В данной работе представлена Энтропия ожидания — новая метрика, предназначенная для оценки стойкости случайных или псевдослучайных паролей. Мотивация исходит из практического пробела в существующих инструментах оценки стойкости паролей. Классические формулы, основанные на комбинаторике (например, $\log_2(\text{размер алфавита}^{\text{длина}})$), выдают результат в десятках бит, в то время как отраслевой стандарт — набор инструментов оценки энтропии NIST — предоставляет нормализованную оценку минимальной энтропии в диапазоне от 0 до 1. Это несоответствие затрудняет прямое сравнение и интуитивную интерпретацию. Энтропия ожидания устраняет этот разрыв, предоставляя оценку стойкости по той же шкале 0-1, что и инструмент NIST, где значение, например, 0.4 означает, что злоумышленник должен перебрать не менее 40% от общего числа возможных вариантов, чтобы найти пароль.
Работа выполнена в рамках проекта «PHY2APP», который фокусируется на генерации стойких симметричных паролей для настройки Wi-Fi устройств (протокол ComPass) с использованием методов безопасности физического уровня, что подчеркивает необходимость в надежной, масштабируемой метрике стойкости.
Энтропия измеряет неупорядоченность, случайность или неопределенность. Различные определения по-разному применимы к стойкости паролей.
Определяется как $H_{\infty} = -\log_2(\max(p_i))$, где $p_i$ — вероятность элемента. Она представляет наихудший сценарий, измеряя сложность угадывания наиболее вероятного исхода. Это основа для выходных данных набора инструментов NIST.
Определяется как $H_1 = -\sum_{i=1}^{N} p_i \log_2 p_i$. Она дает усредненную меру информационного содержания, но критикуется за отсутствие связи с фактической сложностью подбора в контексте взлома паролей, поскольку игнорирует длину пароля и оптимальную стратегию атакующего.
Определяется как $H_0 = \log_2 N$, она измеряет только размер распределения (размер алфавита), полностью игнорируя вероятности символов.
Определяется как $G = \sum_{i=1}^{N} p_i \cdot i$, где варианты угадывания упорядочены по убыванию вероятности. Это измеряет ожидаемое количество попыток, необходимое оптимальному атакующему. Она более непосредственно связана с практическим временем взлома, но не нормализована.
Энтропия ожидания основана на концепции энтропии угадывания, но нормализована к шкале [0, 1]. Ключевая идея — оценить стойкость на основе состава одного пароля. Она рассматривает непересекающиеся наборы символов: строчные буквы $L$ (|L|=26), прописные буквы $U$ (26), цифры $D$ (10) и символы $S$ (32), образуя общее пространство символов $K$ размером 94 для английского языка.
Хотя полный математический вывод для одного пароля подразумевается, но не полностью раскрыт в предоставленном отрывке, метрика по сути нормализует усилия, требуемые оптимальному атакующему, относительно общего пространства поиска. Если $G$ — энтропия угадывания, а $N$ — общее количество возможных паролей (например, $94^{\text{длина}}$ для полного пространства), то нормализованная форма концептуально может быть связана с $E \approx G / N_{eff}$, где $N_{eff}$ — эффективный размер пространства поиска с учетом состава пароля.
Ключевое нововведение — ее интерпретируемая шкала. Значение Энтропии ожидания $\alpha$ (где $0 \le \alpha \le 1$) означает, что атакующий должен выполнить не менее доли $\alpha$ от общего числа требуемых попыток (в оптимальном порядке), чтобы взломать пароль. Значение 1 указывает на идеальную случайность, когда атакующий должен выполнить полный перебор. Это интуитивно согласуется со шкалой минимальной энтропии NIST, облегчая сравнение и принятие решений для проектировщиков систем.
Ключевая идея: Реаз и Вундер не просто предлагают еще одну метрику энтропии; они пытаются решить критический пробел в удобстве использования и интерпретируемости в инженерии безопасности. Реальная проблема заключается не в отсутствии мер сложности, а в когнитивном диссонансе, когда инструмент комбинаторики кричит «80 бит!», а NIST шепчет «0.7». Энтропия ожидания — это прагматичный переводчик, преобразующий криптографическую стойкость в действенную, вероятностную оценку риска на единой панели управления.
Логическая цепочка: Аргументация элегантно проста: 1) Существующие метрики живут на разных планетах (биты против нормализованных оценок), вызывая путаницу. 2) Энтропия угадывания ($G$) ближе к реальности атакующего, но не ограничена. 3) Следовательно, нормализовать $G$ относительно эффективного пространства поиска, чтобы создать оценку 0-1, которая напрямую соответствует проценту усилий, требуемых атакующему. Это соединяет теоретическое (минимальная энтропия NIST) и практическое (нагрузка взломщика паролей).
Сильные и слабые стороны: Сила — в элегантной простоте и немедленной интерпретируемости — настоящая находка для политиков и архитекторов систем. Однако дьявол кроется в предположениях о распределении. Точность метрики сильно зависит от правильного моделирования распределения вероятностей $p_i$ символов в рамках одного образца пароля, что является печально известной сложной статистической проблемой. В отличие от набора NIST, который тестирует длинные битовые последовательности, применение этого к короткому 16-символьному паролю требует надежных оценщиков, которые могут быть чувствительны к смещениям. В отрывке статьи этот процесс оценки для одного экземпляра не детализирован полностью, что является ее ахиллесовой пятой.
Практические выводы: Для команд безопасности эту метрику можно интегрировать в API создания паролей или плагины Active Directory для предоставления интуитивной обратной связи о стойкости в реальном времени («Для взлома вашего пароля потребуется 60% попыток»). Для исследователей следующим шагом должно стать строгая, масштабная эмпирическая валидация против реальных инструментов взлома (таких как Hashcat или John the Ripper) для калибровки модели. Означает ли Энтропия ожидания 0.8 действительно 80% пространства поиска? Это требует доказательства против состязательных ИИ-моделей, подобно тому, как GAN используются для атак в других областях безопасности. Концепция перспективна, но ее операционная полезность зависит от прозрачной, рецензируемой валидации за пределами контролируемой среды машинно-сгенерированных паролей.
Основываясь на изложенных концепциях, Энтропию ожидания $H_E$ для пароля можно концептуально представить. Пусть пароль длины $l$ выбран из алфавита $\mathcal{A}$ с ассоциированным распределением вероятностей для каждой позиции символа (которое может быть оценено на основе самого пароля или референсного корпуса).
Точный, эффективный алгоритм оценки этого по одному образцу является ключевым техническим вкладом, подразумеваемым авторами.
Примечание: Предоставленный отрывок PDF не содержит конкретных экспериментальных результатов или графиков. Ниже приведено описание, основанное на том, что обычно включает валидационное исследование для такой метрики.
Всесторонняя оценка Энтропии ожидания, вероятно, включала бы следующие графики:
Ключевой результат для валидации — утверждение: «Наличие Энтропии ожидания определенного значения, например, 0.4, означает, что атакующий должен перебрать не менее 40% от общего числа попыток». Это требует эмпирического моделирования атак.
Сценарий: Оценка двух 12-символьных паролей для системы, использующей пространство из 94 печатаемых символов ASCII.
Summer2024!k9$Lp@2W#r1ZКлассическая битовая стойкость: Оба имеют одинаковый теоретический максимум: $\log_2(94^{12}) \approx 78.7$ бит.
Анализ Энтропии ожидания:
Этот пример демонстрирует, как Энтропия ожидания обеспечивает более тонкую и реалистичную оценку риска по сравнению с идентичной битовой стойкостью из классической формулы.
Непосредственные применения:
Направления будущих исследований: