Có bất kỳ phá vỡ mật mã nào được thực hiện trong thế giới thực kể từ Thế chiến II không?

Đã có bất kỳ khai thác nào được biết đến công khai về việc phá vỡ mật mã trong một hệ thống mật mã được sử dụng rộng rãi để thực sự đọc thông tin được mã hóa (hoặc xác thực sai) kể từ khi Cực kỳ chương trình trong Thế chiến II?

Tôi muốn định nghĩa các thuật ngữ của mình chính xác nhất có thể để làm rõ ý của tôi. Một ví dụ về những gì tôi đang tìm kiếm cần đáp ứng ba yêu cầu:

1. Nó cần phải là một thật phá vỡ mật mã, bắt nguồn từ phân tích mật mã toán học, trái ngược với tấn công kênh phụ, tấn công nội gián, lỗi triển khai, trình tạo số ngẫu nhiên bị lỗi, tấn công vũ phu, v.v. Nói cách khác, nó phải khai thác điểm yếu cơ bản của thuật toán toán học cơ bản điều đó không được biết đến vào thời điểm đó. Tôi biết rằng ranh giới giữa "lỗi triển khai" và "điểm yếu cơ bản" là hơi chủ quan, nhưng một nguyên tắc tốt ngón tay cái là nếu cái sau được tiết lộ công khai, thì cơ bản mật mã không thể dễ dàng sửa chữa và phải bị loại bỏ. (Một quy tắc khác ngón tay cái là một chuyên gia mật mã đương đại sẽ có cần phải suy nghĩ khá nhiều để hiểu làm thế nào khai thác đã làm việc; sẽ không phải là tầm thường để giải thích khai thác cho họ.)

2. Việc ngắt phải thực sự được thực hiện trong thế giới thực để thực sự đọc thông tin được mã hóa "trong tự nhiên" hoặc xác thực sai mà người gửi không biết/cho phép. Việc chứng minh rằng việc nghỉ giải lao sẽ hợp lý để thực hiện trong thực tế không được tính.

3. Thuật toán phải được sử dụng rộng rãi, ví dụ: trong môi trường Internet, thương mại hoặc chính phủ. Một lần nữa, những gì được coi là "rộng rãi" là hơi chủ quan, nhưng sẽ không được tính nếu Alice phát minh ra thuật toán mật mã của riêng mình để giải trí, sử dụng nó để gửi một tin nhắn được mã hóa cho Bob, và sau đó Charlie, bạn của họ, phá vỡ nó. Một nguyên tắc chung cho những gì được coi là "rộng rãi" là thuật toán mật mã này được sử dụng bởi những người không có kết nối trực tiếp với người tạo ra thuật toán.

(Bây giờ, tôi thừa nhận rằng theo bản chất của mật mã, bất kỳ ai đã phát triển một lỗ hổng như vậy sẽ có động cơ mạnh mẽ để không công khai thực tế đó, vì vậy bất kỳ lỗ hổng nào như vậy có thể không được công khai.Nhưng tôi tò mò liệu có cái nào trong số chúng được tiết lộ công khai không.)

Một ví dụ ngay lập tức xuất hiện trong đầu là cuộc tấn công vào WEP, dựa trên một cuộc tấn công khóa liên quan đến RC4 chưa biết (đối với các nhà thiết kế vào thời điểm đó) dẫn đến việc khôi phục khóa.

1. Nó cần phải là một sự phá vỡ mật mã thực sự, xuất phát từ phân tích mật mã toán học

Kiểm tra; cuộc tấn công khai thác thiết kế của thuật toán thiết lập khóa RC4.

2. Sự phá vỡ phải thực sự được thực hiện trong thế giới thực

Kiểm tra; trên thực tế, cuộc tấn công đã được sử dụng trong lĩnh vực này để khôi phục số thẻ tín dụng; trên thực tế, vài năm sau khi cuộc tấn công được công bố (vì nhà điều hành không buồn nâng cấp mạng không dây của mình).

3. Thuật toán phải được sử dụng rộng rãi, ví dụ: trong môi trường Internet, thương mại hoặc chính phủ.

Kiểm tra; Vào thời điểm đó, WEP được sử dụng khá rộng rãi.

Một ví dụ là mã hóa giọng nói GSM sử dụng A5/1, được sử dụng ở Châu Âu và Hoa Kỳ trên kênh thoại của liên kết radio của điện thoại di động trước 3G. Mặc dù với một thuật toán tốt, kích thước khóa 80 bit của A5/1 sẽ là một trở ngại nghiêm trọng đối với việc giải mã ngay cả ngày nay, nhưng việc phân tích mật mã theo thời gian thực là khả thi và có thể sử dụng để giải mã các chặn vô tuyến thụ động.

1. Nó cần phải là một sự phá vỡ mật mã thực sự, xuất phát từ phân tích mật mã toán học

Đây là trường hợp của Alexander Maximov, Thomas Johansson, Steve Babbage's Một cuộc tấn công tương quan được cải thiện trên A5/1, Trong thủ tục tố tụng của SAC 2004, cải thiện trên một cuộc tấn công trước đó.

2. Sự phá vỡ phải thực sự được thực hiện trong thế giới thực

Của nó được tổ chức rộng rãi đó là trường hợp bổ sung cho các cuộc tấn công tích cực (liên quan đến phân tích mật mã cơ bản hơn và có thể tiết lộ nhiều thông tin hơn giọng nói). Tôi cho rằng đó phải là trường hợp vì hai lợi thế hoạt động của chặn chặn thụ động: chúng không thể bị phát hiện và có thể cho phép nghe trộm quy mô lớn (mặt khác, điều này có thể dễ dàng hơn ở các điểm khác của mạng).

3. Thuật toán phải được sử dụng rộng rãi, ví dụ: trong môi trường Internet, thương mại hoặc chính phủ.

A5/1 đã được sử dụng rộng rãi ở Châu Âu và Hoa Kỳ cho dịch vụ thoại GSM, trước khi nó (theo như tôi biết) bị thay thế bởi 3G.

Lưu ý: câu hỏi không hỏi rằng thuật toán đã được chọn là được cho là an toàn, trong giới hạn nội tại của khóa và kích thước trạng thái của nó, bởi tất cả các bên liên quan đến quyết định chọn nó. Tôi không có ý kiến ​​đầy đủ về việc đó có phải là trường hợp của A5/1 hay không và rất muốn biết thông tin về điều đó. Tôi chắc chắn rằng thứ gì đó thực sự không thể phá vỡ sẽ bị từ chối¹, nhưng tôi tự hỏi liệu phân tích mật mã của các lần chặn thụ động có tốt hơn khả năng hiển nhiên đó hay không do trạng thái + khóa 80 bit đã được biết tại thời điểm lựa chọn và ảnh hưởng đến nó.

¹ Trong giai đoạn (khoảng) 1970-2000, có nhiều luật và quy định có hiệu lực ở nhiều quốc gia bị GSM nhắm mục tiêu cấm mã hóa hiệu quả cho các thiết bị được chào bán cho công chúng² và chúng vẫn được thực thi ở một mức độ nào đó. Do đó, tôi thực sự tin tưởng rằng các nhà hoạch định tiêu chuẩn đã chú ý để không đề xuất một tiêu chuẩn mà các cơ quan quản lý sẽ cho là quá mạnh, vì sợ rằng việc phê chuẩn hoặc triển khai tiêu chuẩn sẽ bị chậm lại. Tôi thấy đó là lý do A5/1 có trạng thái 80 bit và kích thước khóa tối đa.

² Ví dụ: ở Pháp, để tránh bị chính quyền ngăn chặn, về nguyên tắc, hơn 40 loại tiền điện tử bị cấm theo luật, với các miễn trừ chính thức của AFAIK chỉ dành cho tiền điện tử được mở cửa sau hoặc các ứng dụng rất kín, theo quyết định của chính quyền.Giới hạn đã được lựa chọn bởi chính phủ, đã không được thay đổi trong nhiều năm và vào năm 1999 đột ngột chuyển từ 40 sang 128 bit, thay đổi hoàn toàn ý nghĩa của luật.

DVD Hệ thống xáo trộn nội dung.

1. Nó cần phải là một sự phá vỡ mật mã thực sự, xuất phát từ phân tích mật mã toán học

Mặc dù mật mã về bản chất là yếu, chỉ có 40 bit, nhưng brute-forceing vẫn cần khoảng 24 giờ để làm cạn kiệt không gian khóa trở lại khi hệ thống bị bẻ khóa lần đầu tiên. Các cuộc tấn công phân tích mật mã đã giảm xuống còn 25 bit hiệu quả, cho phép khôi phục các khóa đĩa chỉ trong vài giây.

2. Sự phá vỡ phải thực sự được thực hiện trong thế giới thực

Đúng. Rất. Những ngày này, việc thực hiện chính của break là libdvdcss có mã cho một cuộc tấn công tạo ảnh trước có độ phức tạp 2^25 vào mã băm của khóa đĩa trong trường hợp không có khóa nào trong số 32 khóa trình phát của nó (cũng là kết quả của một cuộc tấn công phân tích mật mã) hoạt động với một đĩa DVD nhất định.

3. Thuật toán phải được sử dụng rộng rãi

Mọi DVD được sản xuất thương mại đã (và vẫn còn) bao gồm nội dung được mã hóa bằng CSS.

Các DRBG EC kép Juniper Networks hack phải đủ điều kiện.

1. Nó cần phải là một sự phá vỡ mật mã thực sự, xuất phát từ phân tích mật mã toán học

Năm 1997 Adam L. Young và Moti Yung trình bày một bài báo tại Eurocrypt mô tả chi tiết một trình tạo khóa bí mật "kleptographic" đã đưa một cửa hậu toán học vào các trao đổi khóa Diffie Hellman.

Bộ tạo DRBG EC kép đã được đề xuất vài năm sau đó, với cấu trúc gần giống với cửa hậu Diffie Hellman.

2. Sự phá vỡ phải thực sự được thực hiện trong thế giới thực

Vào đầu những năm 2000, tiêu chuẩn Dual EC DRBG được áp dụng rất nhiều được khuyến khích bởi NSA, và được bao gồm trong các tiêu chuẩn mật mã ANSI X9.82 và ISO/IEC 18031:2005. RSA đã sử dụng nó trong thư viện BSAFE của họ làm trình tạo số ngẫu nhiên mặc định của họ.

Bất chấp sự phản đối của các nhà toán học đã phân tích thuật toán và xác định một số sai sót trong đó, nó cuối cùng đã được xuất bản trong NIST SP 800-90A vào năm 2006 - lỗi vẫn còn.

Vào năm 2007, Dan Shumow và Niels Ferguson đã trình diễn việc triển khai thuật toán Dual EC DRBG có chứa một cửa hậu mà họ đã tạo bằng cách sử dụng hằng số EC kép của riêng họ. http://rump2007.cr.yp.to/15-shumow.pdf

Vao năm 2008 Juniper Networks đã triển khai Dual EC DRBG làm PRNG được sử dụng bởi hệ điều hành ScreenOS của họ, được sử dụng trong các hệ thống Tường lửa NetScreen cấp doanh nghiệp của họ.

Năm 2012, NIST cập nhật SP 800-90Avà DRBG EC kép vẫn được đề xuất.

Năm 2013 Reuters đăng tải thông tin từ vụ rò rỉ của Snowden khẳng định rằng NSA đã trả cho RSA 10 triệu đô la để triển khai Dual EC DRBG làm PRNG mặc định của họ.

Vào năm 2015, NIST đã rút SP 800-90A, thay thế nó bằng SP 800-90A Phiên bản 1, cuối cùng đã loại bỏ Dual_EC_DRBG dưới dạng PRNG được đề xuất.

Năm 2016 Juniper Networks đã xóa Dual EC DRBG khỏi ScreenOS. Vào thời điểm đó, họ tiết lộ rằng các tin tặc không xác định đã xâm nhập vào hệ thống của họ ít nhất là từ năm 2012 và đã sửa đổi mã nguồn thành ScreenOS thay thế hằng số Dual EC do NIST chỉ định bằng một hằng số không rõ nguồn gốc.

3. Thuật toán phải được sử dụng rộng rãi

RSA đã sử dụng nó trong thư viện BSAFE của họ làm trình tạo số ngẫu nhiên mặc định; nó được bao gồm trong ANSI X9.82, ISO/IEC 18031:2005 và NIST SP 800-90A. Đã có lúc người ta ước tính rằng một phần ba tổng lưu lượng SSL đang sử dụng các khóa do DRBG EC kép tạo ra [cần dẫn nguồn].

Thỏa thuận bị cáo buộc với NSA cuối cùng đã gây ra tác động nghiêm trọng đến hoạt động kinh doanh của RSA. Trong năm 2017-2018, RSA đột ngột tuyên bố chấm dứt sản phẩm Trình quản lý khóa RSA và Trình quản lý bảo vệ dữ liệu phổ biến của họ, sản phẩm chiếm khoảng 70% thị phần cho các máy chủ khóa mật mã. Máy chủ khóa được các nhà cung cấp dịch vụ web, ngân hàng, tổ chức tài chính và các công ty lớn khác sử dụng để bảo vệ mọi thứ từ khóa máy chủ web, chuyển khoản ngân hàng, đến khóa được sử dụng để mã hóa mã PIN của thẻ tín dụng. Hỗ trợ cho dòng đã hoàn toàn bị loại bỏ, không có sản phẩm thay thế nào được phát hành và không có lời giải thích nào được đưa ra. RSA đã đi từ một nhà lãnh đạo thế giới về cơ bản đã chết với tư cách là một công ty mật mã.

Điều đáng chú ý là loại máy mã hóa mà Enigma thời chiến dựa trên, đã được sử dụng trong vài thập kỷ sau chiến tranh và thực tế là loại mã hóa này đã bị người Ba Lan/Anh phá vỡ không được nhiều người biết đến.

Điều này khiến các cơ quan tình báo của Mỹ và Tây Đức tiếp quản một công ty chế tạo máy mã hóa của Thụy Sĩ, bán những máy bị xâm nhập này cho các công ty và chính phủ trên toàn thế giới và có thể dễ dàng theo dõi chúng.

Thông tin tình báo được thu thập bằng cách chặn các tin nhắn được mã hóa bởi các máy này đã được sử dụng vào cuối Cuộc khủng hoảng con tin ở Iran (1979) và Chiến tranh Falklands (1982), vào thời điểm đó các quốc gia như Iran và Argentina vẫn đang sử dụng chúng.

Thông tin thêm trong bài viết này của BBC: https://www.bbc.com/news/world-europe-51467536

Các Bảo vệ nội dung kỹ thuật số băng thông cao (HDCP) đã bị phá vỡ. Hệ thống này đã được triển khai rộng rãi, mặc dù câu chuyện này được cho là có nhiều "sức bền" hơn không phải cho phân tích mật mã mới (mặc dù có một số), mà bởi vì nó là một ví dụ ban đầu về luật DMCA của Hoa Kỳ cắt giảm việc phổ biến nghiên cứu mật mã vì sợ kiện tụng . Nhìn thấy Bài đăng của Niels Ferguson về vấn đề này. Để biết tóm tắt về phân tích mật mã, hãy xem liên kết đầu tiên.

Lưu ý rằng có những câu chuyện tương tự (về DMCA được sử dụng để ngăn chặn nghiên cứu) có thể đưa ra câu trả lời khác cho vấn đề này, vì nó (nói chung) xảy ra khi một số nhóm ngành có cổ phần tài chính trong việc ngừng phân tích mật mã, hầu như luôn luôn để ngăn chặn "thế giới thực". các cuộc tấn công". Tuy nhiên, các cuộc tấn công này có thể là do các vấn đề triển khai hoặc các cuộc tấn công kênh bên, mặc dù không phải lúc nào cũng vậy (chẳng hạn như các phiên bản đầu tiên của HDCP).

Keeloq, được sử dụng cho nhà để xe, cổng và ô tô. Có lẽ những thứ khác?

Bất cứ điều gì sử dụng DES. Hãy xem https://crack.sh để xem các giao thức khác nhau đã sử dụng DES, ví dụ: vpn pptp, doanh nghiệp wpa2 với Mschapv2. Netntlmv1, v.v. al.