Puncte:31

Au fost executate întreruperi criptografice în lumea reală după al Doilea Război Mondial?

drapel cn

Au existat exploatări cunoscute public ale unei întreruperi criptografice într-un sistem criptografic utilizat pe scară largă pentru a citi efectiv informații criptate (sau autentificare fals) de la Ultra program în al Doilea Război Mondial?

Vreau să-mi definesc termenii cât mai precis posibil pentru a clarifica ce vreau să spun. Un exemplu de ceea ce caut are nevoie pentru a satisface trei cerințe:

  1. Trebuie să fie o Adevărat întrerupere criptografică, care rezultă din criptoanaliza matematică, spre deosebire de atacul pe canal lateral, atacul din interior, eroarea de implementare, generatorul de numere aleatoare defectuos, atacul cu forță brută etc. Cu alte cuvinte, trebuie să exploateze o slăbiciune fundamentală a algoritmului matematic de bază. asta nu se știa la acea vreme. Știu că linia dintre o „eroare de implementare” și a „slăbiciunea fundamentală” este oarecum subiectivă, dar o regulă bună de degetul mare este că, dacă acesta din urmă este dezvăluit public, atunci de bază cifrul nu poate fi reparat cu ușurință și trebuie abandonat. (O altă regulă degeaba este că un expert contemporan în criptografie ar avea trebuia să se gândească destul de mult pentru a înțelege cum exploatează a lucrat; nu ar fi fost banal să-i explic exploata lor.)

  2. Pauza trebuie să fi fost executată efectiv în lumea reală pentru a citi efectiv informații criptate „în sălbăticie” sau pentru a se autentifica în mod fals fără știrea/permisiunea expeditorului. O demonstrație că o pauză ar fi plauzibil de executat în practică nu contează.

  3. Algoritmul trebuie să fi fost utilizat pe scară largă, de ex. într-un cadru de internet, comercial sau guvernamental. Din nou, ceea ce contează ca „la scară largă” este puțin subiectiv, dar nu contează dacă Alice își inventează propriul algoritm de criptare pentru a se distra, îl folosește pentru a trimite un mesaj criptat lui Bob, iar apoi prietenul lor Charlie îl rupe. O regulă generală bună pentru ceea ce contează ca „la scară largă” este că acest algoritm de criptare a fost folosit de oameni care nu aveau nicio legătură directă cu creatorul algoritmului.

(Acum, recunosc că, prin însăși natura criptografiei, oricine a dezvoltat o astfel de întrerupere ar avea un stimulent puternic să nu facă public acest fapt, așa că orice astfel de întreruperi ar putea să nu fie de cunoștință publică.Dar sunt curios dacă vreuna dintre ele a fost dezvăluită public.)

drapel kr
Ce ai facut pana acum? O simplă căutare pe Google pentru *„great crypto failures”* oferă multe rezultate relevante. Vă propun să închideți întrebarea.
Very Tiny Brain avatar
drapel cn
@mentallurg Toate rezultatele acelei căutări returnează exemple de eșecuri ale criptomonedelor, care nu are nimic de-a face cu întrebarea mea, care este despre algoritmii criptografici înșiși.
Very Tiny Brain avatar
drapel cn
[Această sursă](https://community.ibm.com/community/user/ibmz-and-linuxone/blogs/todd-arnold1/2020/12/21/real-world-cryptography) susține că acest „nu este unde atacurile din lumea reală au loc în general.” Mă întreb dacă atacurile din lumea reală *au loc vreodată aici (din câte știm).
fgrieu avatar
drapel ng
Ar conta criptografiile manipulate în mod intenționat? De exemplu. [Mașinile lui crypto AG](https://en.wikipedia.org/wiki/Crypto_AG#Compromised_machines)? De asemenea, este o cerință ca cripto-ul să fie considerat extrem de sigur de cei care l-au proiectat/selectat, ceea ce ar restrânge drastic alegerea? Nicio persoană rezonabilă nu ar avea încredere că acesta este cazul DES, A5/1 sau WEP simplu (care a declarat că obiectivul de securitate este destul de scăzut).
drapel ru
Programul Ultra în sine contează? Enigma a fost învinsă printr-un atac „Known-Plaintext” la fel ca cifrul „Violet” folosit de japonezi.
Very Tiny Brain avatar
drapel cn
@fgrieu Nu cunosc detaliile exacte ale compromisului crypto AG, dar înțeleg că aceasta a fost mai mult o eroare de implementare (intenționată) decât o slăbiciune fundamentală a algoritmului. De exemplu. mașinile din SUA erau foarte asemănătoare și erau (la acea vreme) complet sigure. Nu cred că voi cere ca cripto-ul să fie considerat extrem de sigur la acea vreme, dar „puncte bonus” dacă da.
Very Tiny Brain avatar
drapel cn
@JamesSnell Da, programul Ultra este exemplul paradigmatic despre ceea ce vorbesc, dar mă întreb despre orice exemple ulterioare.
Very Tiny Brain avatar
drapel cn
@JamesSnell La a doua lectură, nu pot spune dacă comentariul tău este nominalizarea unui candidat sau exprimarea scepticismului cu privire la dacă Ultra îmi satisface criteriile. Dar da, atacurile cunoscute în text clar sunt foarte întinse pentru întrebarea mea; Nu mă limitez doar la atacurile doar cu text cifrat.
V2Blast avatar
drapel pk
@VeryTinyBrain: Lectura mea despre comentariul lui James este că sugerează că exemplul Ultra nu îndeplinește criteriul #1. (Totuși, nu știu suficient pentru a judeca dacă această afirmație este corectă.)
drapel in
Susțin afirmația că programul Ultra probabil nu îndeplinește criteriul #1, cel puțin pentru mașinile enigma, deoarece aceasta nu a fost chiar o pauză, ci a fost o serie uriașă de atacuri care exploatează problemele procedurale în limba germană. masini. Nu știu destule despre mașina japoneză de cifrare de tip B pentru a comenta această latură a lucrurilor.
Very Tiny Brain avatar
drapel cn
@AustinHemmelgarn Sunt departe de a fi un expert, dar o parcurgere rapidă pe Wikipedia indică faptul că Enigma a fost un caz la limită. Din punct de vedere istoric, ai dreptate că matematicienii Ultra au profitat de numeroasele erori de implementare din partea germanilor.Algoritmul de bază în sine a fost destul de puternic, dar nu perfect și, cu siguranță, nu ar fi considerat la înălțime de standardele actuale (chiar și fără computere puternice). Opinia experților pare să fie că este foarte puțin probabil, dar nu complet imposibil, ca Aliații să fi putut sparge Enigma dacă germanii ar fi operat-o...
Very Tiny Brain avatar
drapel cn
... corect. Dar cel puțin ar fi fost mult mai greu. În schimb, cifrul japonez Purple pare să fi fost intrinsec slab și capabil să fie spart chiar și atunci când a fost operat perfect și a fost spart prin criptoanaliza „de manual”, mai degrabă decât prin exploatarea erorilor de implementare.
drapel ru
@VeryTinyBrain - Austen avea dreptate, verificam că întreruperea Enigma a îndeplinit de fapt primele tale criterii, deoarece a fost în principal o întrerupere în *utilizare* nu „o adevărată întrerupere criptografică”.
Stef avatar
drapel ng
*"Știu că linia dintre o „eroare de implementare” și o „slăbiciune fundamentală” este oarecum subiectivă, dar o regulă generală bună este că, dacă aceasta din urmă este dezvăluită public, atunci cifrul de bază nu poate fi reparat cu ușurință și trebuie abandonat.”* Cred că această regulă generală exclude de fapt spargerile din Bletchley Park...
Pablo H avatar
drapel us
Cred că în zilele noastre _atacurile pe canal lateral_ sunt (sau ar trebui să fie) considerate atacuri criptografice normale, sunt doar unul dintre posibilele atacuri la care algoritmii criptografici ar trebui să fie rezistenți.
Very Tiny Brain avatar
drapel cn
@PabloH Sunt cu siguranță „normale” în sensul că sunt obișnuite, dar scopul întrebării mele este de a identifica atacurile „în canal” mai puțin frecvente.De asemenea, nu cred că are sens să proiectăm un *algoritm* care să fie rezistent la atacurile pe canale laterale, care (mai mult sau mai puțin prin definiție) vizează punctele slabe ale detaliilor de implementare la nivel scăzut, mai degrabă decât algoritmul de nivel înalt. în sine. Este nevoie de un set de abilități foarte diferit pentru a proiecta un algoritm securizat dintr-o implementare securizată și, astfel, probabil că ați dori experți separati care să se ocupe de fiecare.
Micka avatar
drapel lr
https://blog.cryptographyengineering.com/2015/07/20/a-history-of-backdoors/
drapel cn
@VeryTinyBrain djb consideră că merită să proiecteze algoritmi care să fie rezistenți la atacurile pe canale laterale.
Very Tiny Brain avatar
drapel cn
@MartinBonnersupportsMonica Cine este djb?
drapel cn
@verytinybrain Daniel J Bernstein, autorul cărților Salsa20, ChaCha20, Poly1305, Curve25519
Mazura avatar
drapel ch
Nu ar fi mai scurtă lista criptografiilor care *nu* au fost sparte?
Very Tiny Brain avatar
drapel cn
@Mazura Cu siguranță nu, dacă doriți ca fisura să fi fost folosită în lumea reală înainte ca slăbiciunea să fie detectată și algoritmul să se retragă.
drapel cn
Aruncarea unui răspuns potențial în ring, prin intermediul unei întrebări principale... A fost vreodată întreruptă criptarea DoD a datelor de poziție de înaltă rezoluție în versiunile timpurii ale sistemului GPS?
Very Tiny Brain avatar
drapel cn
@NickMyra Nu știu, nu-i așa? Nu am auzit niciodată de asta; poti oferi mai multe detalii?
Very Tiny Brain avatar
drapel cn
Există câteva răspunsuri excelente la întrebarea mea care cred că îmi îndeplinesc pe deplin cerințele, dar, din păcate, pot accepta doar unul, așa că l-am acceptat pe cel care cred că le îndeplinește cel mai clar.
Puncte:52
drapel my

Un exemplu care îmi vine imediat în minte este atacul asupra WEP, care se bazează pe un atac cu cheie necunoscut (pentru designeri la acea vreme) legat de RC4, care duce la o recuperare a cheii.

  1. Trebuie să fie o adevărată întrerupere criptografică, care decurge din criptoanaliza matematică

Verifica; atacul exploatează designul algoritmului de configurare a cheii RC4.

  1. Pauza trebuie să fi fost de fapt executată în lumea reală

Verifica; atacul a fost, de fapt, folosit în teren pentru a recupera numerele de carduri de credit; de fapt, la câțiva ani după ce atacul a fost publicat (deoarece operatorul nu s-a obosit să-și actualizeze rețeaua wireless).

  1. Algoritmul trebuie să fi fost utilizat pe scară largă, de ex. într-un cadru de internet, comercial sau guvernamental.

Verifica; WEP era, la acea vreme, destul de utilizat pe scară largă.

drapel cn
Max
Mi s-a spus că, pentru o perioadă de timp după publicarea atacului, puteți găsi destul de obișnuit rețele wifi protejate prin WEP și că era destul de ușor să obțineți wifi gratuit în acest fel (în zilele dinainte, fiecare cafenea și hotel avea WiFi gratuit)
drapel ru
Tim
@Max (și în zilele dinainte, datele mobile erau suficient de rapide și ieftine încât să nu aibă nevoie cu adevărat de WiFi gratuit)!
drapel cn
@Tim Zilele acelea nu s-au terminat încă. -- Un german
Joshua avatar
drapel cn
@Max: Am văzut pe cineva implementând atacul WEP la momentul conexiunii, deoarece a fost mai rapid decât a solicitat parola.
Puncte:29
drapel ng

Un exemplu este utilizarea criptării vocii GSM A5/1, folosit în Europa și SUA pe canalul de voce al conexiunii radio a telefoanelor mobile înainte de 3G. În timp ce cu un algoritm bun dimensiunea cheii de 80 de biți a lui A5/1 ar fi un obstacol serios în calea decriptării chiar și în zilele noastre, criptoanaliza în timp real este posibilă și utilizabilă pentru a decoda interceptările radio pasive.

  1. Trebuie să fie o adevărată întrerupere criptografică, care decurge din criptoanaliza matematică

Este cazul lui Alexander Maximov, Thomas Johansson, al lui Steve Babbage Un atac de corelație îmbunătățit pe A5/1, în Procedura SAC 2004, ameliorându-se pe o atac anterior.

  1. Pauza trebuie să fi fost de fapt executată în lumea reală

este larg răspândit acesta este cazul, în completare a atacurilor active (care implică o criptoanaliza mai elementară și pot dezvălui mai multe informații decât voce). Consider că acest lucru trebuie să fie cazul din cauza a două avantaje operaționale ale interceptărilor pasive: nu pot fi detectate și pot permite interceptări masive (care, pe de altă parte, ar putea fi mai ușoară în alte puncte ale rețelei).

  1. Algoritmul trebuie să fi fost utilizat pe scară largă, de ex. într-un cadru de internet, comercial sau guvernamental.

A5/1 a fost utilizat pe scară largă în Europa și SUA pentru serviciul de voce GSM, înainte de a fi (din câte știu eu) înlocuit de 3G.


Notă: întrebarea nu cere că algoritmul a fost selectat ca fiind considerat sigur, în limitele intrinseci ale dimensiunii cheii și ale stării sale, de către toate părțile implicate în decizia de a-l selecta. Nu am o opinie informată despre dacă acesta a fost cazul pentru A5/1 și mi-ar plăcea informații despre asta. Nu am nicio îndoială că ceva cu adevărat indestructibil ar fi fost respins¹, dar mă întreb dacă o criptoanaliza a interceptărilor pasive mai bună decât ceea ce este evident posibil, având în vedere cheia de 80 de biți + starea a fost cunoscută la momentul alegerii și a influențat-o.

¹ În perioada 1970-2000 (aproximativ), existau legi și reglementări în vigoare în multe țări vizate de GSM care interziceau criptografia eficientă pentru dispozitivele oferite spre vânzare publicului larg², iar acestea erau încă aplicate într-o anumită măsură. Prin urmare, cred cu tărie că producătorii de standarde au fost atenți să nu propună un standard pe care administrațiile l-ar considera prea puternic, de teamă că ratificarea standardului sau implementarea ar fi încetinită. Văd că este motivul pentru care A5/1 are o stare de 80 de biți și dimensiunea maximă a cheii.

² De ex. în Franța, pentru a permite interceptarea de către autorități, cripto-ul de peste 40 de biți a fost în principiu interzis prin lege, cu scutiri oficiale AFAIK doar pentru aplicațiile cripto cu ușă în spate sau foarte închise, la discreția autorităților.Limita urma să fie aleasă de guvern, nu fusese schimbată de ani de zile, iar în 1999 a trecut brusc de la 40 la 128 de biți, schimbând efectiv în totalitate sensul legii.

kelalaka avatar
drapel in
Îți amintești de [E0](https://en.wikipedia.org/wiki/E0_%28cipher%29) și nu de Keeloq lat rupt de Bard?
fgrieu avatar
drapel ng
@kelalaka: nu, nu am urmărit E0, dar se pare că [it](https://doi.org/10.1007/11535218_7) s-ar putea califica.Îmi lipsește o referință pentru „executat în lumea reală”, ca în exploatat activ pentru a asculta cu urechea căștile BT. Nu sunt sigur că Keeloq se califică, pentru AFAIK (care este, nu mult) atacurile nu sunt împotriva cripto-ului în sine. În mod similar, nu am menționat Mifare Classic, deoarece cheia de 48 de biți nu a fost oricum intenționată să fie sigură, iar (multe) atacuri reale nu sunt de natură criptografică pură.
kelalaka avatar
drapel in
Nu se putea găsi ținte pentru E0 în sălbăticie la fel de ușor ca WEP. Îmi amintesc o demonstrație, totuși nu am reușit să o găsesc. Keeloq a fost un cifru bloc, deși în locul atacurilor se preferă forța brută...
Very Tiny Brain avatar
drapel cn
Ați putea clarifica ce vrei să spui prin „Fără îndoială că ceva cu adevărat indestructibil ar fi fost respins”? Respins de cine?
drapel cn
Vorbind despre GSM, ați putea adăuga, de asemenea, pauză Comp128-1 (de exemplu, consultați [aceste diapozitive](http://www.tcs.hut.fi/Studies/T-79.514/slides/S5.Brumley-comp128.pdf) )
Puncte:28
drapel jp

DVD-ul Sistemul de amestecare a conținutului.

  1. Trebuie să fie o adevărată întrerupere criptografică, care decurge din criptoanaliza matematică

Deși cifrul este intrinsec slab, la doar 40 de biți, forțarea brută a necesitat încă aproximativ 24 de ore pentru a epuiza spațiul de taste când sistemul a fost prima spart. Atacurile criptoanalitice l-au redus la 25 de biți efectivi, permițând recuperarea cheilor de disc în câteva secunde.

  1. Pauza trebuie să fi fost de fapt executată în lumea reală

Da. Foarte. În aceste zile, principala implementare a pauzei este aceea libdvdcss are cod pentru un atac de preimagine de 2^25 de complexitate pe hash-ul cheii de disc în cazul în care niciuna dintre cele 32 de chei ale playerului (de asemenea, rezultatul unui atac criptoanalitic) nu funcționează cu un anumit DVD.

  1. Algoritmul trebuie să fi fost utilizat pe scară largă

Fiecare DVD produs comercial includea (și încă include) conținut criptat cu CSS.

R.. GitHub STOP HELPING ICE avatar
drapel cn
IMO este îndoielnic dacă acest lucru contează, deoarece primitivul criptografic nu joacă deloc un rol criptografic; acționează doar ca DRM (adică ca o pacoste pentru o parte care deține atât cheia, cât și textul cifrat, doar în locuri incomode).
Mark avatar
drapel jp
@R..GitHubSTOPHELPINGICE, scopul DeCSS, libdvdcss și al altor atacuri asupra CSS este de a permite cuiva care *nu* are cheia să decripteze datele. Niciun player DVD open-source nu a primit vreodată o cheie de player de către DVD-CAA. DeCSS a făcut-o prin proiectarea inversă a unui player cu sursă închisă și extragerea cheii, dar libdvdcss a folosit atacuri criptoanalitice pentru a reconstrui cheia de disc din hash-ul cheii de disc și apoi a descoperit o selecție de chei de player din cheia de disc reconstruită și cheile de disc criptate. .
R.. GitHub STOP HELPING ICE avatar
drapel cn
Dar *ai* cheia dacă ai vreun DVD player. Doar pentru că nu este open source nu înseamnă că nu îl aveți. Ca toate DRM, CSS nu este utilizarea criptografică a primitivelor criptografice; este folosirea lor ca o pacoste ofuscatoare. Singura descoperire a libdvdcss a fost să o facă într-un mod care să nu implice distribuirea cheilor (cunoscute), de dragul de a fi curat din punct de vedere legal.
Joshua avatar
drapel cn
@R..GitHubSTOPHELPINGICE: Ar fi trebuit să facă ceea ce au început să facă în sfârșit pentru BluRay. Scoateți cheia din firmware-ul unui set-top player popular, care nu poate fi actualizat.
Charles avatar
drapel sd
Criptarea DVD-ului este întreruptă prin analiza criptografică. Puteți face extragerea cheii, deoarece datele criptate subiacente au o completare bine cunoscută, care vă permite să cunoașteți datele text simplu în părți ale fluxului de date. Puteți să forțați cheia folosind acele blocuri de date. Am scris o implementare în Java o dată ca exercițiu și încă putea decoda întregul disc în câteva secunde. Implementările ulterioare au profitat de cheile cunoscute pentru a accelera decodarea.
Puncte:20
drapel cn

Nu sunt un criptograf, dar cred că Flacără malware se potrivește cu descrierea dvs. Este un instrument extrem de sofisticat pentru spionajul cibernetic descoperit în 2012. Experții cred că a fost dezvoltat de armata americană și israeliană și a fost folosit în principal împotriva țintelor iraniene.

  1. Trebuie să fie o adevărată întrerupere criptografică, care decurge din criptoanaliza matematică

Ars Technica au intervievat doi experți care au publicat o lucrare despre un atac similar și au declarat de mai multe ori că a exploatat o nouă tehnică:

„Flame folosește un atac de coliziune cu prefix ales MD5 încă necunoscut”
„Flame este primul exemplu cunoscut al unui atac de coliziune MD5 care este folosit cu răutate într-un mediu real”.
„atacul de coliziune efectuat de Flame are o noutate științifică substanțială”
„rezultatele au arătat că nu a fost folosit atacul de coliziune cu prefixul nostru publicat, ci o variantă complet nouă și necunoscută”
„Flame a necesitat, de asemenea, criptografi de talie mondială care au deschis noi terenuri în domeniul lor”
„Au fost matematicieni care făceau științe noi pentru ca Flacăra să funcționeze”.

A doua cerință a dvs. este, de asemenea, îndeplinită:

  1. Pauza trebuie să fi fost de fapt executată în lumea reală

A fost: conform Wikipedia,

inițial, Flame infectase aproximativ 1.000 de mașini, cu victime inclusiv organizații guvernamentale, instituții de învățământ și persoane private.

Și, în sfârșit,

  1. Algoritmul trebuie să fi fost utilizat pe scară largă

MD5 este încă utilizat pe scară largă astăzi, zece ani mai târziu, și era și mai mult pe atunci. Sigur, este considerat slab și stricat și toată lumea o știa chiar și în 2012, dar acest lucru nu i-a împiedicat pe oameni să-l folosească.

kelalaka avatar
drapel in
MD5 este o funcție hash și este uneori folosită pentru MAC, nu pentru criptare așa cum a cerut OP.
Fabio says Reinstate Monica avatar
drapel cn
Este adevărat, dar a făcut posibilă falsificarea unui certificat și utilizarea Windows Update pentru a instala malware. În acel moment, era posibil să furi fișiere, să captezi video și audio folosind camera web și microfonul și așa mai departe. Și cu siguranță contează ca o „ruptură criptografică”. Aș spune că este foarte aproape de ceea ce cere OP.
Mark avatar
drapel jp
@kelalaka, MD5 în acest caz a fost folosit ca parte a unui *sistem* criptografic, ca punct slab pentru a permite spargerea întregului sistem.
Very Tiny Brain avatar
drapel cn
@kelalaka Captură grozavă, dar mă întreb despre protocoalele criptografice generale, nu doar despre criptare. Mi-am editat întrebarea pentru a clarifica asta.
Puncte:9
drapel cn

The Dual EC DRBG Hackul Juniper Networks ar trebui să se califice.

  1. Trebuie să fie o adevărată întrerupere criptografică, care decurge din criptoanaliza matematică

În 1997 au prezentat Adam L. Young și Moti Yung un ziar la Eurocrypt care detaliază un generator de chei secret „cleptografic” care a introdus o ușă din spate matematică în schimburile de chei Diffie Hellman.

Generatorul Dual EC DRBG a fost propus câțiva ani mai târziu, cu construcție aproape identică cu ușa din spate Diffie Hellman.

  1. Pauza trebuie să fi fost de fapt executată în lumea reală

La începutul anilor 2000, standardul Dual EC DRBG era puternic promovat de NSAși a fost inclus în standardele criptografice ANSI X9.82 și ISO/IEC 18031:2005. RSA l-a adoptat în biblioteca lor BSAFE ca generator implicit de numere aleatorii.

În ciuda protestelor matematicienilor care analizaseră algoritmul şi a identificat unele defecte în ea, a fost publicat în cele din urmă în NIST SP 800-90A în 2006 -- defecte încă prezente.

În 2007, Dan Shumow și Niels Ferguson au demonstrat o implementare a algoritmului Dual EC DRBG care conține o ușă din spate pe care au construit-o folosind propria lor constantă Dual EC. http://rump2007.cr.yp.to/15-shumow.pdf

În 2008 Juniper Networks a implementat Dual EC DRBG ca PRNG folosit de sistemul lor de operare ScreenOS, folosit în sistemele lor de firewall NetScreen de clasă enterprise.

În 2012, NIST actualizat SP 800-90A, iar Dual EC DRBG a fost încă recomandat.

În 2013, Reuters a publicat informații din scurgerea lui Snowden care afirmă că NSA plătise RSA 10 milioane de dolari pentru a implementa Dual EC DRBG ca PRNG implicit.

În 2015, NIST a retras SP 800-90A, înlocuindu-l cu SP 800-90A Rev. 1, care a eliminat în cele din urmă Dual_EC_DRBG ca PRNG recomandat.

În 2016 Juniper Networks a eliminat Dual EC DRBG din ScreenOS. La acel moment, au dezvăluit că hackeri necunoscuți s-au infiltrat în sistemele lor încă din 2012 și au modificat codul sursă la ScreenOS, înlocuind constanta Dual EC specificată de NIST cu o constantă de origine necunoscută.

  1. Algoritmul trebuie să fi fost utilizat pe scară largă

RSA l-a adoptat în biblioteca lor BSAFE ca generator implicit de numere aleatorii; a fost inclus în ANSI X9.82, ISO/IEC 18031:2005 și NIST SP 800-90A. La un moment dat s-a estimat că o treime din tot traficul SSL folosea chei generate de Dual EC DRBG [necesită citare].

Presupusul acord cu NSA a ajuns să aibă un impact fatal asupra afacerii RSA. În 2017-2018, RSA a anunțat brusc încetarea popularului lor produs RSA Key Manager și Data Protection Manager, care deținea aproximativ 70% din cota de piață pentru serverele de chei criptografice. Serverele de chei sunt folosite de furnizorii de servicii web, bănci, instituții financiare și alte companii mari pentru a proteja totul, de la cheile serverului web, la transferuri bancare și la cheile utilizate pentru a cripta codurile PIN ale cărților de credit. Suportul pentru linie a fost renunțat complet, niciun produs de înlocuire nu a fost lansat vreodată și nu a fost oferită nicio explicație. RSA a trecut de la un lider mondial la practic mort ca companie de criptografie.

Puncte:2
drapel in

Este demn de remarcat faptul că tipul de mașină de criptare pe care s-a bazat Enigma din timpul războiului a fost folosit timp de câteva decenii după război și că faptul că acest tip de criptare a fost spart de polonezi/britanici nu era cunoscut pe scară largă.

Acest lucru a determinat serviciile de informații americane și vest-germane să preia un constructor elvețian de mașini de criptare, să vândă aceste mașini compromise companiilor și guvernelor din întreaga lume și să le poată spiona cu ușurință.

Informațiile adunate prin interceptarea mesajelor criptate de aceste mașini au fost folosite până la Criza ostaticilor iranieni (1979) și Războiul Falklands (1982), moment în care țări precum Iran și Argentina le foloseau încă.

Mai multe informații în acest articol BBC: https://www.bbc.com/news/world-europe-51467536

Very Tiny Brain avatar
drapel cn
Deși nu sunt un expert, înțeleg că slăbiciunea situației AG Crypto nu a fost o slăbiciune algoritmică, ci o eroare (deliberată) de implementare, în care anumite mașini au fost deliberate însămânțate cu chei slabe, în timp ce alte mașini au fost însămânțate cu chei puternice. și erau încă în siguranță. Deci nu cred că acest exemplu îndeplinește cerința #1.
drapel in
@VeryTinyBrain Este posibil, nici eu nu sunt expert. Am crezut că merită să subliniez că tipul de criptare care a fost spart în timpul celui de-al Doilea Război Mondial nu a fost abandonat imediat (de toată lumea) după război. Întrebarea dvs. menționează „din al Doilea Război Mondial”, ceea ce ar putea fi văzut ca sugerând o întrerupere radicală a practicilor de criptare în jurul anului 1945.
Very Tiny Brain avatar
drapel cn
Oh, nu, nu am vrut să spun că orice practică de criptare s-a schimbat după al Doilea Război Mondial. Doar că programul WWII Ultra s-a întâmplat să fie cel mai recent exemplu la care m-am putut gândi (deși acum se pare că acest exemplu nu prea contează).
Puncte:1
drapel ng

The Protecție a conținutului digital cu lățime de bandă mare standardul (HDCP) a fost încălcat. Acest sistem a fost implementat pe scară largă, deși această poveste are, fără îndoială, mai multă „putere de rezistență” nu pentru noua criptoanaliza (deși au existat unele), ci pentru că a fost un exemplu timpuriu al legii DMCA din SUA care limitează diseminarea cercetării criptografice de teama procesului. . Vedea Postarea lui Niels Ferguson pe această temă. Pentru un rezumat al criptoanalizei, consultați primul link.

Rețineți că există povești similare (despre DMCA folosit pentru a suprima cercetarea) care pot oferi alte răspunsuri pentru aceasta, deoarece (în general) se întâmplă atunci când un grup industrial are o miză financiară în oprirea criptoanalizei, aproape întotdeauna pentru a preveni „lumea reală”. atacuri”. Aceste atacuri se pot datora problemelor de implementare sau atacurilor pe canale laterale, deși nu sunt întotdeauna (cum ar fi versiunile inițiale de HDCP).

Puncte:0
drapel in

Keeloq, care este folosit pentru garaje, porți și mașini. Poate alte lucruri?

Orice folosește DES. Aruncăm o privire la https://crack.sh pentru a vedea diferite protocoale care au folosit DES, de ex. vpn pptp, întreprindere wpa2 cu Mschapv2. Netntlmv1, et. al.

Mark avatar
drapel jp
Atacurile asupra DES nu sunt „rupturi criptografice” în sensul întrebării. Da, există atacuri teoretice asupra DES care sunt (puțin) mai rapide decât forța brută, dar dificultatea de a obține condițiile prealabile pentru ele și ușurința forței brute înseamnă că toată lumea doar forță brută cheia.
Very Tiny Brain avatar
drapel cn
Sunt de acord cu @Mark și se pare că KeeLoq este în general rupt și de atacuri cu forță brută. Am editat întrebarea pentru a clarifica faptul că atacurile cu forță brută sunt în afara domeniului de aplicare. De asemenea, au existat vreodată dovezi clar documentate despre DES spart în sălbăticie, în afara concursurilor în care „victima” a vrut să-i fie rupt mesajul? Aș spune că și asta este în afara domeniului de aplicare.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.