it-swarm-eu.dev

Proč většina lidí používá 256 bitové šifrování místo 128 bitů?

Není 128bitová bezpečnost pro většinu praktických aplikací dostatečná?

138
H M

Proč lidé kupují červené sportovní automobily? Nejezdí rychleji než sportovní auta jiné barvy ...

AES přichází se třemi standardními velikostmi klíčů (128, 192 a 256 bitů). Mnoho lidí to vidí a myslí si, že pokud existují tři odlišné velikosti místo jedné, pak musí existovat nějaký rozdíl a protože 256bitová verze je o něco pomalejší než 128bitová verze (asi o 40%), musí být "bezpečnější". Jde tedy o „nejbezpečnější“ a zvolí 256bitové klíče.

Ve skutečnosti má AES tři odlišné velikosti klíčů, protože byl vybrán jako americký federální algoritmus vhodný pro použití v různých oblastech pod kontrolou americké federální vlády, a to včetně americké armády. Americká armáda má dlouholetou tradici používání kryptografie a tato tradice vykrystalizovala do vnitřní regulace se vší flexibilitou a jemností, kterou armády po celém světě neustále projevují (jen poslouchejte nějakou „vojenskou hudbu“ a pochopíte, co tím myslím) . Bohužel se to stalo docela dávno, před vynálezem počítače a v té době byla většina šifrovacích systémů mohla rozbitá a robustnější byly také velmi tvrdé a pomalé použití. Takže jemné vojenské mozky přišly s myšlenkou, že by měly existovat tři „úrovně zabezpečení“, takže nejdůležitější tajemství byla šifrována pomocí těžkých metod že si zasloužili, ale data nižší taktické hodnoty mohla být šifrována praktičtějšími, pokud slabšími algoritmy.

Tato nařízení tedy požadovala tři odlišné úrovně. Jejich návrháři právě předpokládali, že nižší úroveň byla nutně nějakým způsobem slabá, ale slabost nebyla povinná. Takže NIST se rozhodl formálně dodržovat předpisy (požádat o tři velikosti klíčů), ale také udělat inteligentní věc ( nejnižší úroveň musela být nerozbitné předvídatelnou technologií). 128 bitů stačí pro zabezpečení (viz tato odpověď pro podrobnosti). AES proto přijímá 256bitové klíče kvůli byrokratické slabosti: bylo snazší požadovat něco mírně nesmyslného (nadměrná velikost klíče) než změnit vojenské předpisy.

Většina lidí o historii neví nebo se o ni nestará, a prostě jdou po velkých, protože mají pocit, že si to zaslouží.

157
Thomas Pornin

Když stavíte bezpečnostní systém, musíte naplánovat selhání. To je myšlenka za strategie hloubkové obrany .

Kryptografické primitivy se postupem času oslabují. Ačkoli 128 bit primitiva je spousta, v šifře by mohla být odhalena chyba, která snižuje tuto úroveň zabezpečení. Pokud selže primitivní podtržení, musíte přidat bezpečnostní rezervu.

Například md5 produkuje 128bitový hash, avšak s použitím útok s vybranou prefixem) může útočník vyvolat kolizi se složitostí pouze 2 ^ 39 .

38
rook

Neviděl jsem to zmínit v odpovědích nebo komentářích, tak jsem si myslel přidat to jako odpověď. Velikost klíče ne vždy přímo koreluje se složitostí algoritmu. Běžným klamem je předpokládat, že zpráva zašifrovaná pomocí AES256 je obtížnější crackovat (protivník získá jakýkoli druh významové informace pouze s ciphertextem) než stejná informace chráněná pomocí AES128. Je logické, že větší velikost klíče poskytuje větší složitost, ale jako u všech systémů, implementace podléhají slabým stránkám.

Za předpokladu, že mluvíte o AES 128 versus AES 256, je známá slabá funkce klíčové expanze, která ovlivňuje AES256. V zásadě slabost snižuje složitost AES256 na nižší než AES128. Existuje také podobný útok pro AES192, i když v tomto případě zůstává složitost AES192 větší než AES128.

Morálka příběhu, lidé nerozumí krypto ... j/k (nejsem matematik). Realita je taková, že lidé předpokládají „velký“ a „bezpečný“. Velká zbraň je lepší než mít malou zbraň. Větší velikosti klíčů jsou bezpečnější než menší velikosti klíčů.

Ve skutečnosti je implementace šifrování důležitější než velikost klíče samotná.

18
bangdang

FWIW, návrh NIST na post kvantovém kryptu doporučuje 256.

http://csrc.nist.gov/publications/drafts/nistir-8105/nistir_8105_draft.pdf

11
Blaze

Vaše předpoklad se mi zdá špatný. Nejsem si vědom žádných důkazů, že „většina lidí používá 256 bitové šifrování místo 128 bitů“. Opravdu, pokud jsem musel hádat, mám podezření, že tomu tak je naopak.

7
D.W.