Author: bolo Date: To: hackmeeting Subject: Re: [Hackmeeting] Secure phone?
On 11/02/2016 12:33, pasky@??? wrote: > On 2016-02-11 11:17, bolo wrote:
>> Cosa ti fa pensare quindi che avere una stock ROM sia piu' sicuro?
>> Esistono altri contesti per cui dovrei avere l'intero contenuto del mio
>> telefono, cifrato?
>
> A me sfugge invece il fatto che anche con un attacco a forza
> bruta se la password è lunga solo 8 caratteri siamo nell'ordine
> di 2^63 tentativi che devono essere fatti, ovvio sempre se
> la password non è presente nel dizionario per cui non sto
> parlando di un "attacco a dizionario", ma a "forza bruta", e
> da matematico le funzioni esponenziali sono quelle che cresono
> più di una torta pasqualina, ora personalmente le password
> sono caratteri alfanumerici e speciali di lunghezza tra 12
> e 18, per cui l'attacco a dizionario puoi pure dimenticarlo
> a priori e le tue 2 ore per ottenere la password con l'attacco
> a forza bruta mi sembrano un bel pò sottostimante, bè si
> se hai un Cray sotto il culo magari ce la fai...
>
Stai facendo un po' di confusione.
Ho dato un tempo indicativo di 2 ore per effettuare l'unlock del
bootloader non per fare il bruteforcing della password.
Sbloccare il bootloader significa modificare il bootlader in modo da
permettere la sovrascrittura di parti del filesystem per poterci
installare programmi come ad esempio il programma "su" che garantisce la
shell di root sul telefono oppure poter flashare un Custom ROM, non
c'azzecca niente con il brute forcing della password.
Per quanto riguarda il problema della complessita' computazionale del
brute force hai ragione, ma devi anche considerare che Android ti
permette di impostare un PIN di soli numeri al posto di una password e
questo riduce notevolemente la complessita'.
