¿Hora de descifrar DES? ¿Es una tarea adecuada para un script kiddie todavía?

Question

¿Ya entendió que AES es el método de encriptación de elección, debería el código existente que usa DES reescribirse si la amenaza probable está en el nivel de script kiddies? (Por ejemplo, las contraseñas de pkzip pueden ser descifradas con utilidades gratuitas por profesionales no informáticos, ¿así es DES así?) Una búsqueda rápida en Google parece implicar que incluso el DES en desuso aún requiere una supercomputadora y una gran cantidad de tiempo, o han cambiado los tiempos ?

En particular, este CAPTCHA library usa DES para encriptar la cadena de desafío que se envía al usuario en viewstate.

Answer 1

DES se ha roto en cuanto al almacenamiento de datos confidenciales, por lo que ciertamente no lo usaría en nada nuevo, y lo reemplazaría en cualquier cosa utilizada para el almacenamiento a largo plazo de cualquier información de interés (datos de que alguien tendría un beneficio por el interés de la seguridad nacional en robar).

Por el momento, un mensaje DES se puede romper por la fuerza bruta en un par de días (o menos) utilizando hardware personalizado por debajo de $ 100,000.

Pero hay algunos factores claves en que:

El hardware es costumbre - los chips utilizados para bruta rápidamente una clave DES no son el procesador de propósito general que encontraría en un PC. Habiendo dicho esto, probablemente haya espacio hoy para usar un grupo de Playstation 3 o tarjetas gráficas de generación actual con una GPGPU para descifrar un mensaje DES en un tiempo razonable, tal vez reduciendo el costo a tal vez $ 15,000.

El otro factor es el tiempo: un mensaje DES se puede descifrar en un día, pero si su biblioteca CAPTCHA tiene una marca de tiempo que especifica un tiempo de espera de 30 minutos para una respuesta CAPTCHA dada, aún sería efectivo (podría escalar su hardware, pero luego está hablando de millones).

En general, diría que para el almacenamiento a largo plazo, DES sigue siendo seguro contra "script kiddies".

Answer 2

DES probablemente sea lo suficientemente bueno para la mayoría de los casos de uso. Pero el punto es que normalmente hay una razón para usar un algoritmo (o en este caso más bien: una fuerza clave) que se sabe que es bastante débil. Wikipedia señala que, incluso con hardware especial, se necesitan alrededor de 9 días para realizar una búsqueda de claves exhaustiva. No creo que los guionistas pasen ese tiempo de CPU (incluso si tienen una botnet) solo para descifrar un captcha. (En realidad, descifrar captchas es MUCHO más fácil con suficiente reconocimiento inteligente de imágenes ...)

Answer 3

no, DES cracking no es adecuado para scriptkiddies y probablemente no se encuentre en un futuro próximo.

requiere una enorme potencia de procesamiento, estamos hablando de una carga de procesadores FPGA.

por ejemplo, el COPACOBANA en el CHES 2006 secret key challenge tomó 21 horas, 26 minutos, 29 segundos usando 108 de la misma es de 128 procesadores, en un troughput de 43.1852 mil millones de claves por segundo, y encontró la llave después de buscar a través 4,73507% del espacio de claves

ahora, si miramos moores law vemos que si actualmente construimos una máquina similar, actualmente tomará 1/4 del tiempo por la misma cantidad de dinero, o 1/4 del dinero por la misma cantidad cantidad de tiempo.

Answer 4

DES está roto por los estándares de la comunidad crypto; pero el tiempo requerido para romperlo es generalmente lo suficientemente grande como para ser "seguro" de usar para este tipo de aplicación.En una suposición: la clave DES cambia de sesión a sesión. Si la llave no cambia, entonces está abierta para atacar por un individuo muy dedicado. Ahora, la pregunta es, ¿su sitio web está sujeto a personas que pasarán más de diez días descifrando DES, en lugar de aplicar las lecciones aprendidas por el resto de la industria de spam en el camino del reconocimiento de imágenes.