RSA SecurID 的软件版本？

在寻找能够破解 RSA SecurID 的软件时，Nick Kavadias 写道：“我记得读到密钥生成算法已被破坏，并且有一个可用的软件实用程序，如果你从物理密钥中输入足够多的序列，它会显示出键序列。我在哪里可以得到这个软件？？？”

嗨尼克，

自 2003 年以来，RSA SecurID 一直基于美国高级加密标准 AES 分组密码。SecurID 使用 128 位令牌专用密钥和 AES，通过加密连续生成一系列 60 秒 SecurID 令牌代码：

• 当前时间的 64 位标准 ISO 表示（年/月/日/小时/分钟/秒），
• 一个 32 位令牌特定的盐（令牌的序列号），以及
• 另外 32 位填充。

对不起，尼克。没有喜悦。在可预见的未来，没有人可能会“破解”AES。

最初的 SecurID 于 1987 年首次推出，使用专有的 John Brainard 算法对 64 位令牌特定的秘密和当前时间进行散列，以生成 SecurID 的一系列 6-8 位令牌代码，每 60 秒不断变化。

尽管据我所知，没有人成功破解过经典的 64 位 SecurID，但在 RSA 升级到它的 AES SecurID。这些对 Brainard 哈希的理论攻击通常需要收集数千个 SecurID 令牌代码，并对可能对某些令牌有效的系列进行广泛的统计分析。我知道有几次尝试使用这种方法来实际破解 SecurID，但都没有成功

我怀疑那里是否有真正的软件——毕竟，它只对攻击 64 位 SecurID（一种不再使用的产品）有好处——但是有学术论文可以探索这种可能性，如果是的话你的弯。（对 Brainard 哈希最有洞察力的解构和分析是 Biryukov、Lano 和 Preneel 于 2003 年发表的一篇论文，以及 Contini 和 Yin 两位前 RSA 密码学家于 2004 年发表的另一篇论文。我认为两者都可以在线访问。）

尼克，我有点不清楚你的目标。RSA 从其网站免费分发了数百万个针对各种手持平台定制的 AES SecurID 软件版本。他们为他们的服务器和用于初始化这些令牌模拟应用程序的“密钥”收费。毫无疑问，有各种反向工程版本的 SecurID 代码在流通。因此，您可以使用真实或仿制的 SecurID 代码——但如果没有 128 位机密，则 RSA 系统可以正常工作。并且 RSA 的身份验证服务器将仅注册和支持已由公司 RSA 进行数字签名的 SecurID 秘密“密钥”。

我希望这回答了你的问题。如果你有更多，请说出来。我多年来一直是 RSA 的顾问，我的偏见很明显，但我通常会接受问答。

苏尔特，_Vin

RSA 为某些 PDA 提供官方软件令牌。我们公司在公司黑莓上安装了代币的软件版本，以节省用户必须随身携带加密狗和他们的 BB。

在 PDA 上安装软件可以保持安全性的两个方面（您拥有的东西和您知道的东西），因为在您可能连接到资源的同一台台式 PC 上安装软件令牌不会.

此外，使用控制资源访问权限的人员分发给您的官方 RSA 软件令牌比使用一些可能会破坏您、发行人和 RSA 之间的各种协议的被黑客入侵的软件要好得多。

请参阅此处了解RSA 的官方软件验证器，请注意，尽管您可以毫无困难地下载其中的一些，但如果没有运行您尝试访问的资源的人员发布的密钥/种子记录，它们将无法工作。

我不相信您可以使用您的 RSA 密钥卡，但有一个免费的基于社区、开源、基于 Web 的两因素身份验证，称为WikID。他们也有商业计划。

如果存在，我不建议使用此类软件。

您实际上是从登录安排中删除了一定程度的安全性。如果有人以某种方式获得了对您的工作站/笔记本电脑的访问权（本地或远程），那么他们就拥有了在这些系统上以您身份登录所需的一切。作为身份验证过程的一部分，拥有额外的物理设备的意义在于您拥有该设备，而远程黑客（或偷了您笔记本电脑的人）没有。

如果你做了这样的事情，谁给了你物理密钥来访问他们的系统，谁都会不高兴，如果他们发现的话，至少会完全撤销你的访问权限。您甚至可能会发现自己处于诉讼状态，因为您很可能违反了在您获得服务访问权时达成的任何协议。

如果您拥有所有必需的项目，则可以模拟 SecureID 设备。但这样做会破坏双因素身份验证的基本设计。这无疑不会取悦任何为您提供设备以确保访问他们自己系统的人。

双因素身份验证的原则是，作为“您拥有的拼图的一部分”的物理项目不能复制，并且始终随身携带。如果您在笔记本电脑上的软件中对此进行仿真，那么您的笔记本电脑将成为窃取和/或复制此数据的目标，您甚至可能不知道它已经发生。

试试这个，但你必须知道你的令牌的序列号。不，它不是写在令牌后面的那个。