Hallo Hagen,
Zitat von
negaH:
das setzt aber voraus das man weis wie die Entropy der unverschlüsselten Datei aussieht. Liegt die Datei nur verschlüsselt vor, und man weis nicht was da verschlüsselt wurde, so kann man auch nicht über die Entropy erkennen ob die Datei verschlüesselt wurde. Man kann nämlich auch Zufallsdaten verschlüsselt speichern, und im allgemeinen wird die Entropy der Verschüsselten Daten kleiner oder gleich groß der Entropy der unverschlüsselten Daten sein.
Man kann es abschätzen, das war meine Aussage. Und ebenfalls bemerkte ich, daß Packen und Verschlüsseln die gleichen Änderungen der Entropie bewirken. Nicht mehr, nicht weniger. Inwieweit ihm das nützen mag, muß er einschätzen können
Zitat von
negaH:
Eine gepackte Datei wiederum wird vergleichbar viel Entropie wie eine verschlüsselte Datei erzeugen, denoch sind die gepackten Daten nicht zwangsläufig verschlüsselt.
Das heißt du kannst gepackte Textdateien lesen? Glückwunsch!
Für mich ist Packen eine Form der Verschlüsselung, auch wenn man sich über den krytographischen Nutzen (widersteht Angriffen oder nicht ...) streiten kann.
Zitat von
negaH:
Ich kenne zZ. kein offizielles Verfahren das das könnte ohne eventuelle Header der Dateien zu analysieren. Also rein auf Basis der binären Daten erkennen kann ob diese verschlüsselt oder unverschlüsselt sind.
Abschätzen ... nicht ja oder nein sondern vielleicht
Zitat von
negaH:
Denkt man mal logisch darüber nach so widerspricht das ja auch dem Prinzip der Verschlüsselung. Die beste Verschlüselung ist diejenige der man es nicht ansieht.
Das ist aber Quark! Security through obscurity?
Also so sehr ich deine Fachkenntnisse in Sachen Kryptographie schätze, aber daß eine Verschlüsselung daran gemessen werden sollte, inwieweit sie erkennbar ist (nicht Typ sondern nur ob) das ist Quark. Da landen wir nämlich bei Steganographie, nicht mehr bei Krytographie.
Zitat von
negaH:
Dieses Resultat ist auch das was ich theoretisch erwartet hatte. Bei eine sicheren Verschlüsselung MUSS deren Entropie so angelegt sein das KEINE Rückschlüsse auf deren Inhalt möglich sind. Die wird mathematisch auch von Zufallsdaten oder eben stark komprimierten Daten erreicht. Somit kann man die reinen Daten einer Verschlüsselung, einer Komprimierung oder eines Zufallsstromes NICHT voneinander unterscheiden.
Stimmt, aber was hat dies bitte damit zu tun, ob erkennbar ist ob die Daten verschlüsselt (inkl. gepackt) sind? Richtig, nichts. Es war ja auch nicht die Frage ob man Zufallsdaten und verschlüsselte Daten auseinanderhalten kann, sondern ob man (strukturierte!) Daten und verschlüsselte Daten auseinanderhalten kann. Und da kann die Entropie sehr wohl ein Anhaltspunkt sein.
Also nochmal, es ging hier nicht um das was du so schön beschreibst. Es ging darum zu erkennen ob eine Datei mit bekannten Strukturen verschlüsselt vorliegt oder nicht - und da kannst du wohl kaum umhin zuzugeben, daß die Entropie ein Maß dafür ist (zumindest mit hoher Wahrscheinlichkeit - i.e. wenn die Daten nicht schon gepackt sind).
Gruß,