ໃນເວລາທີ່ທ່ານໄດ້ຍິນຄໍາວ່າ "cryptography," ບາງຄົນຈື່ລະຫັດຜ່ານ WiFi ຂອງເຂົາເຈົ້າ, padlock ສີຂຽວຢູ່ຂ້າງທີ່ຢູ່ຂອງເວັບໄຊທ໌ favorite ຂອງເຂົາເຈົ້າ, ແລະມັນຍາກທີ່ຈະເຂົ້າໄປໃນອີເມວຂອງຄົນອື່ນ. ຄົນອື່ນຈື່ຈໍາຊຸດຂອງຊ່ອງໂຫວ່ໃນຊຸມປີມໍ່ໆມານີ້ດ້ວຍຕົວຫຍໍ້ບອກ (DROWN, FREAK, POODLE ...), ໂລໂກ້ທີ່ທັນສະໄຫມແລະຄໍາເຕືອນໃຫ້ປັບປຸງຕົວທ່ອງເວັບຂອງທ່ານຢ່າງຮີບດ່ວນ.

Cryptography ກວມເອົາມັນທັງຫມົດ, ແຕ່ ໂດຍເນື້ອແທ້ແລ້ວ ໃນອື່ນ. ຈຸດທີ່ມີແມ່ນມີເສັ້ນລະຫວ່າງງ່າຍດາຍແລະສະລັບສັບຊ້ອນແມ່ນ. ບາງສິ່ງບາງຢ່າງເຮັດງ່າຍ, ແຕ່ຍາກທີ່ຈະເອົາຄືນ, ເຊັ່ນ: ໄຂ່ແຕກ. ສິ່ງອື່ນແມ່ນເຮັດໄດ້ງ່າຍແຕ່ຍາກທີ່ຈະກັບຄືນມາເມື່ອມີສ່ວນນ້ອຍໆ, ທີ່ສໍາຄັນ, ຂາດຫາຍໄປ: ຕົວຢ່າງ, ເປີດປະຕູລັອກເມື່ອ "ສ່ວນທີ່ສໍາຄັນ" ແມ່ນກຸນແຈ. Cryptography ສຶກສາສະຖານະການເຫຼົ່ານີ້ແລະວິທີທີ່ພວກເຂົາສາມາດຖືກນໍາໃຊ້ໃນການປະຕິບັດ.

ໃນຊຸມປີມໍ່ໆມານີ້, ການລວບລວມການໂຈມຕີທາງລະຫັດລັບໄດ້ຫັນໄປສູ່ສວນສັດຂອງໂລໂກ້ທີ່ສົດໃສ, ເຕັມໄປດ້ວຍສູດຈາກເອກະສານວິທະຍາສາດ, ແລະເຮັດໃຫ້ເກີດຄວາມຮູ້ສຶກທີ່ມືດມົວໂດຍທົ່ວໄປວ່າທຸກສິ່ງທຸກຢ່າງຖືກທໍາລາຍ. ແຕ່ໃນຄວາມເປັນຈິງ, ການໂຈມຕີຈໍານວນຫຼາຍແມ່ນອີງໃສ່ຫຼັກການທົ່ວໄປຈໍານວນຫນ້ອຍ, ແລະຫນ້າທີ່ບໍ່ມີສິ້ນສຸດຂອງສູດມັກຈະຖືກຕົ້ມລົງໄປສູ່ແນວຄວາມຄິດທີ່ເຂົ້າໃຈງ່າຍ.

ໃນຊຸດຂອງບົດຄວາມນີ້, ພວກເຮົາຈະເບິ່ງປະເພດຕ່າງໆຂອງການໂຈມຕີ cryptographic, ໂດຍເນັ້ນໃສ່ຫຼັກການພື້ນຖານ. ໃນຂໍ້ກໍານົດທົ່ວໄປແລະບໍ່ແນ່ນອນໃນຄໍາສັ່ງນີ້, ແຕ່ພວກເຮົາຈະກວມເອົາດັ່ງຕໍ່ໄປນີ້:

ຍຸດທະສາດພື້ນຖານ: brute force, ການວິເຄາະຄວາມຖີ່, interpolation, downgrading ແລະ cross-protocols.
ຊ່ອງໂຫວ່ຂອງຍີ່ຫໍ້: FREAK, ອາຊະຍາກໍາ, POODLE, DROWN, Logjam.
ຍຸດທະສາດຂັ້ນສູງ: ການໂຈມຕີ oracle (ການໂຈມຕີ Vodenet, ການໂຈມຕີ Kelsey); ວິທີການຕອບສະຫນອງລະຫວ່າງກາງ, ການໂຈມຕີວັນເດືອນປີເກີດ, ຄວາມລໍາອຽງທາງສະຖິຕິ (ການວິເຄາະລະຫັດລັບທີ່ແຕກຕ່າງກັນ, ການວິເຄາະລະຫັດລັບ, ແລະອື່ນໆ).
ການໂຈມຕີຊ່ອງທາງຂ້າງ ແລະພີ່ນ້ອງໃກ້ຊິດຂອງພວກເຂົາ, ເຕັກນິກການວິເຄາະຄວາມລົ້ມເຫຼວ.
ການໂຈມຕີການເຂົ້າລະຫັດລັບສາທາລະນະ: ຮາກ cube, ອອກອາກາດ, ຂໍ້ຄວາມທີ່ກ່ຽວຂ້ອງ, ການໂຈມຕີ Coppersmith, Pohlig-Hellman algorithm, sieve ຕົວເລກ, ການໂຈມຕີ Wiener, ການໂຈມຕີ Bleichenbacher.

ບົດຄວາມສະເພາະນີ້ກວມເອົາເນື້ອໃນຂ້າງເທິງເຖິງການໂຈມຕີຂອງ Kelsey.

ຍຸດທະສາດພື້ນຖານ

ການໂຈມຕີຕໍ່ໄປນີ້ແມ່ນງ່າຍດາຍໃນຄວາມຫມາຍທີ່ພວກເຂົາສາມາດຖືກອະທິບາຍເກືອບຫມົດໂດຍບໍ່ມີລາຍລະອຽດດ້ານວິຊາການຫຼາຍ. ໃຫ້ອະທິບາຍແຕ່ລະປະເພດຂອງການໂຈມຕີໃນຄໍາສັບທີ່ງ່າຍດາຍທີ່ສຸດ, ໂດຍບໍ່ມີການເຂົ້າໄປໃນຕົວຢ່າງທີ່ຊັບຊ້ອນຫຼືກໍລະນີການນໍາໃຊ້ຂັ້ນສູງ.

ບາງສ່ວນຂອງການໂຈມຕີເຫຼົ່ານີ້ສ່ວນໃຫຍ່ໄດ້ກາຍເປັນລ້າສະໄຫມແລະບໍ່ໄດ້ຖືກນໍາໃຊ້ເປັນເວລາຫຼາຍປີ. ຄົນອື່ນແມ່ນຜູ້ອາຍຸເກົ່າທີ່ຍັງຄົງເປັນປະຈໍາກ່ຽວກັບຜູ້ພັດທະນາລະບົບ crypto ທີ່ບໍ່ສົງໃສໃນສະຕະວັດທີ 21. ຍຸກຂອງ cryptography ທີ່ທັນສະໄຫມສາມາດໄດ້ຮັບການພິຈາລະນາວ່າໄດ້ເລີ່ມຕົ້ນດ້ວຍການມາຮອດຂອງ IBM DES, cipher ທໍາອິດທີ່ທົນທານຕໍ່ການໂຈມຕີທັງຫມົດໃນບັນຊີລາຍຊື່ນີ້.

ຜົນບັງຄັບໃຊ້ brute ງ່າຍດາຍ

ໂຄງການເຂົ້າລະຫັດປະກອບດ້ວຍສອງພາກສ່ວນ: 1) ການທໍາງານຂອງການເຂົ້າລະຫັດ, ທີ່ໃຊ້ຂໍ້ຄວາມ (plaintext) ລວມກັບກະແຈ, ແລະຫຼັງຈາກນັ້ນສ້າງຂໍ້ຄວາມເຂົ້າລະຫັດ - ciphertext ; 2) ຟັງຊັນການຖອດລະຫັດທີ່ເອົາລະຫັດລັບ ແລະລະຫັດ ແລະຜະລິດຂໍ້ຄວາມທໍາມະດາ. ທັງການເຂົ້າລະຫັດແລະການຖອດລະຫັດຕ້ອງງ່າຍໃນການຄຳນວນດ້ວຍກະແຈ—ແລະຍາກທີ່ຈະຄຳນວນໄດ້ໂດຍບໍ່ມີມັນ.

ໃຫ້ສົມມຸດວ່າພວກເຮົາເຫັນ ciphertext ແລະພະຍາຍາມຖອດລະຫັດມັນໂດຍບໍ່ມີຂໍ້ມູນເພີ່ມເຕີມ (ອັນນີ້ເອີ້ນວ່າການໂຈມຕີ ciphertext ເທົ່ານັ້ນ). ຖ້າຫາກວ່າພວກເຮົາ somehow magically ຊອກຫາທີ່ສໍາຄັນທີ່ຖືກຕ້ອງ, ພວກເຮົາສາມາດກວດສອບໄດ້ຢ່າງງ່າຍດາຍວ່າມັນຖືກຕ້ອງແທ້ຖ້າຫາກວ່າຜົນໄດ້ຮັບແມ່ນຂໍ້ຄວາມທີ່ສົມເຫດສົມຜົນ.

ໃຫ້ສັງເກດວ່າມີສອງສົມມຸດຕິຖານ implicit ຢູ່ທີ່ນີ້. ທໍາອິດ, ພວກເຮົາຮູ້ວິທີການປະຕິບັດການຖອດລະຫັດ, ນັ້ນແມ່ນ, ວິທີການ cryptosystem ເຮັດວຽກ. ນີ້ແມ່ນສົມມຸດຕິຖານມາດຕະຖານໃນເວລາທີ່ສົນທະນາກ່ຽວກັບການເຂົ້າລະຫັດລັບ. ການເຊື່ອງລາຍລະອຽດການຈັດຕັ້ງປະຕິບັດຂອງລະຫັດລັບຈາກຜູ້ໂຈມຕີອາດເບິ່ງຄືວ່າເປັນມາດຕະການຄວາມປອດໄພເພີ່ມເຕີມ, ແຕ່ເມື່ອຜູ້ໂຈມຕີຮູ້ລາຍລະອຽດເຫຼົ່ານີ້, ຄວາມປອດໄພເພີ່ມເຕີມນີ້ຈະຫາຍໄປຢ່າງງຽບໆ ແລະ ປ່ຽນແປງບໍ່ໄດ້. ນັ້ນຄືແນວໃດ ຫຼັກການຂອງ Kerchhoffs: ລະບົບທີ່ຕົກຢູ່ໃນມືຂອງສັດຕູບໍ່ຄວນເຮັດໃຫ້ເກີດຄວາມບໍ່ສະດວກ.

ອັນທີສອງ, ພວກເຮົາສົມມຸດວ່າກະແຈທີ່ຖືກຕ້ອງແມ່ນກະແຈອັນດຽວທີ່ຈະນໍາໄປສູ່ການຖອດລະຫັດທີ່ສົມເຫດສົມຜົນ. ນີ້ຍັງເປັນການສົມມຸດຕິຖານທີ່ສົມເຫດສົມຜົນ; ມັນພໍໃຈຖ້າລະຫັດລັບຍາວກວ່າຄີ ແລະສາມາດອ່ານໄດ້. ນີ້ແມ່ນປົກກະຕິແລ້ວສິ່ງທີ່ເກີດຂື້ນໃນໂລກທີ່ແທ້ຈິງ, ຍົກເວັ້ນ ກະແຈທີ່ບໍ່ເປັນປະໂຫຍດອັນໃຫຍ່ຫຼວງ ຫຼື shenanigans ອື່ນໆທີ່ຖືກປະໄວ້ທີ່ດີທີ່ສຸດ (ຖ້າທ່ານບໍ່ມັກການຍົກເລີກການອະທິບາຍຂອງພວກເຮົາ, ກະລຸນາເບິ່ງ Theorem 3.8 ທີ່ນີ້).

ຕາມຂ້າງເທິງ, ຍຸດທະສາດທີ່ເກີດຂື້ນ: ກວດເບິ່ງທຸກໆກະແຈທີ່ເປັນໄປໄດ້. ອັນນີ້ເອີ້ນວ່າຜົນບັງຄັບໃຊ້ brute, ແລະການໂຈມຕີດັ່ງກ່າວແມ່ນຮັບປະກັນທີ່ຈະເຮັດວຽກຕໍ່ກັບທຸກ ciphers ການປະຕິບັດ - ໃນທີ່ສຸດ. ສໍາລັບຕົວຢ່າງ, brute force ແມ່ນພຽງພໍທີ່ຈະ hack ເຊຊາ ລະຫັດລັບ, ເປັນລະຫັດລັບວັດຖຸບູຮານທີ່ກະແຈແມ່ນຕົວອັກສອນຫນຶ່ງຂອງຕົວຫນັງສື, ຫມາຍຄວາມວ່າພຽງແຕ່ຫຼາຍກວ່າ 20 ກະແຈທີ່ເປັນໄປໄດ້.

ແຕ່ຫນ້າເສຍດາຍສໍາລັບນັກ cryptanalyst, ການເພີ່ມຂະຫນາດທີ່ສໍາຄັນແມ່ນການປ້ອງກັນທີ່ດີຕໍ່ຜົນບັງຄັບໃຊ້ brute. ເມື່ອຂະໜາດກະແຈເພີ່ມຂຶ້ນ, ຈໍານວນກະແຈທີ່ເປັນໄປໄດ້ຈະເພີ່ມຂຶ້ນເປັນເລກກຳລັງ. ດ້ວຍຂະຫນາດກະແຈທີ່ທັນສະ ໄໝ, ຜົນບັງຄັບໃຊ້ brute ງ່າຍໆແມ່ນບໍ່ສາມາດປະຕິບັດໄດ້ຢ່າງສົມບູນ. ເພື່ອເຂົ້າໃຈສິ່ງທີ່ພວກເຮົາຫມາຍຄວາມວ່າ, ໃຫ້ເອົາ supercomputer ທີ່ໄວທີ່ສຸດທີ່ຮູ້ຈັກໃນກາງປີ 2019: ປະຊຸມສຸດຍອດ ຈາກ IBM, ມີການປະຕິບັດສູງສຸດປະມານ 1017 ການດໍາເນີນງານຕໍ່ວິນາທີ. ໃນມື້ນີ້, ຄວາມຍາວຂອງຄີປົກກະຕິແມ່ນ 128 bits, ຊຶ່ງຫມາຍຄວາມວ່າ 2128 ປະສົມປະສານທີ່ເປັນໄປໄດ້. ເພື່ອຄົ້ນຫາກະແຈທັງໝົດ, ຄອມພິວເຕີຊຸບເປີຄອມພີວເຕີ Summit ຈະຕ້ອງໃຊ້ເວລາປະມານ 7800 ເທົ່າຂອງອາຍຸຂອງຈັກກະວານ.

ການບັງຄັບໃຊ້ສັດຮ້າຍຄວນຖືວ່າເປັນຄວາມຢາກຮູ້ທາງປະຫວັດສາດບໍ? ບໍ່ແມ່ນທັງຫມົດ: ມັນເປັນສ່ວນປະກອບທີ່ຈໍາເປັນໃນປື້ມບັນທຶກການເຂົ້າລະຫັດລັບ. ບໍ່ຄ່ອຍມີລະຫັດລັບທີ່ອ່ອນເພຍຫຼາຍເທົ່າທີ່ເຂົາເຈົ້າສາມາດຖືກທຳລາຍໄດ້ໂດຍການບຸກໂຈມຕີທີ່ສະຫຼາດ, ໂດຍບໍ່ມີການໃຊ້ກຳລັງແຮງເຖິງລະດັບໜຶ່ງຫຼືອັນອື່ນ. ແຮກທີ່ປະສົບຜົນສຳເລັດຫຼາຍຄົນໃຊ້ວິທີສູດການຄິດໄລ່ເພື່ອເຮັດໃຫ້ລະຫັດລັບຂອງເປົ້າໝາຍອ່ອນລົງກ່ອນ, ແລະຫຼັງຈາກນັ້ນທຳການໂຈມຕີດ້ວຍກຳລັງທີ່ໂຫດຮ້າຍ.

ການວິເຄາະຄວາມຖີ່

ບົດເລື່ອງສ່ວນຫຼາຍແມ່ນບໍ່ມີຄໍາເວົ້າ. ຕົວຢ່າງ, ໃນບົດເລື່ອງພາສາອັງກິດມີຫຼາຍຕົວອັກສອນ 'e' ແລະບົດຄວາມ 'the'; ໃນໄຟລ໌ໄບນາຣີມີຫຼາຍ bytes null ເປັນ padding ລະຫວ່າງຕ່ອນຂອງຂໍ້ມູນ. ການວິເຄາະຄວາມຖີ່ແມ່ນການໂຈມຕີໃດໆທີ່ໃຊ້ປະໂຫຍດຈາກຄວາມເປັນຈິງນີ້.

ຕົວຢ່າງ canonical ຂອງ cipher ທີ່ມີຄວາມສ່ຽງຕໍ່ການໂຈມຕີນີ້ແມ່ນ cipher ທົດແທນທີ່ງ່າຍດາຍ. ໃນ cipher ນີ້, ກຸນແຈແມ່ນຕາຕະລາງທີ່ມີການປ່ຽນແທນຕົວອັກສອນທັງຫມົດ. ຕົວຢ່າງ, 'g' ຖືກແທນທີ່ດ້ວຍ 'h', 'o' ຖືກແທນທີ່ດ້ວຍ j, ດັ່ງນັ້ນຄໍາວ່າ 'go' ກາຍເປັນ 'hj'. cipher ນີ້ແມ່ນຍາກທີ່ຈະບັງຄັບໃຊ້ເພາະວ່າມີຕາຕະລາງການຊອກຫາທີ່ເປັນໄປໄດ້ຫຼາຍ. ຖ້າທ່ານສົນໃຈໃນຄະນິດສາດ, ຄວາມຍາວກະແຈທີ່ມີປະສິດທິພາບແມ່ນປະມານ 88 bits: ນັ້ນແມ່ນ
. ແຕ່ການວິເຄາະຄວາມຖີ່ມັກຈະເຮັດໃຫ້ວຽກເຮັດໄດ້ໄວ.

ພິຈາລະນາ ciphertext ດັ່ງຕໍ່ໄປນີ້ປະມວນຜົນດ້ວຍ cipher ການທົດແທນງ່າຍດາຍ:

XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO

ນັບຕັ້ງແຕ່ Y ເກີດຂື້ນເລື້ອຍໆ, ລວມທັງໃນຕອນທ້າຍຂອງຄໍາສັບຕ່າງໆ, ພວກເຮົາສາມາດສົມມຸດຕິຖານວ່ານີ້ແມ່ນຈົດຫມາຍ e:

XDeLe Ale UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN Ale FLEAUX GR WN OGQL ZDWBGEGZDO

ຄູ່ນ່ຶ XD ຊ້ໍາໃນຕອນຕົ້ນຂອງຫຼາຍຄໍາ. ໂດຍສະເພາະ, ການປະສົມປະສານ XDeLe ຊີ້ໃຫ້ເຫັນຢ່າງຊັດເຈນຄໍາສັບ these ຫຼື there, ດັ່ງນັ້ນໃຫ້ພວກເຮົາສືບຕໍ່:

theLe Ale UGLe thWNKE WN heAJeN ANF eALth DGLAtWG thAN Ale FLEAUt GR WN OGQL ZDWBGEGZDO

ໃຫ້ພວກເຮົາສົມມຸດຕື່ມອີກວ່າ L ກົງກັບ r, A - a ແລະອື່ນໆ. ມັນອາດຈະໃຊ້ເວລາສອງສາມຄວາມພະຍາຍາມ, ແຕ່ເມື່ອປຽບທຽບກັບການໂຈມຕີແບບເຕັມທີ່, ການໂຈມຕີນີ້ຈະຟື້ນຟູຂໍ້ຄວາມຕົ້ນສະບັບພາຍໃນບໍ່ດົນ:

ມີສິ່ງທີ່ຢູ່ໃນສະຫວັນແລະແຜ່ນດິນໂລກຫຼາຍກ່ວາທີ່ໄດ້ຝັນໃນປັດຊະຍາຂອງທ່ານ

ສໍາລັບບາງຄົນ, ການແກ້ໄຂ "cryptograms" ດັ່ງກ່າວເປັນວຽກອະດິເລກທີ່ຫນ້າຕື່ນເຕັ້ນ.

ຄວາມຄິດຂອງການວິເຄາະຄວາມຖີ່ແມ່ນພື້ນຖານຫຼາຍກ່ວາມັນເບິ່ງຄືວ່າຢູ່ glance ທໍາອິດ. ແລະມັນໃຊ້ກັບລະຫັດລັບທີ່ສັບສົນຫຼາຍ. ຕະຫຼອດປະຫວັດສາດ, ການອອກແບບລະຫັດລັບຕ່າງໆໄດ້ພະຍາຍາມຕ້ານການໂຈມຕີດັ່ງກ່າວໂດຍໃຊ້ "ການທົດແທນ polyalphabetic". ໃນທີ່ນີ້, ໃນລະຫວ່າງການເຂົ້າລະຫັດ, ຕາຕະລາງການທົດແທນຕົວອັກສອນໄດ້ຖືກດັດແປງໃນວິທີການທີ່ສັບສົນແຕ່ສາມາດຄາດເດົາໄດ້ທີ່ຂຶ້ນກັບກຸນແຈ. ທັງຫມົດຂອງ ciphers ເຫຼົ່ານີ້ໄດ້ຖືກພິຈາລະນາຍາກທີ່ຈະທໍາລາຍໃນເວລາດຽວ; ແລະການວິເຄາະຄວາມຖີ່ເລັກນ້ອຍ ໃນທີ່ສຸດກໍໄດ້ເອົາຊະນະພວກມັນທັງໝົດ.

cipher polyalphabetic ທະເຍີທະຍານທີ່ສຸດໃນປະຫວັດສາດ, ແລະອາດຈະເປັນທີ່ມີຊື່ສຽງທີ່ສຸດ, ແມ່ນ enigma cipher ຂອງສົງຄາມໂລກຄັ້ງທີສອງ. ມັນຂ້ອນຂ້າງສັບສົນເມື່ອທຽບໃສ່ກັບລຸ້ນກ່ອນ, ແຕ່ຫຼັງຈາກເຮັດວຽກຫນັກຫຼາຍ, ນັກວິເຄາະລະຫັດລັບອັງກິດໄດ້ແຕກມັນໂດຍໃຊ້ການວິເຄາະຄວາມຖີ່. ແນ່ນອນ, ພວກເຂົາບໍ່ສາມາດພັດທະນາການໂຈມຕີທີ່ສະຫງ່າງາມຄືກັບທີ່ສະແດງໃຫ້ເຫັນຂ້າງເທິງ; ພວກເຂົາຕ້ອງປຽບທຽບຄູ່ທີ່ຮູ້ຈັກຂອງ plaintext ແລະ ciphertext (ອັນທີ່ເອີ້ນວ່າ "ການໂຈມຕີແບບທໍາມະດາ"), ເຖິງແມ່ນວ່າຈະກະຕຸ້ນຜູ້ໃຊ້ Enigma ໃຫ້ເຂົ້າລະຫັດຂໍ້ຄວາມບາງຢ່າງແລະວິເຄາະຜົນໄດ້ຮັບ ( "ການໂຈມຕີແບບທໍາມະດາທີ່ເລືອກ"). ແຕ່ນີ້ບໍ່ໄດ້ເຮັດໃຫ້ຊະຕາກໍາຂອງກອງທັບ enemy ໄດ້ defeated ແລະ sunk submarines ໄດ້ງ່າຍຂຶ້ນ.

ຫຼັງຈາກໄຊຊະນະນີ້, ການວິເຄາະຄວາມຖີ່ໄດ້ຫາຍໄປຈາກປະຫວັດສາດຂອງ cryptanalysis. Ciphers ໃນຍຸກດິຈິຕອນທີ່ທັນສະໄຫມຖືກອອກແບບມາເພື່ອເຮັດວຽກກັບບິດ, ບໍ່ແມ່ນຕົວອັກສອນ. ສິ່ງທີ່ ສຳ ຄັນກວ່ານັ້ນ, ລະຫັດລັບເຫຼົ່ານີ້ຖືກອອກແບບດ້ວຍຄວາມເຂົ້າໃຈທີ່ມືດມົວຂອງສິ່ງທີ່ຕໍ່ມາເອີ້ນວ່າ ກົດໝາຍຂອງ Schneier: ທຸກຄົນສາມາດສ້າງລະບົບການເຂົ້າລະຫັດທີ່ເຂົາເຈົ້າເອງບໍ່ສາມາດທໍາລາຍໄດ້. ມັນບໍ່ພຽງພໍສໍາລັບລະບົບການເຂົ້າລະຫັດ ເບິ່ງຄືວ່າ ຍາກ: ເພື່ອພິສູດມູນຄ່າຂອງມັນ, ມັນຕ້ອງຜ່ານການທົບທວນຄວາມປອດໄພທີ່ບໍ່ມີຄວາມເມດຕາໂດຍນັກ cryptanalyst ຫຼາຍຄົນທີ່ຈະເຮັດສຸດຄວາມສາມາດຂອງເຂົາເຈົ້າເພື່ອ crack the cipher.

ການຄິດໄລ່ເບື້ອງຕົ້ນ

ໃຫ້ເອົາເມືອງສົມມຸດຖານຂອງ Precom Heights, ປະຊາກອນ 200. ແຕ່ລະບ້ານໃນເມືອງມີຂອງມີຄ່າສະເລ່ຍ 000 ໂດລາ, ແຕ່ບໍ່ມີຄ່າຫຼາຍກວ່າ 30 ໂດລາ. ຕະຫຼາດຄວາມປອດໄພໃນ Precom ແມ່ນຜູກຂາດໂດຍ ACME Industries, ເຊິ່ງຜະລິດລູກກະແຈປະຕູ Coyote™ ທີ່ເປັນນິທານ. ອີງຕາມການວິເຄາະຂອງຜູ້ຊ່ຽວຊານ, lock ຫ້ອງ Coyote ສາມາດຖືກແຍກພຽງແຕ່ໂດຍເຄື່ອງສົມມຸດຕິຖານທີ່ຊັບຊ້ອນຫຼາຍ, ການສ້າງທີ່ຈະຕ້ອງການປະມານ 000 ປີແລະການລົງທຶນ $ 50. ເມືອງປອດໄພບໍ?

ສ່ວນຫຼາຍອາດຈະບໍ່ມີ. ໃນທີ່ສຸດ, ຄະດີອາຍາທີ່ມີຄວາມທະເຍີທະຍານພໍສົມຄວນຈະປາກົດ. ລາວຈະໃຫ້ເຫດຜົນດັ່ງນີ້: “ແມ່ນ, ຂ້ອຍຈະຕ້ອງເສຍຄ່າໃຊ້ຈ່າຍລ່ວງໜ້າອັນໃຫຍ່ຫຼວງ. ຫ້າປີຂອງການລໍຖ້າຄົນເຈັບ, ແລະ $50. ແຕ່ເມື່ອຂ້ອຍເຮັດແລ້ວ, ຂ້ອຍຈະເຂົ້າເຖິງ. ຄວາມຮັ່ງມີທັງໝົດຂອງເມືອງນີ້. ຖ້າຂ້ອຍຫຼິ້ນບັດຂອງຂ້ອຍຖືກຕ້ອງ, ການລົງທຶນນີ້ຈະຈ່າຍໃຫ້ຕົວເອງຫຼາຍຄັ້ງ.”

ດຽວກັນນີ້ແມ່ນຄວາມຈິງໃນການເຂົ້າລະຫັດລັບ. ການໂຈມຕີຕໍ່ກັບລະຫັດລັບສະເພາະແມ່ນຂຶ້ນກັບການວິເຄາະຄ່າໃຊ້ຈ່າຍ-ຜົນປະໂຫຍດທີ່ບໍ່ມີປະໂຫຍດ. ຖ້າອັດຕາສ່ວນແມ່ນເອື້ອອໍານວຍ, ການໂຈມຕີຈະບໍ່ເກີດຂຶ້ນ. ແຕ່ການໂຈມຕີທີ່ເຮັດວຽກກັບຜູ້ເຄາະຮ້າຍທີ່ມີທ່າແຮງຫຼາຍໃນເວລາດຽວກັນເກືອບຈະຫມົດໄປ, ໃນກໍລະນີນີ້ການປະຕິບັດການອອກແບບທີ່ດີທີ່ສຸດແມ່ນຖືວ່າພວກເຂົາເລີ່ມຕົ້ນຈາກມື້ຫນຶ່ງ. ພວກເຮົາມີສະບັບພາສາ cryptographic ຂອງກົດຫມາຍ Murphy: "ສິ່ງໃດແດ່ທີ່ສາມາດທໍາລາຍລະບົບໄດ້ຢ່າງແທ້ຈິງຈະທໍາລາຍລະບົບ."

ຕົວຢ່າງທີ່ງ່າຍດາຍທີ່ສຸດຂອງລະບົບ crypto ທີ່ມີຄວາມສ່ຽງຕໍ່ການໂຈມຕີ precomputation ແມ່ນລະຫັດລັບແບບຄົງທີ່. ນີ້ແມ່ນກໍລະນີທີ່ມີ ລະຫັດລັບຂອງ Caesar, ເຊິ່ງພຽງແຕ່ປ່ຽນແຕ່ລະຕົວຫນັງສືຂອງຕົວຫນັງສືສາມຕົວໄປທາງຫນ້າ (ຕາຕະລາງແມ່ນ looped, ດັ່ງນັ້ນຕົວອັກສອນສຸດທ້າຍໃນຕົວອັກສອນໄດ້ຖືກເຂົ້າລະຫັດທີສາມ). ອີກເທື່ອ ໜຶ່ງ ຫຼັກການ Kerchhoffs ເຂົ້າມາມີບົດບາດ: ເມື່ອລະບົບຖືກ hacked, ມັນຖືກແຮັກຕະຫຼອດໄປ.

ແນວຄວາມຄິດແມ່ນງ່າຍດາຍ. ເຖິງແມ່ນວ່າຜູ້ພັດທະນາລະບົບ crypto ຈົວຍັງອາດຈະຮັບຮູ້ການຂົ່ມຂູ່ແລະກະກຽມຕາມຄວາມເຫມາະສົມ. ຊອກຫາຢູ່ໃນວິວັດທະນາຂອງການເຂົ້າລະຫັດລັບ, ການໂຈມຕີດັ່ງກ່າວແມ່ນບໍ່ເຫມາະສົມສໍາລັບການເຂົ້າລະຫັດລັບສ່ວນໃຫຍ່, ຈາກສະບັບປັບປຸງທໍາອິດຂອງ Caesar cipher ຈົນກ່ວາການຫຼຸດລົງຂອງລະຫັດ polyalphabetic. ການໂຈມຕີດັ່ງກ່າວພຽງແຕ່ກັບຄືນມາດ້ວຍການມາເຖິງຂອງຍຸກທີ່ທັນສະໄຫມຂອງ cryptography.

ການກັບຄືນນີ້ແມ່ນຍ້ອນສອງປັດໃຈ. ກ່ອນອື່ນ ໝົດ, ລະບົບ crypto ທີ່ສັບສົນພຽງພໍສຸດທ້າຍໄດ້ປະກົດຕົວ, ບ່ອນທີ່ຄວາມເປັນໄປໄດ້ຂອງການຂູດຮີດຫຼັງຈາກການ hack ແມ່ນບໍ່ຈະແຈ້ງ. ອັນທີສອງ, ການເຂົ້າລະຫັດລັບໄດ້ແຜ່ຂະຫຍາຍຫຼາຍຈົນຄົນຈຳນວນຫຼາຍລ້ານຄົນໄດ້ຕັດສິນໃຈໃນແຕ່ລະມື້ກ່ຽວກັບບ່ອນທີ່ຈະໃຊ້ການເຂົ້າລະຫັດລັບຄືນໃໝ່. ມັນໃຊ້ເວລາບາງເວລາກ່ອນທີ່ຜູ້ຊ່ຽວຊານຈະຮັບຮູ້ຄວາມສ່ຽງແລະປຸກປຸກ.

ຈື່ຈໍາການໂຈມຕີ precomputation: ໃນຕອນທ້າຍຂອງບົດຄວາມພວກເຮົາຈະເບິ່ງສອງຕົວຢ່າງ cryptographic ຊີວິດຈິງທີ່ມັນມີບົດບາດສໍາຄັນ.

ການແຊກແຊງ

ນີ້ແມ່ນນັກສືບທີ່ມີຊື່ສຽງ Sherlock Holmes, ປະຕິບັດການໂຈມຕີ interpolation ກ່ຽວກັບທ່ານດຣ Watson ທີ່ໂຊກຮ້າຍ:

ຂ້ອຍເດົາທັນທີວ່າເຈົ້າມາຈາກອັຟການິສຖານ... ຄວາມຄິດຂອງຂ້ອຍມີດັ່ງນີ້: “ຊາຍຄົນນີ້ເປັນນາຍໝໍຕາມປະເພດ, ແຕ່ລາວມີທະຫານ. ດັ່ງນັ້ນ, ທ່ານຫມໍທະຫານ. ລາວຫາກໍ່ມາຈາກເຂດຮ້ອນ - ໃບຫນ້າຂອງລາວແມ່ນຊ້ໍາ, ແຕ່ນີ້ບໍ່ແມ່ນຮົ່ມທໍາມະຊາດຂອງຜິວຫນັງຂອງລາວ, ເພາະວ່າຂໍ້ມືຂອງລາວມີສີຂາວຫຼາຍ. ໃບຫນ້າແມ່ນ haggard - ແນ່ນອນ, ລາວໄດ້ຮັບຄວາມທຸກທໍລະມານຫຼາຍແລະເຈັບປ່ວຍ. ລາວໄດ້ຮັບບາດເຈັບຢູ່ໃນມືຊ້າຍຂອງລາວ - ລາວຖືມັນບໍ່ເຄື່ອນທີ່ແລະເລັກນ້ອຍຜິດທໍາມະຊາດ. ທ່ານໝໍທະຫານອັງກິດສາມາດທົນກັບຄວາມລຳບາກ ແລະໄດ້ຮັບບາດເຈັບຢູ່ບ່ອນໃດ? ແນ່ນອນ, ໃນອັຟການິສຖານ." ລົດໄຟທັງໝົດຂອງຄວາມຄິດບໍ່ໄດ້ໃຊ້ເວລາຈັກວິນາທີ. ແລະດັ່ງນັ້ນຂ້າພະເຈົ້າໄດ້ເວົ້າວ່າທ່ານມາຈາກອັຟການິສຖານ, ແລະທ່ານໄດ້ແປກໃຈ.

Holmes ສາມາດສະກັດຂໍ້ມູນພຽງເລັກນ້ອຍຫຼາຍຈາກແຕ່ລະຫຼັກຖານສ່ວນບຸກຄົນ. ລາວພຽງແຕ່ສາມາດບັນລຸການສະຫລຸບຂອງລາວໂດຍການພິຈາລະນາພວກມັນທັງຫມົດຮ່ວມກັນ. ການໂຈມຕີ interpolation ເຮັດວຽກຄ້າຍຄືກັນໂດຍການກວດເບິ່ງຄູ່ plaintext ແລະ ciphertext ທີ່ຮູ້ຈັກທີ່ເປັນຜົນມາຈາກລະຫັດດຽວກັນ. ຈາກແຕ່ລະຄູ່, ການສັງເກດການຂອງບຸກຄົນໄດ້ຖືກສະກັດອອກທີ່ອະນຸຍາດໃຫ້ມີການສະຫລຸບທົ່ວໄປກ່ຽວກັບກຸນແຈທີ່ຈະແຕ້ມ. ບົດສະຫຼຸບທັງຫມົດເຫຼົ່ານີ້ແມ່ນບໍ່ຊັດເຈນແລະເບິ່ງຄືວ່າບໍ່ມີປະໂຍດຈົນກ່ວາພວກເຂົາບັນລຸເຖິງມະຫາຊົນທີ່ສໍາຄັນແລະນໍາໄປສູ່ການສະຫລຸບທີ່ເປັນໄປໄດ້ເທົ່ານັ້ນ: ບໍ່ວ່າມັນຈະເປັນເລື່ອງທີ່ຫນ້າປະຫລາດໃຈ, ມັນຕ້ອງເປັນຄວາມຈິງ. ຫຼັງຈາກນີ້, ລະຫັດຈະຖືກເປີດເຜີຍ, ຫຼືຂະບວນການຖອດລະຫັດຖືກປັບປຸງໃຫມ່ທີ່ມັນສາມາດເຮັດຊ້ໍາໄດ້.

ຂໍໃຫ້ເຮົາສະແດງໃຫ້ເຫັນເປັນຕົວຢ່າງທີ່ງ່າຍດາຍວິທີການ interpolation ເຮັດວຽກ. ໃຫ້ເວົ້າວ່າພວກເຮົາຕ້ອງການອ່ານ diary ສ່ວນຕົວຂອງສັດຕູຂອງພວກເຮົາ, Bob. ລາວເຂົ້າລະຫັດທຸກຕົວເລກໃນ diary ຂອງລາວໂດຍໃຊ້ລະບົບ crypto ງ່າຍໆທີ່ລາວໄດ້ຮຽນຮູ້ຈາກການໂຄສະນາໃນວາລະສານ "A Mock of Cryptography." ລະບົບເຮັດວຽກແບບນີ້: Bob ເລືອກສອງຕົວເລກທີ່ລາວມັກ: и . ຈາກນີ້ໄປ, ເພື່ອເຂົ້າລະຫັດເລກໃດນຶ່ງ , ມັນຄິດໄລ່ . ຕົວຢ່າງ, ຖ້າ Bob ເລືອກ и , ຫຼັງຈາກນັ້ນຈໍານວນ ຈະຖືກເຂົ້າລະຫັດເປັນ .

ໃຫ້ເວົ້າວ່າໃນວັນທີ 28 ເດືອນທັນວາພວກເຮົາສັງເກດເຫັນວ່າ Bob ກໍາລັງຂູດບາງສິ່ງບາງຢ່າງຢູ່ໃນໄດອາຣີຂອງລາວ. ເມື່ອລາວຈົບແລ້ວ, ພວກເຮົາຈະເອົາມັນມາຢ່າງງຽບໆ ແລະເບິ່ງລາຍການສຸດທ້າຍ:

ວັນທີ່: 235/520

ທີ່ຮັກແພງ Diary,

ມື້ນີ້ແມ່ນມື້ທີ່ດີ. ຜ່ານ 64 ມື້ນີ້ຂ້ອຍມີນັດກັບ Alisa, ຜູ້ທີ່ອາໃສຢູ່ໃນອາພາດເມັນ 843. ຂ້າພະເຈົ້າຄິດວ່ານາງອາດຈະເປັນ 26!

ເນື່ອງຈາກພວກເຮົາຈິງຈັງຫຼາຍກ່ຽວກັບການຕິດຕາມ Bob ໃນວັນທີຂອງລາວ (ພວກເຮົາທັງສອງມີອາຍຸ 15 ປີໃນສະຖານະການນີ້), ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະຮູ້ວັນທີເຊັ່ນດຽວກັນກັບທີ່ຢູ່ຂອງ Alice. ໂຊກດີ, ພວກເຮົາສັງເກດເຫັນວ່າລະບົບ crypto ຂອງ Bob ແມ່ນມີຄວາມສ່ຽງຕໍ່ການໂຈມຕີ interpolation. ພວກເຮົາອາດຈະບໍ່ຮູ້ и , ແຕ່ພວກເຮົາຮູ້ວ່າວັນທີຂອງມື້ນີ້, ດັ່ງນັ້ນພວກເຮົາມີສອງຄູ່ plaintext-ciphertext. ຄື, ພວກເຮົາຮູ້ວ່າ ເຂົ້າລະຫັດໃນ ແລະ - ໃນ . ນີ້ແມ່ນສິ່ງທີ່ພວກເຮົາຈະຂຽນລົງ:

ນັບຕັ້ງແຕ່ພວກເຮົາມີອາຍຸ 15 ປີ, ພວກເຮົາຮູ້ແລ້ວກ່ຽວກັບລະບົບຂອງສົມຜົນສອງຕົວທີ່ມີສອງບໍ່ຮູ້, ເຊິ່ງໃນສະຖານະການນີ້ພຽງພໍທີ່ຈະຊອກຫາ. и ໂດຍບໍ່ມີບັນຫາໃດໆ. ແຕ່ລະຄູ່ plaintext-ciphertext ວາງຂໍ້ຈໍາກັດກ່ຽວກັບກະແຈ Bob, ແລະສອງຂໍ້ຈໍາກັດຮ່ວມກັນແມ່ນພຽງພໍທີ່ຈະຟື້ນຕົວສໍາຄັນຢ່າງສົມບູນ. ໃນຕົວຢ່າງຂອງພວກເຮົາຄໍາຕອບແມ່ນ и (ຢູ່ , ດັ່ງນັ້ນ 26 ໃນ diary ກົງກັບຄໍາວ່າ 'ຫນຶ່ງ', ນັ້ນແມ່ນ, "ອັນດຽວກັນ" - ປະມານ. ເລນ).

ການໂຈມຕີ Interpolation ແມ່ນ, ແນ່ນອນ, ບໍ່ຈໍາກັດພຽງແຕ່ຕົວຢ່າງທີ່ງ່າຍດາຍດັ່ງກ່າວ. ທຸກໆລະບົບ crypto ທີ່ຫຼຸດລົງເປັນວັດຖຸທາງຄະນິດສາດທີ່ເຂົ້າໃຈດີແລະບັນຊີລາຍຊື່ຂອງຕົວກໍານົດການມີຄວາມສ່ຽງຕໍ່ການໂຈມຕີ interpolation - ຈຸດປະສົງທີ່ເຂົ້າໃຈໄດ້ຫຼາຍ, ຄວາມສ່ຽງສູງ.

ຜູ້ມາໃຫມ່ມັກຈະຈົ່ມວ່າການເຂົ້າລະຫັດລັບແມ່ນ "ສິນລະປະຂອງການອອກແບບສິ່ງທີ່ຫນ້າກຽດຊັງເທົ່າທີ່ເປັນໄປໄດ້." ການໂຈມຕີ interpolation ແມ່ນອາດຈະເປັນການຕໍານິຕິຕຽນສ່ວນໃຫຍ່. Bob ສາມາດໃຊ້ການອອກແບບຄະນິດສາດທີ່ສະຫງ່າງາມຫຼືຮັກສາວັນທີຂອງລາວກັບ Alice ສ່ວນຕົວ - ແຕ່ອະນິຈາ, ໂດຍທົ່ວໄປແລ້ວທ່ານບໍ່ສາມາດມີມັນທັງສອງທາງ. ອັນນີ້ຈະກາຍເປັນທີ່ຊັດເຈນຫຼາຍເມື່ອພວກເຮົາມາຮອດຫົວຂໍ້ຂອງການເຂົ້າລະຫັດລັບສາທາລະນະໃນທີ່ສຸດ.

ຂ້າມໂປຣໂຕຄໍ/ດາວເກຣດ

ໃນ Now You See Me (2013) , ກຸ່ມຂອງ illusionists ພະຍາຍາມ swindle ການປະກັນໄພສໍ້ລາດບັງຫຼວງຂອງ magnate Arthur Tressler ອອກຈາກໂຊກທັງຫມົດຂອງລາວ. ເພື່ອເຂົ້າເຖິງບັນຊີທະນາຄານຂອງ Arthur, ຜູ້ຫຼອກລວງຕ້ອງໃຫ້ຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານຂອງລາວຫຼືບັງຄັບໃຫ້ລາວປາກົດຕົວຢູ່ໃນທະນາຄານແລະມີສ່ວນຮ່ວມໃນໂຄງການ.

ທັງສອງທາງເລືອກແມ່ນມີຄວາມຫຍຸ້ງຍາກຫຼາຍ; guys ໄດ້ຖືກນໍາໃຊ້ເພື່ອສະແດງຢູ່ໃນເວທີ, ແລະບໍ່ໄດ້ເຂົ້າຮ່ວມໃນການດໍາເນີນງານທາງປັນຍາ. ດັ່ງນັ້ນພວກເຂົາເລືອກທາງເລືອກທີສາມທີ່ເປັນໄປໄດ້: ຜູ້ສົມຮູ້ຮ່ວມຄິດຂອງພວກເຂົາໂທຫາທະນາຄານແລະທໍາທ່າວ່າເປັນ Arthur. ທະນາຄານຖາມຫຼາຍຄໍາຖາມເພື່ອຢັ້ງຢືນຕົວຕົນ, ເຊັ່ນ: ຊື່ລຸງແລະຊື່ຂອງສັດລ້ຽງທໍາອິດ; ວິລະຊົນຂອງພວກເຮົາລ່ວງຫນ້າ ພວກເຂົາເຈົ້າໄດ້ຢ່າງງ່າຍດາຍສະກັດຂໍ້ມູນນີ້ຈາກ Arthur ນໍາໃຊ້ວິສະວະກໍາສັງຄົມທີ່ສະຫລາດ. ຈາກຈຸດນີ້, ຄວາມປອດໄພລະຫັດຜ່ານທີ່ດີເລີດບໍ່ສໍາຄັນອີກຕໍ່ໄປ.

(ຕາມນິທານເລື່ອງເມືອງທີ່ພວກເຮົາໄດ້ກວດສອບ ແລະ ຢັ້ງຢືນເປັນສ່ວນຕົວແລ້ວ, ນັກຂຽນລະຫັດລັບ Eli Beaham ເຄີຍພົບນາຍທະນາຄານທີ່ຢືນຢັດຕັ້ງຄຳຖາມຄວາມປອດໄພ. ເມື່ອໝໍຖາມຫາຊື່ແມ່ຕູ້ແມ່ຂອງລາວ, Beaham ເລີ່ມຂຽນວ່າ: “Capital X, ນ້ອຍ y, ສາມ ... ").

ມັນຄືກັນໃນ cryptography, ຖ້າສອງ cryptographic protocols ຖືກໃຊ້ຂະຫນານກັນເພື່ອປົກປ້ອງຊັບສິນດຽວກັນ, ແລະຫນຶ່ງແມ່ນອ່ອນກວ່າອີກ. ລະບົບຜົນໄດ້ຮັບຈະກາຍເປັນຄວາມສ່ຽງຕໍ່ການໂຈມຕີຂ້າມໂປໂຕຄອນ, ບ່ອນທີ່ໂປໂຕຄອນທີ່ອ່ອນແອກວ່າຖືກໂຈມຕີເພື່ອທີ່ຈະໄດ້ຮັບລາງວັນໂດຍບໍ່ມີການແຕະທີ່ທີ່ເຂັ້ມແຂງກວ່າ.

ໃນບາງກໍລະນີທີ່ສັບສົນ, ມັນບໍ່ພຽງພໍທີ່ຈະພຽງແຕ່ຕິດຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍໂດຍໃຊ້ໂປໂຕຄອນທີ່ອ່ອນແອກວ່າ, ແຕ່ຮຽກຮ້ອງໃຫ້ມີການມີສ່ວນຮ່ວມໂດຍບໍ່ໄດ້ສະຫມັກຂອງລູກຄ້າທີ່ຖືກຕ້ອງຕາມກົດຫມາຍ. ນີ້ສາມາດຖືກຈັດຕັ້ງໂດຍໃຊ້ອັນທີ່ເອີ້ນວ່າການໂຈມຕີ downgrade. ເພື່ອເຂົ້າໃຈການໂຈມຕີນີ້, ໃຫ້ສົມມຸດວ່າ illusionists ຂອງພວກເຮົາມີວຽກງານທີ່ມີຄວາມຫຍຸ້ງຍາກຫຼາຍກ່ວາໃນຮູບເງົາ. ໃຫ້ສົມມຸດວ່າພະນັກງານທະນາຄານ (cashier) ແລະ Arthur ໄດ້ພົບກັບສະຖານະການທີ່ບໍ່ໄດ້ຄາດຄິດ, ເຮັດໃຫ້ເກີດການປຶກສາຫາລືດັ່ງຕໍ່ໄປນີ້:

ຄົນຂີ້ລັກ: ສະບາຍດີ? ນີ້ແມ່ນ Arthur Tressler. ຂ້ອຍຕ້ອງການຣີເຊັດລະຫັດຜ່ານຂອງຂ້ອຍ.

ພະນັກງານເກັບເງິນ: ຍິ່ງໃຫຍ່. ກະລຸນາເບິ່ງຫນັງສືລະຫັດລັບສ່ວນຕົວຂອງເຈົ້າ, ຫນ້າ 28, ຄໍາ 3. ຂໍ້ຄວາມຕໍ່ໄປນີ້ທັງຫມົດຈະຖືກເຂົ້າລະຫັດໂດຍໃຊ້ຄໍາສະເພາະນີ້ເປັນລະຫັດ. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV…

ຄົນຂີ້ລັກ: Hey, hey, wait, wait. ນີ້ແມ່ນມີຄວາມຈໍາເປັນແທ້ໆບໍ? ເຮົາເວົ້າກັນແບບຄົນທຳມະດາບໍ່ໄດ້ບໍ?

ພະນັກງານເກັບເງິນ: ຂ້ອຍບໍ່ແນະນໍາໃຫ້ເຮັດສິ່ງນີ້.

ຄົນຂີ້ລັກ: ຂ້ອຍພຽງແຕ່ ... ເບິ່ງ, ຂ້ອຍມີມື້ທີ່ຂີ້ຮ້າຍ, ໂອເຄບໍ? ຂ້ອຍເປັນລູກຄ້າ VIP ແລະຂ້ອຍບໍ່ໄດ້ຢູ່ໃນໂປຣໄຟລທີ່ຈະຂຸດຜ່ານປື້ມລະຫັດທີ່ໂງ່ຈ້າເຫຼົ່ານີ້.

ພະນັກງານເກັບເງິນ: ດີ. ຖ້າຫາກວ່າທ່ານຮຽກຮ້ອງໃຫ້ຊາວ, ທ່ານ Tressler. ເຈົ້າຕ້ອງການຫຍັງ?

ຄົນຂີ້ລັກ: ກະລຸນາ, ຂ້າພະເຈົ້າຢາກບໍລິຈາກເງິນທັງຫມົດຂອງຂ້າພະເຈົ້າໃຫ້ກັບກອງທຶນຜູ້ຖືກເຄາະຮ້າຍແຫ່ງຊາດ Arthur Tressler.

(ຢຸດຊົ່ວຄາວ).

ພະນັກງານເກັບເງິນ: ມັນເປັນທີ່ຈະແຈ້ງໃນປັດຈຸບັນ. ກະລຸນາລະບຸລະຫັດ PIN ຂອງທ່ານເພື່ອເຮັດທຸລະກໍາຂະຫນາດໃຫຍ່.

ຄົນຂີ້ລັກ: ຂອງຂ້ອຍແມ່ນຫຍັງ?

ພະນັກງານເກັບເງິນ: ຕາມການຮ້ອງຂໍສ່ວນຕົວຂອງທ່ານ, ການເຮັດທຸລະກໍາໃນຂະຫນາດນີ້ຕ້ອງການ PIN ສໍາລັບທຸລະກໍາຂະຫນາດໃຫຍ່. ລະຫັດນີ້ຖືກມອບໃຫ້ທ່ານເມື່ອທ່ານເປີດບັນຊີຂອງທ່ານ.

ຄົນຂີ້ລັກ:... ຂ້ອຍເສຍມັນ. ນີ້ແມ່ນມີຄວາມຈໍາເປັນແທ້ໆບໍ? ເຈົ້າບໍ່ສາມາດອະນຸມັດຂໍ້ຕົກລົງໄດ້ບໍ?

ພະນັກງານເກັບເງິນ: ບໍ່. ຂ້ອຍຂໍໂທດ, ທ່ານ Tressler. ອີກເທື່ອ ໜຶ່ງ, ນີ້ແມ່ນມາດຕະການຄວາມປອດໄພທີ່ທ່ານຮ້ອງຂໍ. ຖ້າທ່ານຕ້ອງການ, ພວກເຮົາສາມາດສົ່ງລະຫັດ PIN ໃຫມ່ໄປຫາກ່ອງຈົດຫມາຍຂອງທ່ານ.

ວິລະຊົນຂອງພວກເຮົາເລື່ອນການດຳເນີນງານ. ພວກເຂົາເຈົ້າ eavesdrop ກ່ຽວກັບຫຼາຍຂອງການເຮັດທຸລະກໍາຂະຫນາດໃຫຍ່ຂອງ Tressler, ຫວັງວ່າຈະໄດ້ຍິນ PIN ໄດ້; ແຕ່ທຸກໆຄັ້ງທີ່ການສົນທະນາປ່ຽນເປັນ coded gibberish ກ່ອນທີ່ຈະເວົ້າຫຍັງທີ່ຫນ້າສົນໃຈ. ໃນທີ່ສຸດ, ມື້ຫນຶ່ງທີ່ດີ, ແຜນການໄດ້ຖືກປະຕິບັດ. ພວກເຂົາເຈົ້າລໍຖ້າຢ່າງອົດທົນສໍາລັບເວລາທີ່ Tressler ຕ້ອງເຮັດທຸລະກໍາຂະຫນາດໃຫຍ່ທາງໂທລະສັບ, ລາວໄດ້ຮັບສາຍ, ແລະຫຼັງຈາກນັ້ນ ...

Tressler: ສະບາຍດີ. ຂ້ອຍຕ້ອງການເຮັດທຸລະກໍາທາງໄກ, ກະລຸນາ.

ພະນັກງານເກັບເງິນ: ຍິ່ງໃຫຍ່. ກະລຸນາເບິ່ງປື້ມລະຫັດລັບສ່ວນຕົວຂອງເຈົ້າ, ໜ້າ ...

(ຄົນຂີ້ລັກກົດປຸ່ມ; ສຽງຂອງພະນັກງານເກັບເງິນກາຍເປັນສຽງລົບກວນທີ່ບໍ່ເຂົ້າໃຈ).

ພະນັກງານເກັບເງິນ: - #@$#@$#*@$$@#* ຈະຖືກເຂົ້າລະຫັດດ້ວຍຄໍານີ້ເປັນລະຫັດ. AAAYRR PLRQRZ MMNJK LOJBAN…

Tressler: ຂໍອະໄພ, ຂ້ອຍບໍ່ເຂົ້າໃຈດີ. ອີກເທື່ອຫນຶ່ງ? ຢູ່ໜ້າໃດ? ຄໍາໃດ?

ພະນັກງານເກັບເງິນ: ນີ້ແມ່ນໜ້າ @#$@#*$)#*#@()#@$(#@*$(#@*.

Tressler: ແມ່ນຫຍັງ?

ພະນັກງານເກັບເງິນ: ເລກໝາຍຊາວ @$#@$#%#$.

Tressler: ຢ່າງຮຸນແຮງ! ພໍແລ້ວ! ທ່ານແລະອະນຸສັນຍາຄວາມປອດໄພຂອງທ່ານແມ່ນບາງປະເພດຂອງ circus. ຂ້ອຍຮູ້ວ່າເຈົ້າສາມາດລົມກັບຂ້ອຍຕາມປົກກະຕິ.

ພະນັກງານເກັບເງິນ: ຂ້ອຍບໍ່ແນະນຳ…

Tressler: ແລະຂ້ອຍບໍ່ແນະນໍາໃຫ້ເຈົ້າເສຍເວລາຂອງຂ້ອຍ. ຂ້ອຍບໍ່ຢາກໄດ້ຍິນເລື່ອງນີ້ອີກຕໍ່ໄປຈົນກວ່າເຈົ້າຈະແກ້ໄຂບັນຫາສາຍໂທລະສັບຂອງເຈົ້າ. ພວກເຮົາສາມາດສະຫຼຸບຂໍ້ຕົກລົງນີ້ໄດ້ຫຼືບໍ່?

ພະນັກງານເກັບເງິນ:… ແມ່ນແລ້ວ. ດີ. ເຈົ້າຕ້ອງການຫຍັງ?

Tressler: ຂ້ອຍຢາກໂອນເງິນ 20 ໂດລາໃຫ້ Lord Business Investments, ເລກບັນຊີ...

ພະນັກງານເກັບເງິນ: ຫນຶ່ງນາທີ, ກະລຸນາ. ມັນເປັນເລື່ອງໃຫຍ່. ກະລຸນາໃຫ້ລະຫັດ PIN ຂອງທ່ານສໍາລັບການເຮັດທຸລະກໍາຂະຫນາດໃຫຍ່.

Tressler: ແມ່ນຫຍັງ? ໂອ້, ແນ່ນອນ. 1234.

ນີ້ແມ່ນການໂຈມຕີທາງລຸ່ມ. ອະນຸສັນຍາທີ່ອ່ອນແອກວ່າ "ພຽງແຕ່ເວົ້າໂດຍກົງ" ໄດ້ຖືກຄາດຄະເນວ່າເປັນ ທາງເລືອກ ໃນກໍລະນີສຸກເສີນ. ແລະຍັງຢູ່ທີ່ນີ້ພວກເຮົາ.

ເຈົ້າອາດຈະສົງໄສວ່າໃຜໃນໃຈທີ່ຖືກຕ້ອງຂອງພວກເຂົາຈະອອກແບບລະບົບ "ປອດໄພຈົນກ່ວາຖືກຖາມວ່າ" ທີ່ແທ້ຈິງຄືກັບທີ່ອະທິບາຍຂ້າງເທິງ. ແຕ່ຄືກັນກັບທະນາຄານທີ່ສົມມຸດຕິຖານມີຄວາມສ່ຽງທີ່ຈະຮັກສາລູກຄ້າທີ່ບໍ່ມັກການເຂົ້າລະຫັດລັບ, ໂດຍທົ່ວໄປແລ້ວລະບົບມັກຈະມຸ່ງໄປສູ່ຄວາມຕ້ອງການທີ່ບໍ່ສົນໃຈຫຼືແມ້ກະທັ້ງສັດຕູທີ່ເປັນສັດຕູກັບຄວາມປອດໄພ.

ນີ້ແມ່ນສິ່ງທີ່ເກີດຂຶ້ນກັບໂປໂຕຄອນ SSLv2 ໃນປີ 1995. ລັດຖະບານສະຫະລັດໄດ້ເລີ່ມມາດົນນານແລ້ວທີ່ຈະເບິ່ງການເຂົ້າລະຫັດລັບເປັນອາວຸດທີ່ຖືກເກັບຮັກສາໄວ້ທີ່ດີທີ່ສຸດຈາກສັດຕູພາຍໃນແລະຕ່າງປະເທດ. ຊິ້ນສ່ວນຂອງລະຫັດໄດ້ຖືກອະນຸມັດເປັນສ່ວນບຸກຄົນສໍາລັບການສົ່ງອອກຈາກສະຫະລັດ, ເລື້ອຍໆໂດຍມີເງື່ອນໄຂທີ່ສູດການຄິດໄລ່ແມ່ນອ່ອນເພຍໂດຍເຈດຕະນາ. Netscape, ຜູ້ພັດທະນາຂອງຕົວທ່ອງເວັບທີ່ນິຍົມຫຼາຍທີ່ສຸດ, Netscape Navigator, ໄດ້ຮັບການອະນຸຍາດສໍາລັບ SSLv2 ເທົ່ານັ້ນທີ່ມີລະຫັດ RSA 512-bit ທີ່ມີຄວາມສ່ຽງ (ແລະ 40-bit ສໍາລັບ RC4).

ໃນຕອນທ້າຍຂອງສະຫັດສະຫວັດ, ກົດລະບຽບໄດ້ຜ່ອນຄາຍແລະການເຂົ້າເຖິງການເຂົ້າລະຫັດທີ່ທັນສະໄຫມໄດ້ກາຍເປັນຢ່າງກວ້າງຂວາງ. ຢ່າງໃດກໍຕາມ, ລູກຄ້າແລະເຄື່ອງແມ່ຂ່າຍໄດ້ສະຫນັບສະຫນູນການເຂົ້າລະຫັດລັບ "ສົ່ງອອກ" ທີ່ອ່ອນແອສໍາລັບປີເນື່ອງຈາກ inertia ດຽວກັນທີ່ຮັກສາການສະຫນັບສະຫນູນສໍາລັບລະບົບມໍລະດົກໃດໆ. ລູກຄ້າເຊື່ອວ່າພວກເຂົາອາດຈະພົບກັບເຄື່ອງແມ່ຂ່າຍທີ່ບໍ່ສະຫນັບສະຫນູນສິ່ງອື່ນ. ເຊີບເວີເຮັດຄືກັນ. ແນ່ນອນ, ໂປໂຕຄອນ SSL ກໍານົດວ່າລູກຄ້າແລະເຄື່ອງແມ່ຂ່າຍບໍ່ຄວນໃຊ້ໂປໂຕຄອນທີ່ອ່ອນແອເມື່ອມີໂປໂຕຄອນທີ່ດີກວ່າ. ແຕ່ສະຖານທີ່ດຽວກັນນີ້ໃຊ້ກັບ Tressler ແລະທະນາຄານຂອງລາວ.

ທິດສະດີນີ້ໄດ້ພົບເຫັນວິທີການຂອງຕົນເຂົ້າໄປໃນສອງການໂຈມຕີລະດັບສູງທີ່ສັ່ນສະເທືອນຄວາມປອດໄພຂອງອະນຸສັນຍາ SSL ໃນປີ 2015, ທັງສອງຄົ້ນພົບໂດຍນັກຄົ້ນຄວ້າ Microsoft ແລະ. INRIA. ຫນ້າທໍາອິດ, ລາຍລະອຽດຂອງການໂຈມຕີ FREAK ໄດ້ຖືກເປີດເຜີຍໃນເດືອນກຸມພາ, ປະຕິບັດຕາມສາມເດືອນຕໍ່ມາໂດຍການໂຈມຕີທີ່ຄ້າຍຄືກັນອີກອັນຫນຶ່ງທີ່ເອີ້ນວ່າ Logjam, ເຊິ່ງພວກເຮົາຈະປຶກສາຫາລືໃນລາຍລະອຽດເພີ່ມເຕີມເມື່ອພວກເຮົາກ້າວໄປສູ່ການໂຈມຕີການເຂົ້າລະຫັດລັບສາທາລະນະ.

ຄວາມອ່ອນແອ FFO (ຊຶ່ງເອີ້ນກັນວ່າ "Smack TLS") ປະກົດຂຶ້ນເມື່ອນັກຄົ້ນຄວ້າວິເຄາະການຈັດຕັ້ງປະຕິບັດ TLS client/server ແລະຄົ້ນພົບຂໍ້ບົກພ່ອງທີ່ຢາກຮູ້ຢາກເຫັນ. ໃນການປະຕິບັດເຫຼົ່ານີ້, ຖ້າລູກຄ້າບໍ່ໄດ້ຮ້ອງຂໍໃຫ້ໃຊ້ການເຂົ້າລະຫັດລັບທີ່ອ່ອນແອ, ແຕ່ເຄື່ອງແມ່ຂ່າຍຍັງຕອບສະຫນອງກັບລະຫັດດັ່ງກ່າວ, ລູກຄ້າເວົ້າວ່າ "ໂອ້ດີ" ແລະປ່ຽນເປັນຊຸດລະຫັດລັບທີ່ອ່ອນແອ.

ໃນເວລານັ້ນ, ການເຂົ້າລະຫັດລັບການສົ່ງອອກໄດ້ຖືກພິຈາລະນາຢ່າງກວ້າງຂວາງວ່າລ້າສະໄຫມແລະບໍ່ມີຂອບເຂດຈໍາກັດ, ດັ່ງນັ້ນການໂຈມຕີຈຶ່ງເຮັດໃຫ້ເກີດຄວາມຕົກໃຈຢ່າງສົມບູນແລະສົ່ງຜົນກະທົບຕໍ່ຫລາຍໂດເມນທີ່ສໍາຄັນ, ລວມທັງສະຖານທີ່ສີຂາວ, IRS ແລະ NSA. ຮ້າຍແຮງໄປກວ່ານັ້ນ, ມັນປະກົດວ່າເຄື່ອງແມ່ຂ່າຍທີ່ມີຄວາມສ່ຽງຫຼາຍໄດ້ເພີ່ມປະສິດທິພາບການປະຕິບັດໂດຍການໃຊ້ລະຫັດດຽວກັນແທນທີ່ຈະສ້າງໃຫມ່ສໍາລັບແຕ່ລະກອງປະຊຸມ. ນີ້ເຮັດໃຫ້ມັນເປັນໄປໄດ້, ຫຼັງຈາກການຫຼຸດລົງຂອງໂປໂຕຄອນ, ເພື່ອປະຕິບັດການໂຈມຕີກ່ອນການຄິດໄລ່: ການແຕກຄີຫນຶ່ງຍັງຄົງມີລາຄາແພງ (100 ໂດລາແລະ 12 ຊົ່ວໂມງໃນເວລາເຜີຍແຜ່), ແຕ່ຄ່າໃຊ້ຈ່າຍໃນການປະຕິບັດຂອງການໂຈມຕີການເຊື່ອມຕໍ່ໄດ້ຖືກຫຼຸດລົງຢ່າງຫຼວງຫຼາຍ. ມັນພຽງພໍທີ່ຈະເດົາລະຫັດເຊີບເວີຄັ້ງດຽວແລະແຕກການເຂົ້າລະຫັດລັບສໍາລັບການເຊື່ອມຕໍ່ຕໍ່ໄປທັງຫມົດຈາກເວລານັ້ນ.

ແລະກ່ອນທີ່ພວກເຮົາຈະກ້າວຕໍ່ໄປ, ມີການໂຈມຕີແບບພິເສດອັນຫນຶ່ງທີ່ຕ້ອງໄດ້ຮັບການກ່າວເຖິງ ...

ການໂຈມຕີ Oracle

Moxie Marlinspike ເປັນທີ່ຮູ້ຈັກດີທີ່ສຸດເປັນພໍ່ຂອງຂ້າມເວທີການສົ່ງຂໍ້ຄວາມ crypto app ສັນຍານ; ແຕ່ພວກເຮົາເອງມັກການປະດິດສ້າງທີ່ຮູ້ຈັກໜ້ອຍໜຶ່ງຂອງລາວ: ຫຼັກການຂອງ doom cryptographic (ຫຼັກການ Doom Cryptographic). ເພື່ອປຽບທຽບເລັກນ້ອຍ, ພວກເຮົາສາມາດເວົ້າໄດ້ວ່າ: "ຖ້າໂປໂຕຄອນປະຕິບັດ ໃດໆ ປະຕິບັດການເຂົ້າລະຫັດລັບກັບຂໍ້ຄວາມຈາກແຫຼ່ງທີ່ເປັນອັນຕະລາຍແລະປະຕິບັດຕົວແຕກຕ່າງກັນໂດຍອີງຕາມຜົນໄດ້ຮັບ, ມັນຈະຖືກທໍາລາຍ." ຫຼືໃນຮູບແບບທີ່ແຫຼມກວ່າ: "ຢ່າເອົາຂໍ້ມູນຈາກສັດຕູມາປຸງແຕ່ງ, ແລະຖ້າທ່ານຕ້ອງການ, ຢ່າງຫນ້ອຍກໍ່ບໍ່ສະແດງຜົນໄດ້ຮັບ."

ໃຫ້ອອກຈາກການ overflows buffer, ການສັກຢາຄໍາສັ່ງ, ແລະອື່ນໆ; ພວກເຂົາເກີນຂອບເຂດຂອງການສົນທະນານີ້. ການລະເມີດ "ຫຼັກການ doom" ນໍາໄປສູ່ການ hack cryptography ທີ່ຮ້າຍແຮງເນື່ອງຈາກຄວາມຈິງທີ່ວ່າໂປໂຕຄອນປະຕິບັດຕົວຈິງຕາມທີ່ຄາດໄວ້.

ເປັນຕົວຢ່າງ, ໃຫ້ພວກເຮົາເອົາການອອກແບບທີ່ສົມມຸດຕິຖານດ້ວຍລະຫັດການທົດແທນທີ່ມີຄວາມສ່ຽງ, ແລະຫຼັງຈາກນັ້ນສະແດງໃຫ້ເຫັນການໂຈມຕີທີ່ເປັນໄປໄດ້. ໃນຂະນະທີ່ພວກເຮົາໄດ້ເຫັນການໂຈມຕີລະຫັດລັບທີ່ໃຊ້ແທນການວິເຄາະຄວາມຖີ່, ມັນບໍ່ແມ່ນພຽງແຕ່ "ວິທີອື່ນທີ່ຈະທໍາລາຍລະຫັດດຽວກັນ." ໃນທາງກົງກັນຂ້າມ, ການໂຈມຕີ oracle ແມ່ນການປະດິດສ້າງທີ່ທັນສະໄຫມຫຼາຍທີ່ນໍາໃຊ້ກັບຫຼາຍໆສະຖານະການທີ່ການວິເຄາະຄວາມຖີ່ລົ້ມເຫລວ, ແລະພວກເຮົາຈະເຫັນການສາທິດນີ້ໃນພາກຕໍ່ໄປ. ທີ່ນີ້ cipher ງ່າຍດາຍໄດ້ຖືກເລືອກພຽງແຕ່ເພື່ອເຮັດໃຫ້ຕົວຢ່າງທີ່ຈະແຈ້ງ.

ດັ່ງນັ້ນ Alice ແລະ Bob ຕິດຕໍ່ສື່ສານໂດຍໃຊ້ລະຫັດການທົດແທນທີ່ງ່າຍດາຍໂດຍໃຊ້ລະຫັດທີ່ຮູ້ຈັກກັບພວກເຂົາເທົ່ານັ້ນ. ເຂົາເຈົ້າມີຄວາມເຄັ່ງຄັດຫຼາຍກ່ຽວກັບຄວາມຍາວຂອງຂໍ້ຄວາມ: ມັນມີຄວາມຍາວແທ້ 20 ຕົວອັກສອນ. ດັ່ງນັ້ນເຂົາເຈົ້າໄດ້ຕົກລົງກັນວ່າຖ້າຫາກວ່າຜູ້ໃດຜູ້ຫນຶ່ງຕ້ອງການທີ່ຈະສົ່ງຂໍ້ຄວາມສັ້ນກວ່ານັ້ນ, ພວກເຂົາເຈົ້າຄວນຈະເພີ່ມຂໍ້ຄວາມ dummy ບາງສ່ວນໃນຕອນທ້າຍຂອງຂໍ້ຄວາມເພື່ອໃຫ້ມັນເປັນ 20 ຕົວອັກສອນ. ຫຼັງຈາກການສົນທະນາບາງຢ່າງ, ພວກເຂົາເຈົ້າໄດ້ຕັດສິນໃຈວ່າເຂົາເຈົ້າຈະຍອມຮັບພຽງແຕ່ບົດເລື່ອງ dummy ດັ່ງຕໍ່ໄປນີ້: a, bb, ccc, dddd ແລະອື່ນໆ. ດັ່ງນັ້ນ, ຂໍ້ຄວາມ dummy ຂອງຄວາມຍາວທີ່ຕ້ອງການແມ່ນເປັນທີ່ຮູ້ຈັກ.

ເມື່ອ Alice ຫຼື Bob ໄດ້ຮັບຂໍ້ຄວາມ, ທໍາອິດພວກເຂົາກວດເບິ່ງວ່າຂໍ້ຄວາມມີຄວາມຍາວທີ່ຖືກຕ້ອງ (20 ຕົວອັກສອນ) ແລະຄໍາຕໍ່ທ້າຍແມ່ນຂໍ້ຄວາມ dummy ທີ່ຖືກຕ້ອງ. ຖ້ານີ້ບໍ່ແມ່ນກໍລະນີ, ຫຼັງຈາກນັ້ນພວກເຂົາຕອບດ້ວຍຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດທີ່ເຫມາະສົມ. ຖ້າຄວາມຍາວຂອງຂໍ້ຄວາມແລະຂໍ້ຄວາມ dummy ແມ່ນເຫມາະສົມ, ຜູ້ຮັບຈະອ່ານຂໍ້ຄວາມຕົວມັນເອງແລະສົ່ງຄໍາຕອບທີ່ຖືກເຂົ້າລະຫັດ.

ໃນລະຫວ່າງການໂຈມຕີ, ຜູ້ໂຈມຕີປອມຕົວເປັນ Bob ແລະສົ່ງຂໍ້ຄວາມປອມໄປຫາ Alice. ຂໍ້ຄວາມແມ່ນບໍ່ມີເຫດຜົນຄົບຖ້ວນ - ຜູ້ໂຈມຕີບໍ່ມີກະແຈ, ແລະດັ່ງນັ້ນຈຶ່ງບໍ່ສາມາດປອມແປງຂໍ້ຄວາມທີ່ມີຄວາມຫມາຍ. ແຕ່ເນື່ອງຈາກອະນຸສັນຍາລະເມີດຫຼັກການ doom, ຜູ້ໂຈມຕີຍັງສາມາດດັກ Alice ໃນການເປີດເຜີຍຂໍ້ມູນທີ່ສໍາຄັນ, ດັ່ງທີ່ສະແດງຂ້າງລຸ່ມນີ້.

ຄົນຂີ້ລັກ: PREWF ZHJKL MMMN. LA

Alice: ຂໍ້ຄວາມ dummy ບໍ່ຖືກຕ້ອງ.

ຄົນຂີ້ລັກ: PREWF ZHJKL MMMN. LB

Alice: ຂໍ້ຄວາມ dummy ບໍ່ຖືກຕ້ອງ.

ຄົນຂີ້ລັກ: PREWF ZHJKL MMMN. LC

Alice: ILCT? TLCT RUWO PUT KCAW CPS OWPOW!

burglar ບໍ່ມີຄວາມຄິດໃນສິ່ງທີ່ Alice ພຽງແຕ່ເວົ້າວ່າ, ແຕ່ສັງເກດວ່າສັນຍາລັກ C ຕ້ອງກົງກັນ a, ນັບຕັ້ງແຕ່ Alice ຍອມຮັບຂໍ້ຄວາມ dummy.

ຄົນຂີ້ລັກ: REWF ZHJKL MMMN. LAA

Alice: ຂໍ້ຄວາມ dummy ບໍ່ຖືກຕ້ອງ.

ຄົນຂີ້ລັກ: REWF ZHJKL MMMN. LBB

Alice: ຂໍ້ຄວາມ dummy ບໍ່ຖືກຕ້ອງ.

ຫຼັງຈາກຄວາມພະຍາຍາມຈໍານວນຫນຶ່ງ ...

ຄົນຂີ້ລັກ: REWF ZHJKL MMMN. LGG

Alice: ຂໍ້ຄວາມ dummy ບໍ່ຖືກຕ້ອງ.

ຄົນຂີ້ລັກ: REWF ZHJKL MMMN. LHH

Alice: TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.

ອີກເທື່ອຫນຶ່ງ, ຜູ້ໂຈມຕີບໍ່ຮູ້ວ່າ Alice ພຽງແຕ່ເວົ້າຫຍັງ, ແຕ່ສັງເກດວ່າ H ຕ້ອງກົງກັບ b ນັບຕັ້ງແຕ່ Alice ຍອມຮັບຂໍ້ຄວາມ dummy.

ແລະອື່ນໆຈົນກ່ວາຜູ້ໂຈມຕີຮູ້ຄວາມຫມາຍຂອງແຕ່ລະລັກສະນະ.

ຢູ່ glance ທໍາອິດ, ວິທີການຄ້າຍຄືການໂຈມຕີ plaintext ເລືອກ. ໃນທີ່ສຸດ, ຜູ້ໂຈມຕີເລືອກລະຫັດລັບ, ແລະເຊີບເວີຈະປະມວນຜົນພວກມັນຢ່າງເຊື່ອຟັງ. ຄວາມແຕກຕ່າງຕົ້ນຕໍທີ່ເຮັດໃຫ້ການໂຈມຕີເຫຼົ່ານີ້ສາມາດປະຕິບັດໄດ້ໃນໂລກທີ່ແທ້ຈິງແມ່ນວ່າຜູ້ໂຈມຕີບໍ່ຕ້ອງການການເຂົ້າເຖິງການຖອດຂໍ້ຄວາມຕົວຈິງ - ການຕອບໂຕ້ຂອງເຄື່ອງແມ່ຂ່າຍ, ແມ້ກະທັ້ງຫນຶ່ງທີ່ບໍ່ມີເຫດຜົນເທົ່າກັບ "ຂໍ້ຄວາມ dummy ທີ່ບໍ່ຖືກຕ້ອງ," ແມ່ນພຽງພໍ.

ໃນຂະນະທີ່ການໂຈມຕີໂດຍສະເພາະນີ້ແມ່ນຄໍາແນະນໍາ, ບໍ່ຄວນຫ້ອຍເກີນໄປກ່ຽວກັບສະເພາະຂອງໂຄງການ "ຂໍ້ຄວາມ dummy", ລະບົບ crypto ສະເພາະທີ່ໃຊ້, ຫຼືລໍາດັບທີ່ແນ່ນອນຂອງຂໍ້ຄວາມທີ່ຖືກສົ່ງໂດຍຜູ້ໂຈມຕີ. ແນວຄວາມຄິດພື້ນຖານແມ່ນວິທີການ Alice reacts ແຕກຕ່າງກັນໂດຍອີງໃສ່ຄຸນສົມບັດຂອງ plaintext, ແລະເຮັດແນວນັ້ນໂດຍບໍ່ມີການກວດສອບວ່າລະຫັດລັບທີ່ສອດຄ້ອງກັນໄດ້ມາຈາກພາກສ່ວນທີ່ເຊື່ອຖືໄດ້. ດັ່ງນັ້ນ, Alice ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີບີບຂໍ້ມູນລັບອອກຈາກຄໍາຕອບຂອງນາງ.

ມີຫຼາຍຢ່າງທີ່ສາມາດປ່ຽນແປງໄດ້ໃນສະຖານະການນີ້. ສັນຍາລັກທີ່ Alice ປະຕິກິລິຍາຕໍ່, ຫຼືຄວາມແຕກຕ່າງຫຼາຍໃນພຶດຕິກໍາຂອງນາງ, ຫຼືແມ້ກະທັ້ງລະບົບ crypto ທີ່ໃຊ້. ແຕ່ຫຼັກການຈະຍັງຄົງຢູ່ຄືເກົ່າ, ແລະການໂຈມຕີທັງຫມົດຈະຍັງຄົງຢູ່ໃນຮູບແບບຫນຶ່ງຫຼືແບບອື່ນ. ການປະຕິບັດຂັ້ນພື້ນຖານຂອງການໂຈມຕີນີ້ໄດ້ຊ່ວຍເປີດເຜີຍຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພຫຼາຍຢ່າງ, ເຊິ່ງພວກເຮົາຈະເບິ່ງໃນໄວໆນີ້; ແຕ່ທໍາອິດມີບາງບົດຮຽນທິດສະດີທີ່ຈະຮຽນຮູ້. ໃຊ້ "Alice script" ທີ່ສົມມຸດຕິຖານໃນການໂຈມຕີທີ່ສາມາດເຮັດວຽກກັບລະຫັດທີ່ທັນສະໄຫມທີ່ແທ້ຈິງໄດ້ແນວໃດ? ນີ້ແມ່ນເປັນໄປໄດ້, ເຖິງແມ່ນວ່າໃນທິດສະດີ?

ໃນປີ 1998, ນັກຂຽນລະຫັດລັບຊາວສະວິດ Daniel Bleichenbacher ໄດ້ຕອບຄໍາຖາມນີ້ໃນການຢືນຢັນ. ລາວໄດ້ສະແດງໃຫ້ເຫັນການໂຈມຕີ oracle ກ່ຽວກັບລະບົບລະຫັດລັບສາທາລະນະ RSA ທີ່ໃຊ້ຢ່າງກວ້າງຂວາງ, ໂດຍໃຊ້ລະບົບຂໍ້ຄວາມສະເພາະ. ໃນບາງການປະຕິບັດ RSA, ເຊີບເວີຕອບສະຫນອງດ້ວຍຂໍ້ຄວາມສະແດງຂໍ້ຜິດພາດທີ່ແຕກຕ່າງກັນຂຶ້ນຢູ່ກັບວ່າຂໍ້ຄວາມທໍາມະດາກົງກັບໂຄງການຫຼືບໍ່; ນີ້ແມ່ນພຽງພໍທີ່ຈະປະຕິບັດການໂຈມຕີ.

ສີ່ປີຕໍ່ມາ, ໃນປີ 2002, ນັກ cryptographer ຝຣັ່ງ Serge Vaudenay ໄດ້ສະແດງໃຫ້ເຫັນການໂຈມຕີ oracle ເກືອບຄືກັນກັບສິ່ງທີ່ອະທິບາຍໄວ້ໃນສະຖານະການ Alice ຂ້າງເທິງ - ຍົກເວັ້ນວ່າແທນທີ່ຈະເປັນລະຫັດທີ່ສົມມຸດຕິຖານ, ລາວໄດ້ທໍາລາຍການເຂົ້າລະຫັດທີ່ທັນສະໄຫມທັງຫມົດທີ່ປະຊາຊົນໃຊ້. ໂດຍສະເພາະ, ການໂຈມຕີຂອງ Vaudenay ແນເປົ້າໃສ່ຕົວເຂົ້າລະຫັດຂະໜາດຄົງທີ່ ("block ciphers") ເມື່ອພວກມັນຖືກໃຊ້ໃນອັນທີ່ເອີ້ນວ່າ "ໂໝດການເຂົ້າລະຫັດ CBC" ແລະດ້ວຍຮູບແບບການເຂົ້າລະຫັດທີ່ເປັນທີ່ນິຍົມທີ່ແນ່ນອນ, ໂດຍພື້ນຖານແລ້ວແມ່ນທຽບເທົ່າກັບສະຖານະການ Alice.

ນອກຈາກນີ້ໃນປີ 2002, ນັກຂຽນ crypto ອາເມລິກາ John Kelsey - ຜູ້ຂຽນຮ່ວມ ສອງຄັ້ງ — ສະເໜີການໂຈມຕີ oracle ຕ່າງໆໃນລະບົບທີ່ບີບອັດຂໍ້ຄວາມແລ້ວເຂົ້າລະຫັດພວກມັນ. ສິ່ງທີ່ໂດດເດັ່ນທີ່ສຸດໃນບັນດາສິ່ງເຫຼົ່ານີ້ແມ່ນການໂຈມຕີທີ່ໄດ້ໃຊ້ປະໂຍດຈາກຄວາມຈິງທີ່ວ່າມັນມັກຈະເປັນໄປໄດ້ທີ່ຈະ infer ຄວາມຍາວຕົ້ນສະບັບຂອງ plaintext ຈາກຄວາມຍາວຂອງ ciphertext ໄດ້. ໃນທາງທິດສະດີ, ນີ້ອະນຸຍາດໃຫ້ສໍາລັບການໂຈມຕີ oracle ທີ່ຟື້ນຕົວບາງສ່ວນຂອງຂໍ້ຄວາມຕົ້ນສະບັບ.

ຂ້າງລຸ່ມນີ້ພວກເຮົາຈະໃຫ້ລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບການໂຈມຕີ Vaudenay ແລະ Kelsey (ພວກເຮົາຈະໃຫ້ລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບການໂຈມຕີ Bleichenbacher ເມື່ອພວກເຮົາກ້າວໄປສູ່ການໂຈມຕີໃນລະຫັດລັບສາທາລະນະ). ເຖິງວ່າຈະມີຄວາມພະຍາຍາມທີ່ດີທີ່ສຸດຂອງພວກເຮົາ, ຂໍ້ຄວາມກາຍເປັນດ້ານວິຊາການບາງຢ່າງ; ດັ່ງນັ້ນຖ້າຂ້າງເທິງແມ່ນພຽງພໍສໍາລັບທ່ານ, ໃຫ້ຂ້າມສອງພາກຕໍ່ໄປ.

ການໂຈມຕີຂອງ Vodene

ເພື່ອເຂົ້າໃຈການໂຈມຕີ Vaudenay, ກ່ອນອື່ນ ໝົດ ພວກເຮົາຕ້ອງເວົ້າອີກ ໜ້ອຍ ໜຶ່ງ ກ່ຽວກັບການປິດລະຫັດລັບແລະຮູບແບບການເຂົ້າລະຫັດ. "block cipher" ແມ່ນ, ດັ່ງທີ່ໄດ້ກ່າວມາ, cipher ທີ່ໃຊ້ລະຫັດແລະການປ້ອນຂໍ້ມູນຂອງຄວາມຍາວຄົງທີ່ທີ່ແນ່ນອນ ("block length") ແລະຜະລິດ encrypted block ທີ່ມີຄວາມຍາວດຽວກັນ. Block ciphers ຖືກນໍາໃຊ້ຢ່າງກວ້າງຂວາງແລະຖືວ່າຂ້ອນຂ້າງປອດໄພ. ດຽວນີ້ DES ທີ່ອອກກິນເບັ້ຍບໍານານ, ຖືວ່າເປັນລະຫັດລັບທີ່ທັນສະ ໄໝ ທຳ ອິດ, ແມ່ນລະຫັດລັບ. ດັ່ງທີ່ໄດ້ກ່າວມາຂ້າງເທິງ, ຄືກັນກັບ AES, ເຊິ່ງຖືກນໍາໃຊ້ຢ່າງກວ້າງຂວາງໃນມື້ນີ້.

ໂຊກບໍ່ດີ, ບລັອກລະຫັດມີຈຸດອ່ອນອັນໜຶ່ງ. ຂະຫນາດບລັອກປົກກະຕິແມ່ນ 128 ບິດ, ຫຼື 16 ຕົວອັກສອນ. ແນ່ນອນ, ການເຂົ້າລະຫັດລັບທີ່ທັນສະໄຫມຮຽກຮ້ອງໃຫ້ມີການເຮັດວຽກກັບຂໍ້ມູນການປ້ອນຂໍ້ມູນຂະຫນາດໃຫຍ່, ແລະນີ້ແມ່ນບ່ອນທີ່ຮູບແບບການເຂົ້າລະຫັດເຂົ້າມາ. ໂຫມດການເຂົ້າລະຫັດລັບແມ່ນເປັນການແຮັກ: ມັນເປັນວິທີໃດນຶ່ງທີ່ຈະນໍາໃຊ້ລະຫັດລັບຂອງບລັອກທີ່ຍອມຮັບພຽງແຕ່ການປ້ອນຂໍ້ມູນຂອງຂະຫນາດທີ່ແນ່ນອນເພື່ອປ້ອນຂໍ້ມູນຂອງຄວາມຍາວທີ່ຕົນເອງມັກ.

ການໂຈມຕີຂອງ Vodene ແມ່ນສຸມໃສ່ການດໍາເນີນການ CBC (Cipher Block Chaning) ທີ່ນິຍົມ. ການໂຈມຕີໄດ້ຮັບການປະຕິບັດຕໍ່ຕົວປິດລັບທີ່ຕິດພັນກັບກ່ອງດຳທີ່ມີຄວາມມະຫັດສະຈັນ, ບໍ່ສາມາດເປັນກ່ອງດຳໄດ້ ແລະຂ້າມຄວາມປອດໄພຂອງມັນໄປໝົດ.

ນີ້ແມ່ນແຜນວາດທີ່ສະແດງໃຫ້ເຫັນວ່າໂໝດ CBC ເຮັດວຽກແນວໃດ:

ບວກວົງກົມໝາຍເຖິງການດຳເນີນການ XOR (ສະເພາະ OR). ຕົວຢ່າງ, ບລັອກທີສອງຂອງ ciphertext ໄດ້ຮັບ:

ໂດຍການດໍາເນີນການ XOR ໃນບລັອກຂໍ້ຄວາມທໍາມະດາທີສອງກັບບລັອກລະຫັດລັບທໍາອິດ.
ການເຂົ້າລະຫັດບລັອກຜົນໄດ້ຮັບດ້ວຍລະຫັດບລັອກໂດຍໃຊ້ລະຫັດ.

ນັບຕັ້ງແຕ່ CBC ໃຊ້ຢ່າງຫນັກໃນການດໍາເນີນງານ XOR binary, ໃຫ້ພວກເຮົາໃຊ້ເວລາເລັກນ້ອຍເພື່ອຈື່ຈໍາບາງຄຸນສົມບັດຂອງມັນ:

Idempotency:
ການສື່ສານ:
ສະມາຄົມ:
ການປີ້ນກັບຕົວເອງ:
ຂະຫນາດ byte: byte n ຂອງ = (byte n ຂອງ ) (byte n ຂອງ )

ໂດຍປົກກະຕິ, ຄຸນສົມບັດເຫຼົ່ານີ້ຫມາຍເຖິງວ່າຖ້າພວກເຮົາມີສົມຜົນທີ່ກ່ຽວຂ້ອງກັບການດໍາເນີນງານ XOR ແລະຫນຶ່ງທີ່ບໍ່ຮູ້ຈັກ, ມັນສາມາດແກ້ໄຂໄດ້. ຕົວຢ່າງ, ຖ້າພວກເຮົາຮູ້ວ່າ ກັບທີ່ບໍ່ຮູ້ຈັກ ແລະມີຊື່ສຽງ и , ຫຼັງຈາກນັ້ນພວກເຮົາສາມາດອີງໃສ່ຄຸນສົມບັດທີ່ໄດ້ກ່າວມາຂ້າງເທິງເພື່ອແກ້ໄຂສົມຜົນສໍາລັບ . ໂດຍການນໍາໃຊ້ XOR ທັງສອງດ້ານຂອງສົມຜົນກັບ , ພວກເຮົາໄດ້ຮັບ . ນີ້ທັງຫມົດຈະກາຍເປັນຄວາມກ່ຽວຂ້ອງຫຼາຍໃນຂະນະນີ້.

ມີສອງຄວາມແຕກຕ່າງເລັກນ້ອຍແລະຄວາມແຕກຕ່າງທີ່ສໍາຄັນຫນຶ່ງລະຫວ່າງສະຖານະການ Alice ຂອງພວກເຮົາແລະການໂຈມຕີ Vaudenay. ສອງອັນເລັກນ້ອຍ:

ໃນສະຄິບ, Alice ຄາດຫວັງວ່າຂໍ້ຄວາມທໍາມະດາຈະສິ້ນສຸດດ້ວຍຕົວອັກສອນ a, bb, ccc ແລະອື່ນໆ. ໃນການໂຈມຕີ Wodene, ຜູ້ຖືກເຄາະຮ້າຍແທນທີ່ຈະຄາດຫວັງວ່າ plaintexts ຈະສິ້ນສຸດ N ເວລາດ້ວຍ N byte (ນັ້ນແມ່ນ, hexadecimal 01 ຫຼື 02 02, ຫຼື 03 03 03, ແລະອື່ນໆ). ນີ້ແມ່ນຄວາມແຕກຕ່າງກັນຂອງເຄື່ອງສໍາອາງຢ່າງດຽວ.
ໃນສະຖານະການຂອງ Alice, ມັນງ່າຍທີ່ຈະບອກໄດ້ວ່າ Alice ໄດ້ຍອມຮັບຂໍ້ຄວາມໂດຍການຕອບສະຫນອງ "ຂໍ້ຄວາມ dummy ບໍ່ຖືກຕ້ອງ." ໃນການໂຈມຕີຂອງ Vodene, ການວິເຄາະຫຼາຍແມ່ນຕ້ອງການແລະການປະຕິບັດທີ່ຊັດເຈນກ່ຽວກັບຜູ້ເຄາະຮ້າຍແມ່ນມີຄວາມສໍາຄັນ; ແຕ່ສໍາລັບ sake ຂອງ brevity, ໃຫ້ເຮົາໃຊ້ເວລາມັນໃຫ້ວ່າການວິເຄາະນີ້ແມ່ນຍັງເປັນໄປໄດ້.

ຄວາມແຕກຕ່າງຕົ້ນຕໍ:

ເນື່ອງຈາກພວກເຮົາບໍ່ໄດ້ໃຊ້ລະບົບ crypto ດຽວກັນ, ຄວາມສໍາພັນລະຫວ່າງ bytes ciphertext ທີ່ຄວບຄຸມໂດຍການໂຈມຕີແລະຄວາມລັບ (key ແລະ plaintext) ແນ່ນອນຈະແຕກຕ່າງກັນ. ດັ່ງນັ້ນ, ຜູ້ໂຈມຕີຈະຕ້ອງໃຊ້ກົນລະຍຸດທີ່ແຕກຕ່າງກັນໃນເວລາທີ່ສ້າງ ciphertexts ແລະຕີຄວາມຫມາຍການຕອບສະຫນອງຂອງເຄື່ອງແມ່ຂ່າຍ.

ຄວາມແຕກຕ່າງທີ່ ສຳ ຄັນນີ້ແມ່ນສ່ວນສຸດທ້າຍຂອງປິດສະ ໜາ ເພື່ອເຂົ້າໃຈການໂຈມຕີ Vaudenay, ສະນັ້ນໃຫ້ເຮົາໃຊ້ເວລາພິຈາລະນາວ່າເປັນຫຍັງແລະວິທີການໂຈມຕີ oracle ໃນ CBC ສາມາດຖືກຕິດຕັ້ງໃນສະຖານທີ່ທໍາອິດ.

ສົມມຸດວ່າພວກເຮົາໄດ້ຮັບ CBC ciphertext ຂອງ 247 ຕັນ, ແລະພວກເຮົາຕ້ອງການຖອດລະຫັດມັນ. ພວກເຮົາສາມາດສົ່ງຂໍ້ຄວາມປອມແປງກັບເຄື່ອງແມ່ຂ່າຍ, ເຊັ່ນດຽວກັນກັບພວກເຮົາສາມາດສົ່ງຂໍ້ຄວາມປອມໃຫ້ Alice ກ່ອນ. ເຊີບເວີຈະຖອດລະຫັດຂໍ້ຄວາມໃຫ້ພວກເຮົາ, ແຕ່ຈະບໍ່ສະແດງການຖອດລະຫັດ - ແທນທີ່ຈະ, ອີກເທື່ອຫນຶ່ງ, ເຊັ່ນດຽວກັບ Alice, ເຄື່ອງແມ່ຂ່າຍຈະລາຍງານພຽງແຕ່ຫນຶ່ງຂໍ້ມູນ: ຂໍ້ຄວາມທໍາມະດາມີ padding ທີ່ຖືກຕ້ອງຫຼືບໍ່.

ພິຈາລະນາວ່າໃນສະຖານະການຂອງ Alice ພວກເຮົາມີຄວາມສໍາພັນດັ່ງຕໍ່ໄປນີ້:

$$display$$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key}) = ຂໍ້ຄວາມ{plaintext}$$display$$

ໃຫ້ເອີ້ນນີ້ວ່າ "ສົມຜົນຂອງ Alice." ພວກເຮົາຄວບຄຸມລະຫັດລັບ; ເຊີບເວີ (Alice) ຮົ່ວຂໍ້ມູນທີ່ບໍ່ຊັດເຈນກ່ຽວກັບຂໍ້ຄວາມທົ່ງພຽງທີ່ໄດ້ຮັບ; ແລະນີ້ອະນຸຍາດໃຫ້ພວກເຮົາໄດ້ຮັບຂໍ້ມູນກ່ຽວກັບປັດໃຈສຸດທ້າຍ - ທີ່ສໍາຄັນ. ໂດຍການປຽບທຽບ, ຖ້າພວກເຮົາສາມາດຊອກຫາການເຊື່ອມຕໍ່ດັ່ງກ່າວສໍາລັບ script CBC, ພວກເຮົາອາດຈະສາມາດສະກັດຂໍ້ມູນລັບບາງຢ່າງຢູ່ທີ່ນັ້ນເຊັ່ນກັນ.

ໂຊກດີ, ມີການພົວພັນຢ່າງແທ້ຈິງທີ່ພວກເຮົາສາມາດນໍາໃຊ້ໄດ້. ພິຈາລະນາຜົນຜະລິດຂອງການໂທສຸດທ້າຍເພື່ອຖອດລະຫັດ block cipher ແລະຫມາຍເຫດຜົນຜະລິດນີ້ເປັນ . ພວກເຮົາຍັງໝາຍເຖິງບລັອກຂອງຂໍ້ຄວາມທຳມະດາ ແລະຕັນ ciphertext . ເບິ່ງແຜນວາດ CBC ອີກຄັ້ງໜຶ່ງ ແລະສັງເກດເຫັນສິ່ງທີ່ເກີດຂຶ້ນ:

ໃຫ້ເອີ້ນອັນນີ້ວ່າ "ສົມຜົນ CBC."

ໃນສະຖານະການຂອງ Alice, ໂດຍການຕິດຕາມ ciphertext ແລະເບິ່ງການຮົ່ວໄຫລຂອງຂໍ້ຄວາມທໍາມະດາທີ່ສອດຄ້ອງກັນ, ພວກເຮົາສາມາດໂຈມຕີການໂຈມຕີທີ່ຟື້ນຟູໄລຍະທີສາມໃນສົມຜົນ - ກຸນແຈ. ໃນສະຖານະການ CBC, ພວກເຮົາຍັງຕິດຕາມ ciphertext ແລະສັງເກດເຫັນການຮົ່ວໄຫລຂອງຂໍ້ມູນຢູ່ໃນຂໍ້ຄວາມທໍາມະດາທີ່ສອດຄ້ອງກັນ. ຖ້າການປຽບທຽບຖື, ພວກເຮົາສາມາດໄດ້ຮັບຂໍ້ມູນກ່ຽວກັບ .

ໃຫ້ສົມມຸດວ່າພວກເຮົາຟື້ນຟູຢ່າງແທ້ຈິງ , ແລ້ວແມ່ນຫຍັງ? ແລ້ວ, ພວກເຮົາສາມາດພິມອອກທັງຫມົດສຸດທ້າຍຂອງ plaintext ໃນເວລາດຽວກັນ (), ພຽງແຕ່ໂດຍການເຂົ້າ (ທີ່ພວກເຮົາມີ) ແລະ
ໄດ້ຮັບ ເຂົ້າໄປໃນສົມຜົນ CBC.

ໃນປັດຈຸບັນທີ່ພວກເຮົາມີຄວາມຄາດຫວັງໃນແງ່ດີກ່ຽວກັບແຜນການໂຈມຕີໂດຍລວມ, ມັນແມ່ນເວລາທີ່ຈະອອກລາຍລະອຽດ. ກະລຸນາໃສ່ໃຈທີ່ແນ່ນອນວ່າຂໍ້ມູນຂ່າວສານ plaintext ຖືກຮົ່ວໄຫລຢູ່ໃນເຊີບເວີ. ໃນສະຄຣິບຂອງ Alice, ການຮົ່ວໄຫຼເກີດຂຶ້ນເພາະວ່າ Alice ຈະຕອບດ້ວຍຂໍ້ຄວາມທີ່ຖືກຕ້ອງເທົ່ານັ້ນຫາກ $inline$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key})$inline$ ສິ້ນສຸດດ້ວຍແຖວ. a (ຫຼື bb, ແລະອື່ນໆ, ແຕ່ໂອກາດຂອງເງື່ອນໄຂເຫຼົ່ານີ້ຖືກກະຕຸ້ນໂດຍໂອກາດແມ່ນຫນ້ອຍຫຼາຍ). ຄ້າຍຄືກັນກັບ CBC, ເຄື່ອງແມ່ຂ່າຍຍອມຮັບ padding if ແລະພຽງແຕ່ຖ້າຫາກວ່າ ສິ້ນສຸດດ້ວຍເລກຖານສິບຫົກ 01. ດັ່ງນັ້ນ, ໃຫ້ພະຍາຍາມ trick ດຽວກັນ: ການສົ່ງ ciphertexts ປອມດ້ວຍມູນຄ່າປອມຂອງພວກເຮົາເອງ ຈົນກ່ວາເຄື່ອງແມ່ຂ່າຍຍອມຮັບການຕື່ມຂໍ້ມູນ.

ເມື່ອເຊີບເວີຍອມຮັບຊ່ອງຫວ່າງສໍາລັບຫນຶ່ງໃນຂໍ້ຄວາມປອມຂອງພວກເຮົາ, ມັນຫມາຍຄວາມວ່າ:

ຕອນນີ້ພວກເຮົາໃຊ້ຄຸນສົມບັດ byte-byte XOR:

ພວກເຮົາຮູ້ຂໍ້ກໍານົດທໍາອິດແລະທີສາມ. ແລະພວກເຮົາໄດ້ເຫັນແລ້ວວ່ານີ້ອະນຸຍາດໃຫ້ພວກເຮົາຟື້ນຕົວໄລຍະທີ່ຍັງເຫຼືອ - byte ສຸດທ້າຍຈາກ :

ນີ້ຍັງໃຫ້ພວກເຮົາ byte ສຸດທ້າຍຂອງ plaintext block ສຸດທ້າຍໂດຍຜ່ານສົມຜົນ CBC ແລະຊັບສິນ byte-by-byte.

ພວກເຮົາສາມາດປະຖິ້ມມັນຢູ່ທີ່ນັ້ນແລະພໍໃຈທີ່ພວກເຮົາໄດ້ດໍາເນີນການໂຈມຕີກ່ຽວກັບ cipher ທີ່ເຂັ້ມແຂງທາງທິດສະດີ. ແຕ່ໃນຄວາມເປັນຈິງພວກເຮົາສາມາດເຮັດໄດ້ຫຼາຍກວ່າ: ພວກເຮົາໃນຕົວຈິງສາມາດຟື້ນຕົວຂໍ້ຄວາມທັງຫມົດ. ອັນນີ້ຮຽກຮ້ອງໃຫ້ມີການຫຼອກລວງທີ່ບໍ່ໄດ້ຢູ່ໃນສະຄຣິບຕົ້ນສະບັບຂອງ Alice ແລະບໍ່ຈໍາເປັນສໍາລັບການໂຈມຕີ oracle, ແຕ່ມັນຍັງສົມຄວນທີ່ຈະຮຽນຮູ້.

ເພື່ອເຂົ້າໃຈມັນ, ທໍາອິດໃຫ້ສັງເກດວ່າຜົນຂອງຜົນໄດ້ຮັບທີ່ຖືກຕ້ອງຂອງ byte ສຸດທ້າຍແມ່ນ ພວກເຮົາມີຄວາມສາມາດໃຫມ່. ໃນປັດຈຸບັນ, ໃນເວລາທີ່ forging ciphertexts, ພວກເຮົາສາມາດ manipulate byte ສຸດທ້າຍຂອງ plaintext ທີ່ສອດຄ້ອງກັນ. ອີກເທື່ອຫນຶ່ງ, ນີ້ແມ່ນກ່ຽວຂ້ອງກັບສົມຜົນ CBC ແລະຊັບສິນ byte-by-byte:

ນັບຕັ້ງແຕ່ພວກເຮົາຮູ້ຈັກຄໍາສັບທີສອງ, ພວກເຮົາສາມາດນໍາໃຊ້ການຄວບຄຸມຂອງພວກເຮົາໃນໄລຍະທໍາອິດເພື່ອຄວບຄຸມທີສາມ. ພວກເຮົາພຽງແຕ່ຄິດໄລ່:

ພວກເຮົາບໍ່ສາມາດເຮັດສິ່ງນີ້ກ່ອນຫນ້ານີ້ເນື່ອງຈາກວ່າພວກເຮົາບໍ່ມີ byte ສຸດທ້າຍ .

ນີ້ຈະຊ່ວຍພວກເຮົາແນວໃດ? ສົມມຸດວ່າຕອນນີ້ພວກເຮົາສ້າງລະຫັດລັບທັງຫມົດເຊັ່ນວ່າໃນ plaintexts ທີ່ສອດຄ້ອງກັນ, byte ສຸດທ້າຍແມ່ນເທົ່າກັບ. 02. ຕອນນີ້ເຊີບເວີຍອມຮັບພຽງແຕ່ padding ຖ້າ plaintext ສິ້ນສຸດດ້ວຍ 02 02. ນັບຕັ້ງແຕ່ພວກເຮົາແກ້ໄຂ byte ສຸດທ້າຍ, ນີ້ຈະເກີດຂຶ້ນພຽງແຕ່ຖ້າ penultimate byte ຂອງ plaintext ຍັງເປັນ 02. ພວກເຮົາສືບຕໍ່ສົ່ງ block ciphertext ປອມ, ປ່ຽນ penultimate byte, ຈົນກ່ວາເຄື່ອງແມ່ຂ່າຍຍອມຮັບ padding ສໍາລັບຫນຶ່ງໃນນັ້ນ. ໃນຈຸດນີ້, ພວກເຮົາໄດ້ຮັບ:

ແລະພວກເຮົາຟື້ນຟູ penultimate byte ຄືກັນກັບອັນສຸດທ້າຍໄດ້ຖືກຟື້ນຟູຄືນມາ. ພວກເຮົາສືບຕໍ່ຢູ່ໃນຈິດໃຈດຽວກັນ: ພວກເຮົາແກ້ໄຂສອງ bytes ສຸດທ້າຍຂອງ plaintext ເປັນ 03 03, ພວກເຮົາເຮັດຊ້ໍາການໂຈມຕີນີ້ສໍາລັບ byte ທີສາມຈາກທ້າຍແລະອື່ນໆ, ໃນທີ່ສຸດການຟື້ນຟູຢ່າງສົມບູນ .

ຈະເປັນແນວໃດກ່ຽວກັບສ່ວນທີ່ເຫຼືອຂອງຂໍ້ຄວາມ? ກະລຸນາສັງເກດວ່າມູນຄ່າ ຕົວຈິງແລ້ວແມ່ນ $inline$text{BLOCK_DECRYPT}(text{key},C_{247})$inline$. ພວກເຮົາສາມາດໃສ່ບລັອກອື່ນແທນ , ແລະການໂຈມຕີຍັງຈະປະສົບຜົນສໍາເລັດ. ໃນຄວາມເປັນຈິງ, ພວກເຮົາສາມາດຂໍໃຫ້ເຄື່ອງແມ່ຂ່າຍເຮັດ $inline$text{BLOCK_DECRYPT}$inline$ ສໍາລັບຂໍ້ມູນໃດໆ. ໃນຈຸດນີ້, ມັນຈົບເກມ - ພວກເຮົາສາມາດຖອດລະຫັດລະຫັດລັບໃດໆ (ເບິ່ງອື່ນໃນແຜນວາດການຖອດລະຫັດ CBC ເພື່ອເບິ່ງນີ້; ແລະສັງເກດວ່າ IV ແມ່ນສາທາລະນະ).

ວິທີການສະເພາະນີ້ມີບົດບາດສໍາຄັນໃນການໂຈມຕີ oracle ທີ່ພວກເຮົາຈະພົບຕໍ່ມາ.

ການໂຈມຕີຂອງ Kelsey

John Kelsey ຂອງພວກເຮົາໄດ້ວາງຫຼັກການພື້ນຖານຂອງການໂຈມຕີທີ່ເປັນໄປໄດ້ຫຼາຍ, ບໍ່ພຽງແຕ່ລາຍລະອຽດຂອງການໂຈມຕີສະເພາະກ່ຽວກັບລະຫັດລັບສະເພາະ. ລາວ ບົດຂຽນ 2002 ຂອງປີ ແມ່ນການສຶກສາການໂຈມຕີທີ່ເປັນໄປໄດ້ກ່ຽວກັບຂໍ້ມູນທີ່ບີບອັດເຂົ້າລະຫັດລັບ. ທ່ານຄິດວ່າຂໍ້ມູນທີ່ຖືກບີບອັດກ່ອນການເຂົ້າລະຫັດບໍ່ພຽງພໍທີ່ຈະດໍາເນີນການໂຈມຕີ? ມັນ turns ໃຫ້ເຫັນວ່າເປັນພຽງພໍ.

ຜົນໄດ້ຮັບທີ່ຫນ້າປະຫລາດໃຈນີ້ແມ່ນຍ້ອນສອງຫຼັກການ. ຫນ້າທໍາອິດ, ມີຄວາມສໍາພັນທີ່ເຂັ້ມແຂງລະຫວ່າງຄວາມຍາວຂອງຂໍ້ຄວາມທໍາມະດາແລະຄວາມຍາວຂອງ ciphertext; ສໍາລັບຄວາມສະເຫມີພາບທີ່ແນ່ນອນຂອງ ciphers ຫຼາຍ. ອັນທີສອງ, ເມື່ອການບີບອັດຖືກປະຕິບັດ, ຍັງມີຄວາມສໍາພັນທີ່ເຂັ້ມແຂງລະຫວ່າງຄວາມຍາວຂອງຂໍ້ຄວາມທີ່ຖືກບີບອັດແລະລະດັບ "ສຽງ" ຂອງຂໍ້ຄວາມທໍາມະດາ, ນັ້ນແມ່ນ, ອັດຕາສ່ວນຂອງຕົວອັກສອນທີ່ບໍ່ຊ້ໍາກັນ (ຄໍາສັບດ້ານວິຊາການແມ່ນ "entopy ສູງ". ).

ເພື່ອເບິ່ງຫຼັກການໃນການປະຕິບັດ, ພິຈາລະນາສອງຂໍ້ຄວາມທໍາມະດາ:

ຂໍ້ຄວາມທຳມະດາ 1: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

ຂໍ້ຄວາມທຳມະດາ 2: ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ

ໃຫ້ສົມມຸດວ່າທັງສອງຂໍ້ຄວາມທໍາມະດາຖືກບີບອັດແລະຫຼັງຈາກນັ້ນເຂົ້າລະຫັດ. ທ່ານໄດ້ຮັບລະຫັດລັບສອງອັນທີ່ເປັນຜົນ ແລະຕ້ອງເດົາວ່າລະຫັດໃດທີ່ກົງກັບຂໍ້ຄວາມທຳມະດາ:

ຂໍ້ຄວາມລະຫັດ 1: PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTA

ຂໍ້ຄວາມລະຫັດ 2: DWKJZXYU

ຄໍາຕອບແມ່ນຈະແຈ້ງ. ໃນບັນດາບົດຄວາມທົ່ງພຽງ, ພຽງແຕ່ plaintext 1 ທີ່ສາມາດຖືກບີບອັດເຂົ້າໄປໃນຄວາມຍາວບໍ່ພຽງພໍຂອງ ciphertext ທີສອງ. ພວກເຮົາຄິດເລື່ອງນີ້ໂດຍບໍ່ຮູ້ຫຍັງກ່ຽວກັບວິທີບີບອັດ, ລະຫັດການເຂົ້າລະຫັດ, ຫຼືແມ້ກະທັ້ງຕົວເຂົ້າລະຫັດຕົວມັນເອງ. ເມື່ອປຽບທຽບກັບລໍາດັບຊັ້ນຂອງການໂຈມຕີ cryptographic ທີ່ເປັນໄປໄດ້, ນີ້ແມ່ນປະເພດຂອງບ້າ.

Kelsey ຊີ້ໃຫ້ເຫັນຕື່ມອີກວ່າພາຍໃຕ້ສະຖານະການຜິດປົກກະຕິບາງຢ່າງຫຼັກການນີ້ຍັງສາມາດຖືກນໍາໃຊ້ເພື່ອປະຕິບັດການໂຈມຕີ oracle. ໂດຍສະເພາະ, ມັນອະທິບາຍເຖິງວິທີທີ່ຜູ້ໂຈມຕີສາມາດຟື້ນຕົວຂໍ້ຄວາມລັບໆໄດ້ ຖ້າລາວສາມາດບັງຄັບໃຫ້ເຊີບເວີເຂົ້າລະຫັດຂໍ້ມູນແບບຟອມ (ຂໍ້ຄວາມທຳມະດາຕາມມາດ້ວຍ. ໃນຂະນະທີ່ລາວຄວບຄຸມ ແລະ somehow ສາມາດກວດສອບຄວາມຍາວຂອງຜົນໄດ້ຮັບການເຂົ້າລະຫັດ.

ອີກເທື່ອຫນຶ່ງ, ເຊັ່ນດຽວກັນກັບການໂຈມຕີ oracle ອື່ນໆ, ພວກເຮົາມີຄວາມສໍາພັນ:

ອີກເທື່ອ ໜຶ່ງ, ພວກເຮົາຄວບຄຸມໄລຍະ ໜຶ່ງ (), ພວກເຮົາເຫັນການຮົ່ວໄຫລຂະຫນາດນ້ອຍຂອງຂໍ້ມູນກ່ຽວກັບສະມາຊິກອື່ນ (ciphertext) ແລະພະຍາຍາມຟື້ນຕົວອັນສຸດທ້າຍ (ຂໍ້ຄວາມທໍາມະດາ). ເຖິງວ່າຈະມີການປຽບທຽບ, ນີ້ແມ່ນສະຖານະການທີ່ຜິດປົກກະຕິເມື່ອທຽບກັບການໂຈມຕີ oracle ອື່ນໆທີ່ພວກເຮົາໄດ້ເຫັນ.

ເພື່ອສະແດງໃຫ້ເຫັນວ່າການໂຈມຕີດັ່ງກ່າວອາດຈະເຮັດວຽກແນວໃດ, ໃຫ້ໃຊ້ຮູບແບບການບີບອັດທີ່ສົມມຸດຕິຖານທີ່ພວກເຮົາຫາກໍມາກັບ: TOYZIP. ມັນຊອກຫາແຖວຂອງຂໍ້ຄວາມທີ່ປາກົດໃນຂໍ້ຄວາມກ່ອນຫນ້າແລະແທນທີ່ພວກມັນດ້ວຍສາມไบต์ຕົວຍຶດທີ່ຊີ້ບອກບ່ອນທີ່ຈະຊອກຫາຕົວຢ່າງກ່ອນຫນ້າຂອງເສັ້ນແລະຈໍານວນເວລາທີ່ມັນປາກົດຢູ່ທີ່ນັ້ນ. ຕົວຢ່າງ, ສາຍ helloworldhello ສາມາດໄດ້ຮັບການບີບອັດເຂົ້າໄປໃນ helloworld[00][00][05] ຍາວ 13 bytes ເມື່ອປຽບທຽບກັບ 15 bytes ຕົ້ນສະບັບ.

ສົມມຸດວ່າຜູ້ໂຈມຕີພະຍາຍາມກູ້ຄືນຂໍ້ຄວາມທຳມະດາຂອງແບບຟອມ password=..., ບ່ອນທີ່ລະຫັດຜ່ານຕົວມັນເອງແມ່ນບໍ່ຮູ້. ອີງຕາມຮູບແບບການໂຈມຕີຂອງ Kelsey, ຜູ້ໂຈມຕີສາມາດຂໍໃຫ້ເຄື່ອງແມ່ຂ່າຍບີບອັດແລະຫຼັງຈາກນັ້ນເຂົ້າລະຫັດຂໍ້ຄວາມແບບຟອມ (ຂໍ້ຄວາມທໍາມະດາຕາມດ້ວຍ. ), ບ່ອນໃດ - ຂໍ້ຄວາມຟຣີ. ເມື່ອເຄື່ອງແມ່ຂ່າຍໄດ້ສໍາເລັດການເຮັດວຽກ, ມັນລາຍງານຄວາມຍາວຂອງຜົນໄດ້ຮັບ. ການໂຈມຕີເປັນດັ່ງນີ້:

ຄົນຂີ້ລັກ: ກະລຸນາບີບອັດແລະເຂົ້າລະຫັດຂໍ້ຄວາມທົ່ງພຽງໂດຍບໍ່ມີການ padding ໃດ.

ເຊີບເວີ: ຄວາມຍາວຜົນໄດ້ຮັບ 14.

ຄົນຂີ້ລັກ: ກະລຸນາບີບອັດແລະເຂົ້າລະຫັດຂໍ້ຄວາມທົ່ງພຽງທີ່ຖືກຕໍ່ທ້າຍ password=a.

ເຊີບເວີ: ຄວາມຍາວຜົນໄດ້ຮັບ 18.

ບັນທຶກ cracker: [ຕົ້ນສະບັບ 14] + [ສາມ bytes ທີ່ທົດແທນ password=] + a

ຄົນຂີ້ລັກ: ກະລຸນາບີບອັດ ແລະເຂົ້າລະຫັດຂໍ້ຄວາມທຳມະດາທີ່ເພີ່ມໃສ່ password=b.

ເຊີບເວີ: ຄວາມຍາວຜົນໄດ້ຮັບ 18.

ຄົນຂີ້ລັກ: ກະລຸນາບີບອັດ ແລະເຂົ້າລະຫັດຂໍ້ຄວາມທຳມະດາທີ່ເພີ່ມໃສ່ password=с.

ເຊີບເວີ: ຄວາມຍາວຜົນໄດ້ຮັບ 17.

ບັນທຶກ cracker: [ຕົ້ນສະບັບ 14] + [ສາມ bytes ທີ່ທົດແທນ password=c]. ນີ້ສົມມຸດວ່າຂໍ້ຄວາມທໍາມະດາຕົ້ນສະບັບປະກອບດ້ວຍສະຕຣິງ password=c. ນັ້ນແມ່ນ, ລະຫັດຜ່ານເລີ່ມຕົ້ນດ້ວຍຕົວອັກສອນ c

ຄົນຂີ້ລັກ: ກະລຸນາບີບອັດ ແລະເຂົ້າລະຫັດຂໍ້ຄວາມທຳມະດາທີ່ເພີ່ມໃສ່ password=сa.

ເຊີບເວີ: ຄວາມຍາວຜົນໄດ້ຮັບ 18.

ບັນທຶກ cracker: [ຕົ້ນສະບັບ 14] + [ສາມ bytes ທີ່ທົດແທນ password=с] + a

ຄົນຂີ້ລັກ: ກະລຸນາບີບອັດ ແລະເຂົ້າລະຫັດຂໍ້ຄວາມທຳມະດາທີ່ເພີ່ມໃສ່ password=сb.

ເຊີບເວີ: ຄວາມຍາວຜົນໄດ້ຮັບ 18.

(…ເວລາຕໍ່ມາ…)

ຄົນຂີ້ລັກ: ກະລຸນາບີບອັດ ແລະເຂົ້າລະຫັດຂໍ້ຄວາມທຳມະດາທີ່ເພີ່ມໃສ່ password=со.

ເຊີບເວີ: ຄວາມຍາວຜົນໄດ້ຮັບ 17.

ບັນທຶກ cracker: [ຕົ້ນສະບັບ 14] + [ສາມ bytes ທີ່ທົດແທນ password=co]. ການນໍາໃຊ້ເຫດຜົນດຽວກັນ, ຜູ້ໂຈມຕີສະຫຼຸບວ່າລະຫັດຜ່ານເລີ່ມຕົ້ນດ້ວຍຕົວອັກສອນ co

ແລະອື່ນໆຈົນກ່ວາລະຫັດຜ່ານທັງຫມົດຈະຖືກຟື້ນຟູຄືນມາ.

ຜູ້ອ່ານອາດຈະໄດ້ຮັບການໃຫ້ອະໄພທີ່ຄິດວ່ານີ້ແມ່ນການອອກກໍາລັງກາຍທາງວິຊາການຢ່າງແທ້ຈິງແລະສະຖານະການການໂຈມຕີດັ່ງກ່າວຈະບໍ່ເກີດຂື້ນໃນໂລກທີ່ແທ້ຈິງ. ອະນິຈາ, ດັ່ງທີ່ພວກເຮົາຈະເຫັນໃນໄວໆນີ້, ມັນດີກວ່າທີ່ຈະບໍ່ຍອມແພ້ກັບການເຂົ້າລະຫັດລັບ.

ຊ່ອງໂຫວ່ຂອງຍີ່ຫໍ້: CRIME, POODLE, DROWN

ສຸດທ້າຍ, ຫຼັງຈາກການສຶກສາທິດສະດີໃນລາຍລະອຽດ, ພວກເຮົາສາມາດເຫັນໄດ້ວ່າເຕັກນິກເຫຼົ່ານີ້ຖືກນໍາໄປໃຊ້ໃນການໂຈມຕີທາງເຂົ້າລະຫັດລັບໃນຊີວິດຈິງ.

ອາດຊະຍາ ກຳ

ຖ້າການໂຈມຕີແມ່ນແນໃສ່ຕົວທ່ອງເວັບແລະເຄືອຂ່າຍຂອງຜູ້ຖືກເຄາະຮ້າຍ, ບາງຢ່າງຈະງ່າຍຂຶ້ນແລະບາງຢ່າງຈະມີຄວາມຫຍຸ້ງຍາກຫຼາຍ. ຕົວຢ່າງ, ມັນງ່າຍທີ່ຈະເບິ່ງການຈະລາຈອນຂອງຜູ້ເຄາະຮ້າຍ: ພຽງແຕ່ນັ່ງກັບລາວໃນຄາເຟດຽວກັນກັບ WiFi. ສໍາລັບເຫດຜົນນີ້, ຜູ້ຖືກເຄາະຮ້າຍທີ່ເປັນໄປໄດ້ (i.e. ທຸກຄົນ) ໂດຍທົ່ວໄປແມ່ນແນະນໍາໃຫ້ໃຊ້ການເຊື່ອມຕໍ່ທີ່ຖືກເຂົ້າລະຫັດ. ມັນຈະມີຄວາມຫຍຸ້ງຍາກຫຼາຍ, ແຕ່ຍັງເປັນໄປໄດ້, ເພື່ອເຮັດໃຫ້ການຮ້ອງຂໍ HTTP ໃນນາມຂອງຜູ້ຖືກເຄາະຮ້າຍໄປຫາບາງເວັບໄຊທ໌ຂອງພາກສ່ວນທີສາມ (ຕົວຢ່າງ, Google). ຜູ້ໂຈມຕີຕ້ອງລໍ້ລວງຜູ້ເຄາະຮ້າຍໄປຫາຫນ້າເວັບທີ່ເປັນອັນຕະລາຍດ້ວຍສະຄິບທີ່ເຮັດໃຫ້ຄໍາຮ້ອງຂໍ. ຕົວທ່ອງເວັບຂອງເວັບໄຊຕ໌ຈະສະຫນອງ cookie ເຊດຊັນທີ່ເຫມາະສົມໂດຍອັດຕະໂນມັດ.

ນີ້ເບິ່ງຄືວ່າເຮັດໃຫ້ປະລາດ. ຖ້າ Bob ໄປ evil.com, script ຢູ່ໃນເວັບໄຊທ໌ນີ້ພຽງແຕ່ຂໍໃຫ້ Google ສົ່ງອີເມວລະຫັດຜ່ານຂອງ Bob ໄປຫາ [email protected]? ດີ, ໃນທາງທິດສະດີແມ່ນ, ແຕ່ໃນຄວາມເປັນຈິງບໍ່ມີ. ສະຖານະການນີ້ໄດ້ຖືກເອີ້ນວ່າການໂຈມຕີການຮ້ອງຂໍຂ້າມສະຖານທີ່ forgery (ການປອມແປງການຮ້ອງຂໍຂ້າມເວັບໄຊ, CSRF), ແລະມັນເປັນທີ່ນິຍົມປະມານກາງ 90s. ມື້ນີ້ຖ້າ evil.com ພະຍາຍາມ trick ນີ້, Google (ຫຼືເວັບໄຊທ໌ທີ່ເຄົາລົບຕົນເອງ) ມັກຈະຕອບສະຫນອງກັບ, "ດີ, ແຕ່ token CSRF ຂອງທ່ານສໍາລັບການເຮັດທຸລະກໍານີ້ຈະເປັນ ... um ... три триллиона и семь. ກະລຸນາເຮັດຊ້ຳຕົວເລກນີ້." ຕົວທ່ອງເວັບທີ່ທັນສະໄຫມມີບາງສິ່ງບາງຢ່າງທີ່ເອີ້ນວ່າ "ນະໂຍບາຍຕົ້ນສະບັບດຽວກັນ" ເຊິ່ງສະຄິບຢູ່ໃນເວັບໄຊທ໌ A ບໍ່ສາມາດເຂົ້າເຖິງຂໍ້ມູນທີ່ສົ່ງໂດຍເວັບໄຊທ໌ B. ດັ່ງນັ້ນສະຄິບຢູ່ໃນ evil.com ສາມາດສົ່ງຄໍາຮ້ອງສະຫມັກ google.com, ແຕ່ບໍ່ສາມາດອ່ານຄໍາຕອບໄດ້ຫຼືຕົວຈິງແລ້ວການເຮັດທຸລະກໍາ.

ພວກເຮົາຕ້ອງເນັ້ນຫນັກວ່າເວັ້ນເສຍແຕ່ວ່າ Bob ກໍາລັງໃຊ້ການເຊື່ອມຕໍ່ທີ່ຖືກເຂົ້າລະຫັດ, ການປົກປ້ອງທັງຫມົດເຫຼົ່ານີ້ບໍ່ມີຄວາມຫມາຍ. ຜູ້ໂຈມຕີສາມາດອ່ານການຈາລະຈອນຂອງ Bob ແລະກູ້ຄືນຄຸກກີຂອງເຊດຊັນຂອງ Google. ດ້ວຍຄຸກກີນີ້, ລາວພຽງແຕ່ຈະເປີດແຖບ Google ໃໝ່ ໂດຍບໍ່ຕ້ອງອອກຈາກບຣາວເຊີຂອງຕົນເອງ ແລະ ປອມຕົວເປັນ Bob ໂດຍບໍ່ຕ້ອງພົບກັບນະໂຍບາຍຕົ້ນກຳເນີດທີ່ໜ້າລັງກຽດ. ແຕ່, ແຕ່ຫນ້າເສຍດາຍສໍາລັບ burglar, ນີ້ແມ່ນຫນ້ອຍແລະຫນ້ອຍທົ່ວໄປ. ອິນເຕີເນັດທັງຫມົດໄດ້ປະກາດສົງຄາມໃນການເຊື່ອມຕໍ່ທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດມາດົນນານ, ແລະການຈະລາຈອນຂາອອກຂອງ Bob ອາດຈະຖືກເຂົ້າລະຫັດ, ບໍ່ວ່າລາວມັກມັນຫຼືບໍ່. ນອກຈາກນັ້ນ, ນັບຕັ້ງແຕ່ການເລີ່ມຕົ້ນຂອງການປະຕິບັດອະນຸສັນຍາ, ການຈະລາຈອນກໍ່ຍັງ ຫຼຸດລົງ ກ່ອນການເຂົ້າລະຫັດ; ນີ້ແມ່ນການປະຕິບັດທົ່ວໄປເພື່ອຫຼຸດຜ່ອນເວລາ latency.

ນີ້ແມ່ນບ່ອນທີ່ມັນເຂົ້າໄປໃນການຫຼິ້ນ ອາດຊະຍາ ກຳ (ອັດຕາສ່ວນການບີບອັດ Infoleak ເຮັດງ່າຍ, ການຮົ່ວໄຫຼງ່າຍດາຍໂດຍຜ່ານອັດຕາສ່ວນການບີບອັດ). ຊ່ອງໂຫວ່ດັ່ງກ່າວໄດ້ຖືກເປີດເຜີຍໃນເດືອນກັນຍາ 2012 ໂດຍນັກຄົ້ນຄວ້າຄວາມປອດໄພ Juliano Rizzo ແລະ Thai Duong. ພວກເຮົາໄດ້ກວດເບິ່ງພື້ນຖານທິດສະດີທັງຫມົດແລ້ວ, ເຊິ່ງເຮັດໃຫ້ພວກເຮົາເຂົ້າໃຈສິ່ງທີ່ພວກເຂົາເຮັດແລະວິທີການ. ຜູ້ໂຈມຕີສາມາດບັງຄັບໃຫ້ບຼາວເຊີຂອງ Bob ສົ່ງຄໍາຮ້ອງຂໍໄປໃຫ້ Google ແລະຫຼັງຈາກນັ້ນຟັງຄໍາຕອບໃນເຄືອຂ່າຍທ້ອງຖິ່ນໃນຮູບແບບທີ່ຖືກບີບອັດ, ເຂົ້າລະຫັດ. ເພາະສະນັ້ນພວກເຮົາມີ:

ໃນທີ່ນີ້ຜູ້ໂຈມຕີຄວບຄຸມການຮ້ອງຂໍແລະມີການເຂົ້າເຖິງ sniffer ການຈະລາຈອນ, ລວມທັງຂະຫນາດຂອງແພັກເກັດ. ສະຖານະການສົມມຸດຂອງ Kelsey ໄດ້ມີຊີວິດ.

ຄວາມເຂົ້າໃຈທິດສະດີ, ຜູ້ຂຽນຂອງ CRIME ໄດ້ສ້າງການຂູດຮີດທີ່ສາມາດລັກເອົາ cookies ຂອງກອງປະຊຸມສໍາລັບເວັບໄຊທ໌ທີ່ກວ້າງຂວາງ, ລວມທັງ Gmail, Twitter, Dropbox ແລະ Github. ຊ່ອງໂຫວ່ໄດ້ສົ່ງຜົນກະທົບຕໍ່ຕົວທ່ອງເວັບທີ່ທັນສະໄຫມທີ່ສຸດ, ສົ່ງຜົນໃຫ້ patches ໄດ້ຖືກປ່ອຍອອກມາເຊິ່ງຝັງລັກສະນະການບີບອັດຢູ່ໃນ SSL ຢ່າງງຽບໆເພື່ອບໍ່ໃຫ້ມັນຖືກນໍາໃຊ້ທັງຫມົດ. ອັນດຽວທີ່ຖືກປົກປ້ອງຈາກຊ່ອງໂຫວ່ແມ່ນ Internet Explorer ທີ່ມີຊື່ສຽງ, ເຊິ່ງບໍ່ເຄີຍໃຊ້ການບີບອັດ SSL ເລີຍ.

ໝູ

ໃນເດືອນຕຸລາ 2014, ທີມງານຄວາມປອດໄພຂອງ Google ໄດ້ສ້າງຄື້ນຟອງໃນຊຸມຊົນຄວາມປອດໄພ. ພວກເຂົາສາມາດຂຸດຄົ້ນຊ່ອງໂຫວ່ໃນໂປໂຕຄອນ SSL ທີ່ໄດ້ຮັບການ patched ຫຼາຍກວ່າສິບປີກ່ອນ.

ມັນປະກົດວ່າໃນຂະນະທີ່ເຄື່ອງແມ່ຂ່າຍກໍາລັງແລ່ນ TLSv1.2 ໃຫມ່ທີ່ເຫຼື້ອມ, ຫຼາຍໆຄົນໄດ້ອອກຈາກການສະຫນັບສະຫນູນ SSLv3 ແບບເກົ່າແກ່ສໍາລັບຄວາມເຂົ້າກັນໄດ້ກັບ Internet Explorer 6. ພວກເຮົາໄດ້ເວົ້າກ່ຽວກັບການໂຈມຕີ downgrade ແລ້ວ, ດັ່ງນັ້ນທ່ານສາມາດຈິນຕະນາການສິ່ງທີ່ເກີດຂຶ້ນ. ການທຳລາຍລະບົບການຈັບມືທີ່ຖືກຈັດວາງໄວ້ຢ່າງດີ ແລະເຊີບເວີພ້ອມແລ້ວທີ່ຈະກັບຄືນສູ່ SSLv3 ເກົ່າທີ່ດີ, ໂດຍຫຼັກແລ້ວການຍົກເລີກການຄົ້ນຄວ້າຄວາມປອດໄພໃນ 15 ປີຜ່ານມາ.

ສໍາລັບສະພາບການປະຫວັດສາດ, ນີ້ແມ່ນບົດສະຫຼຸບສັ້ນໆກ່ຽວກັບປະຫວັດຂອງ SSL ເຖິງຮຸ່ນ 2 ຈາກ Matthew Green:

Transport Layer Security (TLS) ແມ່ນໂປໂຕຄອນຄວາມປອດໄພທີ່ສໍາຄັນທີ່ສຸດໃນອິນເຕີເນັດ. [..] ເກືອບທຸກທຸລະກໍາທີ່ທ່ານເຮັດໃນອິນເຕີເນັດແມ່ນຂຶ້ນກັບ TLS. [..] ແຕ່ TLS ບໍ່ແມ່ນ TLS ສະເໝີ. ອະນຸສັນຍາໄດ້ເລີ່ມຕົ້ນຊີວິດຂອງຕົນໃນ ການສື່ສານ Netscape ເອີ້ນວ່າ "Secure Sockets Layer" ຫຼື SSL. ມີຂ່າວລືວ່າ SSL ລຸ້ນທຳອິດແມ່ນຂີ້ຮ້າຍຫຼາຍຈົນຜູ້ພັດທະນາໄດ້ເກັບເອົາລະຫັດພິມທັງໝົດ ແລະຝັງໄວ້ໃນບ່ອນຖິ້ມຂີ້ເຫຍື້ອລັບໃນລັດນິວເມັກຊິໂກ. ດ້ວຍເຫດນີ້, SSL ລຸ້ນທຳອິດທີ່ມີໃຫ້ສາທາລະນະຊົນແມ່ນຕົວຈິງແລ້ວ ລຸ້ນ SSL 2. ມັນຫນ້າຢ້ານຫຼາຍ, ແລະ [..] ມັນແມ່ນຜະລິດຕະພັນຂອງກາງຊຸມປີ 90, ເຊິ່ງນັກຂຽນ crypto ທີ່ທັນສະໄຫມຖືວ່າ "ຍຸກມືດຂອງການເຂົ້າລະຫັດລັບ" ການໂຈມຕີ cryptographic ຫຼາຍອັນທີ່ໂຫດຮ້າຍທີ່ສຸດທີ່ພວກເຮົາຮູ້ກ່ຽວກັບໃນມື້ນີ້ຍັງບໍ່ທັນໄດ້ຖືກຄົ້ນພົບ. ດັ່ງນັ້ນ, ນັກພັດທະນາຂອງໂປໂຕຄອນ SSLv2 ໄດ້ຖືກປະໄວ້ຢ່າງຈໍາເປັນເພື່ອ fumble ວິທີການຂອງເຂົາເຈົ້າຢູ່ໃນຄວາມມືດ, ແລະພວກເຂົາປະເຊີນກັບ. ຫຼາຍ monsters ຂີ້ຮ້າຍ - ເພື່ອຄວາມໂກດແຄ້ນຂອງພວກເຂົາແລະຜົນປະໂຫຍດຂອງພວກເຮົາ, ນັບຕັ້ງແຕ່ການໂຈມຕີ SSLv2 ໄດ້ປະໄວ້ບົດຮຽນອັນລ້ໍາຄ່າສໍາລັບການຜະລິດຕໍ່ໄປຂອງໂປໂຕຄອນ.

ປະຕິບັດຕາມເຫດການເຫຼົ່ານີ້, ໃນປີ 1996, Netscape ທີ່ອຸກອັ່ງໄດ້ອອກແບບໂປໂຕຄອນ SSL ຄືນໃໝ່ຈາກຈຸດເລີ່ມຕົ້ນ. ຜົນໄດ້ຮັບແມ່ນ SSL ຮຸ່ນ 3, ເຊິ່ງ ແກ້ໄຂບັນຫາຄວາມປອດໄພທີ່ຮູ້ຈັກຫຼາຍອັນຂອງລຸ້ນກ່ອນ.

ໂຊກດີສໍາລັບຜູ້ລັກລອບ, "ສອງສາມ" ບໍ່ໄດ້ຫມາຍຄວາມວ່າ "ທັງຫມົດ." ໂດຍລວມແລ້ວ, SSLv3 ໄດ້ສະຫນອງທຸກສິ່ງກໍ່ສ້າງທີ່ຈໍາເປັນເພື່ອເປີດຕົວການໂຈມຕີ Vodene. ໂປຣໂຕຄໍໄດ້ໃຊ້ລະຫັດບລັອກແບບ CBC ແລະຮູບແບບການປິດບັງທີ່ບໍ່ປອດໄພ (ອັນນີ້ຖືກແກ້ໄຂໃນ TLS; ດັ່ງນັ້ນຈຶ່ງຕ້ອງການການໂຈມຕີຫຼຸດລະດັບ). ຖ້າທ່ານຈື່ຈໍາໂຄງການ padding ໃນຄໍາອະທິບາຍຕົ້ນສະບັບຂອງພວກເຮົາກ່ຽວກັບການໂຈມຕີ Vaudenay, ໂຄງການ SSLv3 ແມ່ນຄ້າຍຄືກັນຫຼາຍ.

ແຕ່, ແຕ່ຫນ້າເສຍດາຍສໍາລັບ burglars, "ຄ້າຍຄືກັນ" ບໍ່ໄດ້ຫມາຍຄວາມວ່າ "ຄືກັນ." ໂຄງການ padding SSLv3 ແມ່ນ "N random bytes ຕິດຕາມດ້ວຍຈໍານວນ N". ພະຍາຍາມ, ພາຍໃຕ້ເງື່ອນໄຂເຫຼົ່ານີ້, ເພື່ອເລືອກ block imaginary ຂອງ ciphertext ແລະຜ່ານຂັ້ນຕອນທັງຫມົດຂອງໂຄງການຕົ້ນສະບັບ Vaudene: ທ່ານຈະພົບເຫັນວ່າການໂຈມຕີສົບຜົນສໍາເລັດສະກັດ byte ສຸດທ້າຍຈາກ block ທີ່ສອດຄ້ອງກັນຂອງ plaintext, ແຕ່ບໍ່ໄດ້ໄປຕື່ມອີກ. ການຖອດລະຫັດທຸກ byte 16th ຂອງ ciphertext ແມ່ນ trick ທີ່ຍິ່ງໃຫຍ່, ແຕ່ວ່າມັນບໍ່ແມ່ນໄຊຊະນະ.

ປະເຊີນກັບຄວາມລົ້ມເຫລວ, ທີມງານ Google ໄດ້ໃຊ້ວິທີສຸດທ້າຍ: ເຂົາເຈົ້າໄດ້ປ່ຽນໄປສູ່ຮູບແບບການຂົ່ມຂູ່ທີ່ມີອໍານາດຫຼາຍ - ທີ່ໃຊ້ໃນອາຊະຍາກໍາ. ສົມມຸດວ່າຜູ້ໂຈມຕີເປັນສະຄິບທີ່ແລ່ນຢູ່ໃນແຖບເບົາເຊີຂອງຜູ້ຖືກເຄາະຮ້າຍແລະສາມາດສະກັດເອົາ cookies ຂອງເຊດຊັນ, ການໂຈມຕີຍັງຄົງປະທັບໃຈ. ໃນຂະນະທີ່ຮູບແບບໄພຂົ່ມຂູ່ທີ່ກວ້າງກວ່າແມ່ນຕົວຈິງຫນ້ອຍ, ພວກເຮົາໄດ້ເຫັນໃນພາກກ່ອນວ່າຮູບແບບສະເພາະນີ້ແມ່ນເປັນໄປໄດ້.

ເນື່ອງຈາກຄວາມສາມາດຂອງການໂຈມຕີທີ່ມີອໍານາດຫຼາຍກວ່ານີ້, ການໂຈມຕີສາມາດສືບຕໍ່ໄດ້. ໃຫ້ສັງເກດວ່າຜູ້ໂຈມຕີຮູ້ບ່ອນທີ່ຄຸກກີເຊດຊັນທີ່ຖືກເຂົ້າລະຫັດຈະປາກົດຢູ່ໃນສ່ວນຫົວແລະຄວບຄຸມຄວາມຍາວຂອງຄໍາຮ້ອງຂໍ HTTP ກ່ອນຫນ້າມັນ. ດັ່ງນັ້ນ, ມັນສາມາດຈັດການຄໍາຮ້ອງຂໍ HTTP ເພື່ອໃຫ້ byte ສຸດທ້າຍຂອງ cookie ສອດຄ່ອງກັບຈຸດສິ້ນສຸດຂອງບລັອກ. ໃນປັດຈຸບັນ byte ນີ້ແມ່ນເຫມາະສົມສໍາລັບການຖອດລະຫັດ. ທ່ານພຽງແຕ່ສາມາດເພີ່ມຫນຶ່ງຕົວອັກສອນໃນການຮ້ອງຂໍ, ແລະ penultimate byte ຂອງຄຸກກີຈະຍັງຄົງຢູ່ໃນສະຖານທີ່ດຽວກັນແລະເຫມາະສົມສໍາລັບການຄັດເລືອກໂດຍໃຊ້ວິທີການດຽວກັນ. ການໂຈມຕີຍັງສືບຕໍ່ຢູ່ໃນລັກສະນະນີ້ຈົນກ່ວາໄຟລ໌ຄຸກກີຖືກຟື້ນຟູຢ່າງສົມບູນ. ມັນຖືກເອີ້ນວ່າ POODLE: Padding Oracle ກ່ຽວກັບການເຂົ້າລະຫັດແບບເດີມທີ່ຫຼຸດລົງ.

ຈົມ

ດັ່ງທີ່ພວກເຮົາໄດ້ກ່າວມາ, SSLv3 ມີຂໍ້ບົກພ່ອງຂອງມັນ, ແຕ່ມັນແຕກຕ່າງກັນໂດຍພື້ນຖານຈາກລຸ້ນກ່ອນ, ເພາະວ່າ SSLv2 ທີ່ຮົ່ວໄຫຼແມ່ນຜະລິດຕະພັນຂອງຍຸກທີ່ແຕກຕ່າງກັນ. ຢູ່ທີ່ນັ້ນທ່ານສາມາດຂັດຂວາງຂໍ້ຄວາມຢູ່ກາງ: соглашусь на это только через мой труп ກາຍເປັນ соглашусь на это; ລູກຄ້າແລະເຄື່ອງແມ່ຂ່າຍສາມາດຕອບສະຫນອງອອນໄລນ໌, ສ້າງຄວາມໄວ້ວາງໃຈແລະແລກປ່ຽນຄວາມລັບຕໍ່ຫນ້າຜູ້ໂຈມຕີ, ຜູ້ທີ່ສາມາດປອມຕົວທັງສອງໄດ້ຢ່າງງ່າຍດາຍ. ຍັງມີບັນຫາກັບການເຂົ້າລະຫັດລັບສົ່ງອອກ, ທີ່ພວກເຮົາໄດ້ກ່າວມາໃນເວລາທີ່ພິຈາລະນາ FREAK. ເຫຼົ່ານີ້ແມ່ນໄດ້ເຂົ້າລະຫັດລັບ Sodom ແລະ Gomorrah.

ໃນເດືອນມີນາ 2016, ທີມງານຂອງນັກຄົ້ນຄວ້າຈາກວິຊາການທີ່ແຕກຕ່າງກັນໄດ້ມາຮ່ວມກັນແລະເຮັດໃຫ້ການຄົ້ນພົບທີ່ຫນ້າປະຫລາດໃຈ: SSLv2 ຍັງຖືກນໍາໃຊ້ໃນລະບົບຄວາມປອດໄພ. ແມ່ນແລ້ວ, ຜູ້ໂຈມຕີບໍ່ສາມາດດາວເກຣດເຊດຊັນ TLS ທັນສະໄໝໄປເປັນ SSLv2 ໄດ້ອີກຕໍ່ໄປ ເນື່ອງຈາກຂຸມນັ້ນຖືກປິດຫຼັງຈາກ FREAK ແລະ POODLE, ແຕ່ພວກເຂົາຍັງສາມາດເຊື່ອມຕໍ່ກັບເຊີບເວີ ແລະເລີ່ມເຊດຊັນ SSLv2 ດ້ວຍຕົນເອງໄດ້.

ເຈົ້າອາດຈະຖາມວ່າ, ເປັນຫຍັງພວກເຮົາສົນໃຈສິ່ງທີ່ເຂົາເຈົ້າເຮັດຢູ່ທີ່ນັ້ນ? ພວກເຂົາມີເຊດຊັນທີ່ມີຄວາມສ່ຽງ, ແຕ່ມັນບໍ່ຄວນສົ່ງຜົນກະທົບຕໍ່ເຊດຊັນອື່ນຫຼືຄວາມປອດໄພຂອງເຄື່ອງແມ່ຂ່າຍ - ແມ່ນບໍ? ດີ, ບໍ່ຂ້ອນຂ້າງ. ແມ່ນແລ້ວ, ນັ້ນແມ່ນວິທີທີ່ມັນຄວນຈະຢູ່ໃນທິດສະດີ. ແຕ່ບໍ່ມີ - ເນື່ອງຈາກວ່າການສ້າງໃບຢັ້ງຢືນ SSL ບັງຄັບໃຊ້ພາລະທີ່ແນ່ນອນ, ສົ່ງຜົນໃຫ້ເຄື່ອງແມ່ຂ່າຍຈໍານວນຫຼາຍໃຊ້ໃບຢັ້ງຢືນດຽວກັນແລະ, ດັ່ງນັ້ນ, ລະຫັດ RSA ດຽວກັນສໍາລັບການເຊື່ອມຕໍ່ TLS ແລະ SSLv2. ເພື່ອເຮັດໃຫ້ບັນຫາຮ້າຍແຮງກວ່າເກົ່າ, ເນື່ອງຈາກຄວາມຜິດພາດ OpenSSL, ທາງເລືອກ "ປິດການໃຊ້ງານ SSLv2" ໃນການປະຕິບັດ SSL ທີ່ນິຍົມນີ້ບໍ່ໄດ້ເຮັດວຽກຕົວຈິງ.

ນີ້ເຮັດໃຫ້ເປັນໄປໄດ້ການໂຈມຕີຂ້າມອະນຸສັນຍາກ່ຽວກັບ TLS, ເອີ້ນວ່າ ຈົມ (ການຖອດລະຫັດ RSA ດ້ວຍ eNcryption ທີ່ລ້າສະໄຫມ ແລະອ່ອນລົງ, ຖອດລະຫັດ RSA ດ້ວຍການເຂົ້າລະຫັດທີ່ລ້າສະໄຫມ ແລະອ່ອນເພຍ). ຈື່ໄວ້ວ່ານີ້ບໍ່ແມ່ນຄືກັນກັບການໂຈມຕີສັ້ນ; ຜູ້ໂຈມຕີບໍ່ຈໍາເປັນຕ້ອງເປັນ "ຜູ້ຊາຍໃນກາງ" ແລະບໍ່ຈໍາເປັນຕ້ອງໃຫ້ລູກຄ້າເຂົ້າຮ່ວມໃນກອງປະຊຸມທີ່ບໍ່ປອດໄພ. ຜູ້ໂຈມຕີພຽງແຕ່ເລີ່ມຕົ້ນກອງປະຊຸມ SSLv2 ທີ່ບໍ່ປອດໄພກັບເຊີບເວີດ້ວຍຕົນເອງ, ໂຈມຕີໂປໂຕຄອນທີ່ອ່ອນແອ, ແລະກູ້ຄືນລະຫັດສ່ວນຕົວ RSA ຂອງເຄື່ອງແມ່ຂ່າຍ. ກະແຈນີ້ຍັງໃຊ້ໄດ້ສໍາລັບການເຊື່ອມຕໍ່ TLS, ແລະຈາກຈຸດນີ້, ບໍ່ມີຈໍານວນຄວາມປອດໄພ TLS ທີ່ຈະປ້ອງກັນມັນຈາກການຖືກທໍາລາຍ.

ແຕ່ເພື່ອ crack ມັນ, ທ່ານຕ້ອງການການໂຈມຕີທີ່ເຮັດວຽກຕໍ່ກັບ SSLv2, ເຊິ່ງອະນຸຍາດໃຫ້ທ່ານສາມາດຟື້ນຕົວບໍ່ພຽງແຕ່ການຈະລາຈອນສະເພາະ, ແຕ່ຍັງລະຫັດເຄື່ອງແມ່ຂ່າຍ RSA ລັບ. ເຖິງແມ່ນວ່ານີ້ແມ່ນການຕິດຕັ້ງທີ່ຊັບຊ້ອນ, ນັກຄົ້ນຄວ້າສາມາດເລືອກຊ່ອງໂຫວ່ໃດໆທີ່ຖືກປິດຢ່າງສົມບູນຫຼັງຈາກ SSLv2. ໃນທີ່ສຸດພວກເຂົາເຈົ້າໄດ້ພົບເຫັນທາງເລືອກທີ່ເຫມາະສົມ: ການໂຈມຕີ Bleichenbacher, ທີ່ພວກເຮົາໄດ້ກ່າວມາກ່ອນຫນ້ານີ້ແລະທີ່ພວກເຮົາຈະອະທິບາຍລາຍລະອຽດໃນບົດຄວາມຕໍ່ໄປ. SSL ແລະ TLS ຖືກປົກປ້ອງຈາກການໂຈມຕີນີ້, ແຕ່ບາງລັກສະນະແບບສຸ່ມຂອງ SSL, ບວກກັບກະແຈສັ້ນໃນການເຂົ້າລະຫັດລະດັບສົ່ງອອກ, ເຮັດໃຫ້ມັນເປັນໄປໄດ້. ການປະຕິບັດສະເພາະຂອງ DROWN.

ໃນເວລາພິມເຜີຍແຜ່, 25% ຂອງເວັບໄຊທ໌ອັນດັບຕົ້ນຂອງອິນເຕີເນັດໄດ້ຮັບຜົນກະທົບຈາກຊ່ອງໂຫວ່ DROWN, ແລະການໂຈມຕີສາມາດດໍາເນີນໄປດ້ວຍຊັບພະຍາກອນເລັກນ້ອຍທີ່ມີເຖິງແມ່ນແຮັກເກີທີ່ຂີ້ຕົວະ. ການດຶງເອົາລະຫັດ RSA ຂອງເຊີບເວີຕ້ອງໃຊ້ການຄຳນວນແປດຊົ່ວໂມງ ແລະ $440, ແລະ SSLv2 ໄດ້ຈາກລ້າສະໄໝໄປເປັນ radioactive.

ລໍຖ້າ, Heartbleed ແມ່ນຫຍັງ?

ນີ້ບໍ່ແມ່ນການໂຈມຕີ cryptographic ໃນຄວາມຮູ້ສຶກທີ່ໄດ້ອະທິບາຍຂ້າງເທິງ; ນີ້ແມ່ນການລົ້ນ buffer.

ໃຫ້ໃຊ້ເວລາພັກຜ່ອນ

ພວກເຮົາໄດ້ເລີ່ມຕົ້ນດ້ວຍເຕັກນິກພື້ນຖານບາງຢ່າງ: brute force, interpolation, downgrading, cross-protocol, ແລະ precomputation. ຫຼັງຈາກນັ້ນ, ພວກເຮົາໄດ້ເບິ່ງເຕັກນິກກ້າວຫນ້າທາງດ້ານຫນຶ່ງ, ບາງທີອົງປະກອບຕົ້ນຕໍຂອງການໂຈມຕີ cryptographic ທີ່ທັນສະໄຫມ: ການໂຈມຕີ oracle. ພວກເຮົາໃຊ້ເວລາຫຼາຍໃນການຄິດໄລ່ມັນ - ແລະເຂົ້າໃຈບໍ່ພຽງແຕ່ຫຼັກການພື້ນຖານ, ແຕ່ຍັງລາຍລະອຽດດ້ານວິຊາການຂອງສອງການປະຕິບັດສະເພາະ: ການໂຈມຕີ Vaudenay ໃນໂຫມດການເຂົ້າລະຫັດ CBC ແລະການໂຈມຕີ Kelsey ກ່ຽວກັບໂປໂຕຄອນການເຂົ້າລະຫັດກ່ອນການບີບອັດ.

ໃນການທົບທວນຄືນການໂຈມຕີ downgrade ແລະ precomputation, ພວກເຮົາໄດ້ອະທິບາຍໂດຍຫຍໍ້ກ່ຽວກັບການໂຈມຕີ FREAK, ເຊິ່ງໃຊ້ທັງສອງວິທີການໂດຍການໃຫ້ສະຖານທີ່ເປົ້າຫມາຍ downgrade ເປັນກະແຈອ່ອນແອແລະຫຼັງຈາກນັ້ນນໍາໃຊ້ໃຫມ່ຄີດຽວກັນ. ສໍາລັບບົດຄວາມຕໍ່ໄປ, ພວກເຮົາຈະບັນທຶກການໂຈມຕີ Logjam (ຄ້າຍຄືກັນຫຼາຍ), ເຊິ່ງເປົ້າຫມາຍວິທີການທີ່ສໍາຄັນສາທາລະນະ.

ຫຼັງຈາກນັ້ນ, ພວກເຮົາໄດ້ເບິ່ງສາມຕົວຢ່າງເພີ່ມເຕີມຂອງການປະຕິບັດຫຼັກການເຫຼົ່ານີ້. ຫນ້າທໍາອິດ, CRIME ແລະ POODLE: ສອງການໂຈມຕີທີ່ອີງໃສ່ຄວາມສາມາດຂອງຜູ້ໂຈມຕີເພື່ອ inject plaintext arbitrary ຕໍ່ໄປກັບ plaintext ເປົ້າຫມາຍ, ຫຼັງຈາກນັ້ນກວດເບິ່ງການຕອບສະຫນອງຂອງເຄື່ອງແມ່ຂ່າຍແລະ. ຫຼັງຈາກນັ້ນ,, ໂດຍໃຊ້ວິທີການໂຈມຕີ oracle, ຂຸດຄົ້ນຂໍ້ມູນທີ່ມີຄວາມກະຈ່າງແຈ້ງນີ້ເພື່ອ, ກູ້ຂໍ້ຄວາມທົ່ງພຽງບາງສ່ວນ. CRIME ໄດ້ໄປຕາມເສັ້ນທາງຂອງການໂຈມຕີຂອງ Kelsey ໃນການບີບອັດ SSL, ໃນຂະນະທີ່ POODLE ແທນທີ່ຈະໃຊ້ຕົວແປຂອງການໂຈມຕີ Vaudenay ໃນ CBC ທີ່ມີຜົນກະທົບດຽວກັນ.

ຫຼັງຈາກນັ້ນ, ພວກເຮົາຫັນຄວາມສົນໃຈຂອງພວກເຮົາກັບການໂຈມຕີຂ້າມໂປໂຕຄອນ DROWN, ເຊິ່ງສ້າງການເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍໂດຍໃຊ້ໂປໂຕຄອນ SSLv2 ທີ່ເປັນມໍລະດົກແລະຫຼັງຈາກນັ້ນຟື້ນຟູລະຫັດລັບຂອງເຄື່ອງແມ່ຂ່າຍໂດຍໃຊ້ການໂຈມຕີ Bleichenbacher. ພວກເຮົາໄດ້ຂ້າມລາຍລະອຽດດ້ານວິຊາການຂອງການໂຈມຕີນີ້ສໍາລັບໃນປັດຈຸບັນ; ເຊັ່ນ Logjam, ມັນຈະຕ້ອງລໍຖ້າຈົນກ່ວາພວກເຮົາມີຄວາມເຂົ້າໃຈດີກ່ຽວກັບລະບົບ crypto ທີ່ສໍາຄັນສາທາລະນະແລະຈຸດອ່ອນຂອງເຂົາເຈົ້າ.

ໃນບົດຄວາມຕໍ່ໄປພວກເຮົາຈະເວົ້າກ່ຽວກັບການໂຈມຕີແບບພິເສດເຊັ່ນ: ການພົບກັນໃນກາງ, ການວິເຄາະລະຫັດລັບທີ່ແຕກຕ່າງກັນແລະການໂຈມຕີວັນເກີດ. ຂໍໃຫ້ພິຈາລະນາໄວໆໃນການໂຈມຕີທາງຂ້າງ, ແລະຫຼັງຈາກນັ້ນເຂົ້າໄປໃນເນື້ອເລື່ອງ: ລະບົບ crypto ທີ່ສໍາຄັນສາທາລະນະ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com

ການໂຈມຕີ Cryptographic: ຄໍາອະທິບາຍສໍາລັບຈິດໃຈທີ່ສັບສົນ

ຍຸດທະສາດພື້ນຖານ

ຜົນບັງຄັບໃຊ້ brute ງ່າຍດາຍ

ການວິເຄາະຄວາມຖີ່

ການຄິດໄລ່ເບື້ອງຕົ້ນ

ການແຊກແຊງ

ຂ້າມໂປຣໂຕຄໍ/ດາວເກຣດ

ແລະກ່ອນທີ່ພວກເຮົາຈະກ້າວຕໍ່ໄປ, ມີການໂຈມຕີແບບພິເສດອັນຫນຶ່ງທີ່ຕ້ອງໄດ້ຮັບການກ່າວເຖິງ ...

ການໂຈມຕີ Oracle

ການໂຈມຕີຂອງ Vodene

ການໂຈມຕີຂອງ Kelsey

ຊ່ອງໂຫວ່ຂອງຍີ່ຫໍ້: CRIME, POODLE, DROWN

ອາດຊະຍາ ກຳ

ໝູ

ຈົມ

ລໍຖ້າ, Heartbleed ແມ່ນຫຍັງ?

ໃຫ້ໃຊ້ເວລາພັກຜ່ອນ

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ

ການໂຈມຕີ Cryptographic: ຄໍາອະທິບາຍສໍາລັບຈິດໃຈທີ່ສັບສົນ

ຍຸດທະສາດພື້ນຖານ

ຜົນບັງຄັບໃຊ້ brute ງ່າຍດາຍ

ການວິເຄາະຄວາມຖີ່

ການ​ຄິດ​ໄລ່​ເບື້ອງ​ຕົ້ນ​

ການແຊກແຊງ

ຂ້າມໂປຣໂຕຄໍ/ດາວເກຣດ

ແລະກ່ອນທີ່ພວກເຮົາຈະກ້າວຕໍ່ໄປ, ມີການໂຈມຕີແບບພິເສດອັນຫນຶ່ງທີ່ຕ້ອງໄດ້ຮັບການກ່າວເຖິງ ...

ການໂຈມຕີ Oracle

ການໂຈມຕີຂອງ Vodene

ການໂຈມຕີຂອງ Kelsey

ຊ່ອງໂຫວ່ຂອງຍີ່ຫໍ້: CRIME, POODLE, DROWN

ອາດຊະຍາ ກຳ

ໝູ

ຈົມ

ລໍຖ້າ, Heartbleed ແມ່ນຫຍັງ?

ໃຫ້ໃຊ້ເວລາພັກຜ່ອນ

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ

ການຄິດໄລ່ເບື້ອງຕົ້ນ