Au fost executate întreruperi criptografice în lumea reală după al Doilea Război Mondial?

Au existat exploatări cunoscute public ale unei întreruperi criptografice într-un sistem criptografic utilizat pe scară largă pentru a citi efectiv informații criptate (sau autentificare fals) de la Ultra program în al Doilea Război Mondial?

Vreau să-mi definesc termenii cât mai precis posibil pentru a clarifica ce vreau să spun. Un exemplu de ceea ce caut are nevoie pentru a satisface trei cerințe:

1. Trebuie să fie o Adevărat întrerupere criptografică, care rezultă din criptoanaliza matematică, spre deosebire de atacul pe canal lateral, atacul din interior, eroarea de implementare, generatorul de numere aleatoare defectuos, atacul cu forță brută etc. Cu alte cuvinte, trebuie să exploateze o slăbiciune fundamentală a algoritmului matematic de bază. asta nu se știa la acea vreme. Știu că linia dintre o „eroare de implementare” și a „slăbiciunea fundamentală” este oarecum subiectivă, dar o regulă bună de degetul mare este că, dacă acesta din urmă este dezvăluit public, atunci de bază cifrul nu poate fi reparat cu ușurință și trebuie abandonat. (O altă regulă degeaba este că un expert contemporan în criptografie ar avea trebuia să se gândească destul de mult pentru a înțelege cum exploatează a lucrat; nu ar fi fost banal să-i explic exploata lor.)

2. Pauza trebuie să fi fost executată efectiv în lumea reală pentru a citi efectiv informații criptate „în sălbăticie” sau pentru a se autentifica în mod fals fără știrea/permisiunea expeditorului. O demonstrație că o pauză ar fi plauzibil de executat în practică nu contează.

3. Algoritmul trebuie să fi fost utilizat pe scară largă, de ex. într-un cadru de internet, comercial sau guvernamental. Din nou, ceea ce contează ca „la scară largă” este puțin subiectiv, dar nu contează dacă Alice își inventează propriul algoritm de criptare pentru a se distra, îl folosește pentru a trimite un mesaj criptat lui Bob, iar apoi prietenul lor Charlie îl rupe. O regulă generală bună pentru ceea ce contează ca „la scară largă” este că acest algoritm de criptare a fost folosit de oameni care nu aveau nicio legătură directă cu creatorul algoritmului.

(Acum, recunosc că, prin însăși natura criptografiei, oricine a dezvoltat o astfel de întrerupere ar avea un stimulent puternic să nu facă public acest fapt, așa că orice astfel de întreruperi ar putea să nu fie de cunoștință publică.Dar sunt curios dacă vreuna dintre ele a fost dezvăluită public.)

Un exemplu care îmi vine imediat în minte este atacul asupra WEP, care se bazează pe un atac cu cheie necunoscut (pentru designeri la acea vreme) legat de RC4, care duce la o recuperare a cheii.

1. Trebuie să fie o adevărată întrerupere criptografică, care decurge din criptoanaliza matematică

Verifica; atacul exploatează designul algoritmului de configurare a cheii RC4.

2. Pauza trebuie să fi fost de fapt executată în lumea reală

Verifica; atacul a fost, de fapt, folosit în teren pentru a recupera numerele de carduri de credit; de fapt, la câțiva ani după ce atacul a fost publicat (deoarece operatorul nu s-a obosit să-și actualizeze rețeaua wireless).

3. Algoritmul trebuie să fi fost utilizat pe scară largă, de ex. într-un cadru de internet, comercial sau guvernamental.

Verifica; WEP era, la acea vreme, destul de utilizat pe scară largă.

Un exemplu este utilizarea criptării vocii GSM A5/1, folosit în Europa și SUA pe canalul de voce al conexiunii radio a telefoanelor mobile înainte de 3G. În timp ce cu un algoritm bun dimensiunea cheii de 80 de biți a lui A5/1 ar fi un obstacol serios în calea decriptării chiar și în zilele noastre, criptoanaliza în timp real este posibilă și utilizabilă pentru a decoda interceptările radio pasive.

1. Trebuie să fie o adevărată întrerupere criptografică, care decurge din criptoanaliza matematică

Este cazul lui Alexander Maximov, Thomas Johansson, al lui Steve Babbage Un atac de corelație îmbunătățit pe A5/1, în Procedura SAC 2004, ameliorându-se pe o atac anterior.

2. Pauza trebuie să fi fost de fapt executată în lumea reală

este larg răspândit acesta este cazul, în completare a atacurilor active (care implică o criptoanaliza mai elementară și pot dezvălui mai multe informații decât voce). Consider că acest lucru trebuie să fie cazul din cauza a două avantaje operaționale ale interceptărilor pasive: nu pot fi detectate și pot permite interceptări masive (care, pe de altă parte, ar putea fi mai ușoară în alte puncte ale rețelei).

3. Algoritmul trebuie să fi fost utilizat pe scară largă, de ex. într-un cadru de internet, comercial sau guvernamental.

A5/1 a fost utilizat pe scară largă în Europa și SUA pentru serviciul de voce GSM, înainte de a fi (din câte știu eu) înlocuit de 3G.

Notă: întrebarea nu cere că algoritmul a fost selectat ca fiind considerat sigur, în limitele intrinseci ale dimensiunii cheii și ale stării sale, de către toate părțile implicate în decizia de a-l selecta. Nu am o opinie informată despre dacă acesta a fost cazul pentru A5/1 și mi-ar plăcea informații despre asta. Nu am nicio îndoială că ceva cu adevărat indestructibil ar fi fost respins¹, dar mă întreb dacă o criptoanaliza a interceptărilor pasive mai bună decât ceea ce este evident posibil, având în vedere cheia de 80 de biți + starea a fost cunoscută la momentul alegerii și a influențat-o.

¹ În perioada 1970-2000 (aproximativ), existau legi și reglementări în vigoare în multe țări vizate de GSM care interziceau criptografia eficientă pentru dispozitivele oferite spre vânzare publicului larg², iar acestea erau încă aplicate într-o anumită măsură. Prin urmare, cred cu tărie că producătorii de standarde au fost atenți să nu propună un standard pe care administrațiile l-ar considera prea puternic, de teamă că ratificarea standardului sau implementarea ar fi încetinită. Văd că este motivul pentru care A5/1 are o stare de 80 de biți și dimensiunea maximă a cheii.

² De ex. în Franța, pentru a permite interceptarea de către autorități, cripto-ul de peste 40 de biți a fost în principiu interzis prin lege, cu scutiri oficiale AFAIK doar pentru aplicațiile cripto cu ușă în spate sau foarte închise, la discreția autorităților.Limita urma să fie aleasă de guvern, nu fusese schimbată de ani de zile, iar în 1999 a trecut brusc de la 40 la 128 de biți, schimbând efectiv în totalitate sensul legii.

DVD-ul Sistemul de amestecare a conținutului.

1. Trebuie să fie o adevărată întrerupere criptografică, care decurge din criptoanaliza matematică

Deși cifrul este intrinsec slab, la doar 40 de biți, forțarea brută a necesitat încă aproximativ 24 de ore pentru a epuiza spațiul de taste când sistemul a fost prima spart. Atacurile criptoanalitice l-au redus la 25 de biți efectivi, permițând recuperarea cheilor de disc în câteva secunde.

2. Pauza trebuie să fi fost de fapt executată în lumea reală

Da. Foarte. În aceste zile, principala implementare a pauzei este aceea libdvdcss are cod pentru un atac de preimagine de 2^25 de complexitate pe hash-ul cheii de disc în cazul în care niciuna dintre cele 32 de chei ale playerului (de asemenea, rezultatul unui atac criptoanalitic) nu funcționează cu un anumit DVD.

3. Algoritmul trebuie să fi fost utilizat pe scară largă

Fiecare DVD produs comercial includea (și încă include) conținut criptat cu CSS.

The Dual EC DRBG Hackul Juniper Networks ar trebui să se califice.

1. Trebuie să fie o adevărată întrerupere criptografică, care decurge din criptoanaliza matematică

În 1997 au prezentat Adam L. Young și Moti Yung un ziar la Eurocrypt care detaliază un generator de chei secret „cleptografic” care a introdus o ușă din spate matematică în schimburile de chei Diffie Hellman.

Generatorul Dual EC DRBG a fost propus câțiva ani mai târziu, cu construcție aproape identică cu ușa din spate Diffie Hellman.

2. Pauza trebuie să fi fost de fapt executată în lumea reală

La începutul anilor 2000, standardul Dual EC DRBG era puternic promovat de NSAși a fost inclus în standardele criptografice ANSI X9.82 și ISO/IEC 18031:2005. RSA l-a adoptat în biblioteca lor BSAFE ca generator implicit de numere aleatorii.

În ciuda protestelor matematicienilor care analizaseră algoritmul şi a identificat unele defecte în ea, a fost publicat în cele din urmă în NIST SP 800-90A în 2006 -- defecte încă prezente.

În 2007, Dan Shumow și Niels Ferguson au demonstrat o implementare a algoritmului Dual EC DRBG care conține o ușă din spate pe care au construit-o folosind propria lor constantă Dual EC. http://rump2007.cr.yp.to/15-shumow.pdf

În 2008 Juniper Networks a implementat Dual EC DRBG ca PRNG folosit de sistemul lor de operare ScreenOS, folosit în sistemele lor de firewall NetScreen de clasă enterprise.

În 2012, NIST actualizat SP 800-90A, iar Dual EC DRBG a fost încă recomandat.

În 2013, Reuters a publicat informații din scurgerea lui Snowden care afirmă că NSA plătise RSA 10 milioane de dolari pentru a implementa Dual EC DRBG ca PRNG implicit.

În 2015, NIST a retras SP 800-90A, înlocuindu-l cu SP 800-90A Rev. 1, care a eliminat în cele din urmă Dual_EC_DRBG ca PRNG recomandat.

În 2016 Juniper Networks a eliminat Dual EC DRBG din ScreenOS. La acel moment, au dezvăluit că hackeri necunoscuți s-au infiltrat în sistemele lor încă din 2012 și au modificat codul sursă la ScreenOS, înlocuind constanta Dual EC specificată de NIST cu o constantă de origine necunoscută.

3. Algoritmul trebuie să fi fost utilizat pe scară largă

RSA l-a adoptat în biblioteca lor BSAFE ca generator implicit de numere aleatorii; a fost inclus în ANSI X9.82, ISO/IEC 18031:2005 și NIST SP 800-90A. La un moment dat s-a estimat că o treime din tot traficul SSL folosea chei generate de Dual EC DRBG [necesită citare].

Presupusul acord cu NSA a ajuns să aibă un impact fatal asupra afacerii RSA. În 2017-2018, RSA a anunțat brusc încetarea popularului lor produs RSA Key Manager și Data Protection Manager, care deținea aproximativ 70% din cota de piață pentru serverele de chei criptografice. Serverele de chei sunt folosite de furnizorii de servicii web, bănci, instituții financiare și alte companii mari pentru a proteja totul, de la cheile serverului web, la transferuri bancare și la cheile utilizate pentru a cripta codurile PIN ale cărților de credit. Suportul pentru linie a fost renunțat complet, niciun produs de înlocuire nu a fost lansat vreodată și nu a fost oferită nicio explicație. RSA a trecut de la un lider mondial la practic mort ca companie de criptografie.

Este demn de remarcat faptul că tipul de mașină de criptare pe care s-a bazat Enigma din timpul războiului a fost folosit timp de câteva decenii după război și că faptul că acest tip de criptare a fost spart de polonezi/britanici nu era cunoscut pe scară largă.

Acest lucru a determinat serviciile de informații americane și vest-germane să preia un constructor elvețian de mașini de criptare, să vândă aceste mașini compromise companiilor și guvernelor din întreaga lume și să le poată spiona cu ușurință.

Informațiile adunate prin interceptarea mesajelor criptate de aceste mașini au fost folosite până la Criza ostaticilor iranieni (1979) și Războiul Falklands (1982), moment în care țări precum Iran și Argentina le foloseau încă.

Mai multe informații în acest articol BBC: https://www.bbc.com/news/world-europe-51467536

The Protecție a conținutului digital cu lățime de bandă mare standardul (HDCP) a fost încălcat. Acest sistem a fost implementat pe scară largă, deși această poveste are, fără îndoială, mai multă „putere de rezistență” nu pentru noua criptoanaliza (deși au existat unele), ci pentru că a fost un exemplu timpuriu al legii DMCA din SUA care limitează diseminarea cercetării criptografice de teama procesului. . Vedea Postarea lui Niels Ferguson pe această temă. Pentru un rezumat al criptoanalizei, consultați primul link.

Rețineți că există povești similare (despre DMCA folosit pentru a suprima cercetarea) care pot oferi alte răspunsuri pentru aceasta, deoarece (în general) se întâmplă atunci când un grup industrial are o miză financiară în oprirea criptoanalizei, aproape întotdeauna pentru a preveni „lumea reală”. atacuri”. Aceste atacuri se pot datora problemelor de implementare sau atacurilor pe canale laterale, deși nu sunt întotdeauna (cum ar fi versiunile inițiale de HDCP).

Keeloq, care este folosit pentru garaje, porți și mașini. Poate alte lucruri?

Orice folosește DES. Aruncăm o privire la https://crack.sh pentru a vedea diferite protocoale care au folosit DES, de ex. vpn pptp, întreprindere wpa2 cu Mschapv2. Netntlmv1, et. al.