È ora di decifrare DES? È un'attività adatta per un kiddie di script?

Question

Comprendendo già che AES è il metodo di crittografia preferito, il codice esistente che utilizza DES dovrebbe essere riscritto se la probabile minaccia si trova a livello di script kiddie? (ad esempio le password di pkzip possono essere violate con utility gratuite da professionisti non informatici, quindi DES è così?) Una rapida ricerca su Google sembra implicare che anche DES obsoleto richiede ancora un super computer e una grande quantità di tempo - o sono cambiati i tempi ?

In particolare, questa libreria CAPTCHA utilizza DES per crittografare la stringa di verifica che viene inviata all'utente in viewstate.

Answer 1

DES è rotto per quanto riguarda l'archiviazione di dati sensibili e quindi non lo userei certamente in nulla di nuovo e lo sostituirei in qualsiasi cosa usata per l'archiviazione a lungo termine di qualsiasi informazione di interesse (dati per i quali qualcuno avrebbe un profitto interesse di sicurezza nazionale a rubare).

Al momento un messaggio DES può essere spezzato dalla forza bruta in un paio di giorni (o meno) usando hardware personalizzato per un valore inferiore a $ 100.000.

Ma ci sono alcuni fattori chiave in questo:

L'hardware è personalizzato : i chip usati per far mordere rapidamente una chiave DES non sono il processore generico che potresti trovare in un PC. Detto questo, probabilmente oggi c'è spazio per l'utilizzo di un cluster di Playstation 3 o schede grafiche di generazione attuale con una GPGPU per decifrare un messaggio DES in un ragionevole lasso di tempo, forse riducendo il costo a forse $ 15.000.

L'altro fattore è il tempo: un messaggio DES può essere decifrato in un giorno, ma se la tua libreria CAPTCHA ha un timestamp che specifica un timeout di 30 minuti per ogni data risposta CAPTCHA, sarebbe comunque efficace (potresti scalare il tuo hardware, ma poi parli milioni).

Nel complesso, direi che per l'archiviazione non a lungo termine, DES è ancora sicuro contro " script kiddies " ;.

Answer 2

no, il cracking DES non è adatto per gli scriptkiddies e non lo farà probabilmente nel prossimo futuro.

richiede un'enorme potenza di elaborazione, stiamo parlando di un carico di processori FPGA.

ad esempio COPACOBANA nella sfida chiave segreta CHES 2006 ha impiegato 21 ore, 26 minuti, 29 secondi usando 108 dei suoi 128 processori, con una produttività di 43.1852 miliardi di chiavi per secondo, e ho trovato la chiave dopo aver cercato nel 4,73507% dello spazio delle chiavi

ora, se guardiamo alla legge sulle orme vediamo che se al momento costruire una macchina simile, al momento ci vorrà 1/4 del tempo per lo stesso importo di denaro, o 1/4 del denaro per lo stesso periodo di tempo.

Answer 3

DES è rotto dagli standard della comunità crittografica; ma il tempo necessario per romperlo è generalmente abbastanza grande da essere "sicuro" da utilizzare per questo tipo di applicazione. In una ipotesi: il tasto DES cambia da sessione a sessione. Se la chiave non cambia, allora è aperta all'attacco di un individuo molto dedicato. Ora, la domanda è: il tuo sito web è soggetto a persone che trascorreranno più di 10 giorni a decifrare DES, piuttosto che ad applicare le lezioni apprese dal resto dell'industria dello spam nel modo del riconoscimento delle immagini.

Answer 4

DES è probabilmente ancora abbastanza buono per la maggior parte dei casi d'uso. Ma il punto è che normalmente esiste un motivo per usare un algoritmo (o in questo caso piuttosto: un punto di forza chiave) che è noto per essere piuttosto debole. Wikipedia sottolinea che anche con hardware speciale sono necessari circa 9 giorni per una ricerca chiave esaustiva . Non credo che i kiddie degli script trascorreranno così tanto tempo CPU (anche se hanno una botnet) solo per rompere un captcha. (In realtà, il cracking di captcha è normalmente MOLTO più facile con un sufficiente riconoscimento intelligente delle immagini ...)