Проводились ли какие-либо криптографические взломы в реальном мире после Второй мировой войны?

Были ли какие-либо общеизвестные эксплойты криптографического взлома широко используемой криптографической системы для фактического считывания зашифрованной информации (или ложной аутентификации) с момента Ультра программа во Второй мировой войне?

Я хочу определить свои термины как можно точнее, чтобы прояснить, что я имею в виду. Пример того, что я ищу, должен удовлетворять трем требованиям:

1. Это должно быть истинный криптографический взлом, возникающий в результате математического криптоанализа, в отличие от атаки по побочному каналу, внутренней атаки, ошибки реализации, неисправного генератора случайных чисел, атаки грубой силы и т. д. Другими словами, он должен использовать фундаментальную слабость лежащего в основе математического алгоритма. что не было известно в то время. Я знаю, что грань между "ошибкой реализации" и «фундаментальная слабость» несколько субъективна, но это хорошее правило большой палец заключается в том, что если последний будет публично раскрыт, то основной шифр нельзя легко исправить, и от него нужно отказаться. (Еще одно правило На первый взгляд, современный специалист по криптографии пришлось хорошенько подумать, чтобы понять, как эксплойт работал; не было бы тривиальным объяснить эксплойт их.)

2. Разрыв должен быть фактически выполнен в реальном мире, чтобы фактически прочитать зашифрованную информацию «в дикой природе» или ложно аутентифицироваться без ведома / разрешения отправителя. Демонстрация того, что перерыв можно было бы выполнить на практике, не считается.

3. Алгоритм должен был широко использоваться, т.е. в Интернете, коммерческой или правительственной среде. Опять же, то, что считается «широко», немного субъективно, но это не считается, если Алиса изобретет свой собственный криптографический алгоритм для развлечения, использует его для отправки зашифрованного сообщения Бобу, а затем их друг Чарли взломает его. Хорошее эмпирическое правило для того, что считается «широко», заключается в том, что этот криптографический алгоритм использовался людьми, которые не имели прямого отношения к создателю алгоритма.

(Теперь я признаю, что по самой природе криптографии у любого, кто разработал такой взлом, будет сильный стимул не публиковать этот факт, поэтому любые такие взломы могут не быть достоянием общественности.Но мне любопытно, были ли какие-либо из них публично раскрыты.)

Одним из примеров, который сразу же приходит на ум, является атака на WEP, основанная на неизвестной (в то время разработчикам) связанной ключевой атаке на RC4, которая приводит к восстановлению ключа.

1. Это должен быть настоящий криптографический прорыв, основанный на математическом криптоанализе.

Проверять; атака использует структуру алгоритма установки ключа RC4.

2. Разрыв должен быть фактически выполнен в реальном мире

Проверять; на самом деле атака использовалась в полевых условиях для восстановления номеров кредитных карт; на самом деле, через несколько лет после публикации атаки (поскольку оператор не удосужился обновить свою беспроводную сеть).

3. Алгоритм должен был широко использоваться, т.е. в Интернете, коммерческой или правительственной среде.

Проверять; В то время WEP был довольно широко использован.

Примером является шифрование голоса GSM с использованием А5/1, использовавшийся в Европе и США на голосовом канале радиосвязи мобильных телефонов до 3G. В то время как с хорошим алгоритмом 80-битный размер ключа A5/1 был бы серьезным препятствием для расшифровки даже в наши дни, криптоанализ в реальном времени возможен и может использоваться для декодирования пассивных радиоперехватов.

1. Это должен быть настоящий криптографический прорыв, основанный на математическом криптоанализе.

Это случай Александра Максимова, Томаса Йоханссона, Стива Бэббиджа. Улучшенная корреляционная атака на A5/1, в материалы ВАС 2004 г., улучшая более ранняя атака.

2. Разрыв должен быть фактически выполнен в реальном мире

Это широко распространенный это так, в дополнение к активным атакам (которые включают более элементарный криптоанализ и могут раскрыть больше информации, чем голос). Я полагаю, что это должно иметь место из-за двух эксплуатационных преимуществ пассивных перехватов: они не могут быть обнаружены и могут позволить массовое прослушивание (что, с другой стороны, может быть проще в других точках сети).

3. Алгоритм должен был широко использоваться, т.е. в Интернете, коммерческой или правительственной среде.

A5/1 широко использовался в Европе и США для голосовой связи GSM, прежде чем он (насколько мне известно) был вытеснен 3G.

Примечание: вопрос не требует, чтобы алгоритм был выбран как безопасный, в пределах внутренних ограничений его ключа и размера состояния, всеми сторонами, участвовавшими в принятии решения о его выборе. У меня нет обоснованного мнения о том, так ли это для A5/1, и мне бы хотелось получить информацию об этом. Я не сомневаюсь, что что-то действительно невзламываемое было бы отвергнуто¹, но мне интересно, был ли известен во время выбора и повлиял ли на него криптоанализ пассивных перехватов лучше, чем очевидно возможный, учитывая 80-битный ключ+состояние.

¹ В период 1970-2000 (примерно) во многих странах, на которые нацелена GSM, действовали законы и постановления, запрещавшие эффективную криптографию для устройств, предлагаемых для продажи широкой публике², и они до сих пор в определенной степени соблюдаются. Поэтому я твердо верю, что разработчики стандартов были внимательны, чтобы не предлагать стандарт, который администрация сочтет слишком сильным, из-за опасений, что ратификация стандарта или его развертывание будут замедлены. Я вижу в этом причину, по которой A5/1 имеет 80-битное состояние и максимальный размер ключа.

² во Франции, чтобы разрешить перехват властями, более 40-битная криптография была в принципе запрещена законом, с официальными исключениями AFAIK только для скрытой криптографии или очень закрытых приложений по усмотрению властей.Предел должен был быть выбран правительством, он не менялся годами, а в 1999 году резко изменился с 40 до 128 бит, фактически полностью изменив смысл закона.

DVD Система скремблирования контента.

1. Это должен быть настоящий криптографический прорыв, основанный на математическом криптоанализе.

Несмотря на то, что шифр по своей природе слабый, всего 40 бит, для полного исчерпания пространства ключей по-прежнему требовалось около 24 часов, когда система была впервые взломана. Криптоаналитические атаки сократили это число до 25 эффективных битов, что позволило восстановить ключи диска за считанные секунды.

2. Разрыв должен быть фактически выполнен в реальном мире

Да. Очень. В наши дни основная реализация перерыва заключается в том, что libdvdcss имеет код для атаки прообразом сложности 2 ^ 25 на хэш ключа диска в случае, если ни один из его 32 ключей проигрывателя (также результат криптоаналитической атаки) не работает с данным DVD.

3. Алгоритм, должно быть, широко использовался

Каждый коммерческий DVD содержал (и до сих пор содержит) контент, зашифрованный с помощью CSS.

Двойной EC DRBG Взлом Juniper Networks должен соответствовать требованиям.

1. Это должен быть настоящий криптографический прорыв, основанный на математическом криптоанализе.

В 1997 году Адам Л. Янг и Моти Юнг представили бумага в Eurocrypt с подробным описанием «клептографического» скрытого генератора ключей, который ввел математический бэкдор в обмен ключами Диффи Хеллмана.

Через несколько лет был предложен генератор Dual EC DRBG, конструкция которого почти идентична бэкдору Диффи Хеллмана.

2. Разрыв должен быть фактически выполнен в реальном мире

В начале 2000-х годов стандарт Dual EC DRBG сильно продвигается АНБ, и был включен в криптографические стандарты ANSI X9.82 и ISO/IEC 18031:2005. RSA приняла его в своей библиотеке BSAFE в качестве генератора случайных чисел по умолчанию.

Несмотря на протесты математиков, проанализировавших алгоритм и выявил некоторые недостатки в нем, в конечном итоге он был опубликован в NIST SP 800-90A в 2006 году — недостатки все еще присутствуют.

В 2007 году Дэн Шумоу и Нильс Фергюсон продемонстрировали реализацию алгоритма Dual EC DRBG, содержащую бэкдор, который они построили, используя их собственную константу Dual EC. http://rump2007.cr.yp.to/15-shumow.pdf

В 2008 Juniper Networks внедрила Dual EC DRBG как PRNG, используемый их операционной системой ScreenOS, используемый в их системах корпоративного класса NetScreen Firewall.

В 2012 году НИСТ обновленный СП 800-90А, а Dual EC DRBG по-прежнему рекомендовался.

В 2013 году агентство Reuters опубликовало информацию из утечки Сноудена, в которой утверждалось, что АНБ заплатило RSA 10 миллионов долларов за внедрение Dual EC DRBG в качестве PRNG по умолчанию.

В 2015 году NIST отозвал SP 800-90A, заменив его на СП 800-90А Ред.1, что окончательно удалило Dual_EC_DRBG как рекомендуемый PRNG.

В 2016 году Juniper Networks удалила Dual EC DRBG из ScreenOS. В то время они обнаружили, что неизвестные хакеры проникли в их системы как минимум в 2012 году и изменили исходный код на ScreenOS, заменив указанную NIST константу Dual EC константой неизвестного происхождения.

3. Алгоритм, должно быть, широко использовался

RSA приняла его в своей библиотеке BSAFE в качестве генератора случайных чисел по умолчанию; он был включен в ANSI X9.82, ISO/IEC 18031:2005 и NIST SP 800-90A. В свое время было подсчитано, что треть всего SSL-трафика использует ключи, сгенерированные Dual EC DRBG.

Предполагаемая сделка с АНБ в конечном итоге оказала фатальное влияние на бизнес RSA. В 2017-2018 годах RSA неожиданно объявила о прекращении деятельности своего популярного продукта RSA Key Manager и Data Protection Manager, на долю которого приходилось примерно 70% рынка серверов криптографических ключей. Серверы ключей используются поставщиками веб-услуг, банками, финансовыми учреждениями и другими крупными компаниями для защиты всего: от ключей веб-сервера до банковских переводов и ключей, используемых для шифрования PIN-кодов кредитных карт. Поддержка этой линии была полностью прекращена, никаких продуктов на замену выпущено не было, и не было дано никаких объяснений. RSA превратилась из мирового лидера в практически мертвую криптографическую компанию.

Стоит отметить, что тип шифровальной машины, на которой основывалась Enigma военного времени, использовался в течение нескольких десятилетий после войны, и тот факт, что этот тип шифрования был взломан поляками/британцами, не был широко известен.

Это привело к тому, что американские и западногерманские спецслужбы захватили швейцарского производителя шифровальных машин, продали эти скомпрометированные машины компаниям и правительствам по всему миру и получили возможность легко шпионить за ними.

Разведка, собранная путем перехвата сообщений, зашифрованных этими машинами, использовалась еще во время иранского кризиса с заложниками (1979 г.) и Фолклендской войны (1982 г.), когда такие страны, как Иран и Аргентина, все еще использовали их.

Больше информации в этой статье BBC: https://www.bbc.com/news/world-europe-51467536

Защита цифрового контента с высокой пропускной способностью Стандарт (HDCP) был нарушен. Эта система была широко распространена, хотя эта история, возможно, имеет большую «стойкость» не из-за нового криптоанализа (хотя некоторые из них были), а потому, что это был ранний пример закона США DMCA, ограничивающего распространение криптографических исследований из-за страха перед судебным иском. . Видеть Пост Нильса Фергюсона по этому поводу. Краткое изложение криптоанализа см. по первой ссылке.

Обратите внимание, что есть похожие истории (о DMCA, используемом для подавления исследований), которые могут дать другие ответы на этот вопрос, как это (обычно) происходит, когда какая-то отраслевая группа имеет финансовую заинтересованность в прекращении криптоанализа, почти всегда для предотвращения «реального мира». атаки». Эти атаки могут быть связаны с проблемами реализации или атаками по сторонним каналам, хотя и не всегда (например, ранние версии HDCP).

Keeloq, который используется для гаражей, ворот и автомобилей. Может другие вещи?

Все, что использует DES. Взгляни на https://crack.sh чтобы увидеть различные протоколы, которые использовали DES, например. vpn pptp, предприятие wpa2 с Mschapv2. Netntlmv1, и т.д. др.