RC4和GOST是两个主要的密码(被定义为广泛用于加密大量数据),突然(相对)被密码分析了。第一个完全破坏,第二个从$ 2 ^ {256} $位安全性下降到$ 2 ^ {99.5} $位安全性,比AES-128弱。
具有任何其他现代且广泛使用的密码在没有事先警告的情况下倒下?为了限制我的问题的范围,请排除早于我们对密码学的现代理解之前的古老密码。
本质上,我正在寻找一个或多个突出的案例,在这些案例中,现代密码似乎很安全,并且在相当长的一段时间内被广泛使用,直到突然间它被打破(同时仍然被广泛使用)并且由于突然中断不得不放弃。我正在寻找的一个可能示例是TLS中使用的RC4,以及最近发现的“破坏”它。
(PS:参考密码论文+介绍中断的论文将是一个加号。)
#1 楼
通过指定突然下降到密码分析中,这个问题相当广泛,因此我的答案可能不如您希望的那样完整。如果“通过实践成为可攻击的,或者足够接近,则使用非常有力。 “不鼓励”的意思是,您的意思不是学术上的突破,而是假设一个较弱的攻击者,例如单个密文攻击,那么就有很多满足此条件的密码。在这种假设下,现代分组密码主要容易受到蛮力攻击。如果DES的密钥长度更长,因此我们将无法进行详尽的搜索,那么它仍将保留一定的安全级别(尽管仍然强烈建议不要使用它)。
移动到使用广泛的分组密码,以下是一些在学术上已被破坏或削弱以致被认为不安全的密码。 br />
我想到的第一个具有这种特征的分组密码就是FEAL。它是1987年设计的,旨在通过为8位平台提供快速加密功能来代替DES。它并未得到广泛使用,并且(不幸的是)它甚至在1990年成为新标准之前就被破坏了。回合)或FEAL-8。这是一个很棒的学习练习。
一些资源:
假人的差分密码分析
Eli Biham和Adi Shamir对Feal和N-hash进行的差分密码分析
DES(块密码)
DES是另一个例子。
在1990年被差分密码分析法打破。
在本文中,我们开发了一种新型的密码分析攻击,可以在8轮内将DES的简化变种破坏数次。在PC上花费3分钟,并且可以在少于$ 2 ^ {56} $个操作的情况下破坏DES的任何变体(最多15发)。
来自他们的论文:DES加密系统的差分密码分析。我真的建议阅读这篇文章,或者至少阅读扩展摘要。所需的密文数量是对的两倍。
在这些对上,仅会使用$ 2 ^ 5 $(不包括在收集阶段很容易丢弃的错误对)。使用概率为$ 2 ^ {-56} $的15个不同特征,可以找到18位密钥。因此,此攻击比蛮力攻击涉及更多的工作。 (谢里·杰里(Thx Jerry)指出了这一点。)
3年后,松井满(Mitsuru Matsui)提出了一种破解DES的新方法。分别使用$ 2 ^ {21} $已知明文破解8轮DES密码和使用$ 2 ^ {47} $已知明文破解16轮DES密码。此外,该方法适用于某些情况下的纯密文攻击。
他的论文:DES密码的线性密码分析方法(另一本很好的读物)。
A5 / 1(流密码)
移动到流密码,我们拥有A5 / 1,它负责GSM与天线之间通信的私密性。 1987年开发,密钥长度为$ 64 $位。 1997年,Golic提出了一种基于求解线性方程组的攻击,这种攻击的时间复杂度为$ 2 ^ {40.16} $。
2000年,Eli Biham和Orr Dunkelman发表了一次攻击,其总工作复杂度为$ 2 ^ {给定已知明文的$ 2 ^ {20.8} $位,获得39.91} $ A5 / 1时钟。攻击需要在$ 2 ^ {38} $的预计算阶段后需要32 GB的数据存储。备注:虽然A5 / 1完全损坏(参见Snowden泄露的文件),但仍在我们的手机中使用...
一些资源:Biryukov,Shamir和Wagner在PC上对A5 / 1进行实时密码分析
现实世界中的攻击突破Gendrullis,Novotný和Rupp的《小时之内的A5 / 1》(2008年)
Dunkelman,Keller和Shamir(2010)对第三代GSM电话中使用的A5 / 3密码系统的实时攻击(2010)
RC4(流密码)
RC4(作为Rivest Cipher 4)是主要在SSL(1995),TLS(1999),WEP(1997)和WPA(2003/2004)中使用的流密码。它是1987年设计的,但是直到1994年9月泄漏代码之前,它的代码才为人所知(出于安全的考虑,我在这里...)
一些资源:
Fluhrer,Mantin和Shamir(2001)对RC4密钥调度算法的弱点
Isobe,Ohigashi,Watanabe和Morii(2013)对广播RC4进行了完全明文恢复攻击<
MD5(哈希函数)
臭名昭著的哈希函数,于1991年设计。五年后,多伯特林宣布与MD5的压缩函数发生冲突。
2009年,攻击的复杂度为$ 2 ^ {39} $(初始映像前复杂度为$ 2 ^ {128} $。
SHA-0(哈希函数)
1993年发布,由于SHA-1的重大缺陷而在几年后进行了修订。
在CRYPTO 98中,在$ 2 ^ {61} $中发现了第一次碰撞(初始复杂度在$ 2 ^ {80} $中。
2005年2月,宣布了王晓云,尹益群和尹洪波的攻击,可能在SHA-0中发现冲突在$ 2 ^ {39} $操作中。 2008年使用回旋镖攻击的另一次攻击使查找冲突的复杂性降低到$ 2 ^ {33.6} $。
SHA-1(哈希函数)
1995年作为SHA-0的修订版发布(见上文),由于复杂性的攻击,它第一次被削弱:
$ 2 ^ {69} $散列,根据王小云,Yiqun尹丽莎,于洪波:在完整的SHA-1中发现冲突,在Crypto程序中,2005年),
$ 2 ^ {63} $哈希,per Xiaoyun Wang,Andrew C Yao,Frances Yao:对SHA-1的密码分析,Crypto 2005臀部会议;另请参见Martin Cochran:有关Wang等的注释。 $ 2 ^ {63} $ SHA-1差异路径,在IACR电子档案中,2007年),
$ 2 ^ {61} $哈希值,根据Marc Stevens:基于最佳联合局部碰撞分析的SHA-1上的新碰撞攻击(在Eurocrypt 2013中,也可以从作者的网站上免费获得。)$ 2 ^ { 57.5} $调用压缩函数,根据Marc Stevens,Pierre Karpman和Thomas Peyrin:完整SHA-1的Freestart碰撞,2015年。 Bursztein,Pierre Karpman,Ange Albertini,Yarik Markov并在CRYPTO 2017(最佳论文奖)上发表,对压缩函数的调用为$ 2 ^ {63} $。
我可能会错过很多其他功能分组密码,但这些是我所知的主要密码。
评论
$ \ begingroup $
据称A5 / 1被设计为不安全的,只会更糟。 (CMEA是相似的,但也许是为了确保安全。)MD5和SHA-0不是密码,因此有点不重要。
$ \ endgroup $
–otus
16年5月2日在7:04
$ \ begingroup $
我不知道那回合A5 / 1。显然,我知道MD5和SHA-0都不是密码;)但我还是会在这里提及它们,因为它更加关注历史并且它们相对较好地说明了下降。
$ \ endgroup $
– Biv
16年5月2日,7:10
$ \ begingroup $
还值得注意的是,针对DES的差分密码分析攻击并非真正有效(即,与蛮力攻击相比,所涉及的工作量略多)。
$ \ endgroup $
–杰里·科芬(Jerry Coffin)
16年5月2日在13:03
$ \ begingroup $
实践中,使用IMSI捕手装置(如Stingray)进行中间人攻击,进一步削弱了A5 / 1。
$ \ endgroup $
– 200_success
16年5月2日在17:00
$ \ begingroup $
编辑以反映其旨在成为新标准但并未得到广泛使用的事实。
$ \ endgroup $
– Biv
16年5月4日在12:03
评论
RC4于1995年(发布仅一年后)进行密码分析时,是否已经成为主要密码?我们是否应该在这个问题中指出我们正在谈论的是基于位而不是文本的现代密码?这样,对于这个已经很广泛的问题,我们可以排除计算机时代之前的密码。
由于某些问题,我将其搁置了。最明显的是,这是一个“列表问题”,在大多数情况下,它在SE中效果不佳。但更重要的是,它过于宽泛有两个原因:您不限制密码的范围(“主要密码”的范围可以从古董密码到最新发明),也可以不定义“下降的密码”(可能是“任何形式的突破”)。如果您牢记这些过于宽泛的原因,则会注意到为什么列表式问题只会增加问题,因为好的答案将无穷无尽!如果您能以某种方式解决这些问题,我将很乐意重新开放...
@ e-sushi我修复了我认为的后两个问题。
@Demetri好多了……谢谢那些编辑。范围仍然很小,但它应该可以工作(阅读:由于范围有限,现在应该可以接受)。我是如此随意地微调事物。如果您出于任何原因不喜欢我的编辑,请不要犹豫...如果您认为合理,请随时回滚。尽管如此,我还是会在一两周后将这个问答锁定为“历史意义”,因为这对于本网站而言并不是真正的一个好问题,因为它并不是真正的话题(更具体地说:列表式问答在SE上不受欢迎)。 br />