RSA SecurID 的软件版本是什么？

在寻找能够破解 RSA SecurID 的软件时，Nick Kavadias 写道：“我记得读到过密钥生成算法已被破解，并且有一个软件实用程序可用，如果你从物理密钥中输入足够多的序列，它就会找出密钥序列。我在哪里可以得到这个软件？？”

嗨，Nick，

自 2003 年以来，RSA SecurID 一直基于美国高级加密标准 AES 分组密码。SecurID 使用 128 位令牌专用密钥和 AES，通过加密以下内容连续生成一系列 60 秒的 SecurID 令牌代码：

• 当前时间的 64 位标准 ISO 表示（年/月/日/时/分/秒），
• 32 位令牌专用盐（令牌的序列号），以及
• 另外 32 位填充。

抱歉，尼克。没什么乐趣。在可预见的未来，没人可能“破解” AES。

最初的 SecurID 于 1987 年首次推出，它使用专有的 John Brainard 算法对 64 位特定于令牌的秘密和当前时间进行散列处理，以生成 SecurID 的一系列 6-8 位令牌代码，每 60 秒不断变化一次。

尽管据我所知，没有人成功破解过经典的 64 位 SecurID，但在 RSA 升级到 AES SecurID 后不久，学术界就对旧 SecurID 哈希中的新类型漏洞进行了深入研究。这些针对 Brainard 哈希的理论攻击通常需要收集数千个 SecurID 令牌代码，并对可能对某些令牌有效的系列进行广泛的统计分析。我知道有几次尝试使用此方法破解 SecurID，但都失败了

我怀疑是否存在实际的软件——毕竟，它只适合攻击不再使用的 64 位 SecurID 产品——但如果您有兴趣，可以查阅学术论文探讨这种可能性。（对 Brainard 哈希最有见地的解构和分析发表在 2003 年由 Biryukov、Lano 和 Preneel 发表的论文以及 2004 年由两位前 RSA 密码学家 Contini 和 Yin 发表的另一篇论文中。我认为这两篇论文都可以在网上轻松找到。）

尼克，我不太清楚你在这里的目的。RSA 已从其网站免费分发了数百万个针对各种手持平台定制的 AES SecurID 软件版本。他们对其服务器和用于初始化这些令牌模拟应用程序的“密钥”收费。毫无疑问，有各种反向工程版本的 SecurID 代码在流通。因此，您可以使用真正的或仿制的 SecurID 代码 - 但无需 128 位密钥即可使 RSA 系统正常工作。并且 RSA 的身份验证服务器将仅注册和支持由公司 RSA 数字签名的 SecurID 秘密“密钥”。

我希望这能解答你的疑问。如果你还有更多疑问，请畅所欲言。我担任 RSA 顾问多年，我的偏见很明显，但我通常愿意回答问题。

Suerte，_Vin

RSA 为一些 PDA 提供官方软件令牌。我们公司在公司黑莓手机上安装了软件版本的令牌，这样用户就不必随身携带加密狗和黑莓手机了。

在 PDA 上安装软件可以保持安全性的双因素（您拥有的东西和您知道的东西），而在您可能连接到资源的同一台台式 PC 上安装软件令牌则不能。

此外，使用由控制资源访问的人员分发给您的官方 RSA 软件令牌要比使用一些被黑客入侵的软件好得多，因为这些软件可能会破坏您、发行者和 RSA 之间的各种协议。

请参阅此处RSA 的官方软件验证器请注意，虽然您可以毫无困难地下载其中一些，但如果没有您尝试访问的资源的运行人员颁发的密钥/种子记录，它们将无法工作。

我不相信你可以使用你的 RSA 密钥卡，但有一个免费的基于社区、开源、基于网络的双因素身份验证，称为维基百科。他们还有一个商业节目。

只要您具备所有必需的物品，就可以模拟 SecureID 设备。但这样做会破坏双因素身份验证的基本设计。这无疑不会让向您提供设备以保护其系统访问权限的人感到高兴。

双因素身份验证的原理是，实物（即“您拥有的拼图的一部分”）无法复制，并且始终随身携带。如果您在笔记本电脑上的软件中模拟此操作，那么您的笔记本电脑就会成为窃取和/或复制这些数据的目标，而您可能甚至不知道发生了什么。