突然消失的現代、廣泛使用的密碼的例子?
RC4 和 GOST 是兩個主要密碼(被定義為廣泛用於加密大量數據)突然(相對)落入密碼分析。第一個完全破碎,第二個從 $ 2^{256} $ 位安全到 $ 2^{99.5} $ 位安全性,弱於 AES-128。
是否有任何其他現代且廣泛使用的密碼在沒有太多事先警告的情況下落空?
在這種情況下,“墮落”的意思是“變得幾乎可以攻擊,或者足夠接近以至於強烈不鼓勵使用”。為了限制我的問題的範圍,讓我們排除在我們對密碼學的現代理解之前的古老密碼。
從本質上講,我正在尋找一個或多個突出的案例,其中現代密碼似乎是安全的並且被廣泛使用了很長一段時間,直到突然它被打破(同時仍在廣泛使用)並且由於那個突然而不得不放棄休息。我正在尋找的一個可能的例子是 TLS 中使用的 RC4,以及最近“破壞”它的發現。
(PS:對密碼論文的引用+介紹中斷的論文將是一個加號。)
這個問題非常廣泛,因為它指定了密碼分析的突然下降,因此我的回答可能不像你希望的那樣完整。
如果通過“變得實際可攻擊,或者足夠接近以至於強烈不鼓勵使用”,您暗示不是學術漏洞,而是假設攻擊者較弱,例如單一密文攻擊,那麼有相當多的密碼可以滿足這個條件。在這種假設下,現代分組密碼主要容易受到暴力攻擊。如果 DES 的密鑰長度更長,那麼我們將無法進行詳盡的搜尋,那麼它仍然會保留一定級別的安全性(但仍然強烈建議不要使用它)。
轉向使用廣泛的分組密碼,這裡有一些在學術上已經被破壞或被削弱以被認為是不安全的。
FEAL(分組密碼)
我想到的第一個具有這種特徵的分組密碼是FEAL。它於 1987 年設計,旨在通過為 8 位平台提供快速加密能力來取代 DES。它沒有被廣泛使用,而且(不幸)幸運的是,它甚至在 1990 年成為新標準之前就被打破了。
如果您教或想練習密碼分析,我建議您打破 FEAL-4(作為 4 輪)或 FEAL-8。這是一個很棒的學習練習。
一些資源:
- Jon King的假人差分密碼分析
- Eli Biham 和 Adi Shamir對 Feal 和 N-hash 的差分密碼分析
DES(分組密碼)
DES 是另一個例子。Eli Biham 和 Adi Shamir 在 1990 年被差分密碼分析破解。
在本文中,我們開發了一種新型密碼分析攻擊,它可以在 PC 上在幾分鐘內用 8 輪破解 DES 的簡化變體,並且可以在不到 15 輪的時間內破解任何 DES 的簡化變體(最多 15 輪) $ 2^{56} $ 操作。
來自他們的論文:DES-like Cryptosystems 的差分密碼分析。我真的推薦閱讀這篇文章或至少閱讀擴展摘要。
備註:要打破 16 輪,需要 $ 2^{57} $ 對。所需的密文數是對數的兩倍。在這些對上,只有 $ 2^5 $ 將被使用(不包括在收集階段很容易丟棄的錯誤對)。使用 15 個不同的特徵,機率為 $ 2^{-56} $ , 可以找到 18 位的密鑰。因此,這種攻擊比蠻力攻擊需要更多的工作。(感謝Jerry指出這一點)。
3 年後,Mitsuru Matsui 介紹了一種破解 DES 的新方法。
因此,可以使用以下方法破解 8 輪 DES 密碼 $ 2^{21} $ 已知明文和 16 輪 DES 密碼 $ 2^{47} $ 分別為已知明文。此外,該方法適用於特定情況下的純密文攻擊
摘自他的論文:DES Cipher 的線性密碼分析方法(另一本好讀物)。
A5/1(流密碼)
轉到流密碼,我們有A5/1,它負責 GSM 和天線之間通信的隱私。1987年開發,密鑰長度為 $ 64 $ 位。1997 年,Golic 提出了一種基於求解時間複雜度為 $ 2^{40.16} $ . 2000 年,Eli Biham 和 Orr Dunkelman 發表了一項攻擊,其總工作複雜度為 $ 2^{39.91} $ A5/1 時鐘給定 $ 2^{20.8} $ 一些已知的明文。在預計算階段之後,該攻擊需要 32 GB 的數據儲存空間 $ 2^{38} $ .
**備註:**雖然 A5/1 已完全損壞(參見斯諾登洩露的文件),但它仍在我們的手機中使用……
一些資源:
- Biryukov、Shamir 和 Wagner 在 PC 上對 A5/1 進行實時密碼分析
- Gendrullis、Novotný 和 Rupp(2008 年)在數小時內打破 A5/1 的真實攻擊
- Dunkelman、Keller 和 Shamir (2010)對第三代 GSM 電話中使用的 A5/3 密碼系統的實際時間攻擊
RC4(流密碼)
RC4(作為 Rivest Cipher 4)是一種流密碼,主要用於 SSL(1995)、TLS(1999)、WEP(1997)和 WPA(2003/2004)。它是在 1987 年設計的,但在 1994 年 9 月被洩露之前,程式碼是未知的(默默無聞的安全,我在這裡……)
一些資源:
- Fluhrer、Mantin 和 Shamir (2001)的 RC4 的關鍵調度算法的弱點
- Isobe、Ohigashi、Watanabe 和 Morii(2013 年)對廣播 RC4 的全明文恢復攻擊
MD5(雜湊函式)
臭名昭著的雜湊函式,設計於1991年。五年後,多伯丁宣布了MD5壓縮函式的碰撞。2009 年,攻擊的複雜性在 $ 2^{39} $ (初始原像複雜度為 $ 2^{128} $ .
SHA-0(散列函式)
1993 年出版,幾年後由於 SHA-1 的重大缺陷而進行了修訂。在 CRYPTO 98 發現了第一次碰撞 $ 2^{61} $ (初始復雜度 $ 2^{80} $ . 2005 年 2 月,王曉雲、Yiqun Lisa Yin 和 Hongbo Yu 的攻擊被宣布,可能在 SHA-0 中發現碰撞 $ 2^{39} $ 操作。2008 年的另一次使用迴旋鏢攻擊的攻擊將發現碰撞的複雜性降低到 $ 2^{33.6} $ .
SHA-1(散列函式)
作為 SHA-0 的修訂版於 1995 年發布(見上文),它首先因複雜性攻擊而被削弱:
- $ 2^{69} $ hashes, per Xiaoyun Wang, Yiqun Lisa Yin, Hongbo Yu: Finding Collisions in the Full SHA-1 , in proccedings of Crypto 2005),
- $ 2^{63} $ 雜湊,作者 Xiaoyun Wang、Andrew C Yao、Frances Yao:SHA-1 密碼分析,Crypto 2005 的臀部會議;另見 Martin Cochran:關於 Wang 等人的註釋。 $ 2^{63} $ SHA-1 差分路徑,在 IACR eprint 檔案中,2007),
- $ 2^{61} $ 雜湊,根據 Marc Stevens:基於最佳聯合局部碰撞分析的 SHA-1 新碰撞攻擊(在 Eurocrypt 2013 的會議記錄中,也可從作者的網站免費獲得)。
- $ 2^{57.5} $ 根據 Marc Stevens、Pierre Karpman 和 Thomas Peyrin 的說法,壓縮函式的呼叫:完整 SHA-1 的 Freestart 碰撞,2015。
- 直到最後,Marc Stevens、Elie Bursztein、Pierre Karpman、Ange Albertini、Yarik Markov 發現了完整 SHA-1 的第一次碰撞,並在CRYPTO 2017(最佳論文獎)上發表 $ 2^{63} $ 呼叫壓縮函式。
我可能遺漏了很多其他分組密碼,但據我所知,這些是主要已知的。