Die für einen Brute-Force-Angriff erforderlichen Ressourcen wachsen exponentiell mit zunehmender Schlüsselgröße und nicht linear. Obwohl die US-Exportbestimmungen die Schlüssellängen in der Vergangenheit auf symmetrische 56-Bit-Schlüssel (z. B. Data Encryption Standard) beschränkt haben, gibt es diese Einschränkungen nicht mehr. Daher verwenden moderne symmetrische Algorithmen normalerweise rechenstärkere 128- bis 256-Bit-Schlüssel.
Es gibt ein physikalisches Argument dafür, dass ein symmetrischer 128-Bit-Schlüssel rechnersicher gegen Brute-Force-Angriffe ist. Die durch die Gesetze der Physik implizierte sogenannte Landauer-Grenze legt eine Untergrenze für die Energie fest, die erforderlich ist, um eine Berechnung von kT · ln 2 pro Bit durchzuführen, die bei einer Berechnung gelöscht wird, wobei T die Temperatur der Rechenvorrichtung in Kelvin ist, k ist Die Boltzmann-Konstante und der natürliche Logarithmus von 2 betragen etwa 0,693. Kein irreversibles Computergerät kann auch im Prinzip weniger Energie verbrauchen. Um einfach die möglichen Werte für einen symmetrischen 128-Bit-Schlüssel durchzublättern (ohne die eigentliche Berechnung zu überprüfen), wären theoretisch 2128-1-Bit-Flips auf einem herkömmlichen Prozessor erforderlich. Wenn angenommen wird, dass die Berechnung in der Nähe der Raumtemperatur (~ 300 K) erfolgt, kann der Von Neumann-Landauer-Grenzwert angewendet werden, um den Energiebedarf auf ~ 1018 Joule zu schätzen, was einem Stromverbrauch von 30 Gigawatt pro Jahr entspricht. Dies entspricht 30 × 109 W × 365 × 24 × 3600 s = 9,46 × 1017 J oder 262,7 TWh (etwa 0,1% der jährlichen weltweiten Energieerzeugung). Die vollständige tatsächliche Berechnung – Überprüfung jedes Schlüssels, um festzustellen, ob eine Lösung gefunden wurde – würde ein Vielfaches dieser Menge verbrauchen. Darüber hinaus ist dies einfach der Energiebedarf für das Durchfahren des Schlüsselraums. Die tatsächliche Zeit, die zum Umdrehen jedes Bits benötigt wird, wird nicht berücksichtigt, was sicherlich größer als 0 ist.
Dieses Argument geht jedoch davon aus, dass die Registerwerte unter Verwendung herkömmlicher Set- und Clear-Operationen geändert werden, die unvermeidlich Entropie erzeugen. Es wurde gezeigt, dass Computerhardware so konstruiert werden kann, dass sie diesem theoretischen Hindernis nicht begegnet (siehe reversibles Rechnen), obwohl nicht bekannt ist, dass solche Computer konstruiert wurden.
Moderne GPUs eignen sich gut für sich wiederholende Aufgaben, die mit dem Hardware-basierten Knacken von Passwörtern verbunden sind.
Als kommerzielle Nachfolger von staatlichen ASICs Es sind Lösungen verfügbar geworden, die auch als benutzerdefinierte Hardware-Angriffe bezeichnet werden. Zwei neue Technologien haben ihre Fähigkeit zum Brute-Force-Angriff bestimmter Chiffren unter Beweis gestellt. Eines ist die moderne GPU-Technologie (Graphics Processing Unit), das andere ist die FPGA-Technologie (Field Programmable Gate Array). GPUs profitieren von ihrer breiten Verfügbarkeit und ihrem Preis-Leistungs-Verhältnis, FPGAs von ihrer Energieeffizienz pro kryptografischem Vorgang. Beide Technologien versuchen, die Vorteile der Parallelverarbeitung auf Brute-Force-Angriffe zu übertragen. Bei GPUs von einigen Hundert, bei FPGA von einigen Tausend Prozessoreinheiten sind sie viel besser zum Knacken von Passwörtern geeignet als herkömmliche Prozessoren. Verschiedene Veröffentlichungen auf dem Gebiet der kryptografischen Analyse haben beispielsweise die Energieeffizienz der heutigen FPGA-Technologie bewiesen Der COPACOBANA FPGA Cluster-Computer verbraucht die gleiche Energie wie ein einzelner PC (600 W), bietet jedoch für bestimmte Algorithmen eine Leistung von 2.500 PCs. Eine Reihe von Unternehmen bietet hardwarebasierte FPGA-Kryptografieanalyselösungen von einer einzelnen FPGA PCI Express-Karte bis hin zu dedizierten an FPGA-Computer. Die WPA- und WPA2-Verschlüsselung wurde erfolgreich mit Brute-Force-Angriffen angegriffen, indem die Arbeitslast im Vergleich zu herkömmlichen CPUs um den Faktor 50 und bei FPGAs um einige Hundert reduziert wurde.
Ein einzelnes COPACOBANA-Board mit 6 Xilinx Spartans – ein Cluster besteht aus 20 dieser
AES-Genehmigungen die Verwendung von 256-Bit-Schlüsseln. Brechen eines symmetrischen 256-Bit-k Durch brutale Gewalt wird 2128-mal mehr Rechenleistung benötigt als mit einem 128-Bit-Schlüssel. Einer der schnellsten Supercomputer im Jahr 2019 hat eine Geschwindigkeit von 100 petaFLOPS, die theoretisch 100 Millionen (1014) AES-Schlüssel pro Sekunde prüfen könnten (unter der Annahme von 1000 Operationen pro Prüfung), aber immer noch 3,67 × 1055 Jahre benötigen würden, um den 256-Bit-Schlüssel zu erschöpfen Leerzeichen.
Eine zugrunde liegende Annahme eines Brute-Force-Angriffs ist, dass der gesamte Schlüsselraum zum Generieren von Schlüsseln verwendet wurde, was auf einem effektiven Zufallszahlengenerator beruht, und dass es keine Fehler im Algorithmus oder seinen gibt Implementierung. Zum Beispiel wurde eine Reihe von Systemen, von denen ursprünglich angenommen wurde, dass sie nicht mit brutaler Gewalt geknackt werden können, dennoch geknackt, weil festgestellt wurde, dass der zu durchsuchende Schlüsselraum aufgrund eines Mangels an Entropie in ihrer Pseudozufallszahl viel kleiner ist als ursprünglich angenommen Generatoren. Dazu gehören die Implementierung von SSL durch Netscape (bekanntermaßen 1995 von Ian Goldberg und David Wagner geknackt) und eine Debian / Ubuntu-Edition von OpenSSL, die 2008 als fehlerhaft entdeckt wurde.Ein ähnlicher Mangel an implementierter Entropie führte zum Brechen des Enigma-Codes.