是时候破解DES?这是一个适合脚本小子的任务吗?
-
06-07-2019 - |
题
已经了解AES是首选的加密方法,如果可能的威胁在脚本小子级别上,是否应该重写使用DES的现有代码? (例如,pkzip密码可以通过非计算机专业人员使用免费实用工具进行破解,那么DES就是这样吗?)快速谷歌搜索似乎意味着即使弃用的DES仍然需要超级计算机和大量时间 - 或者有时间改变?
特别是,这个 CAPTCHA库使用DES来加密发送给用户的挑战字符串在视图中。
解决方案
DES存储敏感数据已被破坏,所以我肯定不会在任何新的东西中使用它,并且会将其替换为任何用于长期存储任何感兴趣信息的数据(有人会获利的数据)国家安全的偷窃利益)。
目前,使用价值低于10万美元的定制硬件,可以在几天(或更短时间)内通过暴力破坏DES消息。
但是有一些关键因素:
硬件自定义 - 用于快速刷新DES密钥的芯片不是您在PC中找到的通用处理器。话虽如此,今天可能有空间使用一组Playstation 3s或当前一代显卡与GPGPU在合理的时间内破解DES消息,可能会将成本降低到15,000美元。
另一个因素是时间 - DES消息可以在一天内被破解,但如果您的CAPTCHA库有一个时间戳,指定任何给定的CAPTCHA响应超时30分钟,它仍然有效(您可以扩大您的硬件,但你说的是数百万。)
总的来说,我会说,对于非长期存储,DES仍然可以抵御“脚本小子”。
其他提示
它需要如此巨大的处理能力,我们谈论的是大量的FPGA处理器。
例如
现在,如果我们看看 moores law ,我们看到,如果我们目前建立一台类似的机器,它目前需要1/4的时间用于相同的金额,或1/4的金钱在相同的时间内。
DES被加密社区的标准所打破;但破坏它所需的时间通常足够大,以至于在这种应用中使用它是“安全的”。一个假设是:DES密钥在会话之间变化。如果钥匙没有改变,那么一个非常敬业的人就可以进行攻击。现在的问题是,您的网站是否会受到人们的影响,他们将花费10天以上的时间来破解DES,而不是将其他垃圾邮件行业的经验教训用于图像识别。