当N为小时SRP-6漏洞

Question

我是使用SRP-6作为身份验证机制的应用程序的开发人员之一。该代码的身份验证部分非常古老，只使用256位的N(所有算法都以模N完成)。在收到被盗密码的报告后，我们升级到SRP-6a，大小为N 1024位。

我们仍在调查(客户端和服务器端)密码是如何被窃取/破解的。我知道，具有如此低N值的SRP-6很容易受到中间人攻击和“一对一”猜测(托马斯·吴的SRP-6改进和改进论文)的攻击。这些攻击可能只发生在客户端，但这让我非常好奇。

攻击者是否有可能对B公钥发起脱机字典/蛮力攻击：

B= (k*v + g^b % N) %N N- 256位长 b- 152位长(使用OpenSSL库生成的随机私钥)

现代科技有可能吗？攻击者能预测或找出随机值b，提取v=g^x % N，然后执行离散对数并找到x吗？

Answer 1

现在解决256位离散日志是绝对可行的，而且速度相当快；虽然它们可能需要一些专门知识才能使用，但也有一些公共的 工具可以这样做。

在这一点上，即使是1024位模数也不是特别保守:人们普遍认为，今天资金充足的机构也可以打破这样的规模，但代价很大。目前RSA，Diffie-Hellman，SRP等的最小推荐模数为2048位.

话虽如此，在得出日志被破坏的结论之前，我也会把我的钱放在客户端或服务器端的入侵上。