Рейтинг:31

Проводились ли какие-либо криптографические взломы в реальном мире после Второй мировой войны?

флаг cn

Были ли какие-либо общеизвестные эксплойты криптографического взлома широко используемой криптографической системы для фактического считывания зашифрованной информации (или ложной аутентификации) с момента Ультра программа во Второй мировой войне?

Я хочу определить свои термины как можно точнее, чтобы прояснить, что я имею в виду. Пример того, что я ищу, должен удовлетворять трем требованиям:

  1. Это должно быть истинный криптографический взлом, возникающий в результате математического криптоанализа, в отличие от атаки по побочному каналу, внутренней атаки, ошибки реализации, неисправного генератора случайных чисел, атаки грубой силы и т. д. Другими словами, он должен использовать фундаментальную слабость лежащего в основе математического алгоритма. что не было известно в то время. Я знаю, что грань между "ошибкой реализации" и «фундаментальная слабость» несколько субъективна, но это хорошее правило большой палец заключается в том, что если последний будет публично раскрыт, то основной шифр нельзя легко исправить, и от него нужно отказаться. (Еще одно правило На первый взгляд, современный специалист по криптографии пришлось хорошенько подумать, чтобы понять, как эксплойт работал; не было бы тривиальным объяснить эксплойт их.)

  2. Разрыв должен быть фактически выполнен в реальном мире, чтобы фактически прочитать зашифрованную информацию «в дикой природе» или ложно аутентифицироваться без ведома / разрешения отправителя. Демонстрация того, что перерыв можно было бы выполнить на практике, не считается.

  3. Алгоритм должен был широко использоваться, т.е. в Интернете, коммерческой или правительственной среде. Опять же, то, что считается «широко», немного субъективно, но это не считается, если Алиса изобретет свой собственный криптографический алгоритм для развлечения, использует его для отправки зашифрованного сообщения Бобу, а затем их друг Чарли взломает его. Хорошее эмпирическое правило для того, что считается «широко», заключается в том, что этот криптографический алгоритм использовался людьми, которые не имели прямого отношения к создателю алгоритма.

(Теперь я признаю, что по самой природе криптографии у любого, кто разработал такой взлом, будет сильный стимул не публиковать этот факт, поэтому любые такие взломы могут не быть достоянием общественности.Но мне любопытно, были ли какие-либо из них публично раскрыты.)

флаг kr
Что вы сделали до сих пор? Простое гугление «больших криптопровалов»* дает множество релевантных результатов. Предлагаю закрыть вопрос.
Very Tiny Brain avatar
флаг cn
@mentallurg Все результаты этого поиска возвращают примеры сбоев криптовалют, что не имеет никакого отношения к моему вопросу, касающемуся самих криптографических алгоритмов.
Very Tiny Brain avatar
флаг cn
[Этот источник] (https://community.ibm.com/community/user/ibmz-and-linuxone/blogs/todd-arnold1/2020/12/21/real-world-cryptography) утверждает, что это «не там, где обычно происходят атаки в реальном мире». Мне интересно, происходят ли здесь реальные атаки *когда-либо* (насколько нам известно).
fgrieu avatar
флаг ng
Будет ли учитываться намеренно фальсифицированная криптовалюта? Например. [машины Crypto AG](https://en.wikipedia.org/wiki/Crypto_AG#Compromised_machines)? Кроме того, требуется ли, чтобы криптовалюта считалась чрезвычайно безопасной для тех, кто ее разработал/выбрал, что сильно сузило бы выбор? Ни один здравомыслящий человек не поверил бы, что это было в случае простых DES, A5/1 или WEP (у которых заявленная цель безопасности была довольно низкой).
флаг ru
Сама программа Ультра считается? Enigma была побеждена атакой «известный открытый текст», точно так же, как «фиолетовый» шифр, используемый японцами.
Very Tiny Brain avatar
флаг cn
@fgrieu Я не знаю точных деталей компрометации Crypto AG, но, насколько я понимаю, это была скорее (преднамеренная) ошибка реализации, чем фундаментальная слабость алгоритма. Например. машины США были очень похожи и были (в то время) полностью безопасными. Я не думаю, что буду требовать, чтобы криптовалюта считалась чрезвычайно безопасной в то время, но «бонусные баллы», если это так.
Very Tiny Brain avatar
флаг cn
@JamesSnell Да, программа Ultra является парадигматическим примером того, о чем я говорю, но меня интересуют любые последующие примеры.
Very Tiny Brain avatar
флаг cn
@JamesSnell Во втором чтении я не могу сказать, выдвигает ли ваш комментарий кандидата или вызывает скептицизм в отношении того, удовлетворяет ли Ultra моим критериям. Но да, атаки с известным открытым текстом очень подходят для моего вопроса; Я не просто ограничиваюсь атаками только с зашифрованным текстом.
V2Blast avatar
флаг pk
@VeryTinyBrain: Насколько я понимаю, комментарий Джеймса предполагает, что пример Ultra не соответствует критерию №1. (Однако я недостаточно знаю, чтобы судить о том, верно ли это утверждение.)
флаг in
Я поддерживаю утверждение о том, что программа Ultra, вероятно, не соответствует критерию № 1, по крайней мере, для машин Enigma, поскольку это был не столько прорыв, сколько огромная серия атак, использующих процедурные проблемы в немецком _использовании_ машины. Я недостаточно знаю о японской шифровальной машине типа B, чтобы комментировать эту сторону вещей.
Very Tiny Brain avatar
флаг cn
@AustinHemmelgarn Я далек от эксперта, но беглый просмотр Википедии показывает, что Enigma была чем-то вроде пограничного случая. Исторически вы правы в том, что ультраматематики воспользовались многочисленными ошибками реализации со стороны немцев.Сам лежащий в основе алгоритм был довольно сильным, но не идеальным, и, конечно же, по сегодняшним меркам (даже без мощных компьютеров) его нельзя было бы считать идеальным. По мнению экспертов, очень маловероятно, но не совсем невозможно, что союзники смогли бы взломать Enigma, если бы ею управляли немцы...
Very Tiny Brain avatar
флаг cn
... правильно. Но, по крайней мере, это было бы намного сложнее. Напротив, японский шифр Purple, по-видимому, был изначально слабым и мог быть взломан даже при идеальной работе, и он был взломан с помощью криптоанализа «из учебника», а не с использованием ошибок реализации.
флаг ru
@VeryTinyBrain - Остин была права, я проверял, что взлом Enigma действительно соответствует вашим первым критериям, поскольку это был преимущественно взлом *использования*, а не «настоящий криптографический взлом».
Stef avatar
флаг ng
*"Я знаю, что грань между "ошибкой реализации" и "фундаментальной слабостью" в некоторой степени субъективна, но хорошее эмпирическое правило состоит в том, что если последняя раскрывается публично, то основной шифр не может быть легко исправлен и должен быть оставлен».
Pablo H avatar
флаг us
Я думаю, что в настоящее время атаки по сторонним каналам считаются (или должны считаться) обычными криптографическими атаками, это всего лишь еще одна из возможных атак, к которым криптографические алгоритмы должны быть устойчивы.
Very Tiny Brain avatar
флаг cn
@PabloH Они, безусловно, «нормальны» в том смысле, что они распространены, но весь смысл моего вопроса заключается в том, чтобы определить менее распространенные «внутриканальные» атаки.Кроме того, я не думаю, что действительно имеет смысл разрабатывать *алгоритм*, устойчивый к атакам по сторонним каналам, которые (более или менее по определению) нацелены на слабые места в деталях реализации низкого уровня, а не на алгоритме высокого уровня. сам. Для разработки безопасного алгоритма из безопасной реализации требуется совершенно другой набор навыков, поэтому вам, вероятно, понадобятся отдельные эксперты, отвечающие за каждый.
Micka avatar
флаг lr
https://blog.cryptographyengineering.com/2015/07/20/a-history-of-backdoors/
флаг cn
@VeryTinyBrain djb считает, что стоит разработать алгоритмы, устойчивые к атакам по сторонним каналам.
Very Tiny Brain avatar
флаг cn
@MartinBonnersupportsMonica Кто такой диджей?
флаг cn
@verytinybrain Дэниел Дж. Бернштейн, автор Salsa20, ChaCha20, Poly1305, Curve25519
Mazura avatar
флаг ch
Не будет ли короче список криптографий, которые *не* были взломаны?
Very Tiny Brain avatar
флаг cn
@Mazura Определенно нет, если вам требуется, чтобы кряк использовался в реальном мире до того, как была обнаружена уязвимость и алгоритм был удален.
флаг cn
Бросив потенциальный ответ на ринг с помощью наводящего вопроса ... Было ли когда-либо нарушено шифрование Министерством обороны данных о местоположении с высоким разрешением в ранних версиях системы GPS?
Very Tiny Brain avatar
флаг cn
@NickMyra Я не знаю, не так ли? Я никогда не слышал об этом; Можете ли вы предоставить дополнительную информацию?
Very Tiny Brain avatar
флаг cn
На мой вопрос есть несколько отличных ответов, которые, как мне кажется, полностью соответствуют моим требованиям, но, к сожалению, я могу принять только один, поэтому я принял тот, который, по моему мнению, наиболее четко им соответствует.
Рейтинг:52
флаг my

Одним из примеров, который сразу же приходит на ум, является атака на WEP, основанная на неизвестной (в то время разработчикам) связанной ключевой атаке на RC4, которая приводит к восстановлению ключа.

  1. Это должен быть настоящий криптографический прорыв, основанный на математическом криптоанализе.

Проверять; атака использует структуру алгоритма установки ключа RC4.

  1. Разрыв должен быть фактически выполнен в реальном мире

Проверять; на самом деле атака использовалась в полевых условиях для восстановления номеров кредитных карт; на самом деле, через несколько лет после публикации атаки (поскольку оператор не удосужился обновить свою беспроводную сеть).

  1. Алгоритм должен был широко использоваться, т.е. в Интернете, коммерческой или правительственной среде.

Проверять; В то время WEP был довольно широко использован.

флаг cn
Max
Мне сказали, что какое-то время после того, как атака была опубликована, вы могли довольно регулярно находить защищенные WEP сети Wi-Fi, и таким образом было довольно легко получить бесплатный Wi-Fi (в дни до того, как в каждом кафе и отеле был бесплатный Wi-Fi).
флаг ru
Tim
@Max (а раньше мобильные данные были достаточно быстрыми и дешевыми, чтобы не нуждаться в бесплатном Wi-Fi)!
флаг cn
@Tim Эти дни еще не закончились. -- немец
Joshua avatar
флаг cn
@Max: я видел, как кто-то прямо реализовал WEP-атаку во время подключения, потому что это было быстрее, чем запрашивать пароль.
Рейтинг:29
флаг ng

Примером является шифрование голоса GSM с использованием А5/1, использовавшийся в Европе и США на голосовом канале радиосвязи мобильных телефонов до 3G. В то время как с хорошим алгоритмом 80-битный размер ключа A5/1 был бы серьезным препятствием для расшифровки даже в наши дни, криптоанализ в реальном времени возможен и может использоваться для декодирования пассивных радиоперехватов.

  1. Это должен быть настоящий криптографический прорыв, основанный на математическом криптоанализе.

Это случай Александра Максимова, Томаса Йоханссона, Стива Бэббиджа. Улучшенная корреляционная атака на A5/1, в материалы ВАС 2004 г., улучшая более ранняя атака.

  1. Разрыв должен быть фактически выполнен в реальном мире

Это широко распространенный это так, в дополнение к активным атакам (которые включают более элементарный криптоанализ и могут раскрыть больше информации, чем голос). Я полагаю, что это должно иметь место из-за двух эксплуатационных преимуществ пассивных перехватов: они не могут быть обнаружены и могут позволить массовое прослушивание (что, с другой стороны, может быть проще в других точках сети).

  1. Алгоритм должен был широко использоваться, т.е. в Интернете, коммерческой или правительственной среде.

A5/1 широко использовался в Европе и США для голосовой связи GSM, прежде чем он (насколько мне известно) был вытеснен 3G.


Примечание: вопрос не требует, чтобы алгоритм был выбран как безопасный, в пределах внутренних ограничений его ключа и размера состояния, всеми сторонами, участвовавшими в принятии решения о его выборе. У меня нет обоснованного мнения о том, так ли это для A5/1, и мне бы хотелось получить информацию об этом. Я не сомневаюсь, что что-то действительно невзламываемое было бы отвергнуто¹, но мне интересно, был ли известен во время выбора и повлиял ли на него криптоанализ пассивных перехватов лучше, чем очевидно возможный, учитывая 80-битный ключ+состояние.

¹ В период 1970-2000 (примерно) во многих странах, на которые нацелена GSM, действовали законы и постановления, запрещавшие эффективную криптографию для устройств, предлагаемых для продажи широкой публике², и они до сих пор в определенной степени соблюдаются. Поэтому я твердо верю, что разработчики стандартов были внимательны, чтобы не предлагать стандарт, который администрация сочтет слишком сильным, из-за опасений, что ратификация стандарта или его развертывание будут замедлены. Я вижу в этом причину, по которой A5/1 имеет 80-битное состояние и максимальный размер ключа.

² во Франции, чтобы разрешить перехват властями, более 40-битная криптография была в принципе запрещена законом, с официальными исключениями AFAIK только для скрытой криптографии или очень закрытых приложений по усмотрению властей.Предел должен был быть выбран правительством, он не менялся годами, а в 1999 году резко изменился с 40 до 128 бит, фактически полностью изменив смысл закона.

kelalaka avatar
флаг in
Помните [E0](https://en.wikipedia.org/wiki/E0_%28cipher%29), а не широкий Keeloq, сломанный Бардом?
fgrieu avatar
флаг ng
@kelalaka: нет, я не следил за E0, но похоже, что [это] (https://doi.org/10.1007/11535218_7) подходит.Мне не хватает ссылки на «выполнено в реальном мире», как активно используется для прослушивания наушников BT. Я не уверен, что Keeloq подходит, поскольку AFAIK (что не так много) атаки не против самого крипто. Точно так же я не упомянул Mifare Classic, потому что 48-битный ключ никогда не предназначался для обеспечения безопасности, а (многие) фактические атаки не имеют чисто криптографической природы.
kelalaka avatar
флаг in
Невозможно было найти цели для E0 в дикой природе так же легко, как для WEP. Помню демонстрацию, но не нашел. Keeloq был блочным шифром, хотя вместо атак был предпочтительнее брутфорс...
Very Tiny Brain avatar
флаг cn
Не могли бы вы пояснить, что вы имеете в виду, говоря: «Я не сомневаюсь, что что-то действительно нерушимое было бы отвергнуто»? Отклонено кем?
флаг cn
Говоря о GSM, вы также можете добавить разрыв Comp128-1 (например, см. [эти слайды] (http://www.tcs.hut.fi/Studies/T-79.514/slides/S5.Brumley-comp128.pdf) )
Рейтинг:28
флаг jp

DVD Система скремблирования контента.

  1. Это должен быть настоящий криптографический прорыв, основанный на математическом криптоанализе.

Несмотря на то, что шифр по своей природе слабый, всего 40 бит, для полного исчерпания пространства ключей по-прежнему требовалось около 24 часов, когда система была впервые взломана. Криптоаналитические атаки сократили это число до 25 эффективных битов, что позволило восстановить ключи диска за считанные секунды.

  1. Разрыв должен быть фактически выполнен в реальном мире

Да. Очень. В наши дни основная реализация перерыва заключается в том, что libdvdcss имеет код для атаки прообразом сложности 2 ^ 25 на хэш ключа диска в случае, если ни один из его 32 ключей проигрывателя (также результат криптоаналитической атаки) не работает с данным DVD.

  1. Алгоритм, должно быть, широко использовался

Каждый коммерческий DVD содержал (и до сих пор содержит) контент, зашифрованный с помощью CSS.

R.. GitHub STOP HELPING ICE avatar
флаг cn
ИМО сомнительно, считается ли это, поскольку криптографический примитив вообще не играет криптографической роли; это просто действует как DRM (т.е. как неприятность для стороны, которая владеет и ключом, и зашифрованным текстом, только в неудобных местах).
Mark avatar
флаг jp
@R..GitHubSTOPHELPINGICE, цель DeCSS, libdvdcss и других атак на CSS — позволить кому-то, у кого *нет* ключа, расшифровать данные. DVD-CAA никогда не давала ключ проигрывателя DVD-плееру с открытым исходным кодом. DeCSS сделал это путем обратного проектирования проигрывателя с закрытым исходным кодом и извлечения ключа, но libdvdcss использовала криптоаналитические атаки для восстановления ключа диска из хэша ключа диска, а затем обнаружила набор ключей проигрывателя из восстановленного ключа диска и зашифрованных ключей диска. .
R.. GitHub STOP HELPING ICE avatar
флаг cn
Но у вас *есть* ключ, если у вас есть DVD-плеер. То, что это не открытый исходный код, не означает, что у вас его нет. Как и все DRM, CSS не является криптографическим использованием криптографических примитивов; это использование их в качестве запутывающей неприятности. Единственный прорыв libdvdcss заключался в том, что он делал это таким образом, чтобы не распространять (известные) ключи ради соблюдения юридической чистоты.
Joshua avatar
флаг cn
@R..GitHubSTOPHELPINGICE: Им следовало сделать то, что они, наконец, начали делать для BluRay. Выдрать ключ из прошивки какой-нибудь популярной приставки, которую не перепрошить.
Charles avatar
флаг sd
Шифрование DVD взломано с помощью криптографического анализа. Вы можете выполнить извлечение ключа, потому что лежащие в основе зашифрованные данные имеют хорошо известное заполнение нулями, что позволяет вам знать данные в виде обычного текста в частях потока данных. Вы можете подобрать ключ, используя эти блоки данных. Однажды я написал реализацию на Java в качестве упражнения, и она все еще могла декодировать весь диск за секунды. Более поздние реализации использовали известные ключи для ускорения декодирования.
Рейтинг:20
флаг cn

Я не криптограф, но я думаю, Пламя вредоносное ПО соответствует вашему описанию. Это чрезвычайно сложный инструмент для кибершпионажа, обнаруженный в 2012 году. Эксперты считают, что он был разработан американскими и израильскими военными и использовался в основном против иранских целей.

  1. Это должен быть настоящий криптографический прорыв, основанный на математическом криптоанализе.

Арс Техника взяли интервью у двух экспертов, опубликовавших статью о подобной атаке, и они несколько раз заявляли, что в ней использовалась новая техника:

«Flame использует еще неизвестную атаку коллизий MD5 с выбранным префиксом»
«Flame — это первый известный пример атаки коллизии MD5, злонамеренно используемой в реальной среде».
«Атака столкновения, выполненная Flame, имеет существенную научную новизну»
«Результаты показали, что использовалась не наша опубликованная атака с использованием выбранного префикса, а совершенно новый и неизвестный вариант»
«Flame также требовались криптографы мирового класса, которые открыли новые горизонты в своей области».
«Были математики, занимавшиеся новой наукой, чтобы заставить Flame работать».

Ваше второе требование также удовлетворено:

  1. Разрыв должен быть фактически выполнен в реальном мире

Было: согласно Википедии,

Первоначально Flame заразил около 1000 машин, среди жертв были правительственные организации, образовательные учреждения и частные лица.

И наконец,

  1. Алгоритм, должно быть, широко использовался

MD5 все еще широко используется сегодня, десять лет спустя, а тогда еще больше. Конечно, он считается слабым и сломанным, и все знали об этом даже в 2012 году, но это не мешало людям использовать его.

kelalaka avatar
флаг in
MD5 — это хеш-функция, которая иногда используется для MAC, а не для шифрования, как просил OP.
Fabio says Reinstate Monica avatar
флаг cn
Верно, но это позволило подделать сертификат и использовать Центр обновления Windows для установки вредоносных программ. В этот момент можно было красть файлы, записывать видео и аудио с помощью веб-камеры и микрофона и так далее. И это определенно считается «криптографическим взломом». Я бы сказал, что это очень близко к тому, что спрашивает ОП.
Mark avatar
флаг jp
@kelalaka, MD5 в этом случае использовался как часть криптографической * системы * как слабое место, позволяющее взломать всю систему.
Very Tiny Brain avatar
флаг cn
@kelalaka Отличный улов, но меня интересуют общие криптографические протоколы, а не только шифрование. Я отредактировал свой вопрос, чтобы уточнить это.
Рейтинг:9
флаг cn

Двойной EC DRBG Взлом Juniper Networks должен соответствовать требованиям.

  1. Это должен быть настоящий криптографический прорыв, основанный на математическом криптоанализе.

В 1997 году Адам Л. Янг и Моти Юнг представили бумага в Eurocrypt с подробным описанием «клептографического» скрытого генератора ключей, который ввел математический бэкдор в обмен ключами Диффи Хеллмана.

Через несколько лет был предложен генератор Dual EC DRBG, конструкция которого почти идентична бэкдору Диффи Хеллмана.

  1. Разрыв должен быть фактически выполнен в реальном мире

В начале 2000-х годов стандарт Dual EC DRBG сильно продвигается АНБ, и был включен в криптографические стандарты ANSI X9.82 и ISO/IEC 18031:2005. RSA приняла его в своей библиотеке BSAFE в качестве генератора случайных чисел по умолчанию.

Несмотря на протесты математиков, проанализировавших алгоритм и выявил некоторые недостатки в нем, в конечном итоге он был опубликован в NIST SP 800-90A в 2006 году — недостатки все еще присутствуют.

В 2007 году Дэн Шумоу и Нильс Фергюсон продемонстрировали реализацию алгоритма Dual EC DRBG, содержащую бэкдор, который они построили, используя их собственную константу Dual EC. http://rump2007.cr.yp.to/15-shumow.pdf

В 2008 Juniper Networks внедрила Dual EC DRBG как PRNG, используемый их операционной системой ScreenOS, используемый в их системах корпоративного класса NetScreen Firewall.

В 2012 году НИСТ обновленный СП 800-90А, а Dual EC DRBG по-прежнему рекомендовался.

В 2013 году агентство Reuters опубликовало информацию из утечки Сноудена, в которой утверждалось, что АНБ заплатило RSA 10 миллионов долларов за внедрение Dual EC DRBG в качестве PRNG по умолчанию.

В 2015 году NIST отозвал SP 800-90A, заменив его на СП 800-90А Ред.1, что окончательно удалило Dual_EC_DRBG как рекомендуемый PRNG.

В 2016 году Juniper Networks удалила Dual EC DRBG из ScreenOS. В то время они обнаружили, что неизвестные хакеры проникли в их системы как минимум в 2012 году и изменили исходный код на ScreenOS, заменив указанную NIST константу Dual EC константой неизвестного происхождения.

  1. Алгоритм, должно быть, широко использовался

RSA приняла его в своей библиотеке BSAFE в качестве генератора случайных чисел по умолчанию; он был включен в ANSI X9.82, ISO/IEC 18031:2005 и NIST SP 800-90A. В свое время было подсчитано, что треть всего SSL-трафика использует ключи, сгенерированные Dual EC DRBG.

Предполагаемая сделка с АНБ в конечном итоге оказала фатальное влияние на бизнес RSA. В 2017-2018 годах RSA неожиданно объявила о прекращении деятельности своего популярного продукта RSA Key Manager и Data Protection Manager, на долю которого приходилось примерно 70% рынка серверов криптографических ключей. Серверы ключей используются поставщиками веб-услуг, банками, финансовыми учреждениями и другими крупными компаниями для защиты всего: от ключей веб-сервера до банковских переводов и ключей, используемых для шифрования PIN-кодов кредитных карт. Поддержка этой линии была полностью прекращена, никаких продуктов на замену выпущено не было, и не было дано никаких объяснений. RSA превратилась из мирового лидера в практически мертвую криптографическую компанию.

Рейтинг:2
флаг in

Стоит отметить, что тип шифровальной машины, на которой основывалась Enigma военного времени, использовался в течение нескольких десятилетий после войны, и тот факт, что этот тип шифрования был взломан поляками/британцами, не был широко известен.

Это привело к тому, что американские и западногерманские спецслужбы захватили швейцарского производителя шифровальных машин, продали эти скомпрометированные машины компаниям и правительствам по всему миру и получили возможность легко шпионить за ними.

Разведка, собранная путем перехвата сообщений, зашифрованных этими машинами, использовалась еще во время иранского кризиса с заложниками (1979 г.) и Фолклендской войны (1982 г.), когда такие страны, как Иран и Аргентина, все еще использовали их.

Больше информации в этой статье BBC: https://www.bbc.com/news/world-europe-51467536

Very Tiny Brain avatar
флаг cn
Хотя я не эксперт, я понимаю, что слабость ситуации с AG Crypto была не алгоритмической слабостью, а вместо этого (преднамеренной) ошибкой реализации, когда некоторые машины были намеренно заполнены слабыми ключами, в то время как другие машины были заполнены сильными ключами. и по-прежнему были в безопасности. Поэтому я не думаю, что этот пример соответствует требованию № 1.
флаг in
@VeryTinyBrain Это возможно, я тоже не эксперт. Я просто подумал, что стоит отметить, что тип шифрования, который был взломан во время Второй мировой войны, не был немедленно заброшен (всеми) после войны. В вашем вопросе упоминается «со времен Второй мировой войны», что может свидетельствовать о радикальном переломе в практике шифрования примерно в 1945 году.
Very Tiny Brain avatar
флаг cn
О нет, я не имел в виду, что какие-либо методы шифрования изменились после Второй мировой войны. Просто программа WWII Ultra оказалась самым последним примером, о котором я мог думать (хотя теперь кажется, что этот пример на самом деле не считается).
Рейтинг:1
флаг ng

Защита цифрового контента с высокой пропускной способностью Стандарт (HDCP) был нарушен. Эта система была широко распространена, хотя эта история, возможно, имеет большую «стойкость» не из-за нового криптоанализа (хотя некоторые из них были), а потому, что это был ранний пример закона США DMCA, ограничивающего распространение криптографических исследований из-за страха перед судебным иском. . Видеть Пост Нильса Фергюсона по этому поводу. Краткое изложение криптоанализа см. по первой ссылке.

Обратите внимание, что есть похожие истории (о DMCA, используемом для подавления исследований), которые могут дать другие ответы на этот вопрос, как это (обычно) происходит, когда какая-то отраслевая группа имеет финансовую заинтересованность в прекращении криптоанализа, почти всегда для предотвращения «реального мира». атаки». Эти атаки могут быть связаны с проблемами реализации или атаками по сторонним каналам, хотя и не всегда (например, ранние версии HDCP).

Рейтинг:0
флаг in

Keeloq, который используется для гаражей, ворот и автомобилей. Может другие вещи?

Все, что использует DES. Взгляни на https://crack.sh чтобы увидеть различные протоколы, которые использовали DES, например. vpn pptp, предприятие wpa2 с Mschapv2. Netntlmv1, и т.д. др.

Mark avatar
флаг jp
Атаки на DES не являются «криптографическими взломами» в смысле вопроса. Да, есть теоретические атаки на DES, которые (немного) быстрее перебора, но сложность получения предпосылок для них и простота перебора означают, что вместо этого каждый просто перебирает ключ.
Very Tiny Brain avatar
флаг cn
Я согласен с @Mark, и похоже, что KeeLoq обычно также ломается атаками грубой силы. Я отредактировал вопрос, чтобы уточнить, что атаки грубой силы выходят за рамки. Кроме того, были ли когда-либо четко задокументированные доказательства того, что DES был взломан в дикой природе, вне соревнований, когда «жертва» хотела, чтобы их сообщение было взломано? Я бы сказал, что это тоже выходит за рамки.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.