如今，企業(yè)承受著維持業(yè)務(wù)運轉(zhuǎn)的巨大壓力。如果您的企業(yè)要無縫運營，您的安全團隊需要保護您的企業(yè)免受所有可能干擾您運營的威脅。問題是，今天安全的東西明天可能就在不安全的范圍內(nèi)。造成這種現(xiàn)象的原因是，隨著算法的發(fā)展，新的漏洞出現(xiàn)，網(wǎng)絡(luò)攻擊者開發(fā)出破解大多數(shù)企業(yè)所依賴的密碼學(xué)的新方法。

密碼分析，也稱為代碼跟蹤，是對用于解密和查詢代碼、密碼或加密文本的技術(shù)的深入理解。密碼分析使用數(shù)字規(guī)則來搜索算法的敏感性，并進一步分支到信息安全系統(tǒng)中的密碼學(xué)。本指南將向您介紹所有您需要了解的有關(guān)密碼分析的知識。您將對該主題有一個詳細的了解，并學(xué)習(xí)如何使您的組織免受密碼分析的影響。

什么是密碼分析？

密碼分析過程旨在研究密碼系統(tǒng)以識別弱點和信息泄漏。您可以將其視為探索密碼系統(tǒng)底層數(shù)學(xué)架構(gòu)中的缺陷，包括邊信道攻擊和弱熵輸入等實現(xiàn)漏洞。密碼系統(tǒng)是指采用密碼學(xué)的計算機系統(tǒng)，密碼學(xué)是一種通過代碼保護信息和通信的方法，以便只有那些打算處理它的人才能處理它。

密碼分析與密碼學(xué)

根據(jù)定義，在密碼學(xué)中，您關(guān)心的是在通過不安全的通道傳輸消息之前，通過將消息轉(zhuǎn)換為隱藏文本來隱藏消息。另一方面，密碼分析涉及您通過不安全的通道從隱藏的消息中獲取明文。

在傳輸信息時，密碼學(xué)已被證明是一種資產(chǎn)。展示其用例的一個很好的例子是在需要保護信息的銀行交易和電子郵件消息中。加密方案包括秘密密鑰、公共密鑰和散列函數(shù)。密碼分析是一種將密文解密為純文本的藝術(shù)。在這種情況下，授權(quán)人員會嘗試通過竊聽頻道來解密您的消息。

誰使用密碼分析？

許多組織使用密碼分析，包括想要解密其他國家的私人通信的政府、測試其安全產(chǎn)品的安全功能的企業(yè)、黑客、破解者、獨立研究人員以及希望識別密碼協(xié)議和算法中的漏洞的學(xué)術(shù)從業(yè)者。

密碼學(xué)的進步是由想要保護數(shù)據(jù)的密碼學(xué)家和致力于破解密碼系統(tǒng)的密碼分析師之間無休止的戰(zhàn)斗傳播的。攻擊者的目標與其執(zhí)行密碼分析的特定需求相關(guān)聯(lián)。成功的密碼分析通常不會超出從隱藏文本中推斷信息的范圍。但是，根據(jù)攻擊者的需求就足夠了，其目標因攻擊者而異，但不限于：

• 徹底破解——尋找秘密鑰匙。
• 全局演繹——在不知道密鑰的情況下尋找加密和解密的等效功能算法。
• 信息推導(dǎo)——獲取有關(guān)密文和明文的信息。
• 區(qū)分算法——區(qū)分加密輸出與隨機位排列。

讓我們看一個易于理解的實際示例。但是，您應(yīng)該知道此示例不適用于現(xiàn)代加密算法，但它是一個很好的加深您的理解的示例。頻率分析技術(shù)可用于基本的加密算法?；绢惣用芩惴▓?zhí)行單字母表替換，用同一字母表中的預(yù)定映射字母替換每個字母。這個模型是對更基本的技術(shù)的改進，這些技術(shù)將字母移動一些固定數(shù)量的位置，并從合成的字母表位置用新字母替換舊字母。

雖然單字母替換密碼對盲目搜索有彈性，但它們也不能幸免，可以很容易地用筆和紙破解。又怎樣？頻率分析利用了自然語言不是隨機的并且單字母替換不會隱藏語言的統(tǒng)計特性的特征。讓我們仔細看看，將其縮小到特定字母表，例如具有特定頻率的“E” ，比如說 12.7%。當您用 E 替換得到密文時，其結(jié)果文本保留其原始頻率。如果密碼分析者知道這個頻率，他們可以快速確定替換以破譯您的密文。

密碼分析攻擊的類型

密碼分析攻擊利用您系統(tǒng)中的缺陷，破譯其密碼。要發(fā)起密碼分析攻擊，您需要了解方法的性質(zhì)和明文的一般屬性。plain 可以是任何語言，包括英語或 Java 代碼。這是攻擊類型的列表。前五個是最常見的；其他的很少見，偶爾會被排除在外；很高興認識他們。

• 已知明文分析 (KPA)：在這種情況下，攻擊者可以訪問明文-密文對。接下來，攻擊者所要做的就是映射這些對以找到加密密鑰。這種攻擊很容易使用，因為攻擊者掌握了豐富的知識。
• 選擇明文分析（CPA）：在這種情況下，攻擊者隨機選擇明文，使用它們獲得相應(yīng)的密文，并最終破解加密密鑰。這種方法類似于 KPA，但不太可能成功。
• Ciphertext-Only Analysis (COA)：在這種情況下，攻擊者已知一些密文，因此他們試圖找到相應(yīng)的明文和加密密鑰。攻擊者了解您的算法。這種技術(shù)是最具挑戰(zhàn)性的方法。但是，它的成功率很高，因為它只需要密文。
• 中間人 (MITM) 攻擊：當兩方使用密鑰通過看似安全但遭到破壞的渠道共享通信時，就會發(fā)生這種攻擊。
• 自適應(yīng)選擇明文分析（ACPA）：這種情況類似于 CPA。ACPA 根據(jù)它從過去的加密中學(xué)到的數(shù)據(jù)使用已識別的明文和密文。
• 蠻力攻擊：在這種情況下，攻擊者使用算法來預(yù)測可能的明文邏輯集。然后將猜測的純文本加密并與初始密碼進行比較。
• 字典攻擊：在這種情況下，攻擊者對字典運行明文或密鑰。在試圖破解一些加密密碼時經(jīng)常使用這種技術(shù)。

密碼分析是如何工作的？

推動密碼分析的核心目標是暴露缺陷或規(guī)避密碼算法。密碼學(xué)家利用密碼分析師的研究來改進現(xiàn)有算法或升級低于標準的方法。另一方面，通過密碼學(xué)創(chuàng)建和增強加密密碼和其他技術(shù)，密碼分析專注于解密加密數(shù)據(jù)。這兩個操作相互轉(zhuǎn)換并被限制在密碼學(xué)、代碼、密碼和相關(guān)算法的數(shù)學(xué)研究領(lǐng)域。

研究人員密切關(guān)注開發(fā)擊敗加密方案的攻擊策略，無需加密密鑰即可啟動密文加密算法的解密。通常，您使用密碼分析來暴露您的概念和執(zhí)行方法中的缺陷。

如何防范密碼分析攻擊

不幸的是，除了在整個數(shù)字基礎(chǔ)設(shè)施中使用安全加密方案、密碼并保持軟件更新之外，您無能為力以建立對密碼分析的免疫力。但是，您可以使用以下提示來提高安全性。

• 使用更新的加密和散列算法。一個好的方案是避免使用SHA1和MD5之類的工具，它們不再被認為是安全的。
• 使用長加密密鑰。例如，對于 VPN 握手，您的 RSA 密鑰應(yīng)至少為 2048 位。
• 回想一下銷毀被取代的密鑰。
• 使用強密碼并實施經(jīng)過測試的隨機數(shù)生成器來管理您的密鑰。
• 給你的哈希加鹽。在這里，您正在向哈希中添加隨機噪聲。你應(yīng)該讓你的鹽長期和隨機化，就像使用密碼時一樣。
• 如果您的密鑰遭到泄露，請采用完美前向保密 (PFS) 來防止過去和未來的會話被解密。這通常用于虛擬專用網(wǎng)絡(luò)(VPN)。
• 混淆加密流量——您要確保您的流量看起來很正常，并且不會暴露它已加密的事實。像 Obfsproxy 這樣的軟件是一個很好的示例工具，可以很好地與 Tor 網(wǎng)絡(luò)配合使用。
• 將入侵檢測系統(tǒng) (IDS) 集成到您的基礎(chǔ)設(shè)施中——該系統(tǒng)將通知您違規(guī)或攻擊。但是，這并不能阻止違規(guī)行為。但是，它會縮短您的響應(yīng)時間，使您的系統(tǒng)免受嚴重損壞。最好將一個好的 IDS 集成到您的系統(tǒng)中。

密碼分析的應(yīng)用

密碼分析有幾個實際應(yīng)用。它有時可能與密碼學(xué)相結(jié)合以發(fā)揮其全部潛力。以下是一些應(yīng)用程序：

#1。存儲完整性

您可以使用密碼分析來維護存儲的完整性。在這種情況下，您可以在訪問控制系統(tǒng)中使用鎖和鑰匙來保護數(shù)據(jù)免遭不必要的訪問。您還可以創(chuàng)建加密校驗和以確定存儲在動態(tài)環(huán)境中的數(shù)據(jù)的真實性，在動態(tài)環(huán)境中病毒很容易采用修改數(shù)據(jù)的方法。在數(shù)據(jù)傳輸期間生成校驗和并與預(yù)期值進行比較。密碼分析有助于保護因大量數(shù)據(jù)或長期暴露而易受攻擊的存儲介質(zhì)。

#2。身份認證

在身份認證中，您的主要關(guān)注點是確認用戶訪問數(shù)據(jù)的權(quán)限。密碼分析在密碼交換期間促進了這一過程?，F(xiàn)代系統(tǒng)將密碼轉(zhuǎn)換與個人屬性相結(jié)合，以可靠有效地識別用戶。密碼以加密格式存儲，具有訪問權(quán)限的應(yīng)用程序可以使用它們。由于密碼以明文形式存儲，因此不會危及系統(tǒng)的安全。

#3。系統(tǒng)憑證

您可以使用密碼分析和密碼學(xué)來創(chuàng)建系統(tǒng)的憑證。當用戶登錄到您的系統(tǒng)時，他們總是必須出示個人憑證證明才能被允許進入?，F(xiàn)在正在創(chuàng)建電子證書以促進電子驗證。這種技術(shù)通常應(yīng)用于智能卡以進行加密操作，包括存儲數(shù)據(jù)。

#4。數(shù)字簽名

數(shù)字簽名通常用于通信以驗證消息來自已知的發(fā)件人。這類似于筆和紙文檔簽名。當然，如果數(shù)字簽名要取代模擬簽名，它們是使用密碼分析技術(shù)制作的。如果組織的團隊分布在許多地點并且尚未親自開會以執(zhí)行一些協(xié)作文書工作，這似乎很有幫助。使用數(shù)字簽名格式，任何擁有公鑰的人都可以驗證文檔，這在加密貨幣領(lǐng)域被廣泛采用。

#5。電子資金轉(zhuǎn)賬 (ETF)

最近，您已經(jīng)看到電子貨幣取代了現(xiàn)金交易。電子資金轉(zhuǎn)賬、虛擬貨幣、數(shù)字黃金貨幣、加密貨幣和直接存款都是基于密碼學(xué)的資產(chǎn)?？紤] ATM 取款、借記卡支付和電匯是電子貨幣操作的例子。

如何成為一名密碼分析師

在看到廣泛的密碼分析應(yīng)用程序之后，您可能會考慮成為一名密碼分析員。如果這樣做，您可能會致力于開發(fā)算法、密碼和安全系統(tǒng)來加密數(shù)據(jù)。您還應(yīng)該期望分析和解密加密方法和電信協(xié)議中的信息。

您還可以等待執(zhí)行諸如設(shè)計安全系統(tǒng)、保護關(guān)鍵信息不被攔截、測試計算模型的可靠性、加密財務(wù)數(shù)據(jù)、開發(fā)統(tǒng)計和數(shù)學(xué)模型以分析數(shù)據(jù)以及解決安全問題等角色。如果這足夠令人興奮，請繼續(xù)閱讀并了解如何成為其中一員。

您可以獲得計算機科學(xué)、工程、數(shù)學(xué)或電氣和電子工程等相關(guān)領(lǐng)域的學(xué)士學(xué)位。但是，一些組織仍然可以根據(jù)高強度培訓(xùn)和實踐經(jīng)驗雇用您，而無需獲得技術(shù)學(xué)位。擁有一些網(wǎng)絡(luò)安全認證是一個額外的優(yōu)勢。

最后的話

密碼分析與其說是攻擊本身，不如說是網(wǎng)絡(luò)攻擊的一種手段。對于大多數(shù)抵抗密碼分析嘗試的加密系統(tǒng)，了解那些容易受到攻擊的人需要復(fù)雜的數(shù)學(xué)能力，這不是開玩笑的。 如果您正在考慮學(xué)習(xí)密碼分析，那么在金融、存儲和身份識別領(lǐng)域等廣泛的產(chǎn)品領(lǐng)域工作是一個令人興奮的領(lǐng)域。您已經(jīng)了解了密碼分析的強大功能以及它對構(gòu)建實際應(yīng)用程序的幫助有多大。追求密碼分析是可以的，而且使用你的技能會更好，比如構(gòu)建更安全的實用程序。