Tempo para quebrar o DES? É uma tarefa apropriada para ainda um script kiddie?

Question

Já entender que a AES é o método de criptografia de escolha, deve código existente que usa DES ser re-escrita se a ameaça provável é sobre o nível de script kiddies? (Por exemplo pkzip senhas pode ser quebrada com utilitários gratuitos por profissionais não-computador, por isso é DES assim?) Uma rápida pesquisa no google parece implicar que mesmo esta obsoleto DES ainda requer um computador super e grande quantidade de tempo - ou ter tempos mudaram ?

Em particular, este biblioteca CAPTCHA usa DES para criptografar a string de desafio que é enviado para o usuário no viewstate.

Answer 1

DES é quebrado medida em que o armazenamento de dados sensíveis, e por isso eu certamente não iria utilizá-lo em nada de novo, e seria substituí-lo em qualquer coisa usada para armazenamento a longo prazo de qualquer informação de interesse (dados que alguém teria um lucro para interesse de segurança nacional em roubar).

No momento uma mensagem DES pode ser quebrado pela força bruta em um par de dias (ou menos) utilizando menos de US $ 100.000 de hardware personalizado.

Mas existem alguns fatores-chave em que:

O hardware é costume - os chips usados ??para bruta rapidamente uma chave DES não são o processador de propósito geral que você encontraria em um PC. Dito isto, há, provavelmente, quarto hoje para a utilização de um conjunto de PlayStation 3 ou atuais cartões de geração de gráficos com um GPGPU para quebrar uma mensagem de DES em uma quantidade razoável de tempo, talvez reduzir o custo de talvez US $ 15.000.

O outro fator é o tempo - uma mensagem DES pode ser quebrada em um dia, mas se sua biblioteca CAPTCHA tem um timestamp que especifica um tempo limite de 30 minutos para qualquer resposta CAPTCHA, ele ainda seria eficaz (você pode incrementar o seu hardware, mas então você está falando milhões).

No geral eu diria que para o armazenamento não-longo prazo, DES ainda é seguro contra o "script kiddies".

Answer 2

Não, DES rachaduras não é adequado para scriptkiddies e não será probaly no futuro previsível próximo.

requer tal enorme poder de processamento, estamos falando de uma carga de processadores FPGA.

por exemplo, o COPACOBANA na Ches 2006 desafio chave secreta levou 21 horas, 26 minutos, 29 segundos usando 108 de que é 128 processadores, em um troughput de 43.1852 bilhões chaves per segundo, e encontrou a chave depois de pesquisar através 4,73507% do keyspace

Agora, se olharmos para moores lei vemos que, se atualmente construir uma máquina similar, vai actualmente tomar 1/4 do tempo para a mesma quantidade de dinheiro, ou 1 / 4th do dinheiro para a mesma quantidade de tempo.

Answer 3

DES é quebrado pelos padrões da comunidade cripto; mas o tempo necessário para quebrá-lo é geralmente grande o suficiente que seria 'seguro' para usar para este tipo de aplicação. Em uma suposição: a chave DES muda de sessão para sessão. Se a chave não muda, então é aberto ao ataque por um indivíduo muito, muito dedicado. Agora, a questão é, se o seu site submetido a pessoas que vão gastar 10 + dias rachaduras DES, em vez de aplicar as lições aprendidas pelo resto da indústria Spam no caminho de Reconhecimento de Imagem.

Answer 4

DES é provavelmente ainda bom o suficiente para a maioria dos casos de uso. Mas o ponto é, normalmente há razão para usar um algoritmo (ou, neste caso, em vez: a força da chave), que é conhecido por ser bastante fraca. Wikipedia aponta que mesmo com hardware especial em torno de 9 dias são necessários para uma pesquisa exaustiva chave . Eu não acho que os script kiddies são susceptíveis de gastar esse tempo muitos CPU (mesmo se eles têm um botnet), apenas para quebrar um captcha. (Na verdade, rachaduras captchas é normalmente muito mais fácil com o reconhecimento de imagem inteligente suficiente ...)