问软件版本的RSA SecurID？

EN

尼克·卡瓦迪亚斯( Nick Kavadias )在寻找能够破解RSA SecurID的软件时写道：“我记得我读到，密钥生成的算法已经被破坏了&有一个可用的软件实用程序，如果你从物理密钥中插入足够多的序列，它就会找到密钥序列。我能从哪里得到这个软件？”

嗨尼克

自2003年以来，SecurID一直是基于AES分组密码，美国先进的密码标准。SecurID使用128位特定于令牌的密钥和AES，通过加密连续生成一系列60秒的SecurID令牌代码：

• 64位标准ISO表示当前时间(yr/mo/day/小时/min/秒)，
• 特定于32位令牌的盐(令牌的序列号)
• 再来32块垫子。

抱歉尼克。不是喜悦。在可预见的将来，没有人可能“打破”AES。

最初的SecurID于1987年首次推出，使用专有的John Brainard算法散列64位令牌特有的秘密和当前时间，生成SecurID的6-8位数字令牌代码系列，每60秒不断更改一次。

尽管据我所知，没有人成功破解了经典的64位SecurID之一，但在RSA升级到AES SecurID后不久，学术界对旧SecurID散列中的新类型漏洞有了惊人的洞察力。这些对Brainard哈希的理论攻击通常需要收集数千个SecurID令牌代码，并对可能对某些令牌有效的系列进行广泛的统计分析。我知道有几次尝试使用这种方法来实际破解SecurID，但都没有成功

我怀疑是否有真正的软件存在--毕竟，它只适合攻击64位SecurID，一种不再使用的产品--但是有一些学术论文可以探索可能性，如果这是你的爱好的话。(对Brainard散列最有洞察力的解构和分析出现在Biryukov、Lano和Preneel 2003年的一篇论文中，另一篇论文是由前RSA密码家Contini和尹于2004年发表的。我认为这两个网站都很容易在网上找到。)

我有点不清楚你的目标，尼克。RSA已经从他们的网站上免费分发了数百万种专为各种手持平台定制的AES SecurID软件版本。他们为他们的服务器和用于初始化这些令牌仿真应用程序的“秘密密钥”收费。毫无疑问，SecurID代码的各种反向工程版本正在流通中。所以你可以使用真实的或仿制的SecurID代码--但是没有128位的秘密就能让RSA系统正常工作。并且RSA的认证服务器只注册和支持由公司RSA数字签名的SecurID秘密“密钥”。

我希望这能回答你的问题。如果你有更多的话就大声说出来。多年来，我一直是RSA的顾问，我的偏见是公开的，但我通常对问答很感兴趣。

苏尔特角( _Vin )

RSA为一些PDA做官方软件标记。我们公司在公司的Blackberrys上安装了令牌的软件版本，以节省用户携带dongle和BB的费用。

在PDA上安装软件可以保持安全性的两个方面(你拥有的东西和你知道的东西)在你可能连接到资源的同一台台式电脑上安装了一个软件令牌。

另外，使用官方的RSA软件令牌--由控制资源访问的人分发给您--比使用一些被黑客攻击的软件要好得多，这些软件很可能破坏了您、发行者和RSA之间的各种协议。

请参阅这里的RSA的官方软件认证器，请注意，尽管您可以轻松下载其中的一些，但是如果没有运行您试图访问的资源的人颁发的密钥/种子记录，它们将无法工作。

我不相信你可以使用你的RSA密钥，但是有一个基于社区的，开源的，基于网络的两要素认证，叫做WikID。他们也有一个商业节目。