Diffie-Hellman
州級“弱 Diffie-Hellman”也為 SRP 工作?
我讀過“弱 Diffie-Hellman”攻擊(論文,網站),其中資源豐富的實體(如狀態)可以預先計算已知素數的值,以幫助解決該特定素數的離散對數問題。
我還讀到 SRP 與 Diffie-Hellman 非常相似,並且有共同的組(請參閱RFC 5054)。攻擊也可以安裝在 SRP 上嗎?
在 Logjam 論文的介紹中,指出
在對指定的 512 位組進行為期一周的預計算後,我們可以在大約一分鐘內計算出該組中的任意離散日誌。
所以看起來它實際上是在攻擊離散對數問題,所以任何使用公共素數的基於離散對數的系統都應該同樣容易受到攻擊。特別是,在 RFC 5054 的第 3.2 節中,指出
可以計算離散對數的攻擊者可能
% N
會破壞使用者密碼,也可能破壞 TLS 會話的機密性和完整性。客戶端必須確保接收到的參數N
足夠大,以使計算離散對數在計算上不可行。由於 RFC5054 只為每個位長度指定了一個素數,因此它確實很容易受到攻擊。儘管它沒有指定 512 位素數,但它確實指定了 1024 位素數,Logjam 作者認為這是易受攻擊的:
我們估計,即使在 1024 位的情況下,考慮到民族國家資源,計算也是合理的
使用至少 1536 位的素數應該足以阻止此類攻擊,因為沒有已知的對 SRP 的“降級”攻擊。