Tempo di crack DES? È un compito adatto a uno script per bambini ancora?

Question

Già comprendendo che AES è il metodo di crittografia scelto, se il codice esistente che utilizza DES viene riscritto se la probabile minaccia è a livello di script kiddies? (ad es. le password di pkzip possono essere decifrate con utilità gratuite da parte di professionisti non informatici, quindi DES è così?) Una rapida ricerca su google sembra implicare che anche il DES deprecato richiede ancora un super computer e una grande quantità di tempo - o sono cambiati tempi ?

In particolare, questo CAPTCHA library utilizza DES per cifrare la stringa sfida che viene inviato all'utente in ViewState.

Answer 1

DES è rotto per quanto riguarda la memorizzazione di dati sensibili, e quindi non lo userei sicuramente in qualcosa di nuovo, e lo sostituirò in qualsiasi cosa utilizzata per la conservazione a lungo termine di qualsiasi informazione di interesse (dati che qualcuno potrebbe avere un profitto per l'interesse di sicurezza nazionale nel rubare).

Al momento un messaggio DES può essere rotto con la forza bruta in un paio di giorni (o meno) utilizzando sotto il valore $ 100.000 di hardware personalizzato.

Ma ci sono alcuni fattori chiave che:

L'hardware è personalizzato - i chip utilizzati per bruta rapidamente una chiave DES non sono il processore general purpose che si può trovare in un PC. Detto questo, c'è probabilmente spazio oggi per l'utilizzo di un cluster di Playstation 3 o di schede grafiche di generazione corrente con un GPGPU per decifrare un messaggio DES in un ragionevole lasso di tempo, forse abbassando il costo a forse $ 15.000.

L'altro fattore è il tempo - un messaggio DES può essere violata in un giorno, ma se la libreria CAPTCHA ha un timestamp che specifica un timeout di 30 minuti per ogni dato risposta CAPTCHA, sarebbe comunque efficace (si può scalare fino il tuo hardware, ma poi stai parlando di milioni).

Nel complesso, direi che per la memorizzazione a lungo termine, DES è ancora sicuro contro "script kiddies".

Answer 2

Il DES è probabilmente ancora abbastanza buono per la maggior parte dei casi d'uso. Ma il punto è che normalmente c'è un motivo per usare un algoritmo (o in questo caso piuttosto: una forza chiave) che è noto per essere piuttosto debole. Wikipedia sottolinea che anche con hardware speciale circa 9 giorni sono necessari per una ricerca approfondita dei tasti. Non penso che i kiddies degli script possano spendere così tanto tempo in CPU (anche se hanno una botnet) solo per decifrare un captcha. (In realtà, captchas cracking è normalmente MOLTO più facile con sufficiente riconoscimento intelligente dell'immagine ...)

Answer 3

no, DES fessurazione non è adatto per scriptkiddies e non sarà esaltante nel prossimo futuro prevedibile.

richiede un'enorme potenza di elaborazione, stiamo parlando di un carico di processori FPGA.

per esempio il COPACOBANA nella CHES 2006 secret key challenge preso 21 ore, 26 minuti, 29 secondi usando 108 di esso è 128 processori, ad una troughput di 43.1852 miliardi di chiavi al secondo, e trovato la chiave dopo una ricerca attraverso 4,73,507 mila% del keyspace

ora, se guardiamo a moores law vediamo, che se attualmente costruiamo una macchina simile, al momento impiegherò 1/4 del tempo per la stessa quantità di denaro, o 1/4 del denaro per lo stesso quantità di tempo.

Answer 4

DES è rotto dagli standard della comunità cripto; ma il tempo richiesto per romperlo è generalmente abbastanza grande da essere "sicuro" da utilizzare per questo tipo di applicazione.Da un presupposto: il tasto DES cambia da una sessione all'altra. Se la chiave non cambia, allora è aperta all'attacco di un individuo molto molto dedicato. Ora, la domanda è: il tuo sito web è soggetto a persone che trascorrono più di 10 giorni a decifrare DES, piuttosto che applicare le lezioni apprese dal resto dello Spam Industry nel modo di Image Recognition.