Насколько стойким может быть алгоритм шифрования основанный на хешировании? Схема работы примерно такая:

1. Имеется исходный файл длинной 100 байт и пароль для его шифрования.
2. Вычисляем SHA-1 от пароля, получаем хеш длинной 20 байт.
3. Выполняем побайтовый XOR с первыми 20 байтами файла и хеша.
4. Вычисляем новый хеш от зашифрованного блока в 20 байтов.
5. Сохраняем зашифрованный блок в выходной файл.
6. Берем следующие 20 байт и повторяем всю процедуру и так до тех пор, пока не дойдем до конца файла.

Пробовал программки которые реализуют этот алгоритм, работает все конечно очень медленно. Но меня интересует другое.
Насколько криптостойкий этот алгоритм? И какие пути его взлома существуют?

А можно пример атаки подробнее описать? Я пока ничего кроме тупого брутфорса придумать не могу.
Мне казалось, что здесь уровень криптостойкости примерно на уровне AES-192.

Anatoly Moskovsky,

Ну так атакующий не знает какие байты содержаться в зашифрованном сообщении.
Обычный кейс, когда он перехватил мое сообщение в интернете и пытается его расшифровать.
Как это сделать кроме как брутфорсом для меня неясно.

Ок я не возражаю. Но как быть в реальной жизни? Допустим я перехватил в интернете зашифрованный файл размером 10 кбайт.
Как мне атаковать его? Ведь непонятно даже что это, картинка, голос, текст?

Кстати асики для майнинга могут вычислять хеши аппаратно с огромной скоростью, быстрее чем видеокарты. Б/у продаются в интернете за копейки. Может их можно прикрутить в качестве акселератора.

Это брутфорс пароля? Что значит "низкоэнтропийному" ?

Тогда это фигня а не атака. Откуда в этой базе будет мой типичный пароль Rs#123.$$Z

Не знаю как считать энтропию, но касперский говорит, что брутфорс моего пароля займет 4 года.
Правда непонятно какой алгоритм шифрования и какие мощности нужно для этого использовать.

Длинна хеша в моем алгоритме - 160 бит. Времени существования Вселенной хватит чтобы его угадать? Я что-то сомневаюсь :)

Dima T,

Мы опять по-кругу ходим. Как уже писал выше, обычный атакующий кейс - когда злоумышленник получает зашифрованный файл путем перехвата в почте, или в виде файла на диске. О содержимом он может только догадываться. Допустим судя по-размеру, там обычный текстовый файл в кодировке Unicode. Что это ему даст? Да собственно ничего. Длинна ключа с которым поксорен текст - 160 бит.
Реальная атака - брутфорс на квантовом компьютере, но их еще не построили и неизвестно построят ли вообще.

Dima T,

Для начала надо узнать, какой софт использовал абонент для шифрования сообщения. А потом уже смотреть, можно ли атаковать этот алгоритм каким-то способом, например брутфорсом.

Здесь только два пути. И оба тупиковых. Прямой брутфорс на сверхмощных ресурсах. И попытка атаки на SHA-1 через поиск коллизий.
Первый понятно что в первом случае тупик из тормознутости алгоритма, тут его недостаток становится жирным плюсом.
А на счет атаки на SHA-1 в википедии написано:

Хотя теоретически SHA-1 считается взломанным (количество вычислительных операций сокращено в 280-63 = 131 072 раза), на практике подобный взлом неосуществим, так как займёт пять миллиардов лет.

Т.е. теоретически атаковать можно, но на практике нет.

Я прекрасно понимаю что при наличие открытого текста вычитанием его из зашифрованного получим пароль.
Но дело в том, что таких ситуаций нет в реальной жизни. Если вы подключились к зашифрованному каналу и перехватываете сообщения, то у вас нет информации об открытом тексте. В свое время взломали Энигму ориентируясь на открытый текст, но в конечном случае это было вызвано человеческим фактором.

Я согласен, что наличие возможности атаки с помощью открытого текста - некоторая теоретическая уязвимость. Возможный кейс пользователь шифрует файл и по-ошибке отправляет зашифрованный и открытый файл, давая возможность получить в этом случае пароль. Типичный человеческий фактор.
Но и с другими алгоритмами может сработать тот же человеческий фактор, например пользователь шифрует файл алгоритмом AES и по-ошибке вместе с файлом отправляет в письме и пароль. Все переписка скомпрометирована. Я это к тому, что надо отделять уязвимости связанные с человеческим фактором собственно от алгоритма.

Вы приводите пример человеческой ошибки выдавая ее за недостаток алгоритма.
Кейс с передачей зашифрованного сообщения вместе с аналогичным открытым по-сути ничем не отличается от передачи зашифрованного сообщения с паролем. Таких уязвимостей можно придумать очень много.
Уберите человеческий фактор из канала связи, замените отправителя аппаратно-программным комплексом и такой ситуации не возникнет. Разве я не прав?

По-моему «Криптономикон» Нила Стивенсона намного интереснее.

Описание японского живого компьютера, из сидящих за столами людей-вычислителей, где каждый выполняет элементарную операцию и передает результат другому вычислителю поразило мне воображение...
Даже не знаю были ли такое у японцев во времена Второй Мировой войны, но если было, это очень круто.

Наткнулся на описание шифрования с помощью хеширования в этой работе: https://www.cs.rit.edu/~ark/lectures/onewayhash/onewayhash.shtml

Только тут используется счетчик в ключе, видимо чтобы можно было использовать многопоточное кодирование