Ar brutalios jėgos ataka visada yra išsami raktų paieška?

/ / paskelbta Kibernetinė sauga, EITC/IS/CCF klasikinės kriptografijos pagrindai, Privataus rakto kriptografijos išvados, Daugkartinis šifravimas ir grubios jėgos išpuoliai

Brutalios jėgos ataka kibernetinio saugumo ir klasikinės kriptografijos kontekste yra metodas, naudojamas duomenims iššifruoti, sistemingai bandant visus įmanomus raktus, kol randamas tinkamas. Jis dažnai siejamas su išsamia raktų paieška, o tai reiškia, kad reikia bandyti kiekvieną potencialų raktą raktų erdvėje, kol bus nustatytas tinkamas. Sąvoka „žiauri jėga“ iš esmės reiškia bandymų ir klaidų metodą, kuris nesiremia jokiais algoritminiais sparčiaisiais klavišais ar analitiniais metodais, siekiant sumažinti reikalingų bandymų skaičių. Tačiau svarbu pasigilinti į žiaurios jėgos atakų niuansus, kad suprastumėte, ar jie visada yra išsamių raktų paieškų sinonimai.

Privačiojo rakto kriptografijoje, dar vadinamoje simetrinio rakto kriptografija, tas pats raktas naudojamas ir šifravimui, ir iššifravimui. Saugumas šiame kontekste labai priklauso nuo rakto slaptumo ir sudėtingumo. Įprasti simetrinio šifravimo algoritmai apima duomenų šifravimo standartą (DES), išplėstinį šifravimo standartą (AES) ir trigubą DES (3DES). Atsižvelgiant į tai, kad privataus rakto kriptografija priklauso nuo rakto konfidencialumo, šifravimo stiprumas yra tiesiogiai susijęs su rakto ilgiu. Pavyzdžiui, DES naudoja 56 bitų raktą, AES gali naudoti 128, 192 arba 256 bitų raktus, o 3DES efektyviai naudoja 168 bitų raktą.

Išsami rakto paieška arba brutalios jėgos ataka apima visų įmanomų raktų bandymą, kol randamas tinkamas. Pavyzdžiui, jei kas nors užpultų DES užšifruotą pranešimą, jis turėtų pabandyti iki 2 ^ {56} skirtingi raktai. Tai reikalauja daug skaičiavimo, tačiau tai įmanoma naudojant šiuolaikinę skaičiavimo galią. AES su 128 bitų raktu galimų raktų skaičius yra 2 ^ {128}, kurio šiuo metu neįmanoma sulaužyti naudojant brutalią jėgą dėl astronominio galimybių skaičiaus.

Tačiau žiaurios jėgos atakos ne visada yra tik išsamios raktų paieškos. Yra scenarijų ir metodų, kai brutalios jėgos sąvoka apima ne tik tradicinę išsamią paiešką. Kai kurie iš jų apima:

1. Žodyno atakos: Tai brutalios jėgos atakos tipas, kai užpuolikas naudoja iš anksto sudarytą galimų raktų sąrašą, dažnai gaunamą iš įprastų slaptažodžių ar frazių, o ne bando visas įmanomas kombinacijas. Nors tai vis dar yra žiaurios jėgos atakos forma, ji nėra išsami, nes neapima visos klavišų erdvės. Vietoj to, dėmesys sutelkiamas į tikėtinus kandidatus, pagrįstus žmogaus elgesio modeliais.

2. Vaivorykštės lentelės: Tai yra iš anksto apskaičiuotos lentelės, skirtos kriptografinių maišos funkcijų atšaukimui, pirmiausia naudojamos slaptažodžių maišos nulaužimui. Išsaugodami maišos funkcijų išvestis dideliam galimų įvesties elementų rinkiniui, užpuolikai gali greitai suderinti maišą su atitinkama įvestimi neatlikdami išsamios paieškos realiuoju laiku. Tai dar vienas brutalios jėgos metodo pavyzdys, kuris panaudoja išankstinį skaičiavimą, kad sumažintų pastangas, kurių reikia atakos fazės metu.

3. Hibridiniai išpuoliai: Tai sujungia žodyno atakas su žiaurios jėgos metodais. Užpuolikas gali pradėti nuo įprastų slaptažodžių žodyno ir sistemingai juos keisti, pvz., pridėdamas skaičius arba keisdamas didžiąsias ir mažąsias raides, kad padidintų sėkmės tikimybę. Šis metodas susiaurina klavišų erdvę, tačiau vis tiek taiko brutalios jėgos principus.

4. Šablonu pagrįstos atakos: jie išnaudoja žinomus raktų generavimo arba vartotojo elgesio modelius. Pavyzdžiui, jei žinoma, kad vartotojai dažnai pasirenka slaptažodžius, kuriuose yra vardo ir gimimo metų derinys, užpuolikas gali sutelkti dėmesį į šiuos modelius, o ne bandyti atlikti išsamią paiešką. Šis metodas yra efektyvesnis nei tradicinė žiaurios jėgos ataka, nes jis panaudoja specifines žinias, kad sumažintų erdvę.

5. Šoninio kanalo atakos: Nors atakos iš šoninio kanalo nėra žiaurios jėgos tradicine prasme, jos gali būti naudojamos siekiant sumažinti žiaurios jėgos atakos sudėtingumą. Šios atakos išnaudoja fizines kriptografinio įgyvendinimo ypatybes, pvz., informaciją apie laiką, energijos suvartojimą arba elektromagnetinius nutekėjimus, kad gautų informaciją apie raktą. Ši informacija gali žymiai susiaurinti klavišų erdvę, todėl vėlesnė žiaurios jėgos ataka tampa labiau įmanoma.

6. Kriptanalitinės atakos: Išplėstinės kriptoanalizės formos kartais gali sumažinti efektyvią raktų erdvę, kurioje reikia ieškoti. Pavyzdžiui, diferencinė kriptoanalizė ir linijinė kriptoanalizė yra metodai, kurie gali būti taikomi tam tikriems simetrinių raktų algoritmams, kad raktai būtų randami veiksmingiau nei naudojant vien brutalią jėgą. Nors šie metodai savaime nėra žiaurios jėgos išpuoliai, jie gali būti naudojami kartu su žiaurios jėgos metodais, siekiant sumažinti bendras reikalingas pastangas.

Norėdami paaiškinti šiuos dalykus pavyzdžiais, apsvarstykite žodyno atakos atvejį. Jei užpuolikas bando nulaužti slaptažodžiu apsaugotą failą, užšifruotą simetriniu algoritmu, jis gali pradėti nuo dažniausiai naudojamų slaptažodžių sąrašo, pvz., „slaptažodis“, „123456“ ir „qwerty“. Taikant šį metodą daroma prielaida, kad vartotojai dažnai pasirenka silpnus ir nuspėjamus slaptažodžius. Jei žodyne yra teisingas slaptažodis, užpuolikas pasiseks ir nereikės atlikti išsamios paieškos visoje klavišų erdvėje.

Kitas pavyzdys yra vaivorykštinių lentelių naudojimas maišos slaptažodžiams nulaužti. Tarkime, kad užpuolikas gavo maišos slaptažodžių sąrašą iš pažeistos duomenų bazės. Naudodami iš anksto apskaičiuotą vaivorykštės lentelę, jie gali greitai rasti originalius slaptažodžius, atitinkančius maišą, neatlikdami išsamios paieškos. Šis metodas išnaudoja brutalios jėgos principą, bet optimizuoja jį atlikdamas išankstinį skaičiavimą.

Mišrių atakų kontekste įsivaizduokite, kad užpuolikas nusitaiko į sistemą, kurioje vartotojai dažnai sukuria slaptažodžius prie įprastų žodžių, pvz., „vasara2021“ arba „2020 m. žiema“, pridėdami skaičius. Užpuolikas galėtų pradėti nuo įprastų žodžių žodyno ir sistemingai prie kiekvieno žodžio pridėti skaičius. Šis metodas žymiai sumažina raktų erdvę, palyginti su visiškai išsamia paieška, ir padidina sėkmės tikimybę.

Modeliais pagrįstos atakos gali būti iliustruojamos atsižvelgiant į scenarijų, kai užpuolikas žino, kad vartotojai dažnai sukuria slaptažodžius pagal savo vardus ir gimimo metus, pvz., „John1985“ arba „Alice1990“. Sutelkdamas dėmesį į šiuos modelius, užpuolikas gali susiaurinti klavišų erdvę ir padidinti savo galimybes rasti tinkamą slaptažodį neatlikęs išsamios paieškos.

Šoninio kanalo atakos yra dar vienas įdomus pavyzdys. Tarkime, kad užpuolikas bando sulaužyti šifravimo sistemą, matuodamas šifravimą atliekančio įrenginio energijos suvartojimą. Analizuodamas energijos suvartojimo modelius, užpuolikas gali gauti informacijos apie naudojamą raktą. Tada ši informacija gali būti panaudota norint žymiai sumažinti raktų erdvę, kurios reikia ieškoti, kad būtų lengviau vykdyti tolesnę žiaurios jėgos ataką.

Galiausiai, kriptoanalitinės atakos parodo, kaip pažangūs metodai gali sumažinti pastangas, reikalingas brutalios jėgos atakai. Pavyzdžiui, diferencinė kriptoanalizė gali būti naudojama atakuoti tam tikrus blokinius šifrus, analizuojant įvesties ir išvesties porų skirtumus. Šis metodas gali atskleisti informaciją apie raktą, sumažinant efektyvią klavišų erdvę ir padidinant brutalios jėgos atakos efektyvumą.

Taip pat svarbu atsižvelgti į grubios jėgos atakų skaičiavimo galimybes. Laikas, reikalingas išsamiai raktų paieškai, priklauso nuo rakto ilgio ir turimos skaičiavimo galios. Pavyzdžiui, 56 bitų raktas, naudojamas DES, turi 2 ^ {56} galimų raktų, tai yra maždaug 72 kvadrilijonai raktų. Naudojant šiuolaikinę aparatinę įrangą, tai yra įmanomas brutalios jėgos atakos tikslas. Tačiau 128 bitų raktas, naudojamas AES, turi 2 ^ {128} galimų raktų, o tai yra maždaug 3.4 \kartai 10^{38} raktus. Šis skaičius yra toks didelis, kad net naudojant pažangiausius superkompiuterius, išsami raktų paieška užtruktų nepraktiškai daug laiko.

Norėdami iliustruoti reikalingas skaičiavimo pastangas, apsvarstykite šį pavyzdį. Jei mašina gali išbandyti 1 milijardą raktų per sekundę, prireiktų maždaug 2.3 milijono metų, kad būtų galima išsamiai ieškoti 128 bitų rakto klavišų erdvės. Tai parodo žiaurios jėgos atakų prieš šifravimo algoritmus su pakankamai dideliu raktų ilgiu nepraktiškumą.

Taip pat verta paminėti, kad brutalios jėgos atakų efektyvumą gali įtakoti įvairūs veiksniai, tokie kaip skaičiavimo išteklių prieinamumas, kriptografinio algoritmo trūkumai ir kelių šifravimo naudojimas. Daugkartinis šifravimas apima duomenų šifravimą kelis kartus naudojant skirtingus raktus, siekiant padidinti saugumą. Pavyzdžiui, 3DES užšifruoja duomenis tris kartus, naudodamas tris skirtingus raktus, efektyviai padidindamas rakto ilgį ir padarydamas žiaurios jėgos atakas sudėtingesnes.

Nors žiaurios jėgos išpuoliai dažnai siejami su išsamiomis raktų paieškomis, jos ne visada yra visiškai išsamios. Įvairios technikos, tokios kaip žodyno atakos, vaivorykštės lentelės, hibridinės atakos, šablonais pagrįstos atakos, šoninio kanalo atakos ir kriptovaliutos atakos, gali būti naudojamos optimizuoti brutalios jėgos metodus ir sumažinti raktų erdvę, kurioje reikia ieškoti. Brute-force atakų įgyvendinamumas priklauso nuo rakto ilgio, skaičiavimo išteklių ir kriptografinio algoritmo trūkumų. Šių niuansų supratimas yra svarbus vertinant kriptografinių sistemų saugumą ir įgyvendinant veiksmingas atsakomąsias priemones.

Kiti naujausi klausimai ir atsakymai apie Privataus rakto kriptografijos išvados:

Daugiau klausimų ir atsakymų:

Tagged pagal: , , , , ,