Discrete-Logarithm

N 較小時的 SRP-6 漏洞

  • August 19, 2014

我是使用 SRP-6 作為身份驗證機制的應用程序的開發人員之一。程式碼的身份驗證部分非常古老,僅使用 256 位的 N(所有算術都以 N 為模完成)。在收到密碼被盜報告後,我們升級到 SRP-6a,大小為 N 1024 位。

我們仍在調查(在客戶端和伺服器端)密碼是如何被盜/破解的。我知道具有如此低 N 值的 SRP-6 很容易受到中間人攻擊和“二合一”猜測(Thomas Wu 的SRP-6 改進和改進論文)。攻擊可能只發生在客戶端,但這讓我很好奇。

攻擊者是否有可能對 B 公鑰發起離線字典/暴力攻擊:

B = (k*v + g^b % N) % N

N - 256 位長

b - 152 位長(隨機私鑰 - 使用 OpenSSL 庫生成)

現代科技有可能嗎?攻擊者能否以某種方式預測或找出隨機值 b,提取 v=g^x % N,然後執行離散對數並找到 x?

“攻擊者是否有可能對

B 公鑰發起離線字典/暴力攻擊:……”

當且僅當攻擊者能夠將 b 的分佈與 {0,1,2,3,…,N-3,N-2} 上的均勻分佈區分開來時,這是可能的。 $ : $ 如果是這樣,攻擊者可以計算候選密碼的驗證者 v,從 B mod N 中減去 kv,並求解得到的離散對數實例以檢查候選密碼。 $ : $ 否則,由於 N 是素數並且 g 是生成器 mod N,加法模 N 揭示了

統一選擇的元素 {0,1,2,3,…,v-1,v+1,…,N -2,N-1} 並隱藏關於 v 的所有其他內容。

“現代技術有可能嗎?”

與“現代技術”相關的唯一方式是

破壞用於生成 b 值的 PRNG 的可能性。

“攻擊者能否以某種方式預測或找出隨機值 b,

提取 v=g^x % N,然後執行離散對數並找到 x?”

如果攻擊者可以“以某種方式預測或找出隨機值 b”,

那麼找到 v 所需的額外努力是微不足道的。

引用自:https://crypto.stackexchange.com/questions/18702