it-swarm-eu.dev

Warum verwenden die meisten Menschen 256-Bit-Verschlüsselung anstelle von 128-Bit?

Reicht 128-Bit-Sicherheit für die meisten praktischen Anwendungen nicht aus?

138
H M

Warum kaufen Leute rote Sportwagen? Sie fahren nicht schneller als Sportwagen jeder anderen Farbe ...

AES wird mit drei Standardschlüsselgrößen (128, 192 und 256 Bit) geliefert. Viele Leute sehen dies und denken, wenn es drei unterschiedliche Größen statt nur einer gibt, muss es einen Unterschied geben, und da die 256-Bit-Version etwas langsamer ist als die 128-Bit-Version (um etwa 40%), ist dies der Fall muss "sicherer" sein. Also entscheiden sie sich für "die sichersten" und wählen 256-Bit-Schlüssel.

In Wirklichkeit hat das AES drei unterschiedliche Schlüsselgrößen, da es als US-Bundesalgorithmus ausgewählt wurde, der in verschiedenen Bereichen unter der Kontrolle der US-Bundesregierung eingesetzt werden kann, einschließlich der US-Armee. Die US-Armee hat eine langjährige Tradition in der Verwendung von Kryptographie, und diese Tradition kristallisierte sich in interner Regulierung mit all der Flexibilität und Subtilität heraus, die Armeen auf der ganzen Welt ständig demonstrieren (hören Sie einfach "Militärmusik" und Sie werden verstehen, was ich meine). . Leider geschah dies vor einiger Zeit, vor der Erfindung des Computers, und zu dieser Zeit konnten die meisten Verschlüsselungssysteme kaputt gehen, und die robusteren waren auch sehr schwer und langsam verwenden. So kam das feine militärische Gehirn auf die Idee, dass es drei "Sicherheitsstufen" geben sollte, damit die wichtigsten Geheimnisse mit den schweren Methoden verschlüsselt wurden das haben sie verdient, aber die Daten mit niedrigerem taktischen Wert könnten mit praktischeren, wenn auch schwächeren Algorithmen verschlüsselt werden.

Diese Vorschriften erforderten daher drei unterschiedliche Ebenen. Ihre Designer gingen einfach davon aus , dass die untere Ebene notwendigerweise in irgendeiner Weise schwach war, aber Schwäche war nicht obligatorisch . Also entschied sich der NIST , formal den Vorschriften zu folgen (nach drei Schlüsselgrößen zu fragen), aber auch das zu tun kluges Ding (das niedrigste Level musste mit vorhersehbarer Technologie unzerbrechlich sein). 128 Bit sind für die Sicherheit völlig ausreichend (siehe diese Antwort für Details). Aus diesem Grund akzeptiert AES 256-Bit-Schlüssel aufgrund bürokratischer Mattigkeit: Es war einfacher, etwas etwas Unsinniges (einen Schlüsselgrößen-Overkill) zu fordern, als militärische Vorschriften zu ändern.

Die meisten Menschen kennen die Geschichte nicht oder interessieren sich nicht dafür, und sie machen einfach große Fortschritte, weil sie das Gefühl haben, dass sie es verdienen.

157
Thomas Pornin

Wenn Sie ein Sicherheitssystem erstellen, müssen Sie einen Ausfall planen. Dies ist die Idee hinter einer Tiefenverteidigungsstrategie .

Kryptografische Grundelemente werden mit der Zeit schwächer. Obwohl ein 128-Bit-Grundelement ausreichend ist, kann ein Fehler in der Verschlüsselung aufgedeckt werden, der diese Sicherheitsstufe verringert. Sie müssen also einen Sicherheitsabstand hinzufügen, wenn das unterstrichene Grundelement fehlschlägt.

Zum Beispiel erzeugt md5 einen 128-Bit-Hash, jedoch kann ein Angreifer unter Verwendung eines Angriff mit ausgewähltem Präfix eine Kollision mit einer Komplexität von nur 2 ^ 39 erzeugen .

38
rook

Ich habe dies in den Antworten oder Kommentaren nicht erwähnt, daher dachte ich, dies als Antwort hinzuzufügen. Die Schlüsselgröße korreliert nicht immer direkt mit der Komplexität eines Algorithmus. Ein häufiger Irrtum besteht darin, anzunehmen, dass eine mit AES256 verschlüsselte Nachricht schwieriger zu knacken ist (ein Gegner erhält nur unter Verwendung des Chiffretextes Bedeutungsinformationen) als dieselben mit AES128 geschützten Informationen. Es ist logisch, dass eine größere Schlüsselgröße eine größere Komplexität mit sich bringt, aber wie bei jedem System sind Implementierungen Schwachstellen ausgesetzt.

Angenommen, Sie sprechen von AES 128 gegenüber AES 256, gibt es eine bekannte Schwäche in der Schlüsselerweiterungsfunktion, die sich auf AES256 auswirkt. Grundsätzlich reduziert das Schwäche die Komplexität von AES256 auf die niedrigere als AES128. Es gibt auch einen ähnlichen Angriff für AES192, obwohl in diesem Fall die Komplexität von AES192 größer bleibt als AES128.

Moral der Geschichte, die Leute verstehen Krypto nicht ... j/k (ich bin kein Mathematiker). Die Realität ist, dass die Leute "groß" mit "sicher" annehmen. Eine große Waffe ist besser als eine kleine Waffe. Größere Schlüsselgrößen sind sicherer als kleinere Schlüsselgrößen.

In der Realität ist die Implementierung von Krypto wichtiger als die Schlüsselgröße allein.

18
bangdang

FWIW, NIST-Entwurf zur Post-Quanten-Krypto empfiehlt 256.

http://csrc.nist.gov/publications/drafts/nistir-8105/nistir_8105_draft.pdf

11
Blaze

Ihre Prämisse scheint mir falsch. Mir sind keine Beweise dafür bekannt, dass "die meisten Leute 256-Bit-Verschlüsselung anstelle von 128-Bit verwenden". In der Tat, wenn ich raten müsste, vermute ich, dass das Gegenteil der Fall ist.

7
D.W.