Zeit, um DES zu knacken? Ist es eine Aufgabe, die für ein Script-Kind geeignet ist?

Question

Schon verstanden, dass AES die Verschlüsselungsmethode der Wahl ist, sollte existierender Code, der DES verwendet, neu geschrieben werden, wenn die wahrscheinliche Bedrohung auf der Ebene von Script Kiddies liegt? (zB können PKZ-Passwörter mit freien Dienstprogrammen von Nicht-Computerprofis geknackt werden, also ist DES so?) Eine schnelle Google-Suche scheint zu implizieren, dass selbst veraltete DES immer noch einen Supercomputer und eine große Menge an Zeit benötigen - oder Zeiten geändert haben ?

Insbesondere CAPTCHA library verwendet DES, um die Abfragezeichenfolge zu verschlüsseln, die an den Benutzer in Viewstatus gesendet wird.

Answer 1

DES ist so weit wie das Speichern von sensiblen Daten gebrochen, und so würde ich sicherlich nicht in nichts Neues verwenden, und würde es ersetzen alles, was für die langfristige Speicherung von Informationen von Interesse verwendet wird (Daten, dass jemand einen Gewinn für das Interesse der nationalen Sicherheit am Stehlen haben würde).

Im Moment kann eine DES-Nachricht in wenigen Tagen (oder weniger) mit roher Gewalt gebrochen werden, wobei benutzerdefinierte Hardware im Wert von unter 100.000 US-Dollar verwendet wird.

Aber es gibt einige wichtige Faktoren, dass:

Die Hardware benutzerdefinierte ist - die Chips verwendet, um schnell einen DES-Schlüssel Brute nicht der Universal-Prozessor sind Sie in einem PC finden würde. Davon abgesehen gibt es heute wahrscheinlich Platz für die Verwendung eines Clusters von Playstation 3 oder Grafikkarten der aktuellen Generation mit einer GPGPU, um eine DES-Nachricht in einer angemessenen Zeit zu knacken, wodurch die Kosten vielleicht auf 15.000 Dollar sinken. Der andere Faktor ist die Zeit - eine DES-Nachricht kann an einem Tag geknackt werden, aber wenn Ihre CAPTCHA-Bibliothek einen Zeitstempel hat, der eine 30-minütige Zeitüberschreitung für eine gegebene CAPTCHA-Antwort angibt, wäre sie immer noch wirksam deine Hardware, aber dann sprichst du Millionen).

Insgesamt würde ich sagen, dass DES für nicht langfristige Speicherung immer noch sicher gegen "Script Kiddies" ist.

Answer 2

DES ist wahrscheinlich immer noch gut genug für die meisten Anwendungsfälle. Aber der Punkt ist, dass es normalerweise einen Grund gibt, einen Algorithmus zu verwenden (oder in diesem Fall eher: eine Schlüsselstärke), der bekanntlich ziemlich schwach ist. Wikipedia weist darauf hin, dass selbst mit spezieller Hardware rund 9 Tage für eine erschöpfende Schlüsselsuche benötigt werden. Ich denke nicht, dass die Script-Kiddies wahrscheinlich so viel CPU-Zeit verbrauchen (selbst wenn sie ein Botnet haben), nur um ein Captcha zu knacken. (Eigentlich, Captchas zu brechen ist normalerweise viel einfacher mit ausreichender intelligenter Bilderkennung ...)

Answer 3

nein, DES-Cracking ist nicht geeignet für Skriptkiddies und wird wahrscheinlich nicht in naher Zukunft liegen.

es erfordert so enorme Verarbeitungsleistung, wir reden über eine Last von FPGA-Prozessoren.

zum Beispiel der COPACOBANA im CHES 2006 secret key challenge dauerten 21 Stunden, 26 Minuten, 29 Sekunden unter Verwendung von 108 davon 128 Prozessoren sind, bei einem Durchsatz von 43,1852 Milliarden Schlüssel pro Sekunde, und fand die Taste nach dem Trog 4,73507% des Schlüsselraumes Benutzer

jetzt, wenn wir moores law betrachten wir sehen, dass, wenn wir derzeit eine ähnliche Maschine bauen, wird es derzeit 1/4 der Zeit für die gleiche Menge an Geld, oder 1/4 des Geldes für die gleiche Zeitraum.

Answer 4

DES ist durch die Standards der Crypto-Gemeinschaft gebrochen; aber die Zeit, die benötigt wird, um es zu brechen, ist im Allgemeinen groß genug, dass es für diese Art von Anwendung 'sicher' wäre.In einer Annahme: Die DES-Taste wechselt von Sitzung zu Sitzung. Wenn sich der Schlüssel nicht ändert, dann ist er offen für den Angriff eines sehr sehr engagierten Individuums. Nun, die Frage ist, ist Ihre Website für Menschen, die 10+ Tage verbringen, um DES zu knacken, anstatt dann Lehren aus dem Rest der Spam-Industrie in der Art der Bilderkennung gelernt.