Il est temps de craquer les DES? Est-ce une tâche appropriée pour un script kiddie encore?

Question

Comprenant déjà qu'AES est la méthode de cryptage de choix, le code existant qui utilise DES est-il réécrit si la menace probable se situe au niveau du script kiddies? (p.ex. les mots de passe pkzip peuvent être déchiffrés avec des utilitaires gratuits par des non-informaticiens, alors est-ce que DES est comme ça?) Une recherche rapide sur Google semble impliquer que même les DES dépréciés nécessitent toujours un super ordinateur et beaucoup de temps - ou ont changé de temps ?

En particulier, cette la bibliothèque CAPTCHA utilise DES pour chiffrer la chaîne de défi envoyée à l'utilisateur. dans l'état de vue.

Answer 1

DES n’a pas réussi à stocker des données sensibles. C’est pourquoi je ne les utiliserais certainement pas dans des éléments nouveaux et les remplacerais par des éléments utilisés pour le stockage à long terme de toute information d’intérêt (données pour lesquelles une personne aurait un profit à gagner). intérêt national à voler).

Pour le moment, un message DES peut être cassé par la force brute en quelques jours (ou moins) à l’aide de matériel personnalisé d’une valeur inférieure à 100 000 $.

Mais il y a quelques facteurs clés en ce sens:

Le matériel est personnalisé - les puces utilisées pour brouiller rapidement une clé DES ne sont pas les processeurs à usage général que vous trouverez sur un PC. Cela étant dit, il est probablement possible d’utiliser un groupe de Playstation 3 ou des cartes graphiques de la génération actuelle avec un GPGPU pour déchiffrer un message DES dans un délai raisonnable, ce qui pourrait ramener le coût à peut-être 15 000 $.

L’autre facteur est le temps - un message DES peut être déchiffré en une journée, mais si votre bibliothèque CAPTCHA a un horodatage qui spécifie un délai de 30 minutes pour toute réponse CAPTCHA donnée, il restera efficace (vous pouvez augmenter votre matériel, mais alors vous parlez des millions).

Dans l’ensemble, je dirais que pour le stockage à long terme, DES est toujours protégé contre les "scripts kiddies".

Answer 2

Non, la fissuration DES n'est pas adaptée aux scriptkiddies et ne le sera probablement pas dans un avenir proche.

cela nécessite une telle puissance de traitement, nous parlons d'une charge de processeurs FPGA.

Par exemple, COPACOBANA dans Le défi de la clé secrète 2006 de CHES a pris 21 heures, 26 minutes, 29 secondes avec 108 de ses 128 processeurs, à un débit record de 43.1852 milliards de clés par en second lieu, et a trouvé la clé après une recherche dans 4,73507% de l'espace de la clé

maintenant, si nous regardons la loi de Moores , nous constatons que si Si vous construisez une machine similaire, cela prend actuellement 1/4 du temps pour le même montant, ou 1/4 de l'argent pour le même temps.

Answer 3

DES est brisé par les standards de la communauté crypto; mais le temps requis pour le casser est généralement suffisamment important pour qu'il soit «sûr» de l'utiliser pour ce type d'application. Sur une hypothèse: la touche DES change de session en session. Si la clé ne change pas, elle peut être attaquée par une personne très dévouée. Maintenant, la question est de savoir si votre site Web est soumis à des personnes qui vont passer plus de 10 jours à craquer le DES, au lieu d'appliquer les leçons apprises par le reste de l'industrie du spam dans le domaine de la reconnaissance d'image.

Answer 4

DES est probablement encore suffisant pour la plupart des cas d'utilisation. Mais le fait est qu'il y a normalement une raison d'utiliser un algorithme (ou dans ce cas plutôt: une force de clé) qui est connu pour être plutôt faible. Wikipedia indique que même avec du matériel spécial, il faut environ 9 jours pour une recherche de clé exhaustive. . Je ne pense pas que les enfants de script risquent de dépenser autant de temps CPU (même s'ils ont un botnet) pour craquer un captcha. (En fait, craquer les captchas est normalement BEAUCOUP plus facile avec une reconnaissance d’image intelligente suffisante ...)