzug und Löschen von Schlüsseln, bspw. im Falle von Kompromittierung oder Mitarbeiterveränderungen.

Ich suche aber eine konkrete Lösung um all dies umzusetzen, z.B eine Software oder ein Beispiel-Dokument, mit der ich das Schlüsselmanagement realisieren kann.

Mein Fragen:

Sind auch Passwörter, z.B zum Anmelden an Windows oder Webseiten, Schlüssel und ist dann "KeePass" ein Schlüsselmanagement Tool?

Wie würde man Schlüssel konkret managen, z.B gibt es eine Software eine Beispiel-Dokumentation, die ich als Vorlage verwenden könnte?

...zur Frage

Hat Tiktok meine Kontakte von WhatsApp benutzt?

Also ich nutze Tiktok jetzt schon über 1 Jahr und jeder kennt ja diese Konten die man vielleicht kennt. Letztens war ich dann auf Klassenfahrt und hab da mit einer Person über WhatsApp geschrieben mit der ich Jahrelang nicht geschrieben hab. Wieder zuhause schlägt Tiktok mir genau diese Person vor. Hat Tiktok dafür die Nummern genutzt, weil anders geht das wohl schlecht denn die Person mit der ich geschrieben hab wohnt 2 Stunde von mir entfernt.

...zur Frage

Serverauthentifizierung mit Public / Private Key, ist es normal, dass es auch ohne public geht?

Folgendes: Ich habe vor kurzem von einem Entwickler ein paar wichtige Änderungen an meinem System durchführen lassen. Dabei bekam dieser einen SSH-Zugriff für den ich ein neues Public / Private Key Paar erstellen musste. Nun wollte ich diesen Zugriff wieder aufheben und habe kurzzeitig alle auf dem Server hinterlegen Public Keys verändert bzw. überschrieben.

Doch mir ist nun aufgefallen, dass man via FileZilla trotzdem immer noch reinkommt!

Allein der lokale Private Key scheint auszureichen...

Ist das normal und wenn nein woran kann das liegen bzw. was muss hier gemacht werden?

...zur Frage

Meint ihr, er hat gute Absichten?

Ich (w, 18) habe vor ungefähr einer Woche einen 19-jährigen jungen Mann auf Tinder kennengelernt. Ich habe mich da ursprünglich nur abgemeldet um zu sehen, wer die Plattform aus meinem Umkreis sonst noch so benutzt, auf gar keinen Fall weil ich jemanden kennenlernen wollte. Wir haben uns aber von Anfang an gut verstanden und waren auf einer Wellenlänge, weshalb ich die App dann doch nicht wieder deinstalliert habe. Er hat von Anfang an großes Interesse gezeigt, kein oberkörperfreies Bild drin gehabt (was wirklich eine Seltenheit ist) und wirkte wie ein anständiger und witziger Junge.

Er hat mich dann relativ früh nach einem Treffen gefragt. Dadurch dass Tinder immer so als Plattform für was Schnelles und Unverbindliches abgestempelt wird, war ich (und bin es nach wie vor) natürlich ein bisschen verunsichert. Wir haben dann unsere Nummern ausgetauscht und nachdem ich ihm erzählt habe, dass ich mit Freunden gern Billard spiele, hat er die Gelegenheit genutzt und mich zu einer Partie herausgefordert. Wir haben uns dann einen geeigneten Ort ausgesucht, der sich in meinem Wohnort befindet, er hatte darauf bestanden, dass es kein Problem für ihn wäre, einen kleinen Fahrtweg in Kauf zu nehmen, weil ich mich anderswo nicht wirklich auskannte.

Und hier bin ich jetzt, natürlich total gespannt aber eben auch ein wenig ängstlich. Gibt es auf Tinder noch Jungs mit guten Absichten? Könnte er einer davon sein? Ich weiß, dass er dieses Wochenende sturmfrei hat, würde er mich nicht kennenlernen wollen, hätte er mich vermutlich zu sich nachhause eingeladen können, oder?

Ich bin für jede Meinung dankbar :)

Und was mich interessiert: hat jemand von euch schonmal ein wirklich ernstes Tinder-Date gehabt?

...zur Frage

pgp public key entschlüsseln?

Hallo,ich wollte fragen ob sich wer mit PGP auskennt und weis wie man sowas entschlüsselt habe mir das programm Kleopatra geholt aber weis nicht wie ich den schlüssel den ich habe entschlüsseln kann so das ich es lesen kann

...zur Frage

Public Key bei Email benutzen?

Ich würde gerne eine E-Mail an das valve security team schicken allerdings verlangt das einen public key, den ich auch habe aber wie verwende ich die kleine .asc Datei? 😅 Sowas habe ich noch nie gebraucht. 🤷‍♀️

...zur Frage

Kann man den Private mit dem Public Key vertauschen?

Wenn ich ein Text mit meinem Private Key verschlüssele, kann man ihn nur mit meinem Public Key entschlüsseln.

Wenn ich ein Text mit meinem Public Key verschlüssele, kann man ihn nur mit meinem Private Key entschlüsseln.

Public und Private Key kann man also sozusagen vertauschen, das Prinzip funktioniert immer noch?

Vielen Dank

...zur Frage

Warum ist ein Zufallsgenerator in Wahrheit kein Zufall und gibt es mehrere Programmierungen dafür die unterschiedlich gut sind?

Ich glaube dass ein Zufallsgenerator in Wahrheit kein Zufall ist, so sagte es auch meine damalige Physik- und Mathematiklehrerin. Ist es also so, dass irgend ein kompliziertes Zahlenausgabeverfahren programmiert wird, das am Ende seine Grenzen hat und in einem logischen System die Zahlen auswirft? Und gibt es verschiedene Programmierungen für Zufallsgeneratoren die unterschiedlich gut sind?

...zur Frage

Java Zufallszahl wird nicht angezeigt?

Hallo Leute,

ich habe eine Klasse namens "Zufallszahl" erstellt und es wird nichts ausgegeben, liegt das daran das ich ein Objekt der Klasse Zufallszahl in der Main.java deklarieren muss oder hat das einen anderen Grund?

import java.util.Random;

public class Zufallszahl {

  public static void main(String[] args){

    generierteZufallszahl();
}
  
      public static void generierteZufallszahl(){
  
          Random zufall = new Random();
  
          int Zahl = zufall.nextInt(5);
  
          System.out.print("Zufallszahl: " + Zahl);
      }
  }

...zur Frage

Mir hat jemand einen PGP Public Key Block geschickt?

Was kann ich damit nun machen?= Es ist eine Ellenlanger Text mit am Ende " End PGP Public Key Block.

Ich verstehe gar nichts. Kann ich das öffnen?

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen