На конференции ACM CCS 2015 группа исследователей представила доклад (https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf), в котором оценена реалистичность применения представленной в мае атаки Logjam (https://www.opennet.me/opennews/art.shtml?num=42270) для компрометации алгоритма Диффи—Хеллмана (https://ru.wikipedia.org/wiki/%D0%9F%D1%... (Diffie-Hellman) в условиях наличия ресурсов, доступных в такой организации, как АНБ США.В упрощённом изложении (https://freedom-to-tinker.com/blog/haldermanheninger/how-is-... уязвимость может заключаться в том, что во многих реализациях вместо случайно сгенерированных для текущего сеанса начальных простых чисел (https://ru.wikipedia.org/wiki/%D0%9F%D1%... используется не меняющийся ограниченный набор таких чисел, либо даже предопределённое простое число, зафиксированное в коде ПО. Таким образом, суть атаки состоит в однократном подборе закрытых ключей, связанных с этими известными простыми числами, знание которых позволяет в дальнейшем с минимальными усилиями вскрыть зашифрованные соединения, при установлении которых были использованы эти простые числа.
По оценкам авторов, создание компьютера, способного в течение года подобрать ключ для заданных начальных простых чисел для алгоритма DH с длиной ключа 1024 бит, составит несколько сотен миллионов долларов, что вполне посильно для такой организации, как АНБ.URL: http://arstechnica.com/security/2015/10/how-the-nsa-can-brea.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43228
Разве об этом уже не сообщалось несколько месяцев назад? Рекомендовали генерировать собственные простые числа, выключать ECDHE и т.п.
Разве это проблема алгоритма, а не конкретной реализации?
Это проблема реализации! Схема Дифи-Хелмана проста и не содержит уязвимостей:
я придумываю одну половину ключа сессии, удаленная сторона вторую половину. обмениваемся ключами шифруя асимметричными ключами. профит.
Не могли бы Вы поделиться ссылкой на новость?
Ой. Она же под новостью указана... Извиняюсь за беспокойство.
>> "во многих реализациях вместо случайно сгенерированных для текущего сеанса начальных простых чисел используется не меняющийся ограниченный набор таких чисел, либо даже предопределённое простое число, зафиксированное в коде ПО."В оригинале написано, что некоторые простые числа генерятся чаще других.
>По оценкам авторов доклада и других экспертовпочитал я этих ваших "других экспертов". там нету никаких оценок, просто взятое с потолка число $100M
> во многих реализациях ... используется ограниченный набор таких чисел, либо даже предопределённое простое число, зафиксированное в коде ПО
> в течение года подобрать ключ для заданных начальных простых чисел для алгоритма DH с длиной ключа 1024 бит
> составит несколько сотен миллионов долларовМожно спасть спокойно.
Какие ещё стомильёнов?? Утюг столько не может стоить!
> Какие ещё стомильёнов?? Утюг столько не может стоить!Вы перепутали вычисление сессионного ключа с терморектальным криптоанализом.
ты недеоцениваешь мощь вкусных попилов вероятного противника. =)
> ты недеоцениваешь мощь вкусных попилов вероятного противника. =)Вероятный противник уже запилил Tianhe-2. Остальные "штампованные" враги нервно курят в сторонке ))
В том году дома атаковал - удачно! Было взломано символьная строка в unicode длиной 10 символом.Взлом был осуществлён на SPARC время перебора 45 суток 4 часа и 17 минут
а длина ключа? не публиковали?