|
Малко офтопик, LV5TDELUXE джаджата от Зора е набутвация, също с FC0013 тунер, вътре съм с 40 лева. Мамка му, а как ми се искаше да е E4000 :(
Иначе мисля, че random пълнежа като идея е отпреди въпросната презентация на Karsten Nohl, защото мисля че някъде из pdf-а randomization-а се споменаваше като вариант, който съществува. В което има логика, за възможността да се ползва падинга като източник на known plaintext се споменава още в прословутия paper на Ади Шамир години преди това. Сега от друга страна, нито една клетка в квартала (и на трите оператора, отскоро разбрах че мога и една глобулска да слухтя :) ) не го прави. Причината не я знам - дали технически има възможност, но не го правят за да не губят производителност или пък технически няма възможност, защото ползват по-стар и/или орязан хардуер, нямам идея. Въпросът е че наистина рандомизацията "убива" тази атака. Остават вариантите с пращане на смс примерно (дори това е доста несигурно) или алтернативно прихващането на достатъчно голям обем трафик, където вече се експлойтва друга идея, но това е абсолютно нереалистично ако искаме да разбием mobile-originated sms или дори кратък разговор. Така че това може да се приеме като ефективна мярка, която спира пасивните атаки.
А иначе бавно (за съжаление) напредвам. Два дни си играх да реализирам "отслабена" версия на A5/1, с 32-битов state (един 9-битов, един 11-битов и един 12-битов LFSR регистър), което да разбия по метода на Pоrnin с рекурсивно генериране на системи уравнения и решаването им по метода на Гаус. С дълбочина n=10, имаме близо 365 хиляди системи, които потенциално дават решение (което с брутфорсване на неизвестните няколко бита бихме решили). Не съм си играл да увеличавам дълбочината, защото няма смисъл, дори n=10 е много в случая с 32-битовото състояние. Не съм реализирал и backclock-ването още, за да направя пълна проверка, но генерирането и решаването на тези уравнения отнема 0.7 секунди на едно ядро. В случаят с пълната атака, n ще е между 17 и 19, което по мои сметки означава максимум няколко часа процесорно време. Оттук всичко зависи колко бързо мога да реализирам брутфорсването на неизвестните битове върху видеокартата, ако успея да го направя достатъчно бързо, ще се впишем в планираните параметри. И дори това далеч не е всичко, после трябва да си докажа на практика теорията, че само един burst носи достатъчно known plaintext за разбиването на ключа. Така че доста работа ме чака
Между другото, тоя пич е за убиване, заради ето този цитат:
"Most of the time, the 3n equations are linearly independant. It is therefore
not necessary to handle the rare case where the reversing of the system
gives either an impossibility or a wider subspace of solutions: we just discard
these occurrences. Therefore, 5% or so of cryptanalysis are not successful;
we believe this is acceptable. This does not actually improve performances
but greatly simplifies the implementation."
специално заради това е за пребиване, защото според мен "wider subspace of solutions" далеч не е толкова еднозначно определение и въобще не знам как е решил че това са 5% от случаите, според мен, при n=17 примерно, в най-добрият случай имаме детерминирани 51 неизвестни, а в най-лошият може да имаме брутално размиване на нещата с някакви навързани зависимости между доста голям брой неизвестни и как е определил точно къде да се тегли чертата и да се каже "не ме кефи тоя вариант, майната му" и че 5% отиват под чертата, не ми е много ясно, френска му работа :) И далеч не е вярно че това не влияе на производителността, ако решим че искаме да изпробваме всички възможни решения е много логично да отнеме повече време за да ги сметнем. Но пък от друга страна това е забавно, защото дава известна доза контрол върху нещата, т.е можем да си играем с производителност спрямо вероятност за успех, в зависимост от това по какви критерии да отхвърляме кандидат-системи. Аз както го разбирам (може би оптимистично) ако примерно при n=17 не можем да сведем брутфорс атаката до поне 2^14 опита върху видеокартата (при него FPGA-тата) за тази система, тогава майната й. Само дето не знам той какво точно е имал предвид. Може би няма да е лоша идея да го питам, човекът едва ли ще има против да ми каже, стига да помни какви ги е творил преди толкова време.
Другият вариант е да не разбирам добре какво е искал да каже, защото може би е имал предвид backclock-ването за да докара най-началното състояние, преди 100-те клоквания и key-ването, макар че този процес би трябвало да е доста ясно детерминиран и не би трябвало да има случаи в които имаме "невъзможност" или "по-голямо множество от решения". Хм.Редактирано от gat3way на 20.08.13 01:56.
|
Re: rtl-sdr и разни въпроси [re: sysvladi]
