it-swarm-eu.dev

Differenza dimensionale chiave tra AES e RSA

Posso dire che 128 bit usando AES forniscono più sicurezza rispetto a 1024 usando RSA?

21
BOB

Non sono realmente direttamente comparabili. Il numero comunemente bandito intorno a 2048 bit RSA è circa equivalente a 128 bit AES. Ma quel numero non dovrebbe essere invocato senza capire le avvertenze.

Attualmente il modo più efficace per spezzare la crittografia AES (e qualsiasi altra cifra simmetrica ininterrotta, per quella materia) è la forza bruta. Provi semplicemente ogni possibilità fino a raggiungere il risultato corretto.

Ciò significa che è possibile, e ben all'interno della tecnologia odierna, crittografare i dati che (supponendo che non si sia mai trovato un attacco migliore - non un'ipotesi orribile), non possono mai essere infranti, mai, da nessuno. Usa semplicemente abbastanza bit nella tua chiave in modo tale che non ci sia abbastanza energia nell'universo per provare abbastanza chiavi candidate. I numeri sono più piccoli di quanto pensi:

In effetti, con AES, 128 bit è sicuro contro la tecnologia moderna, 256 è sicuro contro ogni probabile tecnologia futura e 512 è probabilmente sicuro anche contro l'ipotetica tecnologia aliena mai immaginata.

La crittografia simmetrica, se non viene interrotta, non ti lascia con un problema di matematica da risolvere. I numeri sono veramente e letteralmente confusi, e il sistema è concepito in modo tale che la forza bruta sia di gran lunga la soluzione più efficiente.

Rompere RSA, d'altra parte, non è così difficile. Invece di forzare bruscamente le chiavi, si trasforma il modulo in numeri primi e si ricavano le chiavi da soli. Questo è drammaticamente più semplice da fare. È un problema di matematica e possiamo fare matematica.

In particolare, la velocità con cui i numeri primi possono essere presi in considerazione è in aumento [~ # ~] più veloce [~ # ~] rispetto alla velocità con cui i tasti simmetrici possono essere forzati. E questo è con la tecnologia di oggi.

Ma andando avanti, supponendo che i computer quantistici possano essere migliorati in modo tale che le operazioni qbit siano a buon mercato come operazioni a bit (che molte persone pensano siano abbastanza vicine; questo secolo al massimo, forse decenni), quindi non importa quanto sia grande la tua chiave RSA, rompendo la chiave è veloce quanto la crittografia.

Quindi la morale della storia è questa:

La "sicurezza equivalente" della lunghezza della chiave RSA rispetto alla lunghezza della chiave AES cambia nel tempo. Ogni tanto, è necessario aumentare la dimensione della chiave RSA rispetto alla dimensione della chiave AES per tenere conto dei progressi tecnologici. E anche allora, è una stima al massimo.

E mentre una chiave simmetrica a 256 bit dovrebbe essere sicura per centinaia, migliaia o forse centinaia di migliaia di anni, nessuna chiave RSA di qualsiasi lunghezza dovrebbe essere si presume che sia sicuro per più di qualche decina di anni, dal momento che RSA dovrebbe essere completamente e completamente rotto dall'algoritmo di Shor.

31
tylerl

Posso dire che 128 bit usando AES forniscono più sicurezza rispetto a 1024 usando RSA?

Sì.

La sicurezza effettiva fornita da AES-128 è di circa 126 bit a causa di alcuni attacchi di round ridotti su AES. Cioè, ha perso un paio di bit di sicurezza teorica.

La sicurezza effettiva fornita da 1024-RSA è di 80 bit. La rottura di RSA si riduce a factoring RSA o registri discreti in campi finiti. Il metodo migliore è il setaccio campo numerico (NFS).

126 bit di sicurezza è maggiore/maggiore di 80 bit di sicurezza.


Livelli di sicurezza efficaci stanno spostando l'obiettivo. Con l'avanzare della crittoanalisi, aumenterà anche la perdita di sicurezza teorica. Un esempio di perdita notevole è SHA-1. SHA-1 fornisce 80 bit di sicurezza teorica a causa di collisioni e attacchi di compleanno. Ma a causa di attacco HashClash del 2011 di Marc Stevens , SHA-1 ha circa 61 bit di sicurezza effettiva.

61 bit di sicurezza non sono sufficienti per mantenere la sicurezza rispetto ai certificati digitali che richiedono firme di lunga durata a causa di un carico di lavoro di 261  is alla portata di molti aggressori.

Stranamente, Mozilla è eliminando i certificati con le chiavi RSA a 1024 bit blog. Quindi are rischiano di avere 80 bit di sicurezza sui certificati CA di lunga durata. Ma SHA-1, con 61 bit di sicurezza, è OK. Fai la matematica ....


Più in generale, sono disponibili tabelle con livelli di sicurezza equivalenti. Di seguito puoi trovare le tabelle NIST. Altre organizzazioni che pubblicano i criteri includono NESSIE, ECRYPT, ISO/IEC.

5
user29925

Qualsiasi algoritmo di crittografia simmetrica comunemente usato (DES, 3DES, AES, ...) è normalmente più veloce di RSA.

Da un domanda simile su overflow dello stack:

Sì, la crittografia puramente asimmetrica è molto più lenta dei cifrari simmetrici (come DES o AES), motivo per cui le applicazioni reali utilizzano la crittografia ibrida: le costose operazioni a chiave pubblica vengono eseguite solo per crittografare (e scambiare ) una chiave di crittografia per l'algoritmo simmetrico che verrà utilizzata per crittografare il messaggio reale.

Il problema che la crittografia a chiave pubblica risolve è che non esiste un segreto condiviso. Con una crittografia simmetrica devi fidarti di tutte le parti interessate per mantenere la chiave segreta. Questo problema dovrebbe essere una preoccupazione molto più grande delle prestazioni (che può essere mitigata con un approccio ibrido)

http://en.wikipedia.org/wiki/Hybrid_cryptosystem

Dai un'occhiata anche a questo documento: http://ijsr.net/archive/v2i4/IJSRON120134.pdf Il seguente grafico sulle prestazioni è stato tratto da esso: enter image description here

5
Lucas Kauffman