Cum verbum "cryptographiae" audis, quidam recordantur tesserae suae WiFi, padlock viridis iuxta electronicam de interreti eorum interreti, et quam difficile est in alterius inscriptionem ingredi. Alii seriem vulnerum recentium annorum revocant cum abbreviationibus (DRORO, FRANGO, POODLE...), logon styli et admonitionem ut navigatrum instanter renovas.
Cryptographia omnia comprehendit, sed cor meum in alio. Punctum est inter simplex et multiplex linea tenuis. Quaedam facilia sunt, sed difficilia ad se retrahenda, ut ovum frangendum. Aliae res faciles sunt ad facile recipiendum, cum deest pars parva, magna, crucialis: exempli gratia, ostium clausum aperiens cum "pars crucialis" est clavis. Has condiciones cryptographia studet et quomodo in praxi adhiberi possunt.
Nuper, collectio impetus cryptographicorum in saeptum logos lampydi versa est, formulis e tabellis scientificis referta, et in communi affectu tristior factus est omnia frangi. Sed re vera multi impetus in paucis principiis generalibus nituntur, et infinitae formularum paginae saepe decoquuntur ad notiones faciles ad intellegendas.
In hac articulorum serie, varias rationes oppugnationum cryptographicarum, cum emphasi principiorum fundamentalium, videbimus. Generaliter vocabula non exacte in hoc ordine, sed sequentia operiemus;
- Insidijs fundamentalibus: vis violenta, analysis frequentia, interpolatio, inclinatio et protocolla transversa.
- Nuditates notavit: LUSUS, Scelus, POODLE, SUBMERTUS, Logjam.
- Provectus Strategies: oracula oppugnat (Vodenet impetum, Kelsey impetum); obviam-in-media methodus, dies natalis, impetus statisticus (differentialis cryptanalysis, integra cryptanalysis, etc.).
- Parte channel impetus eorumque propinquis, defectus analysi modos.
- Impetus in publica cryptographiae clavis: radix cubica, passim, nuntius affinis, impetus Coppersmith, algorithmus Pohlig-Hellman, numerus cribrum, impetum Wiener, Bleichenbacher oppugnant.
Articulus particularis hanc materiam superius usque ad impetum Kelsey comprehendit.
Basic Strategies
Sequentes impetus in sensu simplices sunt, ut fere plene explicari sine multa technica ratione possunt. Unumquodque genus oppugnationis in verbis simplicissimis explicemus, quin in exemplis implicatis vel in casuum usu processerit.
Horum impetus late obsolescit nec multis annis adhibita est. Alii sunt antiqui timetores qui etiamnum regulariter obrepunt in cryptosystematis incautum saeculo XXI. Temporis cryptographiae recentioris aetas considerari potest cum IBM DES adveniente incepisse, notas primas quae omnes impetus in hoc indice restiterunt.
Simple violente
Schema encryptionis duabus partibus constat: 1) munus encryption, quod nuntium (plaintext) cum clavi coniunctum accipit, ac deinde nuntium encryptatum - ciphertextum creat; 2) munus decryption quod ciphertextum et clavem capit ac plaintext producit. Utraque encryption et decryption facile computare debent cum clavibus et sine ea computare difficile.
Ponamus nos videre ciphertextum et illud conari sine ulla informatione (hoc ciphertextum solum oppugnare dicitur). Si aliquo modo magice clavem rectam invenimus, facile cognoscere possumus vere esse rectam si effectus rationabilis nuntius est.
Nota quod hic sunt duae suppositiones implicitae. Primum scimus facere decryption, id est cryptosystematis facere. Hoc signum est suppositio cum de cryptographia disserens. Abscondere singula notarum exsecutionem ab oppugnatoribus ut mensura securitatis addita videri potest, sed cum oppugnator singula haec figurat, haec addita securitas quiete et irrevocabiliter amissa est. Id quomodo : Ratio incidendi in manus hostium incommodi non debet.
Secundo, ponimus clavis rectam solam esse clavem quae ad rationabilis decryption ducet. Hoc etiam rationabilis suppositio est; satisfactum est si ciphertextus multo longior quam clavis ac lectus est. Quod plerumque fit in rerum natura, praeter aut (si non placet quod explicationem omittimus, videbis conclusionem 3.8 ).
Datis suprascriptis, ratio militaris oritur: clavem omnem possibilium coercere. Haec vis violenta appellatur, et talis impetus praestatur ad operandum contra omnes notas practicas - eventually. Exempli gratia, violentia satis hack , antiquus notus ubi clavis est una littera alphabeti, tantum super 20 claves fieri potest.
Infeliciter cryptanalystis, clavis amplitudo augens bonam defensionem contra vim violentam est. Cum clavem auget magnitudo, numerus clavium possibilium exponentialiter augetur. Cum modernis magnitudinum clavis, simplex violentia violenta omnino impractica est. Ad id quod volumus intelligendum, sumamus quam notum supercomputatorem quam in medio-2019 velocissimo; ab IBM, cum cacumine operationum circa 1017 per secundam observantiam. Hodie, clavis typica longitudo est 128 frena, quae significat 2128 iuncturas fieri. Ut per omnes claves perscrutaris, Summus supercomputator opus erit tempore, qui circiter 7800 temporibus universitatis est.
Num violenta vis curiositas historica considerari debet? Minime: necessarium est medicamentum in cryptanalysis vitae vitae. Raro noti tam infirmi sunt, ut non nisi callido impetu frangi possint, absque usu virium ad unum vel alterum gradum. Multi autocineti bene usi methodo algorithmica ad primum scopum notae debilitandi, et deinde impetum violentum vim faciunt.
Frequentia analysis
Plerique textus non sunt gibberosi. Verbi gratia, in textibus Anglicis sunt multae litterae 'e' et articuli 'the'; in binariis fasciculis, multae scriptiones nullae sunt sicut color inter partes notitiarum. Frequentia analysi est omnis impetus qui hoc facto commodum accipit.
Canonicum exemplum cipheriae ad hunc impetum vulnerandum est substitutio simplicis notae. In hoc notis, clavis est ad mensam cum omnibus litteris repositis. Verbi gratia, 'g' substituitur per 'h', 'o' per j, ita verbum 'ire' fit 'hj'. Hoc cipher violente difficile est, quia tot sunt tabulae lookup possibiles. Si vos es interested in math, clavis efficax longitudo est de 88 bits: ut 's'
. Sed frequentia analysi plerumque officium celeriter fit.
Animadverte sequentes ciphertextos processus cum notis simplicibus substituendis;
XDYLY ALY TURPIS XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO
quod Y saepe occurrit, in fine plurium vocum, tentative assumere hanc esse litteram e:
XDeLe ALE UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN ALE FLeAUX GR WN OGQL ZDWBGEGZDO
duobus XD repetitum in principio plurium verborum. Praesertim compositum XDeLe evidenter insinuat verbum these aut theresic pergamus;
thele ale UGLe thWNKE WN heAJeN ANF ea DGLAtWG quam ale fluito GR WN OGQL ZDWBGEGZDO
Porro ponamus L ΡΠΎΠΎΡΠ²Π΅ΡΡΡΠ²ΡΠ΅Ρ r, A - a et sic porro. Probabiliter paucas temptationes accipies, sed plenam vim violentam comparatam, haec oppugnatio textum originalem nullo tempore restituit;
plura sunt in caelo et in terra horatio quam in philosophia vestra somniantur
Quibusdam, ut haec "cryptograms" solvendo est amabam excitans.
Idea analysis frequentiae potior est quam primo aspectu videtur. Et multo magis implicata notis. In historia, variae notae designationes talem oppugnationem "polyalphabeticam substitutionem" opponere conati sunt. Hic, per encryption processum, littera substitutionis tabula modificatur in multiplicibus sed praedictis modis a clavis pendentibus. Harum notarum omnes uno tempore ad erumpere difficiles habebantur; et tamen modica frequentia analysi tandem vicit omnes.
Ambitiosissimus numerus polyalphabeticus in historia, et probabiliter celeberrimus, erat Enigma notarum belli mundani II. Relative complexus fuit praedecessoribus suis comparatus, sed post multum laborem, cryptanalystis Britannicus crebrescit utens analysis frequentiae. Nempe elegantem impetum non potuerunt efficere ut supra demonstratum est; paribus notis campi plaintext et ciphertexti comparare debebant (oppugnatio plaintext sic dicti), etiam utentes Enigma provocantes ad quasdam epistulas encryptas et eventum analysim (per "oppugnationem electum plaintext"). Neque tamen ideo faciliorem casum subaquaneorum hostium perculsis exercitibus submerserunt.
Post hunc triumphum, frequentia analysis ex historia cryptanalyseos evanuit. Cipherae digitales aetate moderna designantur ad opus calcaribus, non litteris. Potius, hae notae obscurae notae factae sunt eorum quae postea cognitae sunt : Quisquis potest algorithmum encryption creare quod ipsae frangere non possunt. Non satis est ad encryption system videbatur difficilis: ad probandam eius dignitatem, inclementem securitatem subire debet a multis cryptanalystis recensendis, qui optime notas resiliunt.
Calculationes praevia
Sume hypotheticam urbem Precom Arces, hominum 200. Unaquaeque domus in urbe habet mediocris $000 pretii pretii, sed non plus quam $30 pretium. Mercatus securitatis in Precom ab ACME Industriae monopolitur, quod fabuloso Coyotae classi portae seras producit. Secundum analysim peritiam, crinem Coyote-classis nonnisi frangi potest a machina hypothetica valde complexa, cuius creatio circiter quinque annos et $000 in obsidione requirit. Estne urbs tuta?
Verisimile n. Tandem satis scelestus ambitiosus apparebit. Ratiocinabitur hoc modo: βIta, magna upfront sumptuum incurram. Quinque annos patientis exspectationis, et $50. Sed cum pereo, aditus habebo omnes opes civitatis. Si lusus chartas meas rectas, haec collocatio pluries sibi solvet."
Simile est in cryptographia. Oppugnationes contra notas particulares constanti analysi profuturae gratuitae subiectae sunt. Si ratio placuerit, impetus non erit. Impetus autem qui operantur contra multas victimas potentiales simul fere semper solvunt, quo in casu optimum consilium usu capiendi ex die uno inceperunt. Nos essentialiter versionem cryptographicam Legis Murphy habemus: "Quicquid re vera systema frangere potest, systema franget".
Simplicissimum exemplum cryptosystematis quod impetum praecomputationis vulnerabile est constans notis keyless est. Hoc factum est cum , quae singula literae alphabeti simpliciter ter- rarum literae antecedunt (tabula est praetexta, sic ultima littera tertia in alphabeto encrypted). Hic rursus principium Kerchhoffs iungitur: semel systema detruncatur, semper detruncatur.
Notio simplex est. Etiam novitius elit cryptosystematis verisimiliter minas cognoscet ac proinde praeparabit. Respiciens ad evolutionem cryptographiae, talis impetus pluribus notis indecens fuit, a primis emendatis versionibus notarum Caesaris usque ad notas polyalphabeticae declinationes. Tales impetus nonnisi cum recenti aetate cryptographiae adveniente rediit.
Haec reditus duobus debetur. Uno modo, cryptosystematis satis implicatae tandem apparuerunt, ubi possibilitas abusionis post caesim manifesta non fuit. Secundo, cryptographia ita divulgata est ut decies centena milia hominum laicorum decisiones cottidie circa ubi et quas partes cryptographiae ad reuse constituerint. Aliquanto ante periti pericula perceperunt et terrorem intulerunt.
Memento praecomputationis oppugnationis: in fine articuli duo exempla cryptographica vera vita spectabimus ubi munus magni momenti egit.
interpolationem
Hic est celeberrimus detectivus Sherlock Holmes, qui interpolationem oppugnationis miserae Dr. Watson peragens:
Statim conieci ab Afghanistan te venisse... Mea sententia talis erat: βHic homo medicus est specie, sed militarem gerens habet. So, medicus militaris. Modo e tropicis venit - facies eius obscura est, sed haec non est naturalis umbra cutis, quia manus eius multo candidiores sunt. Facies macer est - patet multum passus est et infirmitate laboravit. In sinistra vulneratus est, immobilem ac paulo naturam tenet. Ubi in tropicis Anglicus medicus militaris labores et vulnerari potuit? Nempe in Afghanistan. Nec tota ratiocinatio secunda accepit. Itaque dixi te ab Afghanistan venisse, et admiratus es.
Holmes perexiguas informationes ex singulis indiciis singulas elici poterat. Conclusionem tantummodo consequi poterat, omnes simul considerans. Impetum facit interpolatio similiter explorando notas plani textorum et ciphertextorum paria ex eadem clavibus provenientes. Ex singulis binis animadversiones singulae extrahendae sunt, quae conclusionem generalem de clavibus trahi sinunt. Omnes hae conclusiones vagae sunt et inutiles videntur, dum repente in discrimen aliquod perveniunt, et ad unam conclusionem ducunt: utcumque incredibile est, verum esse oportet. Post haec, vel clavis revelatur, vel processus decryption ita arguitur ut replicari possit.
Quam interpolationem opuscula simplici exemplo illustremus. Dicamus nos velle legere commentarius personalis hostis nostri Bob. Quemlibet numerum encryptas in commentario suo utens simplici cryptosystematis didicit ex tabula in emporium "Mock of Cryptographia". Ratio operatur sic: Bob duos numeros eligit quos vult: ΠΈ . Posthac ad encrypt aliquem numerum , reputet . Exempli gratia, si Bob elegit ΠΈ ergo numerus ut encrypted .
Dicamus nos die 28 Decembris animadvertisse Bob aliquid in commentario suo scalpere. Quo finito, illud placide tollemus et novissimum ingressum speculabimur;
date:
235/520Carissimi Commentarius,
Dies enim bonus erat hodie. Per
64Hodie diem habeo cum Alisa, quae in diaetam habitat843. Ego vere cogitare posset esse26!
Cum nos gravissimi sumus de sequenti die Bob (utriusque 15 sumus in hac missione), criticum est cognoscere tempus et inscriptionem Alicia. Fortunate animadvertimus cryptosystem Bob scriptor vulnerabilem interpolationis impetum esse. Nescimus ΠΈ sed tempus hodiernum novimus, ut duo paria notarum plani textorum habeamus. Scimus enim encrypted in quod - in . Haec scribemus;
Cum annos XV sumus, iam novimus systema duarum aequationum cum duobus incognitis, quae in hoc situ satis est ad inveniendum. ΠΈ sine ullis quaestionibus. Singulae coniugationes plaintext-ciphertext coercitionem in clavis Bob ponunt, et duae angustiae simul sufficiunt ad clavem penitus recuperandam. In exemplo nostro responsum est ΠΈ (at * , sic 26 in commentario respondet verbo 'unus', id est, 'idem' β approx. lane).
Impetus interpolationis sunt, sane, non circumscripta talibus exemplis simplicibus. Omnis cryptosystematis quae ad rem mathematicam bene intellectam reducit et indicem parametri, interpolationis incursus in periculo est -, quo magis intellegitur, eo periculo superior est.
Advenae saepe queri cryptographiam esse artem "cogitandi res quam maxime turpes." Interpolationis impetus probabiliter magnae culpae sunt. Bob potest vel mathematico eleganti consilio uti vel suum tempus cum Alicia privatum tenere - sed heu, utrumque habere non soles. Hoc clarissime fiet, cum tandem ad thema cryptographiae publicae clavis perveniemus.
Crucem protocol / downgrade
In Nunc Vides Me (2013), illusionistarum catervam corrumpere conatus magnatum assecurationis Arthuri Tressler ex tota sua fortuna. Ut aditus ad ripam Arthuri tabularum accedat, illusionistae usoris et tesserae eius vel praebere debent vel cogant eum ut praesens ad ripam compareat et consilio interesset.
Utrumque bene difficillimum est; Guys in scaena exercentes, operationes intelligentiae non participantes. Sic tertiam optionem possibilis eligunt: socium suum ripam vocat et Arthurum simulat. Argentaria aliquot quaestiones quaerit ad identitatem comprobandam, sicut nomen patrui et nomen primae deliciae; nostros ante . Ex hoc puncto, tesserae securitatis egregiae iam res non sunt.
(Iuxta legendam urbanam quam personaliter verificavit et comprobavit, cryptographus Eli Beaham semel offendit argentariam qui quaestionem securitatis inculcavit. Cum aviae maternae nomen quaesisset, Beaham dictare coepit: "Capital X; parvi y, tres... Β»).
Idem in cryptographia est, si duae protocolla cryptographicae in parallelis ad eandem rem tutandam adhibentur, et una multo altera debilior est. Systema inde protocollo in transversum vulnerabile fit, ubi protocollum infirmior impugnatur ut ad palmam sine fortiore perveniatur.
In nonnullis casibus implicatis, non satis est simpliciter contactum servo utentem protocollo debiliori, sed involuntariam legitimi clientis participationem requirit. Hoc constitui potest utens impetus appellatus downgradus. Ad hanc impetum intelligendum, sumamus nostros illusionistas difficilius negotium habere quam in pellicula. Demus argentariam operarius (cashier) et Arthurus aliquas circumstantias inopinatas occurrere, ex sequenti dialogo:
Burglar: Salve? Hic est Arthur Tressler. Velim ut reset password meum.
COLLECTARIUS: Magna. Vide quaeso in codice secreto personali tuo libro, pagina 28, verbo 3. Omnes sequentes epistulae hoc verbo proprio clavis utentes utantur. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV...
Burglar: Heus, heus, expecta, expecta. Estne hoc vere necessarium? Non possumus loqui sicut normalis populus iustus?
COLLECTARIUS: Non suadeo hoc facere.
Burglar: EGO iustus... ecce, habeo pessima dies, bene? VIP cliens sum et non sum in mente per hos libros stultorum codicem fodere.
COLLECTARIUS: Fine. Si vis, Dominus Tressler. Quid vis?
Burglar: Quaeso, velim omnem meam pecuniam donare Fundo Arthur Tressler National Victims.
(Pausae).
COLLECTARIUS: Patet nunc. Quaeso te PIN pro magnis negotiis praebere.
Burglar: My quid?
COLLECTARIUS: Rogatu tuo personali, transactiones huius amplitudinis pro magnis negotiis clavum requirunt. Hoc signum tibi datum est, cum rationem tuam aperuisti.
Burglar:... amisi. Estne hoc vere necessarium? Annon' tantum approbas paciscentiam?
COLLECTARIUS: Nec. Paenitet me, domine Tressler. Iterum haec est mensura, quam postulasti securitatis. Si vis, possumus novum PIN codicem ad mailbox tuum mittere.
Nostri viri operationem differant. Plures de Tressler's magnas res aucupant, sperans PIN audire; sed quoties sermocinatio in gibberosam coded vertit, antequam aliquid interest, dicitur. Denique, uno denique die, consilium in aciem mittitur. Patienter exspectant momentum cum Tressler magnum negotium facere super phone, in linea accipit, et tunc...
Tressler: Salve. Rem remotam conficere velim, quaeso.
COLLECTARIUS: Magna. Vide quaeso codicem personalem secreti libri, pagina...
(Ruplator puga pyga premit; vox fiscus in sonum obscurum vertit).
COLLECTARIUS: - #@$#@$#*@$$@#* hoc verbo ut clavis inculcabitur. AAAYRR PLRQRZ MMNJK LOJBAN...
Tressler: Dolemus, non satis intellexi. Iterum? Quanam pagina? Quod verbum?
COLLECTARIUS: Haec est pagina @#$@#*$)#*#@()#@$(#@*$(#@*.
Tressler: Quid?
COLLECTARIUS: Numerus verbi viginti @$#@$#%#$.
Tressler: Gravissime! Jam satis est! Tu et securitas tua protocollo quodam circi sunt. Scio te solum mecum loqui solere.
COLLECTARIUS: Non suadeoβ¦
Tressler: Nec ego te suadeo ut tempus meum consumas. Nolo plura de hoc audire donec problemata tua telephonica lineam figas. Hoc paciscor finalisare possumus annon?
COLLECTARIUS:... Ita. Fine. Quid vis?
Tressler: Velim ad $20 investimenta Negotia Domini transferre, rationem numeri...
COLLECTARIUS: Unum minutum, amabo te. Praesent a magna ligula. Quaeso te PIN pro magnis negotiis praebere.
Tressler: Quid est? Oh, exacte. MCCXXXIV.
Hic impetus proclivi est. Debiliores protocollo "protinus loqui" visum est optionem in casu tempori. Et tamen hic sumus.
Miraris quisnam in mente sua veram "tutam donec aliter quaesierit" designet sicut supra descriptum est. Sed sicut ripa ficta periclitatur ut clientes retinendi qui non placent cryptographiae, systemata generatim saepe gravitant ad exigentias quae sunt indifferentiae vel etiam plane securitati adversae.
Hoc prorsus factum est cum protocollo SSLv2 anno 1995 in. Imperium US diu inspicere incepit cryptographiam ut telum optimum ab inimicis externis et domesticis conservatum. Partes codicis singillatim approbatae sunt pro exportandis ex Civitatibus Foederatis Americae, saepe cum condicione ut algorithmus consulto debilitaretur. Netscape, elit navigatoris popularis, SSLv2 Navigatoris Netscape permissio data est solum cum in se vulnerabilibus 512 frenum RSA clavis (et 40-bit pro RC4).
Post finem millennii regulae laxatae accessus modernae encryptionis crebrae factae sunt. Nihilominus clientes et servitores cryptographiae "exportationis" debilitavit per annos ob eandem inertiam quae sustentationem pro quolibet legato systemate conservat. Clientes credebant se servo occurrere qui nihil aliud sustineret. Idem fecerunt ministri. Utique, protocollum SSL dictat clientes et servitores numquam uti debili lege cum meliori praesto est. Sed eadem propositio de Tressler et suo patrimonio applicata est.
Haec theoria iter suum invenit in duos impetus summus profile qui securitatem protocollo SSL anno 2015 concussit, tum inventas ab investigatoribus Microsoft et . Primum, singula impetum LUDIBRALIS mense Februario revelatae sunt, post tres menses alium similem impetum Logjam vocatum secuti, de quo fusius disseremus cum oppugnationes in cryptographiae publicae clavis movemus.
vulnerability (also known as "Smack TLS") in lucem venit cum investigatores TLS client/servi instrumentorum enucleati et curiosi cimex reperti sunt. In his exsecutionibus, si cliens cryptographiam infirma educendo non rogat, sed minister adhuc respondet talibus clavibus, cliens dicit "O bene" et virgas ad notas debiles.
In tempore, cryptographia exportationis late perspecta est iam obsoletus et longinquus, itaque impetus factus est impetu completus et multas ditiones magni momenti affecit, in quibus Domus Alba, IRS, NSA in locis erat. Etiam peius evenit ut multi servientes vulnerabiles optimizing effectus essent, easdem claves reus reddentes potius quam novas pro singulis sessionibus generantes. Hoc fieri potuit, post deiectio protocollum, impetum prae-putationis explere: crepuit una clavis carissima ($100 et 12 horis tempore publicationis), sed practicus sumptus nexus oppugnandi signanter redactus est. Satis est clavem ministrum semel eligere et encryptionem resilire omnibus nexus subsequentibus ex illo tempore.
Et antequam progrediamur, est unus impetus provectus memorandus...
Oraculum impetum
notissimus pater crucis suggestus crypto nuntius app Signum; nos autem personaliter sicut unum ex innovationibus minoribus notis. (Cryptographic Adeptus Principium). Ut leviter paraphrasis, hoc dicere possumus: "Si protocollum praestat" nihil operationem cryptographicam in nuntio e fonte maligno potentiae exercet et aliter se gerit secundum eventum, moriturum est". Vel acutiori forma: "Noli explorare ab hoste ad expediendas, et si habes, at certe exitum non ostende."
Omitto quiddam superfluum, iubeo infundi, et similia; extra ambitum huius disputationis sunt. Violatio "principii fata" ducit ad graves cryptographiae autocinetiones ob id quod protocollum prorsus sicut expectatur gerit.
Exempli gratia, consilium fictum sumamus cum substitutione notarum vulnerabili, et deinde impetum possibilem demonstrabimus. Dum iam vidimus impetum in substitutione notae utentes analysis frequentiae, non modo "aliter eandem notas frangere". E contra, oraculorum impetus multo recentior est inventio, multis adiunctis applicabilis ubi analysis frequentia deficit, cuius demonstrationem in sequenti articulo videbimus. Hic notiones simplices tantum eligitur ut exemplum clarius reddant.
Sic Alicia et Bob utentes simplici substitutione notis communicant utentes clavis illis solis notis. Strictissimae sunt circa longitudinem epistularum: sunt prorsus 20 characteres longi. Ita convenerunt ut, si quis nuntium breviorem mittere vellet, textum quendam phantasticum ad finem nuntii addere deberent, ut id prorsus 20 characteres redderet. Post aliquot discussiones placuit ut sequentes textus phantastici accepturi essent: a, bb, ccc, dddd etc. Sic textus phantasticus notus est cuiuslibet longitudinis requisitae.
Cum Alicia vel Bob nuntium acceperit, primum inspicias nuntium esse rectam longitudinem (20 characters) et suffixo textum rectum phantasma esse. Si hoc non fit, congruenti errori nuntio respondent. Si textus longitudinis et dummy textus ok est, ille nuntium ipsum legit et responsionem encryptam mittit.
In oppugnatione Bobis personat oppugnator et nuntios ad Alice mittit fictos. Nuntiae nugae sunt plenae - oppugnator clavem non habet et ideo nuntium significativum cudere non potest. Sed cum protocollum principium exitialem violat, oppugnator adhuc capere potest Alicie in clavibus indiciis patefaciendis, ut infra patebit.
Burglar:
PREWF ZHJKL MMMN. LAAlicia: Invalida phantasma illud.
Burglar:
PREWF ZHJKL MMMN. LBAlicia: Invalida phantasma illud.
Burglar:
PREWF ZHJKL MMMN. LCAlicia:
ILCT? TLCT RUWO PUT KCAW CPS OWPOW!
RUPTOR nescit quid Alicia modo dixit, sed symbolum notat C oportet inserere aAlicia enim textum recepit.
Burglar:
REWF ZHJKL MMMN. LAAAlicia: Invalida phantasma illud.
Burglar:
REWF ZHJKL MMMN. LBBAlicia: Invalida phantasma illud.
Post aliquot conatus...
Burglar:
REWF ZHJKL MMMN. LGGAlicia: Invalida phantasma illud.
Burglar:
REWF ZHJKL MMMN. LHHAlicia:
TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.
Rursum oppugnator nescivit quid Alicia modo dixit, sed H aequare debere notat cum Alicia textum dummy acceperit.
Et sic deinceps donec invasor cognoscat rationem cuiusque characteris.
Primo aspectu, modus similis oppugnationis plaintext electum. In fine, percussor notas eligit, et ministrator eos obedienter processit. Praecipua differentia quae has impetus vibiles in rerum natura facit, est quod oppugnator ad ipsum transcriptum aditum non indiget - servo responsionis, etiam quasi innocens ac "invalida dummy text", satis est.
Cum haec oppugnatio particularis est instructiva, ne nimis suspensum est in speciebus "textus phantasiae", cryptosystem speciale adhibitum, aut accuratam seriem nuntiorum ab oppugnatore missorum. Praecipua notio est quomodo Alice reflectit aliter secundum proprietates querelae, et id facit sine verificando quod ciphertext correspondens actu ex parte credita orta sit. Sic Alicia permittit impugnatorem ut secreta informationes de responsionibus suis exprimat.
Multum est quod in hoc missione mutari potest. Symbola, quae Alicia reflectitur, vel ipsa differentia morum, vel etiam cryptosystematis adhibita. Sed principium idem manebit, et impetus totus in una vel alia forma viabilis remanebit. Praecipua huius oppugnationis exsecutio adiuvavit detegendas aliquot cimices securitatis, quas paulo ante spectabimus; sed prius sunt aliquae theoreticae lectiones discendae. Quomodo hoc fictitium "Aliciae scriptionis" utatur in oppugnatione quae in notis realibus modernis operari potest? Etiamne hoc fieri potest etiam in ratione?
Anno 1998, Daniel Bleichenbacher Helvetius cryptographus hanc quaestionem affirmativam respondit. Oraculum impetum demonstravit in cryptosystem clavem publicam late adhibitam RSA, certo nuntio schema utens. In nonnullis exsecutionibus RSA, minister respondet diversis nuntiis errori pendentibus sive quaestionis rationi congruit necne; id satis esse ad oppugnationem.
Quattuor annis post, anno 2002, cryptographus Gallicus Serge Vaudenay oraculum demonstravit impetum fere identicum cum illo qui supra in missionibus Alicia descriptus est - praeterquam quod pro notis fictitiis totum genus notarum recentiorum quibus homines usi sunt, fregit. Praesertim, Vaudenay scuta fixa magnitudine cyphris ("obstructionis cyphrarum") adhibita sunt cum "CBC encryption modus", et cum quodam populari schemate, basically aequiparatur illi in missione Alicia.
Etiam anno 2002, cryptographus Americanus John Kelsey - co-auctor - varios oraculorum impetus in systemata comprimentium nuntiis ac deinde encrypt eas proposuit. Inter hos notissimus fuit impetus, quod idoneo factum est, quod saepissime ex longitudine ciphertextorum originalis longitudinis planities colligi potest. Hoc in speculatione permittit oraculum impetum qui partes textus originalis recuperat.
Infra accuratiorem descriptionem oppugnationum Vaudenay et Kelsey dabimus ( accuratiorem descriptionem oppugnationis Bleichenbacher dabimus cum oppugnationes in publica cryptographiae clavium adgrediemur). Quamvis nisus nostros, textus aliquantum technicus evadit; ita si supra satis est, duas partes omittimus.
Vodene impetum
Ad oppugnationem Vaudenay intelligendam, primum opus est loqui paulo plura de notis et modis encryption. "Truncus cipher" est, ut memoratur, cipher qui clavem accipit et initus certae longitudinis ("obstructionis longitudinis") et truncum encryptatum eiusdem longitudinis producit. Stipes cyphrarum late usi sunt et relative securi considerati. Nunc secessit DES, primus notis hodiernis consideratus, stipes erat cipher. Idem valet de AES, ut supra dictum est, quod hodie vulgo usurpatur.
Infeliciter, stipes cyphrarum unam habent infirmitatem torve. Magnitudo typica scandali 128 bits est, vel 16 characteribus. Patet, moderna cryptographia requirit operandi cum inputatione plurium notitiarum, et hoc est ubi modi encryption oriuntur. Modus encryption essentialiter hack est: modus est quo modo truncum notas adhibeat qui tantum initus cuiusdam magnitudinis accipit ad input longitudinis arbitrariae.
Impetus Vodenis in populari CBC (Cipher Clausus Chaining) modum operandi feruntur. Oppugnatio in notis clausuris subiectis tractat sicut arca magica, inexpugnabili capsula nigra, eiusque securitatem omnino praetermittit.
Hic figura est quae ostendit modum CBC opera:
Plus circulus XOR (exclusive OR) operationem significat. Exempli gratia, recipitur secundus stipes ciphericis;
- Operationem XOR faciendo in secundo scandalo plaintext cum primo stipite ciphertext.
- Encrypting inde scandalum cum notis trunco ββutens clavem.
Cum CBC talem operationem binarii XOR adhibeat gravem, sumamus momentum ad nonnullas eius proprietates revocandas;
- Idem potentia:
- Commutativity:
- Societas:
- Reversibilitas sui:
- Byte magnitudine: byte n of = (byte n of * ) (N of * byte )
De more, hae proprietates implicant quod, si aequationem habemus operationum XOR et ignotam, solvi potest. Exempli gratia, si sciamus cum incognita et celebre ΠΈ , tunc praefatis proprietatibus niti possumus solvere aequationem for . Applicando XOR utrobique aequationis cum , et dabimus tibi . Hoc totum in momento fiet valde pertinens.
Minores differentiae duae sunt et una maior differentia inter nostrum Alicia missionem et impetum Vaudenay. Duo minores;
- In scripto, Alicia querelas expectat ut cum characteribus finiat
a,bb,cccet sic porro. In Wodene impetum, victima potius expectat querelas ad N temporum cum N byte (hoc est, hexadecimali 01 vel 02 02, vel 03 03 03, et sic deinceps). Haec differentia pure medicamine est. - In missione Alicia, facile erat cognoscere num Alicia nuntium acceperit per responsionem "Textus phantasticus recta". In impetu Vodeni, magis analysis requiritur et exsecutio exsecutionis victimae magni momenti est; sed brevitatis causa, pro certo sumamus hanc analysin adhuc fieri posse.
Differentia praecipua:
- Cum nos eadem cryptosystematis non utamur, relatio inter bytes continentis ciphertextum et in arcanis (clavibus et plaintext) diversam esse manifesto erit. Ideo oppugnator alio consilio utendum erit cum notas creando et responsiones servo interpretando.
Maior haec differentia est finalis aenigma ad oppugnationem Vaudenay intelligendam, ut momentum ad cogitandum capiamus cur et quomodo oraculi impetus in CBC primo loco escendi possit.
Ponamus nos CBC ciphertextus 247 caudices dari, et minui volumus eam. Ficta nuntia mittere possumus cum servo, sicut fictas nuntios alicui ante mittere potuimus. Servus epistulas nobis minuit, sed decryptionem non ostendet - sed iterum, sicut cum Alicia, servo nuntiabit tantum unum aliquid notitiarum: utrum textum campus validum Nullam habeat necne.
Considera quod in missione Alicie relationes sequentes habuimus;
$$ display$$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key}) = text{plaintext}$$ display$$
Hanc "aequationem Alicia" vocemus. Ciphertextum regebat; server (Alice) vagas informationes de acceptis plaintext; et hoc nobis licet informationes deducere de ultimis factoris clavis. Per analogiam, si talem nexum pro scripto CBC reperire possumus, etiam aliquas occultas informationes ibi extrahere potuimus.
Feliciter relationes realiter sunt ibi uti possumus. Considera output finalis vocationis ad minutum truncum notis ac designandum hoc output as . Etiam cuneos plaintext designamus et ciphertext caudices . Accipe aliam inspice figuram CBC et vide quid acciderit;
Vocemus hanc aequationem CBC.
In missione Aliciae, vigilantia notis et perspicientibus rimam plani textui respondentem, impetum facere potuimus ascendere qui tertium terminum in aequatione recuperavit - clavem. In missione CBC, nos quoque ciphertextum monitorem facimus et informationes observamus perstillare in textu congruenti. Si analogia tenet, scire possumus de .
Sumamus nos re vera restaurata quid tum? Bene, ergo totum ultimum truncum querelae simul imprimere possumus () Simpliciter intrando (quem habemus) et
suscepit in CBC aequationem.
Nunc eu de summa ratione oppugnandi sumus, tempus singula elaborare. Obsecro diligenter attende quomodo notitias plaintext diffusa sit in calculonis. In scripto Alicia, Leak obvenit quod Alice tantum responderet recto nuntio si $inline$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{clavis})$inline$ linea finita. a (aut bbet cetera, sed casu perexigui casus harum conditionum utitur). CBC similis, servo Nullam si et tantum si desinit in hexadecimali 01. Experiamur igitur eandem fraudem mittens fictus notis nostris fictus values donec servo saturitatem accipit.
Cum servo pro uno ex nostris nuntiis fictis acceptatur, significat:
Nunc utimur proprietate byte-byte XOR;
Primi et tertii termini scimus. Et iam vidimus hoc nobis permittere ut reliquus terminus ultimus byte a :
Hoc etiam nobis dat ultimum byte ultimi plani texti per aequationem CBC et byte-byte proprietatem.
Relinquere in eo potuimus et contenti sumus quod impetum in notis fortissimis theoretice gesserimus. Sed profecto multo plus valemus: omnes quidem textus recuperare possumus. Hoc artificium requirit quod in scripto originali Aliciae non fuit nec ad impetum oraculi requiritur, sed etiamnum eruditione dignum est.
Ut scias illud, primo notandum quod effectus ad rectam valorem ultimi byte est "exputare" novam facultatem habemus. Nunc cum notis fictis, mutare possumus ultimum byte in textu respondentis. Iterum hoc ad aequationem CBC et byte proprietatem refertur;
Cum nunc cognovimus secundum terminum, possumus uti dominio nostro circa primum secundum imperium tercium. Simpliciter computamus;
Non potuimus hoc facere antequam ultimum byte adhuc non habemus .
Quomodo hoc adiuvabit nos? Ponamus nos nunc omnes notas creemus ita ut in plani- tibus respondentibus ultimus byte sit aequalis 02. Servo nunc tantum Nullam suscipit si cum finibus plaintext 02 02. Cum ultimam byte correximus, hoc tantum fiet si penultima byte of the plaintext is also 02. Nos fictos ciphertextos clausos mittentes servamus, mutato byte paenultimo, donec minister inscriptionem pro uno ex illis accipiat. Hoc loco habetur:
penultimam byte et restituimus sicut et novissimus unus restitutus est. Eodem permanemus spiritu 03 03hunc impetum repetimus pro tertio byte a fine et sic in ultimo totaliter restituendo .
Quid de reliquis textus? Lorem quod valor re vera $inline$textu BLOCK_DECRYPT(textu{clavis},C_{247})$inline$. Possumus aliquem alium obstructionum pro oppugnatio tamen prospera. Re vera a servo petere possumus ut $inline$textus{BLOCK_DECRYPT}$inline$ pro quavis notitia agamus. Hic, ludus in - ciphertextus minui possumus (capimus aliam figuram in CBC decryption ut hoc videam; et nota quod IV publicum est).
Haec methodus praecipuam obtinet locum in oraculi oppugnatione, quam postea occurremus.
Kelsey impetum
Noster Ioannes Kelsey consentaneus principia exposuit quae multorum possibilium impetus, non solum singularia certae oppugnationis in notis specificis. His studium possibilium impetus in notitia compressa encrypted. Putasne indicium quod notitia ante encryption compressa non erat satis ad impetum faciendum? Hoc satis evenit.
Quod mirum est ex duobus principiis. Primo, inter longitudinem querentis et ciphericis longi- tudinem valida relatio; nam plures cyphras aequalitatem exigunt. Secundo, cum compressio exercetur, etiam valida relatio inter longitudinem nuntii compressi et gradum "noisiness" querelae, id est, proportio characterum non iterantium (the term technicus est "entropy altus". ).
Ad cuius principium in actione videndum, duo querellae sunt consideranda;
Plaintext 1:
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAPlaintext 2:
ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ
Sumamus ambo querelas comprimendas et encryptas. Duos notas consequentes nancisceris et coniectare quas ciphertextas inter se cohaerent quae plaintext:
Ciphertext 1:
PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTACiphertext 2:
DWKJZXYU
Responsio patet. Inter querelas, tantum textus plani 1 in tenuem longi- tudinem secundi cipherici comprimi potuit. Hoc figuravimus, nisi quid de compressione algorithmus, encryption clavem, vel etiam notas ipsa cognoscimus. Comparari potest cum hierarchia oppugnationum cryptographicarum, hoc est genus delirum.
Kelsey porro designat hoc principium in quibusdam adiunctis insolitis adhiberi posse etiam ad impetum oraculi explendum. Praesertim describit quomodo percussor potest recuperare querelam occultam si modum servientis ad encryptam datam cogere possit (per textum planum sequitur. dum est in potestate et quomodolibet effectus encrypted inhibere longum est.
Iterum, sicut ceteri impetus oracula, habemus necessitudinem;
Iterum unum terminum regemus.) cernimus parvam rimam informationis de alio membro (ciphertexto) et conamur ultimam recuperare (plaintext). Quamvis analogia, haec condicio aliquanto insolita aliis oracula comparata aggressus esse vidimus.
Ad illustrandum quomodo talis impetus operetur, utamur ficta compressione quae proxime accessit cum: TOYZIP. Lineas textuum quae in textu antea apparuerunt spectat easque substituit cum tribus bytes, qui indicant ubi prius instantia lineae inveniatur et quoties ibi apparet. Exempli gratia, linea helloworldhello comprimere potest helloworld[00][00][05] 13 bytes longi cum originali 15 bytes comparantur.
Si percussor recuperare temptat querelam formae password=...ubi tessera ipsa ignoratur. Secundum exemplar oppugnationis Kelsey, invasor potest servo quaerere ut comprimere et encrypt formare mandata (plaintext sequitur ), ubi β Textus liber. Cum servo opus finivit, longitudo fructus refert. Impetu sic procedit:
Burglar: Quaeso comprime et encrypt the plaintext without any text.
Servo: Consequens longitudo XIV.
Burglar: Quaeso comprime et encrypt plaintext cui apponitur
password=a.Servo: Consequens longitudo XIV.
In notis cracker: [originale 14] + [tres bytes qui substituti sunt password=] + a
Burglar: Quaeso comprime et encrypt plaintext cui additur
password=b.Servo: Consequens longitudo XIV.
Burglar: Quaeso comprime et encrypt plaintext cui additur
password=Ρ.Servo: Consequens longitudo XIV.
In notis cracker: [originale 14] + [tres bytes qui substituti sunt password=c]. Hoc supponit quod plantextus originalis filum contineat password=c. Hoc est, signum cum litteris incipit c
Burglar: Quaeso comprime et encrypt plaintext cui additur
password=Ρa.Servo: Consequens longitudo XIV.
In notis cracker: [originale 14] + [tres bytes qui substituti sunt password=Ρ] + a
Burglar: Quaeso comprime et encrypt plaintext cui additur
password=Ρb.Servo: Consequens longitudo XIV.
(β¦ Aliquanto postβ¦)
Burglar: Quaeso comprime et encrypt plaintext cui additur
password=ΡΠΎ.Servo: Consequens longitudo XIV.
In notis cracker: [originale 14] + [tres bytes qui substituti sunt password=co]. Eadem ratione utens, oppugnans concludit tesseram a litteris incipere co
Et sic deinceps donec integra tessera restituatur.
Lectori ignoscendum est existimans hanc exercitationem esse mere academicam et oppugnationem missionis numquam in rerum natura oriri. Heu, ut mox videbimus, melius est cryptographiam non tradere.
Gladiatores notam: CRIMINE, POODLE, DROWN
Tandem, perspecta theoria singulariter, videre possumus quomodo hae artes applicantur in oppugnationibus cryptographicis real-vitae.
VITIUM
Si oppugnatio in navigatro et retis victimae intenditur, quaedam facilior, quaedam difficilior erit. Exempli causa, facile est negotiationem victimae videre: cum eo sedere in eodem casu cum WiFi. Quam ob rem victimae potentiales (i.e. omnes) plerumque monuerunt ut nexu encrypto utantur. Difficilius erit, sed adhuc fieri potest, petitiones HTTP postulare pro victima alicuius tertii partis situs (exempli gratia Google). Percussor victimam ad paginam malitiosam elicere debet cum scripto quod rogatu facit. Navigatorium interretialem sponte congruentem crustulum sessio praebebit.
Hoc mirabile videtur. Si Bob ad evil.com, possetne scriptor huius situs tantum quaerere Google ut tesseram Bob electronicam electronicam mitteret [email protected]? Bene in ratione ita, sed in re nulla. Hoc sem appellatur exitus petitio falsi impetus crucis (, CSRF) et popularis fuit circa medium 90s. Hodie si evil.com hoc stropha nititur, Google (vel de aliquo loco interretiali) respondere solet cum "Magnum, sed tuum CSRF indicium huius negotii erit... um... ΡΡΠΈ ΡΡΠΈΠ»Π»ΠΈΠΎΠ½Π° ΠΈ ΡΠ΅ΠΌΡ. Quaeso iterare hunc numerum ". navigatores moderni aliquid habent consilium "eandem originis" appellatum, quibus scripta in situ A non habent accessum ad informationem a loco B. missam. Itaque scriptura in evil.com potest mittere petitiones google.comsed responsa non possunt legere vel rem actu perficere.
Inculcare debemus quod nisi Bob encrypto nexu utatur, omnia haec praesidia inania sunt. Percussor simpliciter legere negotiatio Bob potest et crustulum Google sessionem recuperare. Cum hoc crustulum, solum novam Google tab aperiet sine navigatro suo et Bob imsonatam relinquet sine pesky originis eiusdem agendi. Sed, proh dolor, fit hoc minus et minus commune. Interreti ut totum bellum coniunctionibus unencryptatis diu indixerunt, et negotiatio Bob exitu verisimiliter encryptum est, utrum velit necne. Praeterea ab initio ad exsecutionem protocolli negotiatio etiam fuit refugit ante encryption; hoc erat commune ad latentiam redigendas.
Haec ubi iungitur (Conpressio Ratio Infoleak Securus, lacus simplex per rationem compressionis). vulnerabilitas mense Septembri MMXII per investigatores securitatis Juliano Rizzo et Thai Duong revelata est. Iam totum fundamentum theoricum perspeximus, quod nobis permittit intellegere quid fecerint et quomodo. Impugnator navigatoris Bob ad Google petitiones mittere potuit et responsa in reti locali in forma compressa et encryptata audiebat. Ideo habemus;
Hic oppugnator petitionem moderatur et aditum habet ad stimulum negotiationis, incluso magnitudine fasciculi. Kelsey missionem poeticam ad vitam venit.
Intellectus theoriam, auctores CRIMINE facinus creaverunt quod sessionem crustulorum surripere potest pro amplis sitibus, inter Gmail, Twitter, Dropbox et Github. vulnerabilitas recentissimas navigatores interretiales afficiebat, inde in inaequaliter emissus qui compressionem plumam in SSL tacite sepelivit ut omnino non uteretur. Sola a vulnerabilitate tutatus fuit venerabilis Penitus Rimor, qui numquam SSL compressione usus est.
POODLE
Mense Octobri MMXIV, Google turma securitatis undas in communitate securitatis fecit. vulnerabilitas in protocollo SSL uti poterant, quae ante decem annos conglutinata erat.
Evenit ut cum ministri currunt lucidum novum TLSv1.2, multi subsidium legatum reliquerunt SSLv3 ad convenientiam retrorsum cum Internet Explorer 6. Iam locuti sumus de oppugnationibus downgradibus, sic cogitare potes quid agatur. Bene orchestrata sabotage manuum protocolli et servitores parati sunt ad bonum antiquum SSLv3 redire, essentialiter ultimos 15 annos securitatis inquisitionis solvens.
Pro historico; :
Securitatis onerariae Securitatis (TLS) est maxime momenti securitatis protocollum in Interreti. [..] Fere omnia negotia quae in Interreti pendent ex TLS. [..] Sed TLS non semper TLS fuit. Protocollum incoepit vitam suam vocatur "Secure Sockets Layer" vel SSL. Fama habet primam versionem SSL tam atrocem fuisse ut tincidunt omnia impressa codicis collegit et eas in Landfill in Novo Mexico abscondito sepelivit. Ac per hoc, prima versio SSL publice praesto est actu . Pulcherrima FORMIDULOSUS, et [...] productus ex media 90s, quam recentiores cryptographi putant "" Multos impetus cryptographicos gravissimos scimus de hodie nondum repertos esse. Quam ob rem, tincidunt protocollum SSLv2 per se relictum erat ut in tenebris viam fumarent, et sequerentur. β ad dolorem et utilitatem nostram, cum impetus in SSLv2 inaestimabiles lectiones reliquerint ad posteros protocolla.
Sequentes hae eventus, anno 1996, frustratus Netscape protocollum de integro resignavit. Eventus est SSL versio 3, quae .
Fortunate pro latronibus, "pauci" non omnes. Super, SSLv3 provisum est omnes cuneos necessarii ad impetum faciendum Vodene mittendum. Protocollum usus est CBC notarum clausurarum et insecuris schema (hoc in TLS correctum est; inde necessitas oppugnationis gradationis). Si schema Nullam in originali descriptione oppugnationis Vaudenay meministi, schema SSLv3 simillimum est.
Sed, pro dolor, latronum simile non idem significat. Schema SSLv3 coloratum est "N temere bytes quem numerus N sequitur". Conare, his conditionibus, truncum imaginarium cyphertextum eligere et per omnes gradus primigenii Vaudeni pervadere: invenies impetum feliciter extrahere ultimum byte e trunco ββrespondentis querelae, sed ulterius non progreditur. Singula 16th byte ciphertext decrypta magna est stropha, sed victoria non est.
Adversus defectum, Google turma ad ultimam recurrendum confugit: ad exemplar minae potioris mutaverunt - quod in CRIMINE adhibitum est. Posito oppugnatore scriptum est currit in navigatro tabe victimae et crustula sessionis extrahere potest, impetus adhuc infigendus est. Cum exemplar comminationis latius minus realisticum sit, in praecedenti sectione vidimus hoc peculiare exemplar fieri posse.
Datae his potentioribus invasoris facultates, impetus nunc permanere potest. Nota oppugnatorem scit ubi crustulum sessionis encryptae in capite apparet et moderatur longitudinem petitionis HTTP praecedentis. Ergo rogatio HTTP manipulare potest ut ultimus byte crustulum cum fine clausus sit varius. Hoc autem byte ad decryptionem aptum est. Unam tantum postulationi addere potes, et penultima byte crustulum eodem loco manebit, eademque methodo ad delectu apta usus. Oppugnatio hoc modo perseverat donec fasciculus crustulum in integrum restituatur. POODLE suus 'vocavit: Oracula Nullam in downgraded Legatum Encryption.
DEMITTO
Ut diximus, SSLv3 vitia sua habuit, sed ab antecessore suo fundamentaliter diversa fuit, quia rimosas SSLv2 alterius aetatis productum fuit. Ibi nuntium in medio interpellare potuisti; ΡΠΎΠ³Π»Π°ΡΡΡΡ Π½Π° ΡΡΠΎ ΡΠΎΠ»ΡΠΊΠΎ ΡΠ΅ΡΠ΅Π· ΠΌΠΎΠΉ ΡΡΡΠΏ vertitur in ΡΠΎΠ³Π»Π°ΡΡΡΡ Π½Π° ΡΡΠΎ; cliens et servulus online conveniri potuerunt, arcana fiducia et commutare coram oppugnante, qui tunc facile utrumque impersonare potuit. Est etiam quaestio de cryptographia exportatione, quam commemoravimus cum LUDICRUM considerans. Hae fuerunt cryptographicae Sodomae et Gomorrae.
Mense Martio MMXVI, turmae investigatorum ex diversis campis technicis convenerunt et mirabilem fecerunt inventionem: SSLv2016 adhuc in systematis securitatis adhibetur. Imo oppugnatores moderni TLS sessiones SSLv2 iam deprimere non potuerunt, cum foramen illud post FREAK et POODLE clausum esset, sed adhuc ministris ac sessionibus SSLv2 se coniungere possunt.
Quaeres, quid curamus quid ibi faciamus? Sessionem vulnerabilem habent, sed non debet afficere alias sessiones vel securitatem servientis - ius? Bene, parum. Ita est, quomodo in doctrina sit. Sed non - quia testimonium generans SSL quoddam onus imponit, inde in pluribus ministris eisdem libellis utentibus et, consequenter, claves eisdem RSA pro TLS et SSLv2 necessariis. Ut res deteriores faceret, ob bug OpenSSL, "Disable SSLv2" optionem in hac exsecutione populari SSL actu non laboravit.
Hoc fieri potuit per impetum crucis protocollo in TLS, nomine (Decrypting RSA cum obsoletis et eNcryption debilibus, decryptis RSA encryption obsoletis et debilitatis). Memini hoc non idem esse brevi impetu; oppugnator non indiget ut "homo in medio" agere neque clientem implicare non indiget sessionis incertae participare. Impugnatores solum sessionem incertam SSLv2 cum ipso ministro inchoant, infirma protocollo infestant et clavem ministri RSA privatam recuperabunt. Haec clavis etiam pro TLS nexus valet, et ex hoc puncto nulla securitatis moles TLS impediet quominus decipiatur.
Sed ut resiliant, oppugnatione opus est contra SSLv2, quod non solum specifica negotiatio, sed etiam clavis secretorum RSA servo tuo recuperare permittit. Etsi hoc propositum complexum est, investigatores omnem vulnerabilitatem eligere potuerunt quae post SSLv2 perfecte clausa erat. Tandem invenerunt optionem idoneam: oppugnationem Bleichenbacher, quam supra memoravimus, quamque sequenti articulo singillatim explicabimus. SSL et TLS ab hoc impetu tutantur, sed quaedam lineamenta incerti SSL, cum brevibus clavibus in cryptographia exportationis graduum coniuncti, fieri potuit. .
In tempore publicationis, 25% of the top site of Internet vulnerabilitate affecti sunt, et impetus modicis facultatibus etiam perniciosis soli hackers exerceri poterat. Clavis ministri RSA recuperans octo horas computationis et $440 requirebat, et SSLv2 ab obsoleto ad radioactivum abiit.
Exspecta, quid de corde?
Haec oppugnatio cryptographica non est in sensu supra descripto; Hoc quiddam est redundantia.
Sit scriptor ut intermissum
Incepimus cum quibusdam technicis fundamentalibus: violentia, interpolatio, inclinatio, transversio protocollo et praecomputatione. Tunc unam artem provectam inspeximus, fortasse praecipuam partem oppugnationum cryptographicarum recentiorum: impetum oraculi. Aliquantum temporis remansimus - et intelleximus non solum principium subiecta, sed etiam singulares technicas duas exsecutiones specificas: Vaudenay impetum in modum encryptionis CBC et Kelsey impetum in encryption protocolla pre-compressionis.
In gradibus et praecomputatione impetus recensendis, impetum LUDUS breviter delineavimus, qui utraque methodo utitur ut sites scopo descendentes ad infirmas claves ac deinde easdem clavium reuse. Ad proximum articulum, nos conservabimus Logjam impetum, qui clavem algorithmorum publicorum oppugnat.
Tria igitur exempla applicationis horum principiorum inspeximus. Primum, CRIMUM et POODLE: duo impetus qui oppugnatoris facultate nituntur ut arbitrariam plaintext iuxta scopum plaintext injicerent, deinde responsa ministri explorant ac tumOraculis methodologiam adhibens oppugnat, hac notitia sparsa utens, ex parte in textum recipiendum. CRIMUM iter Kelsey oppugnationis in SSL compressionem perrexit, cum POODLE variare impetum in CBC Vaudenay in eodem effectu usus est.
Nos deinde animum convertimus ad impetum crucis protocollo DEMOLITO, quod nexum cum servo disponit protocollo SSLv2 legato utens et deinde claves servientis secretas utens impetum Bleichenbacher recuperat. Singulae technicae huius impetus nunc perstrinximus; sicut Logjam, exspectandum erit donec bonam cognitionem cryptosystematis publici clavem habeamus eorumque vulnerabilitates.
In proximo articulo loquemur de aggressionibus provectis sicut in medio-medio, cryptanalysi differentiali et oppugnationibus natalibus. Velox populatio sumamus in impetus alvei latus, et deinde ad partem ioci: cryptosystematis publicas clavis.
Source: www.habr.com