是否有任何長期的基於 RC4 偏差的漏洞利用?
RC4 密碼可能在其長期 PRNG 密鑰流中表現出低級偏差。我特別排除了我定義為輸出<1024字節的短期偏見攻擊。現實世界中是否存在利用此功能的攻擊?
只要我正確理解了您的問題,我很高興對此有所了解。
首先,我不會說密碼在任何時候都可能表現出低水平的偏差。它經歷了很多偏見,我將嘗試解釋我們如何使用它來發起實際攻擊。我想你知道,最強的偏差出現在 KSA 的開頭,實際上 KSA 中有很多偏差,但假設我們不丟棄任何字節,KSA 只代表前 256 個字節。
問題是,有大量證據(不僅僅是推測)表明偏見延伸到密鑰流中的任何點(如 PRNG 或 PRGA 部分)。再看一遍。
你的問題是針對現實世界的攻擊嗎? 與某些先前的看法相反,即由於 BEAST 不影響 RC4 TLS,RC4 適用於 TLS,我建議以其他方式閱讀此建議或替換為 this。
由 Itsik Mantin 在 2015 年發現並展示的 Bar Mitzvah Crypto 攻擊應該是 IETF在前一年引入在 TLS 中完全禁止 RC4的想法時正在做某事的最好證明。
我知道您可能正在尋找更多答案,但考慮到這個問題,這就是所有要說的。您認為 The Bar Mitzvah Crypto 攻擊有多實用,這可能是一個有待討論的問題……但如果我們接受 NSA 收集的資訊,並且不斷地使用相同的模式(我真的需要為此引用嗎?),那麼絕對的情況是,長密鑰流顯示出足夠大的偏差,並且擁有足夠多的密鑰流可以進行數據恢復,即使在密鑰特別弱的情況下,也可以一起進行密鑰恢復。
如果我們有一個嚴重偏見的回合(KSA)和一個有偏見的回合(PRGA)加上少數現實世界的漏洞,我們可以假設攻擊只會變得更糟,但是是的:使用偏見來攻擊已經很實際了RC4,甚至在 RC4-drop-768中。
編輯
Mathy Vanhoef 和 Frank Piessens可能也值得一讀,詳細介紹偏見