Pytanie:
Dlaczego większość ludzi używa szyfrowania 256-bitowego zamiast 128-bitowego?
H M
2012-04-23 10:16:56 UTC
view on stackexchange narkive permalink

Czy 128-bitowe zabezpieczenia nie są wystarczające dla większości praktycznych zastosowań?

Ponieważ jest większy, a przez to lepiej brzmi.
myślę, że przy wyborze minimum 128 bitów bierze się pod uwagę duży margines bezpieczeństwa. być może wiele osób o tym nie wie, więc uważa, że ​​różnica między 128 a 256 może mieć znaczenie dla ich potrzeb. jeśli z kluczem 128-bitowym potrzeba 500 lat, aby złamać szyfrogram, a 1000000000 lat z kluczem 256-bitowym, czy to ma znaczenie?
http://www.daemonology.net/blog/2009-07-31-thoughts-on-AES.html
Być może pamiętam to niepoprawnie ... Jeśli szyfrujesz dużo danych, możesz skończyć z zduplikowanymi podkluczami (podklucz to prawdopodobnie niewłaściwy termin), jeśli jest wystarczająco dużo danych. Jest to funkcjonalnie równoważne z ponownym użyciem szyfru jednopadkowego. Uważam, że rozmiar klucza, rozmiar bloku i tryb szyfrowania zadecydowały o tym, ile danych było za dużo.
bardziej złożone === bezpieczniejsze
Postępy w dziedzinie obliczeń kwantowych zmniejszą efektywny rozmiar kluczy symetrycznych kryptosystemów kluczy o połowę w dającej się przewidzieć przyszłości. `2 ^ (128/2) = 2 ^ 64 =` prawdopodobnie brutalna siła na komputerze kwantowym. `2 ^ (256/2) = 2 ^ 128 =` nadal bezpieczne.
Proszę, zostaw mi trochę czasu na odpowiedź. 500 lat powinno wystarczyć.
Na http://crypto.stackexchange.com/q/20/2373 jest prawie zduplikowany post
Zastanawiam się, jeśli chodzi o szacunki na 500 lat, czy zakłada się, że postęp technologiczny w zakresie prędkości obliczeniowej jest brany pod uwagę?
@recursion.ninja, czy możesz zacytować rozdział i werset na temat efektywnego podziału rozmiaru klucza?
Zakładam, że masz na myśli rozmiar klucza.** Uwaga **, wymagany rozmiar klucza zależy również od algorytmu: w przypadku algorytmu asymetrycznego, takiego jak RSA, potrzebujesz 2048 lub 4096 bitów, 128 bitów byłoby zdecydowanie za słabe.
@recursion.ninja Zakłada się, że elementarna operacja kwantowa może być wykonana z taką samą prędkością, jak elementarna operacja klasyczna.Jest bardzo możliwe, że komputer kwantowy nigdy nie będzie działał szybciej niż odpowiednik 0,7 MHz, w którym to przypadku złamanie 128-bitowego klucza, nawet z algorytmem Grovera redukującym go do efektywnej siły klucza 64-bitowego, byłoby niewykonalne,jednak złamanie 4096-bitowego klucza RSA byłoby łatwe.Czy możesz sobie wyobrazić przeszukiwanie przestrzeni kluczowej 2 ^ 64 za pomocą starego Intel 4004?
@forest Nie rozumiem twojego punktu.Biorąc pod uwagę tylko częstotliwość, 0,7 MHz jest tylko 5700 razy wolniejsze niż ostatni procesor 4 GHz.Jeśli chcesz, zrób to 1 000 000, biorąc pod uwagę różne różnice w architekturze.Jednak 64-bitowa przestrzeń klucza jest 18446744073709551616 razy mniejsza niż 128-bitowa przestrzeń klucza.Nie oznacza to, że można go zepsuć, ale z pewnością daje przewagę komputerom kwantowym.
@youen Chodzi mi o to, że komputer kwantowy może być _ znacznie_ wolniejszy niż nowoczesny komputer pod względem liczby cykli na sekundę.Podczas gdy 2 ^ 64 klasycznych operacji (64-bitowa przestrzeń kluczowa) dla klasycznego komputera nie jest nierealistycznie trudne, 2 ^ 64 operacji kwantowych (128-bitowa przestrzeń kluczowa) dla komputera kwantowego może znacznie wykraczać poza to, do czego będziemy zdolni.Ponadto prędkość algorytmu Grovera jest zwiększana tylko przez pierwiastek kwadratowy z liczby dyskretnych komputerów, na których działa algorytm.
@forest zgodził się, że jeśli (klaster) komputerów kwantowych jest wolniejszy o współczynnik 10 ^ 19, to nie pomoże to złamać 128-bitowego klucza.
I chociaż zgadzam się, że QC nadal ma ogromną przewagę, powiedziałbym, że poprawa o 5700 to wiele rzędów wielkości.4004 to prawdopodobnie setki milionów, jeśli nie miliardy razy wolniejsze niż nowoczesny, wielordzeniowy, obsługujący SIMD, mocno potokowy procesor i buforujący.Są rzeczy, które może zrobić w kilku cyklach, które zajęłyby 4004 sekundy.Gdyby QC był tak ograniczony jak 4004 (hipotetycznie), to 64-bitowa przestrzeń klucza byłaby absolutnie poza zasięgiem.Szczerze mówiąc, byłbym zdziwiony, gdyby pierwsza generacja kryptoanalitycznych QC była _nie_ więcej niż 2 ^ 19 wolniejsza.
Tak ... AES128 pozostanie nie do złamania co najmniej do 2030 roku, więc jedyną rzeczą, którą można zrobić, wykorzystując AES256, jest niepotrzebne opodatkowanie procesora.Jeśli na przykład AES256 jest używany przez AES128 w OpenVPN, znacznie ogranicza przepustowość bez dodatkowych korzyści w zakresie bezpieczeństwa.
Siedem odpowiedzi:
Thomas Pornin
2012-09-05 03:20:36 UTC
view on stackexchange narkive permalink

Dlaczego ludzie kupują czerwone samochody sportowe? Nie jeżdżą szybciej niż samochody sportowe w jakimkolwiek innym kolorze ...

AES ma trzy standardowe rozmiary kluczy (128, 192 i 256 bitów). Wiele osób widzi to i myśli, że jeśli istnieją trzy różne rozmiary zamiast tylko jednego, to musi być jakaś różnica, a ponieważ wersja 256-bitowa jest nieco wolniejsza niż wersja 128-bitowa (o około 40%), to musi być „bezpieczniejszy”. Dlatego wybierają „najbezpieczniejszy” i wybierają klucze 256-bitowe.

W rzeczywistości AES ma trzy różne rozmiary kluczy, ponieważ został wybrany jako federalny algorytm USA, który może być używany w różnych obszarach pod kontrolą rządu federalnego USA, w tym armii amerykańskiej. Armia USA ma długą tradycję korzystania z kryptografii, która skrystalizowała się w wewnętrzną regulację z całą elastycznością i subtelnością, którą armie na całym świecie nieustannie demonstrują (po prostu posłuchaj „muzyki wojskowej”, a zrozumiesz, o co mi chodzi) . Niestety, zdarzyło się to już jakiś czas temu, przed wynalezieniem komputera, iw tamtym czasie większość systemów szyfrowania mogła zostać zepsuta, a te solidniejsze były również bardzo trudne i powolne w użyciu. Tak więc umysły wojskowe wpadły na pomysł, że powinny istnieć trzy „poziomy bezpieczeństwa”, tak aby najważniejsze sekrety były szyfrowane ciężkimi metodami, na które zasłużyły, ale dane o mniejszej wartości taktycznej można zaszyfrować bardziej praktycznymi, jeśli słabszymi algorytmami.

Te przepisy wymagały zatem trzech różnych poziomów. Ich konstruktorzy po prostu założyli , że niższe poziomy były z konieczności w jakiś sposób słabe, ale słabość nie była obowiązkowa . Dlatego NIST zdecydował się formalnie przestrzegać przepisów (poprosić o trzy rozmiary kluczy), ale także zrobić sprytną rzecz (najniższy poziom musiał być niezniszczalny przy użyciu przewidywalnej technologii). Ze względów bezpieczeństwa wystarcza 128 bitów (szczegóły w tej odpowiedzi). Dlatego AES akceptuje 256-bitowe klucze z powodu biurokratycznego znużenia: łatwiej było zażądać czegoś nieco bezsensownego (przesada rozmiaru klucza) niż zmienić przepisy wojskowe.

Większość ludzi nie wie lub nie obchodzi o historii i po prostu idą na całość, bo czują, że na to zasługują.

Czy możesz podać źródła, że ​​te trzy poziomy są tak naprawdę tylko po to, aby spełnić (stare) przepisy wojskowe? Nie ma to dla mnie większego sensu, gdyby 128 bitów było wystarczająco bezpieczne, równie dobrze mogłoby użyć 128, 136 i 156 w tym celu. Według ciebie czas en / deszyfrowania byłby krótszy, ale nadal bezpieczny.
@Luc: bity 128/192/256 są dla estetyki: potęgi 2 są zawsze lepsze (a 3DES już formalnie używał klucza 192-bitowego - z czego 24 są ignorowane, ale to już inna historia). Dla źródła było to to, co ktoś powiedział mi wtedy bezpośrednio (myślę, że był to Schneier), więc nie mam źródła pisanego. Jeśli chodzi o czas deszyfrowania, jest on specyficzny dla Rijndael; niektórzy inni kandydaci oferowali taką samą wydajność dla wszystkich długości kluczy.
256-bitowe klucze nie są całkowicie bezużyteczne. Zapewniają ochronę przed komputerami kwantowymi, w szczególności algorytmem Grovers, który może skutecznie zmniejszyć przestrzeń wyszukiwania o połowę. Nadal nie mamy jeszcze prawdziwych komputerów kwantowych i nikt nie wie, kiedy to nastąpi. Chodzi jednak o to, że jeśli chcesz chronić swoje sekrety przez ponad 50 lat, możesz wybrać dwukrotnie większy obecnie akceptowany rozmiar klucza. https://en.wikipedia.org/wiki/Post-quantum_cryptography
@SteveSether: jest to okazja do wskazania, że ​​ograniczenie „128-bitowe” nie jest w żaden sposób uniwersalne; używamy kluczy 128-bitowych, ponieważ jest to znacznie więcej niż to, co można złamać _ z klasycznymi komputerami_. Algorytm Grovera teoretycznie obraca wyszukiwanie w 2 ^ 64 wysiłki, ale są to 2 ^ 64 _quantum_ operacji. Okaże się, czy poszczególne operacje kontroli jakości są podobne pod względem kosztów do poszczególnych klasycznych operacji. Obecnie 2 ^ 64 operacje QC są znacznie trudniejsze niż 2 ^ 64 klasyczne operacje, zwłaszcza dlatego, że komputery QC jeszcze nie istnieją.
@ThomasPornin Myślę, że chodzi o to, że 256 bitów zapewnia PEWNY dodatkowy poziom bezpieczeństwa, jednak marginalny. Wiele pozostaje do zobaczenia. Niektórym osobom nawet teoretyczna możliwość złamania wiadomości wystarcza, aby wywołać 40% kosztów dodatkowych cykli procesora. Jest w dużej mierze zdegradowany do NSA, CIA itp. Te same zalecenia poleciłbym każdemu, kto twierdzi, że musi chronić sekret przez ponad 50 lat. Procesor jest tani.
@ThomasPornin Czy istnieje różnica w prawdopodobieństwie znalezienia klucza wcześniej przy 128 vs 256? Przeważnie ignoranci w całej dziedzinie, ale dlaczego statystyczna szansa znalezienia klucza wcześniej niż maksymalny lub średni czas nie wydaje się odgrywać roli w większości dyskusji z brutalną siłą?
@Dave: istnieje matematyczna różnica w prawdopodobieństwach, ale chodzi o to, że różnica w praktyce nie ma znaczenia: jeśli prawdopodobieństwo jest tak małe, że możesz zaplanować swój biznes, a nawet swoje życie, myśląc, że to się nie wydarzy, nawet niższe prawdopodobieństwo nie będzie miało żadnych praktycznych konsekwencji.
@ThomasPornin, Pierwszy akapit tej odpowiedzi jest niedokładny.Istnieją decyzje i wiadomości, których naruszenie tajemnicy może wpłynąć na więcej niż jedno życie, a nawet na życie całego kraju.256 bitów ma chronić przed [nieznanymi nieznanymi] (https://en.wikipedia.org/wiki/There_are_known_knowns) i znanymi niewiadomymi, np.możliwość, że krakersy z Rosji / Chin / etc mają * [cd] ... *
* ... [cd] * więcej wiedzy niż ich odpowiednicy w USA.(A same USA wydają się być jak dwa różne kraje składające się z obywateli USA kontra USA-the-Cia.) Poza tym nikt nie będzie wiedział, co stanie się w ciągu najbliższych 80 lat.Wiadomości mogą nie wymagać zachowania tajemnicy przez tysiące lat, ale mogą wymagać utajnienia przez kilkaset.
Od tego czasu NSA [przestawiła się na używanie 256 kluczy dla AES] (https://www.iad.gov/iad/customcf/openAttachment.cfm?FilePath=/iad/library/ia-guidance/ia-solutions-for-classified/algorithm-guidance/assets/public/upload/Commercial-National-Security-Algorithm-CNSA-Suite-Factsheet.pdf&WpKes=aF6woL7fQp3dJi2Ag8xy3LrS8UQmzM92ApVEmU) z obawy o ataki kwantowe.Odpowiedź powinna zostać zmieniona, aby uwzględnić analizę @SteveSether's:)
Pytanie brzmi, dlaczego ta odpowiedź ma ** 128 ** polubień?
rook
2012-04-23 10:49:09 UTC
view on stackexchange narkive permalink

Kiedy tworzysz system bezpieczeństwa, musisz zaplanować awarię. Taka jest idea strategii obrony w głębi.

Prymitywy kryptograficzne z czasem słabną. Chociaż 128-bitowy prymityw to dużo, można wykryć lukę w szyfrze, która zmniejsza ten poziom bezpieczeństwa. Musisz więc dodać margines bezpieczeństwa, gdy prymityw podkreślający zawodzi.

Na przykład md5 generuje 128-bitowy hash, jednak używając ataku z wybranym prefiksem, osoba atakująca może spowodować kolizję o złożoności tylko 2 ^ 39.

Zasadniczo chodzi o margines bezpieczeństwa. Im dłuższy klucz, tym wyższe skuteczne zabezpieczenie. Jeśli kiedykolwiek zdarzy się przerwa w AES, która zmniejszy efektywną liczbę operacji wymaganych do złamania go, większy klucz daje większą szansę na zachowanie bezpieczeństwa. Poza tym, przy dostępnym obecnie powszechnie dostępnym sprzęcie, różnica wydajności między 256-bitowym AES a 128-bitowym AES jest dość niewielka. To i, jak wspomniał CodeInChaos, większe liczby brzmią lepiej i bezpieczniej.
Ok, niezła logika. ale czy ktokolwiek może dokładnie określić, jak silny jest obecnie 128-bitowy szyfr, zakładając, że nie ma w nim znaczącego naruszenia, a duże komputery kwantowe nie są realizowane?
@HM, http://crypto.stackexchange.com/a/753/706
Jeśli chodzi o historię md5, słyszałem, że algorytmy kryptograficzne są ogólnie uważane za mniej niezawodne niż algorytmy szyfrujące, ponieważ nie mają tak silnego dowodu bezpieczeństwa, jak algorytmy szyfrujące. nie znam szczegółów i przepraszam za brak odniesienia, ale czytałem takie słowa kilka razy w kilku miejscach, więc myślę, że naprawdę istnieje różnica między algorytmami haszującymi a algorytmami szyfrującymi w tym zakresie. również afaik, od lat nie odkryto praktycznie niebezpiecznego naruszenia nowoczesnych i standardowych algorytmów szyfrowania, takich jak AES.
@Polynomial Tak, margines, to jest słowo, którego powinienem był użyć.
Porównanie z MD5 jest nieco mylące. Odporność MD5 na kolizje nigdy nie była lepsza niż 2 ^ 64 z powodu paradoksu urodzinowego.
@HM Myślę, że jest odwrotnie.Funkcje skrótu często wymagają trudniejszych do osiągnięcia właściwości bezpieczeństwa, takich jak odporność na kolizje.Prawdą jest, że hashe są bardziej kruche, jeśli chodzi o tę właściwość, ale ze względu na odporność na przedobraz są generalnie dość bezpieczne.W rzeczywistości nawet coś tak słabego jak MD5 (do diabła, nawet MD4 lub MD2!) Może zostać użyte do skonstruowania _ wyjątkowo_ bezpiecznego szyfru strumieniowego, znacznie bezpieczniejszego niż którykolwiek z wielu złamanych szyfrów, które zaśmiecają historię (DES, RC4, E0, A5/ 1 itp.).
bangdang
2012-05-03 05:04:08 UTC
view on stackexchange narkive permalink

Nie widziałem tego w odpowiedziach lub komentarzach, więc pomyślałem, że mogę to dodać jako odpowiedź. Rozmiar klucza nie zawsze ma bezpośredni związek ze złożonością algorytmu. Powszechnym błędem jest założenie, że wiadomość zaszyfrowana przy użyciu AES256 jest trudniejsza do złamania (przeciwnik uzyskuje jakiekolwiek informacje znaczeniowe podane tylko w postaci zaszyfrowanej) niż te same informacje chronione za pomocą AES128. Logicznie wydaje się, że większy rozmiar klucza zapewnia większą złożoność, ale jak w przypadku każdego systemu, implementacje są podatne na słabości.

Zakładając, że mówisz o AES 128 w porównaniu z AES 256, istnieje znana słabość funkcji rozszerzania klucza, która wpływa na AES256. Zasadniczo słabość redukuje złożoność AES256 do tej niższej niż AES128. Istnieje również podobny atak dla AES192, chociaż w tym przypadku złożoność AES192 pozostaje większa niż AES128.

Morał z tej historii, ludzie nie rozumieją krypto ... j / k (nie jestem matematykiem). Rzeczywistość jest taka, że ​​ludzie zakładają „duży” z „bezpiecznym”. Duży pistolet jest lepszy niż mały pistolet. Większe klucze są bezpieczniejsze niż mniejsze.

W rzeczywistości implementacja kryptografii jest ważniejsza niż sam rozmiar klucza.

O ile dobrze pamiętam, ta słabość ma znaczenie tylko w przypadku korzystania z AES to dość nietypowe tryby, a nie typowy tryb szyfrowania, w którym używane są losowe klucze. Jestem prawie pewien, że AES-256 jest silniejszy przy normalnym użytkowaniu (CBC, CTR, ...)
„Duży pistolet jest lepszy niż mały pistolet”. A zdetonowanie cara Bomby w czyjąś twarz jest bardziej zabójcze niż zdetonowanie Little Boya w twarz, ale i tak są martwi.
@CodesInChaos Ponadto, czy większe klucze nie wymagają więcej rund, aby osiągnąć pełną dyfuzję (jeśli pamiętam, liczba dodatkowych rund podanych do AES256 była oparta na przeczuciu, a nie na żadnych empirycznych testach lub dowodach)?Czy może to tylko problem, jeśli sam klucz nie jest jednolity?
@forest Spodziewam się, że będzie to miało znaczenie tylko wtedy, gdy chcesz osiągnąć wyższy poziom bezpieczeństwa oczekiwany od 256-bitowego klucza lub jeśli klucz jest bardzo niejednorodny (np. Druga połowa jest stała).Powstaje również pytanie, co rozumiesz przez dyfuzję, liczbę rund potrzebnych do rozproszenia niewielkiej zmiany danych wejściowych lub liczbę rund potrzebnych do rozproszenia niewielkiej zmiany klucza.
@CodesInChaos Ponieważ odniosłem się do różnicy w szybkości dyfuzji, gdy używany jest większy rozmiar klucza (zamiast większego rozmiaru bloku), miałem na myśli liczbę rund potrzebnych do osiągnięcia pełnej dyfuzji, gdy zmienia się trochę klucza.
To mylące, że wnioski ze źródeł nie potwierdzają zalecenia przeciwko AES256: „Chociaż te zawiłości są znacznie szybsze niż wyczerpujące wyszukiwanie, są całkowicie niepraktyczne i nie wydają się stanowić żadnego realnego zagrożenia dla bezpieczeństwa opartego na AESsystems ”, z http://eprint.iacr.org/2009/374
Blaze
2016-05-30 07:24:56 UTC
view on stackexchange narkive permalink

FWIW, szkic NIST dotyczący postu kwantowego kryptowaluty zaleca 256.

http://csrc.nist.gov/publications/drafts/nistir-8105/nistir_8105_draft.pdf

Chociaż mówią, że może to być „zbyt konserwatywne” i nie uwzględnia „możliwości bardziej wyrafinowanych ataków kwantowych”, rzeczywiście mówią „W przypadku symetrycznych systemów kluczy jedną prostą heurystyką jest podwojenie długości klucza, aby zrekompensować kwadratowe przyspieszenieosiągnięte przez algorytm Grovera. "Wydaje się to rozsądnym podejściem do obrania teraz, wiedząc, że dokonano wielu postępów w komputerach kwantowych, a zainteresowanie technologią rośnie.Wiadomości wysłane dzisiaj mogą zostać odszyfrowane za kilka lat, jeśli będą wykorzystywać techniki kryptograficzne, które nie są „bezpieczne kwantowo”.
„możliwość bardziej wyrafinowanych ataków kwantowych” Czy nie ma dowodu na to, że algorytm Grovera jest najskuteczniejszym sposobem przechodzenia przez ograniczoną przestrzeń kluczową?To znaczy.równoważna przestrzeń klucza nigdy nie może zostać zredukowana do mniej niż 2 ^ (n / 2) / √k, gdzie _n_ to długość bitu, a _k_ to liczba równoległych wystąpień algorytmu Grovera.Mogę jednak źle pamiętać.
D.W.
2012-04-23 10:46:20 UTC
view on stackexchange narkive permalink

Twoje założenie wydaje mi się błędne. Nie znam żadnych dowodów na to, że „większość ludzi używa szyfrowania 256-bitowego zamiast 128-bitowego”. Rzeczywiście, gdybym miał zgadywać, podejrzewam, że jest odwrotnie.

Myślę, że masz rację, ponieważ większość konfiguracji SSL jest domyślnie ustawiona na preferowanie 128-bitowego. Myślę jednak, że chodzi o to, „po co używać dłuższego klucza, skoro 128-bit i tak jest bezpieczny?”.
Na przykład zarówno Firefox, jak i Opera preferują zestawy szyfrów AES-256. Wolą nawet zestawy nie (EC) DHE z AES-256 w porównaniu z (EC) DHE z AES-128, co IMO jest szalone.
freeman
2020-06-23 05:59:45 UTC
view on stackexchange narkive permalink

Ostatecznie napotkasz problem podobny do oprogramowania do kompresji, zbyt duża kompresja może prowadzić do utraty danych. Chociaż nie ma skończonej liczby określającej siłę szyfrowania „teoretycznie”, nie oznacza to, że trzeba szyfrować dane na więcej niż 256 bitów. Z technicznego punktu widzenia możesz to zrobić, ale ryzykujesz, że maszyna, której uruchomienie i załadowanie systemu operacyjnego zajmie miesiąc lub lata?

https://medium.com/@ drgutteridge / whats-the-deal-with-encryption-force-is-128-bit-encryption-there-or-you-need-more-3338b53f1e3d

user1301428
2012-04-23 10:56:54 UTC
view on stackexchange narkive permalink

Zakładam, że mówisz o kryptografii symetrycznej. Odpowiedź brzmi: nigdy nie jest wystarczająco bezpieczny (chociaż podejrzewam, że używanie kluczy 256-bitowych w porównaniu do 128-bitowych jest strategią marketingową, dzięki której klient czuje się bezpieczniejszy).

I nie zapominajmy, że obliczenia kwantowe, które znacznie zmniejszają ilość czasu potrzebnego do ataku siłowego.

tak, to jest symetryczne. o komputerach kwantowych wikipedia mówi: „Bennett, Bernstein, Brassard i Vazirani udowodnili w 1996 roku, że przeszukiwanie klucza brutalnej siły na komputerze kwantowym nie może być szybsze niż w przybliżeniu 2n / 2 wywołania podstawowego algorytmu kryptograficznego, w porównaniu z około 2n w Klasyczny przypadek. Zatem w obecności dużych komputerów kwantowych klucz n-bitowy może zapewnić co najmniej n / 2 bity bezpieczeństwa. Brutalną siłę kwantową można łatwo pokonać przez podwojenie długości klucza. "
Ale wydaje mi się, że aby takie ataki stały się praktyczne, potrzebne są bardzo duże, pełnoprawne komputery kwantowe, których nie sądzę, aby można to było szybko zrealizować. w każdym razie dobrym pomysłem wydaje się użycie 256 bitów, jeśli potrzebna jest względnie długotrwała ochrona (a zmiana kluczy / długości klucza w razie potrzeby nie jest praktyczna), chociaż 256 bitów stanie się 128 bitami w erze komputerów kwantowych, więc dlaczego nie użyć 512 kawałek? ale ja osobiście nie pamiętam żadnego 512-bitowego szyfrowania obsługującego !!
@HM „Kwantowa brutalna siła jest łatwa do pokonania przez podwojenie długości klucza”. Nie wiem o tym, więc nie będę wchodził w szczegóły, ale to prawda, rozumiesz, dlaczego używasz 256 bitów zamiast 128 :) w każdym razie, jak mówisz, dłuższe klucze dają ci długoterminową ochrony, która prawdopodobnie jest na tyle ważna, że ​​uzasadnia ich użycie.
I tak w wielu przypadkach łatwiej byłoby po prostu uruchomić algorytm Schorsa na publicznej kryptografii wymiany kluczy.
@HM "AES ma stały rozmiar bloku 128 bitów i rozmiar klucza 128, 192 lub 256 bitów, podczas gdy Rijndael może być określony z rozmiarami bloków i kluczy w dowolnej wielokrotności 32 bitów, przy minimum 128 bitach. ma maksymalnie 256 bitów, ale rozmiar klucza nie ma teoretycznego maksimum. " (z wikipedii)
A co z tokenami bezpieczeństwa? już o to pytałem, ale [to pytanie] (http://security.stackexchange.com/questions/13140/secure-key-lengths-in-web-sites-apps) zostało zamknięte! mam na myśli, że kiedy używamy losowego ciągu jako tokena, oznacza to, że nie jest on używany przez żadne prymitywy kryptograficzne (szyfry, skróty itp.), tak jak sam jako token bezpieczeństwa, czy wystarczy token 128-bitowy? czy obliczenia kwantowe są problemem również w tym obszarze?
@HM czy masz na myśli coś takiego jak identyfikatory sesji?
Prawdopodobnie identyfikator sesji jest mylącym przykładem, ponieważ identyfikatory sesji afaik nie są generowane całkowicie losowo (np. Niektóre parametry klienta są używane do ich generowania). również ograniczenie pytania do scenariuszy internetowych wydaje się kolejnym złym pomysłem, który może źle ukierunkować dyskusję, ponieważ zdalne ataki siłowe są prawie zawsze poważnie ograniczone pod względem szybkości (szczególnie w sieci). lokalne ataki siłowe mogą przebiegać z dużo większą prędkością.
Załóżmy, że token bezpieczeństwa jest tajnym, losowym ciągiem współdzielonym między 2 komputerami, który jest używany do bezpośredniego uwierzytelniania. każdy może spróbować nieograniczonej liczby permutacji, aby podszywać się pod siebie jako drugą (zaufaną) stronę. ale jeśli liczba permutacji jest wystarczająco duża, osoby postronne praktycznie nie mają szans na odniesienie sukcesu.
@HM Nie chcę udzielić Ci błędnych odpowiedzi, więc powstrzymam się od odpowiedzi. Nie jestem ekspertem w dziedzinie obliczeń kwantowych, wiem tylko, że można go wykorzystać do szybszego łamania kluczy kryptograficznych. Na pewno jednak przyjrzę się temu tematowi bardziej.
Z łatwością może być wystarczająco bezpieczny.[2 ^ 128 jest cholernie trudne, ale trochę teoretycznie wiarygodne, a 2 ^ 256 jest daleko poza zakresem tego, do czego mamy jakiekolwiek pojęcie, aby zbudować maszynę.] (Https://security.stackexchange.com/q/6141/ 2138) Jednak z „doskonale wydajnym” komputerem (o ile wiemy, że nie może istnieć) (o ile wiemy, że te ograniczenia tracą sens) (https://physics.stackexchange.com/q/257323/14091).To naprawdę sprowadza się do: * teoretycznie * trudnego lub po prostu trudnego * biorąc pod uwagę to, co mamy pojęcie, jak to zrobić *?Podejrzewam, że większość ludzi bardziej interesuje się tym drugim.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...