home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / sci / crypt / 6586 < prev    next >
Encoding:
Text File  |  1993-01-09  |  2.4 KB  |  55 lines
  1. Newsgroups: sci.crypt
  2. From: Owen.Lewis@purplet.demon.co.uk (Owen Lewis)
  3. Path: sparky!uunet!pipex!demon!purplet!Owen.Lewis
  4. Subject: Re: Limits on the Use of
  5. Organization: FidoNet node 2:252/305 - The Purple Tentacle, Reading
  6. Date: Thu, 7 Jan 1993 01:29:00 +0000
  7. Message-ID: <30.2B4F51F2@purplet.demon.co.uk>
  8. Sender: usenet@demon.co.uk
  9. Lines: 44
  10.  
  11.  -=> Quoting Stu to All <=-
  12.  
  13.  St> The security of PGP's key encryption alogorithm is, as it should be,
  14.  St> only as strong as it's key.  While an 8 byte alphanumeric password is
  15.  St> hardly as secure as they 1024 bit key it protects, it would keep one
  16.  St> busy for a little while trying to break it..
  17.  
  18.  St> Assuming an 8 letter password, and say about 70 choices for each
  19.  St> letter ....... it would take
  20.  St> 5.765*10^8 seconds, or about 18 years - that seems awfully secure for a
  21.  St> simple password... if I boo boo'd, let me know..
  22.  
  23.  The maths gives only part of an answer. I think the main points might be:
  24.  
  25.         a. The expected safe time against any exhaustive attack is half 
  26.         the maximum.
  27.         b. The single variable with the most effect on pass word/phrase safe 
  28.         life is the number of characters used to compose the pass**** . By my 
  29.         calculation and assuming, as you do, a 70 char selection field and
  30.         given a powerful attack of 10,000,000 cpm, the following expected
  31.         safe-times would apply:
  32.                 1. Emma's boyfriend uses guess what length of password? 
  33.                 Expected safe time 4 minutes.
  34.                 2. 10 char password, EST of 2.69 million years.
  35.                 3. 11 character password, EST of 209.91 million years.
  36.                
  37. However, such figures only hold true if password selection is truly random. 
  38. With no electronic aid, it took me less than 30 seconds to crack the 
  39. example 1 password. Given the vagaries of language construction and of human 
  40. nature, 8 letter passwords can often be broken in a matter of hours/days by 
  41. relatively cheap attack. 
  42.  
  43. I think that the length of pass phrase allowed by PGP goes at least some way 
  44. to redress the balance. A memorised phase of not less than 90 characters, 
  45. consisting of more than one language and containing just a few high ASCII 
  46. characters might prove quite tough. However, its use does require a different 
  47. level of self discipline (and keyboard skill) than plain old 'Emma'. Even 
  48. then, I believe that the passphrase is a point of relative vulnerability for 
  49. serious users. 
  50.  
  51.  
  52.  
  53. ___ Blue Wave/QWK v2.11
  54.  
  55.