Tuxicoman : Attaque brute-force en Python sur chiffrement en GPG symétrique
mercredi 7 octobre 2015 à 07:12Le hollandais volant a récemment écrit un article montrant comment utiliser chiffrement symmétrique de GPG sur un fichier en ligne de commande.
Je voudrais compléter son article.
Vous pouvez également facilement chiffrer un fichier avec GPG depuis l’explorateur de fichier de Gnome. Clic droit sur le fichier, choisissez « Chiffrer… » dans le menu déroulant puis la case « use passphrase only » dans la fenêtre de dialogue qui apparaît.
Mais attention, que ce soit en ligne de commande ou en graphique, la complexité du mot de passe est très importante !
Pour le montrer, j’ai codé un bruteforce-GPG-Python3 (sans prétention de performances).
Si le mot de passe est composé de 5 lettres en minuscules, il suffit de 6h de calcul avec ce script sur ma machine de 2012 pour retrouver le mot de passe.
Si le mot de passe est composé de 4 lettres en minuscules, il suffit de 20 minutes…
Donc GPG c’est sûrement bien, mais si votre mot de passe est simple, c’est comme avoir une porte blindée avec la clé sous le paillasson.
Maintenant, quels sont les critères qui font un bon mot de passe? Ce serait un peu court à résumer en quelques mots. Documentez-vous.
$ python3 brute_decrypt_gpg.py
Counting combinations...
Combinations to test: 456976
Start testing...
time per test: 1.70e-03 sec. Remaining tests: 453976. ETA to complete: 0.21 h.
...
time per test: 1.77e-03 sec. Remaining tests: 417976. ETA to complete: 0.21 h.
possible password 'chat' found
Related Posts:
- Changer le mot de passe d’un disque chiffré avec dm-crypt
- Iceweasel passe en version 38 sur Jessie
- Installation automatique des mises à jour de sécurité sur Debian
- Les gardiens du nouveau monde
- Aide à une noob par reverse SSH
Original post of Tuxicoman.Votez pour ce billet sur Planet Libre.
Articles similaires
- Tuxicoman : Récupérer en clair tous les mots de passe Firefox avec un script Python (05/11/2014)
- Tuxicoman : Faille dans le noyau Linux : le root en 1 clic sur Android (20/06/2014)
- Tuxicoman : Avec HSTS, forcez vos visiteurs à revenir en HTTPS sur votre site web (22/08/2014)
- Tuxicoman : Transférer facilement ses fichiers avec une ligne de Python (22/11/2014)
- Tuxicoman : Iceweasel passe en version 38 sur Jessie (13/08/2015)