标记为“密码学”的条目

第45页第44页

Winkhaus蓝芯片锁存在缺陷

这个温克豪斯蓝筹股锁很受欢迎,而且昂贵,128位加密门锁。当你插入一把钥匙时,在密钥和锁之间有一个128位的挑战/响应交换,当钥匙被授权时,它会通过某种电磁开关拉下一个小销。这样可以转动锁。

不幸的是,它有一个主要的安全缺陷。如果你在锁附近放一块强力磁铁,你也可以把这个别针拉下来,没有授权——没有损坏或任何证据。

最糟糕的是温豪斯否认了这个问题,希望它能自己消失。他们已经知道这个缺陷至少六个月了,什么也没做。他们没有告诉任何顾客。如果你问他们,他们会说“这需要一个非常特殊的磁铁”。

据我所知,唯一没有这个问题的版本是没有内置电池的型号。在这个模型中,带电磁开关的零件对准内侧而不是外侧。内部电池是一个弱点,因为你需要打开一个小盖子来换它。所以这一边永远不能面对门的“外面”,因为任何人都可以取下电池。如果使用外部电源,则不会出现此问题,因为锁的一边是纯金属的。

提供视频演示在这里.

发表于3月2日,2005年下午3:00·查看评论188滚球网站

SHA-1密码分析

星期二,我博客的关于新的密码分析结果——对沙一的第一次攻击比蛮力还快。我写过关于沙的事,以及更换它的必要性,最后的九月.除了新攻击的细节,我说的每一句话都是站着的。我引用那篇文章,适当时添加新材料。

单向散列函数是许多应用程序中使用的加密构造。它们与用于加密和数字签名的公钥算法一起使用。它们用于完整性检查。它们用于身份验证。它们在许多不同的协议中有各种各样的应用程序。不仅仅是加密算法,单向散列函数是现代密码学的主要工具。

1990,RonRivest发明了散列函数MD4。1992,他改进了MD4并开发了另一个哈希函数:MD5。1993,国家安全局发布了一个与MD5非常相似的哈希函数,称为sha(安全哈希算法)。然后,1995,引用了一个新发现的弱点,它拒绝详细说明,国安局改为沙阿。新算法被称为sha-1。今天,最流行的哈希函数是sha-1,MD5仍在旧应用程序中使用。

单向散列函数应该有两个属性。一,他们是单向的。这意味着很容易获取消息并计算散列值,但不可能获取哈希值并重新创建原始消息。(我所说的“不可能”是指“不能在任何合理的时间内完成”。)2,它们没有碰撞。这意味着不可能找到两个哈希值相同的消息。这两个属性背后的密码推理是微妙的,我邀请好奇的读者在我的书中了解更多应用密码学.

破坏哈希函数意味着显示这些属性中的一个或两个都不是真的。

本周早些时候,三位中国密码学家证明,sha-1并不是无碰撞的。也就是说,他们开发了一种比蛮力更快地发现碰撞的算法。

sha-1产生一个160位散列。也就是说,每一条消息都会散列成160位的数字。假设有无限多的消息散列到每个可能的值,可能发生的碰撞数量是无限的。但是因为可能的哈希数太大了,偶然发现的几率很小(2分之一八十,确切地说)如果你散列2八十随机信息,您会找到一对散列到相同值的。这是发现碰撞的“蛮力”方法,它仅仅取决于散列值的长度。“中断”散列函数意味着能够更快地发现冲突。中国人就是这么做的。

他们可以在sha-1和2中找到碰撞。六十九计算,比蛮力快2000倍。马上,这仅仅是当前技术的可行性的一个边缘。两次类似的大规模计算说明了这一点。

1999,一群密码学家建立了一个DES破解机.它能表演2五十六DES在56小时内运行。这台机器造价25万美元,尽管可以在5万到7万5千美元的范围内复制。用摩尔定律推断出那台机器,今天制造的一台类似的机器可以执行2六十在56小时内计算,和2六十九三年和四分之一年的计算。或者,一台耗资2500万至3800万美元的机器可以做2件事。六十九在56小时内计算。

在软件方面,主要的可比性是2六十四密钥搜索完成者分发网那是在2002年完成的。一文章这样说:“在比赛过程中,一些331252名用户通过允许将他们未使用的处理器周期用于密钥发现而参与进来。1757天后(4.81年)日本的一位参与者发现了获胜的钥匙。“摩尔定律意味着今天的计算将花费四分之一的时间,或者需要四分之一的计算机数量,所以今天a 2六十九计算需要八倍的时间,或者需要八倍的电脑。

这些结果的大小取决于你是谁。如果你是个密码学家,这是一笔巨大的交易。虽然不是革命性的,这些结果是该领域的重大进展。研究人员所描述的技术可能还有其他应用,因此,我们将能够更好地设计安全系统。这就是密码学的进展:我们学习如何通过打破其他算法来设计新的算法。此外,国家安全局的算法被认为是一种外星技术:它们来自一个优秀的种族,没有任何解释。针对NSA算法的任何成功的密码分析都是永恒问题中一个有趣的数据点,即它们到底有多好。

对于普通的互联网用户,这个消息不是引起恐慌的原因。没有人会在短时间内破坏数字签名或阅读加密邮件。发布这些公告后,电子世界的安全性不亚于以前。

但在国家安全局内部有句老话:“袭击总是会好转的;正如本周的攻击建立在其他描述针对简化版sha-1的攻击的论文之上,嘘0,Md4,和MD5,其他的研究人员将基于这个结果。对sha-1的攻击将继续改善,当其他人读到它并开发出更快的技巧时,优化,等。摩尔定律将继续前进,使现有的攻击更快、更经济。

Jon CallasPGP的CTO,最好说:“该走了,但不能奔跑,到消防出口。你看不到烟,但是火警已经响了,“这基本上是我去年八月说的。

是时候让我们所有人离开沙河一号了。

幸运的是,还有其他选择。国家标准技术研究所已经标准对于更长的——更难破坏的——散列函数:sha-224,沙阿256,沙-38和SA-512。它们已经是政府标准了,已经可以使用了。这是一个很好的权宜之计,但我想看更多。

我希望看到NIST为一个新的哈希函数组织了一场全球竞争,就像他们为新的加密算法所做的那样,俄歇电子能谱,取代DES。国家标准与技术研究所应发布一项算法呼吁,进行一系列的分析,社区分析各种提案的目的是建立新的标准。

我们拥有的大多数散列函数,所有广泛使用的,基于MD4的一般原则。很明显,在过去的十年里,我们学到了很多关于散列函数的知识,我认为我们可以开始应用这些知识来创造更安全的东西。

哈希函数是最不容易理解的加密原语,而散列技术比加密技术要少得多。哈希算法经常会产生令人惊讶的加密结果。我有一个,与约翰·凯尔西合著,它描述了一种使用sha-1(一种推广到几乎所有其他哈希函数的技术)查找第二个预映像的算法。一百零六计算:远远小于2一百六十蛮力计算。这种攻击完全是理论上的,甚至不是远程实际的,但这表明我们仍然有很多关于散列的知识要学习。

很明显,从我去年九月写的文章中,我预计会发生这种情况,但不是那么快,也不是那么令人印象深刻。中国密码学家的工作值得称道,我们需要开始工作来取代沙。

2月18日发布,2005年11:24·查看评论188滚球网站

SHA-1断裂

SHA-1坏了。不是缩小的圆形。不是简化版。真实的东西。

王晓云的研究小组,Yiqun Lisa Yin洪博瑜(大部分来自中国山东大学)一直在悄悄地传阅一篇论文,描述他们的研究结果:

  • 在2*69散列操作中的完整sha-1中发生冲突,比基于散列长度的2*80操作的暴力攻击要少得多。

  • SHA-0在2**39操作中发生碰撞。

  • 58轮沙-1在2*33操作中发生碰撞。

此攻击基于之前对sha-0和sha-1的攻击,是一个专业,主要密码分析结果。它几乎把一颗子弹放进了sha-1中,作为数字签名的散列函数(尽管它不影响诸如hmac这样的应用程序,因为冲突并不重要)。

这篇论文目前还没有面世。在这一点上,我不知道攻击是否真实,但这篇论文看起来不错,这是一个很有声望的研究团队。

当我有更多细节的时候。

更新:参见在这里

2月15日发布,2005年下午7:15·查看评论188滚球网站

Microsoft RC4缺陷

流密码最重要的规则之一是永远不要使用同一个密钥流来加密两个不同的文档。如果有人这样做,您可以通过将两个密文流混合在一起来破坏加密。钥匙流退出,最后是纯文本和纯文本的异或,您可以使用字母频率分析和其他基本技术轻松地恢复这两种纯文本。

这是一个业余的密码错误。防止这种攻击的简单方法是在每次加密文档时,除了密钥之外,还使用唯一的初始化向量(IV)。

Microsoft在Word和Excel中都使用RC4流密码。他们犯了这个错误。吴洪君有详细信息(链接是一个PDF

在这份报告中,我们指出Microsoft Word和Excel中存在严重的安全缺陷。密钥长度高达128位的流密码RC4[9]在Microsoft Word和Excel中用于保护文档。但是当加密的文档被修改和保存时,初始化向量保持不变,因此应用从RC4生成的相同的密钥流来加密该文档的不同版本。结果是灾难性的,因为文件中的许多信息很容易被恢复。

这不是新的。微软在1999年也犯了同样的错误。温尼尔西斯基.五年后,微软在其他产品中也有同样的缺陷。

发表于1月18日,2005年上午9:00·查看评论188滚球网站

字母:Lexar JumpDrives

最近我谈到了Lexar的JumpDrives中的一个安全漏洞。我收到了公司的这封电子邮件:

发件人:Diane Carlini
主题:Lexar的JumpDrive

@post的调查结果显示,在有经验的黑客可能监控和访问安全区域的情况下,存在轻微的安全风险。这只是1.0版中的情况,其中包括安全措施。Lexar的JumpDrive Secure 2.0设备现在包括基于256位AES加密技术的软件。有了这个新产品,JumpDrive Secure 2.0提供了当今常见的最高级别的数据保护。

将联系已注册的JumpDrive Secure客户,告知他们在版本1中找到的此安全建议。

我没有技术信息,无论是从Lexar还是@Stage,它证实或反驳了这一主张。

11月5日发布,2004年上午9:53·查看评论188滚球网站

狗舍:Vadium技术

另一个一次性PAD系统。网站上的细节不多,但这一点说明了一切:

“基于正在申请专利的技术和18年的详尽研究,Vadium的Alphacipher加密系统(TM)实现真正的数字一次性密码。一次性PAD是唯一一种加密数据的方法,在这种方法中,保护的强度可以免受高等数学突破和计算机不断增强的处理能力所带来的日益严重的威胁。计算能力的持续加速增长被证明是目前所有其他流行加密方法的一个严重威胁。”

我不断地对一次性PAD系统源源不断的流感到惊讶。每隔几个月,另一家公司就认为他们终于找到了如何制作商业一次性PAD系统的方法。他们宣布,都被嘲笑了,然后消失。这是密码学的永动机。


Vadium技术公司网站.

我的散文在一次性垫子上。


11月4日发布,2004年12:08·查看评论188滚球网站

DES的遗产

数据加密标准,或DES,是70年代中期国家标准局的发明者:第一个现代的,公共的,免费提供的加密算法。二十多年来,DES是商业密码学的主力军。

几十年来,DES已经被用来保护所有东西不受大型计算机数据库的影响,自动取款机和银行之间的通信链路,警车和警察局之间的数据传输。不管你是谁,我可以保证在你的生活中很多次,数据的安全性受到DES的保护。

就在上个月,前国家标准局——该机构现在被称为国家标准技术研究所,或NIST——提议撤销DES作为加密标准,标志着联邦政府最重要的技术标准的终结,比ASCII更重要的一个,我会争辩。

今天,密码学是计算机安全最基本的工具之一,但30年前,它几乎不作为一门学科存在。在互联网只是一种好奇心的时代,密码学甚至不是公认的数学分支。密码总是很吸引人,但它们是基于字母表的铅笔和纸代码。在第二次世界大战期间的秘密政府实验室里,密码术进入了计算机时代,成为了数学。但是没有教授教,没有会议讨论,美国所有的密码研究都是在国家安全局进行的。

然后是德斯。

回到20世纪70年代早期,这是一个激进的想法。国家标准局决定应该有一个免费的加密标准。因为该机构希望它是非军事的,他们向公众征求加密算法。他们只有一个来自IBM实验室的严肃回应——数据加密标准。1976,DES成为政府针对“敏感但非保密”流量的标准加密算法。这包括一些个人的事情,财务和后勤信息。仅仅因为没有别的东西,公司在需要加密算法时就开始使用DES。当然,不是每个人都相信DES是安全的。

当IBM提交DES作为标准时,国家安全局以外的任何人都没有任何专业知识来分析它。国家安全局对DES做了两次修改:修改了算法,它把钥匙的尺寸减少了一半以上。

一个算法的优势在于两个方面:数学有多好,钥匙有多长?打破算法的一个可靠方法是尝试所有可能的密钥。现代算法有一把钥匙,时间太长,这是不可能的;即使你用地球上所有的硅原子制造了一台计算机并运行了数百万年,你做不到。所以密码学家寻找捷径。如果数学不好,也许有一种方法可以更快地找到密钥:“打破”算法。

国家安全局的变化引起了少数关注者的强烈抗议,关于国家安全局的“看不见的手”——这些调整没有公开,最后的设计——以及短键长度——没有给出任何理由。

但随着抗议声的到来,研究开始了。可以毫不夸张地说,DES的出版创造了现代密码学的学术学科。第一批学术密码学家开始他们的职业生涯,试图打破des,或者至少试着理解国家安全局的调整。几乎所有的加密算法——公钥密码术,特别是,它们的根可以追溯到des。分析DES不同方面的论文今天仍在出版。

到90年代中期,人们普遍认为,国家安全局能够通过尝试每一把可能的钥匙来打破DES。这种能力是在1998年被证明的,当一台价值22万美元的机器建成后,它可以在几天内强行使用des密钥。1985,学术界提出了一个DES变体,它的数学形式相同,但密钥较长,称为三重DES。多年来,这种变体已在更安全的应用中取代DES使用,但现在是制定新标准的时候了。1997,NIST要求用一种算法来代替DES。

这个过程说明了密码学从秘密的NSA技术到全球公共技术的完全转变。NIST再次向公众征求算法,但这一次,该机构收到了来自10个国家的15份意见书。我自己的算法,特福菲什是其中之一。经过两年的分析和辩论,NIST选择了比利时算法,Rijndael成为高级加密标准。

在密码学上,现在的世界与30年前不同了。我们对密码术了解得更多,有更多的算法可供选择。AES不会像DES那样成为无所不在的标准。但它正在寻找进入银行安全产品的途径,互联网安全协议,甚至是电脑投票机。NIST标准是对质量和安全的禁锢,供应商也承认这一点。

所以,国家安全局在密码学方面有多好?他们肯定比学术界强。他们有更多的数学家在研究这些问题,他们花了很长时间研究它们,他们可以接触到学术界发表的一切,虽然他们不必公开自己的结果。但是,他们比最先进的技术领先一年吗?五年?十年?没有人知道。

学术界花了20年的时间才发现,国家安全局的“调整”实际上提高了DES的安全性。这意味着在70年代,国家安全局比最新技术领先20年。

今天,国家安全局仍然更聪明,但我们其他人正在迅速赶上。1999,学术界发现了另一种NSA算法的弱点,沙国家安全局声称四年前才发现的。就在上周,有一份关于国家安全局的SHA-1的公开分析表明了我们认为国家安全局根本不知道的弱点。

也许现在我们只落后几年。


这篇文章最初发表在CNET.com

10月6日发布,2004年下午6:05·查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.