¿Hora de romper DES? ¿Ya es una tarea adecuada para un script kiddie?

Question

Ya entendiendo que AES es el método de encriptación de elección, ¿debería reescribirse el código existente que usa DES si la amenaza probable está en el nivel de script kiddies? (por ejemplo, las contraseñas de pkzip se pueden descifrar con utilidades gratuitas por parte de profesionales que no son informáticos, entonces, ¿DES es así?) Una búsqueda rápida en Google parece implicar que incluso el desuso obsoleto todavía requiere una súper computadora y una gran cantidad de tiempo, o ha cambiado los tiempos ?

En particular, esta biblioteca CAPTCHA usa DES para encriptar la cadena de desafío que se envía al usuario a la vista.

Answer 1

DES está roto en lo que respecta al almacenamiento de datos confidenciales, por lo que ciertamente no lo usaría en nada nuevo, y lo reemplazaría en cualquier cosa utilizada para el almacenamiento a largo plazo de cualquier información de interés (datos para los que alguien tendría una ganancia) interés de seguridad nacional en el robo).

En este momento, un mensaje DES puede romperse por la fuerza bruta en un par de días (o menos) utilizando menos de $ 100,000 en hardware personalizado.

Pero hay algunos factores clave en eso:

El hardware es personalizado : los chips utilizados para crear rápidamente una clave DES no son el procesador de uso general que encontraría en una PC. Dicho esto, probablemente hoy haya espacio para usar un grupo de Playstation 3 o tarjetas gráficas de la generación actual con un GPGPU para descifrar un mensaje DES en un período de tiempo razonable, tal vez reduciendo el costo a quizás $ 15,000.

El otro factor es el tiempo: un mensaje DES se puede descifrar en un día, pero si su biblioteca CAPTCHA tiene una marca de tiempo que especifica un tiempo de espera de 30 minutos para cualquier respuesta CAPTCHA, aún sería eficaz (podría ampliar su hardware, pero entonces estás hablando millones).

En general, diría que para el almacenamiento a largo plazo, DES todavía es seguro contra "script kiddies".

Answer 2

no, el craqueo DES no es adecuado para scriptkiddies y probablemente no estará en un futuro cercano previsible.

requiere una potencia de procesamiento tan enorme que estamos hablando de una gran cantidad de procesadores FPGA.

por ejemplo, COPACOBANA en Desafío de clave secreta CHES 2006 tomó 21 horas, 26 minutos, 29 segundos con 108 de sus 128 procesadores, con un rendimiento mínimo de 43.1852 mil millones de claves por segundo, y encontré la clave después de buscar a través del 4.73507% del espacio de teclas

ahora, si miramos moores law vemos que si actualmente construir una máquina similar, actualmente tomará 1 / 4to del tiempo por la misma cantidad de dinero, o 1 / 4to del dinero por la misma cantidad de tiempo.

Answer 3

DES está roto por los estándares de la comunidad de cifrado; pero el tiempo requerido para romperlo es generalmente lo suficientemente grande como para que sea 'seguro' usarlo para este tipo de aplicación. En un supuesto: la tecla DES cambia de sesión a sesión. Si la clave no cambia, entonces está abierta al ataque de un individuo muy dedicado. Ahora, la pregunta es si su sitio web está sujeto a personas que pasarán más de 10 días descifrando DES, en lugar de aplicar las lecciones aprendidas por el resto de la industria del spam en el camino del reconocimiento de imágenes.

Answer 4

DES probablemente sea lo suficientemente bueno para la mayoría de los casos de uso. Pero el punto es que normalmente hay razones para usar un algoritmo (o en este caso más bien: una fortaleza clave) que se sabe que es bastante débil. Wikipedia señala que incluso con hardware especial se necesitan alrededor de 9 días para una búsqueda exhaustiva de claves . No creo que los niños de script puedan pasar tanto tiempo de CPU (incluso si tienen una botnet) solo para descifrar un captcha. (En realidad, descifrar captchas es normalmente MUCHO más fácil con suficiente reconocimiento inteligente de imágenes ...)