Frage:
Warum verwenden die meisten Menschen 256-Bit-Verschlüsselung anstelle von 128-Bit?
H M
2012-04-23 10:16:56 UTC
view on stackexchange narkive permalink

Reicht 128-Bit-Sicherheit für die meisten praktischen Anwendungen nicht aus?

Weil es größer ist und somit besser klingt.
Ich denke, das Minimum von 128 Bit wird unter Berücksichtigung einer großen Sicherheitsmarge festgelegt. Vielleicht wissen das viele Menschen nicht und denken, dass der Unterschied zwischen 128 und 256 für ihre Bedürfnisse von Bedeutung sein kann. Wenn es mit einem 128-Bit-Schlüssel 500 Jahre dauert, um einen Chiffretext zu brechen, und 1000000000 Jahre mit einem 256-Bit-Schlüssel, spielt es dann eine Rolle?
http://www.daemonology.net/blog/2009-07-31-thoughts-on-AES.html
Ich erinnere mich möglicherweise falsch daran ... Wenn Sie viele Daten verschlüsseln, erhalten Sie möglicherweise doppelte Unterschlüssel (Unterschlüssel ist wahrscheinlich der falsche Begriff), wenn genügend Daten vorhanden sind. Dies entspricht funktional der Wiederverwendung einer Ein-Pad-Chiffre. Ich glaube, dass Schlüsselgröße, Blockgröße und Verschlüsselungsmodus bestimmt haben, wie viele Daten zu viele Daten waren.
komplexer === sicherer
Fortschritte im Quantencomputer werden in absehbarer Zeit die effektive Schlüsselgröße von Kryptosystemen mit symmetrischen Schlüsseln um die Hälfte reduzieren. `2 ^ (128/2) = 2 ^ 64 =` auf einem Quantencomputer möglicherweise brutal erzwingbar. `2 ^ (256/2) = 2 ^ 128 =` noch sicher.
Bitte lassen Sie mir etwas Zeit, um zu antworten. 500 Jahre sollten reichen.
Es gibt einen nahezu doppelten Beitrag auf http://crypto.stackexchange.com/q/20/2373
Ich frage mich, ob in Bezug auf die 500-Jahres-Schätzung angenommene technologische Fortschritte bei der Rechengeschwindigkeit berücksichtigt werden.
@recursion.ninja Kapitel und Vers, die Sie über die effektive Halbierung der Schlüsselgröße zitieren können?
Ich gehe davon aus, dass Sie sich auf die Schlüsselgröße beziehen.** Hinweis **, dass die erforderliche Schlüsselgröße auch vom Algorithmus abhängt: Für einen asymmetrischen Algorithmus wie RSA benötigen Sie 2048 oder 4096 Bit, 128 Bit wären viel zu schwach.
@recursion.ninja Dies setzt voraus, dass eine elementare Quantenoperation mit der gleichen Geschwindigkeit wie eine klassische Elementaroperation ausgeführt werden kann.Es ist sehr wahrscheinlich, dass ein Quantencomputer niemals schneller als umgerechnet 0,7 MHz läuft. In diesem Fall wäre es unmöglich, einen 128-Bit-Schlüssel zu brechen, selbst wenn der Grover-Algorithmus ihn auf die effektive Stärke eines 64-Bit-Schlüssels reduziert.Ein 4096-Bit-RSA-Schlüssel zu brechen wäre jedoch einfach.Können Sie sich vorstellen, mit einem alten Intel 4004 einen 2 ^ 64-Schlüsselbereich zu durchsuchen?
@forest Ich verstehe Ihren Standpunkt nicht.Wenn man nur die Frequenz berücksichtigt, ist 0,7 MHz nur 5700-mal langsamer als eine aktuelle 4-GHz-CPU.Machen Sie es 1 000 000, wenn Sie möchten, und berücksichtigen Sie dabei verschiedene Architekturunterschiede.Ein 64-Bit-Schlüsselraum ist jedoch 18446744073709551616-mal kleiner als ein 128-Bit-Schlüsselraum.Das bedeutet nicht, dass es kaputt gehen kann, aber es gibt Quantencomputern einen Vorteil.
@youen Mein Punkt ist, dass ein Quantencomputer in Bezug auf Zyklen pro Sekunde erheblich langsamer sein kann als ein moderner Computer.Während 2 ^ 64 klassische Operationen (ein 64-Bit-Schlüsselraum) für einen klassischen Computer nicht unrealistisch schwierig sind, können 2 ^ 64 Quantenoperationen (ein 128-Bit-Schlüsselraum) für einen Quantencomputer weit über das hinausgehen, was wir können.Außerdem wird die Geschwindigkeit des Grover-Algorithmus nur durch die Quadratwurzel der Anzahl der diskreten Computer beschleunigt, auf denen der Algorithmus ausgeführt wird.
@forest stimmte zu, wenn der (Cluster von) Quantencomputern um den Faktor 10 ^ 19 langsamer ist, hilft es nicht, einen 128-Bit-Schlüssel zu brechen.
Und obwohl ich der Meinung bin, dass eine Qualitätskontrolle immer noch einen großen Vorteil hat, würde ich sagen, dass eine Verbesserung um 5.700 viele Größenordnungen weniger ist.Ein 4004 ist wahrscheinlich Hunderte von Millionen, wenn nicht Milliarden Mal langsamer als ein moderner Multicore-SIMD-fähiger Prozessor mit hoher Pipeline und Caching.Es gibt Dinge, die in wenigen Zyklen erledigt werden können und 4004 Sekunden dauern würden.Wenn eine Qualitätskontrolle so begrenzt wäre wie eine 4004 (hypothetisch), wäre ein 64-Bit-Schlüsselbereich absolut unerreichbar.Um ganz ehrlich zu sein, wäre ich überrascht, wenn die erste Generation kryptoanalytischer QCs nicht mehr als 2 ^ 19 langsamer wäre.
Ja ... AES128 bleibt bis mindestens 2030 unknackbar. Das einzige, was man mit AES256 macht, ist, die CPU unnötig zu belasten.Wenn AES256 beispielsweise in OpenVPN über AES128 verwendet wird, wird der Durchsatz massiv gedrosselt, ohne dass ein zusätzlicher Sicherheitsvorteil entsteht.
Sieben antworten:
Thomas Pornin
2012-09-05 03:20:36 UTC
view on stackexchange narkive permalink

Warum kaufen Leute rote Sportwagen? Sie fahren nicht schneller als Sportwagen anderer Farben ...

AES wird mit drei Standardschlüsselgrößen (128, 192 und 256 Bit) geliefert. Viele Leute sehen dies und denken, dass es einen Unterschied geben muss, wenn es drei verschiedene Größen statt nur einer gibt, und da die 256-Bit-Version etwas langsamer ist als die 128-Bit-Version (um etwa 40%), ist dies der Fall muss "sicherer" sein. Sie entscheiden sich also für "die sichersten" und wählen 256-Bit-Schlüssel.

In Wirklichkeit hat das AES drei unterschiedliche Schlüsselgrößen, da es als US-Bundesalgorithmus ausgewählt wurde, der in verschiedenen Bereichen verwendet werden kann unter der Kontrolle der US-Bundesregierung, und dazu gehört auch die US-Armee. Die US-Armee hat eine langjährige Tradition in der Verwendung von Kryptographie, und diese Tradition kristallisierte sich in interner Regulierung mit all der Flexibilität und Subtilität heraus, die Armeen auf der ganzen Welt ständig demonstrieren (hören Sie einfach "Militärmusik" und Sie werden verstehen, was ich meine). . Leider geschah dies vor einiger Zeit, bevor der Computer erfunden wurde, und zu dieser Zeit konnten die meisten Verschlüsselungssysteme kaputt gehen, und die robusteren waren auch sehr schwer und langsam zu bedienen. So kam das feine militärische Gehirn auf die Idee, dass es drei "Sicherheitsstufen" geben sollte, damit die wichtigsten Geheimnisse mit den schweren Methoden verschlüsselt wurden, die sie verdient hatten, aber mit Daten von geringerem taktischem Wert könnte mit praktischeren, wenn auch schwächeren Algorithmen verschlüsselt werden.

Diese Vorschriften forderten daher drei unterschiedliche Ebenen. Ihre Designer gingen nur davon aus, dass die untere Ebene notwendigerweise in irgendeiner Weise schwach war, aber Schwäche war nicht obligatorisch. Daher hat der NIST beschlossen, die Vorschriften formell zu befolgen (drei Schlüsselgrößen anzufordern), aber auch das Schlaue zu tun (die niedrigste Stufe musste mit vorhersehbarer Technologie unzerbrechlich sein). 128 Bit sind aus Sicherheitsgründen völlig ausreichend (siehe diese Antwort für Details). Aus diesem Grund akzeptiert AES 256-Bit-Schlüssel aufgrund bürokratischer Mattigkeit: Es war einfacher, etwas etwas Unsinniges (einen Schlüsselgrößen-Overkill) zu fordern, als militärische Vorschriften zu ändern.

Die meisten Menschen wissen es nicht oder kümmern sich nicht darum über die Geschichte, und sie gehen einfach groß raus, weil sie das Gefühl haben, dass sie es verdienen.

Können Sie Quellen angeben, dass die drei Ebenen wirklich nur (alte) militärische Vorschriften erfüllen sollen? Es macht für mich nicht viel Sinn, wenn 128 Bit sicher genug wären, hätten sie genauso gut 128, 136 und 156 verwenden können. Die Entschlüsselungs- / Entschlüsselungszeit wäre Ihrer Meinung nach kürzer und dennoch sicher gewesen.
@Luc: Die 128/192/256 Bits dienen der Ästhetik: Zweierpotenzen sind immer besser (und 3DES verwendete formal bereits einen 192-Bit-Schlüssel - von denen 24 ignoriert werden, aber das ist eine andere Geschichte). Für die Quelle war es das, was mir damals jemand direkt gesagt hat (ich glaube es war Schneier), daher habe ich keine schriftliche Quelle. Die Entschlüsselungszeit ist Rijndael-spezifisch. Einige andere Kandidaten boten für alle Schlüssellängen die gleiche Leistung.
256-Bit-Schlüssel sind nicht völlig nutzlos. Sie bieten einen Schutz gegen die Möglichkeit von Quantencomputern, insbesondere gegen den Grovers-Algorithmus, der den Suchraum effektiv um die Hälfte reduzieren kann. Wir haben noch keine echten Quantencomputer und niemand weiß, wann wir werden. Der Punkt ist jedoch, dass Sie, wenn Sie Ihre Geheimnisse über 50 Jahre lang schützen möchten, möglicherweise das Doppelte der derzeit akzeptierten Schlüsselgröße auswählen. https://en.wikipedia.org/wiki/Post-quantum_cryptography
@SteveSether: Dies ist die Gelegenheit, darauf hinzuweisen, dass das "128-Bit" -Limit in keiner Weise universell ist. Wir verwenden 128-Bit-Schlüssel, weil dies wesentlich über das hinausgeht, was mit klassischem Rechnen geknackt werden kann. Der Grover-Algorithmus dreht die Suche theoretisch in einem 2 ^ 64-Aufwand, aber dies sind 2 ^ 64 _Quantum_-Operationen. Es bleibt abzuwarten, ob die Kosten einzelner QC-Operationen den einzelnen klassischen Operationen ähnlich sind. Derzeit sind 2 ^ 64 QC-Vorgänge viel schwieriger als 2 ^ 64 klassische Vorgänge, insbesondere weil QC-Computer noch nicht vorhanden sind.
@ThomasPornin Ich denke, der Punkt ist, dass 256 Bit EINIGE zusätzliche Sicherheitsstufe bieten, jedoch marginal. Es bleibt noch viel zu sehen. Für einige Leute reicht sogar die theoretische Möglichkeit, dass die Nachricht geknackt wird, aus, um die 40% -Kosten zusätzlicher CPU-Zyklen zu verursachen. Das ist größtenteils der NSA oder der CIA usw. verbannt. Ich würde jedem, der behauptet, ein Geheimnis für mehr als 50 Jahre schützen zu müssen, die gleichen Empfehlungen geben. CPU ist billig.
@ThomasPornin Gibt es einen Unterschied in der Wahrscheinlichkeit, den Schlüssel früher zu finden, mit 128 gegenüber 256? Meistens unwissend über das gesamte Gebiet, aber warum scheint die statistische Chance, einen Schlüssel früher als die maximale oder durchschnittliche Zeit zu finden, bei den meisten Brute-Force-Diskussionen keine Rolle zu spielen?
@Dave: gibt es einen mathematischen Unterschied in den Wahrscheinlichkeiten, aber der Punkt ist, dass der Unterschied in der Praxis keine Rolle spielt: Wenn eine Wahrscheinlichkeit so gering ist, dass Sie Ihr Unternehmen oder sogar Ihr Leben auf der Idee planen können, dass es nicht passieren wird, dann machen Sie Die noch geringere Wahrscheinlichkeit hat keine praktischen Konsequenzen.
@ThomasPornin, Der erste Absatz dieser Antwort ist ungenau.Es gibt Entscheidungen und Botschaften, deren Geheimhaltungsverletzung mehr als nur ein Leben oder sogar das Leben eines ganzen Landes betreffen kann.Die 256 Bits sollen vor [unbekannten Unbekannten] (https://en.wikipedia.org/wiki/There_are_known_knowns) und bekannten Unbekannten, z.die Möglichkeit, dass russische / chinesische / etc Cracker * [cont] ... * haben
* ... [Fortsetzung] * mehr Wissen als ihre Kollegen in den USA.(Und die USA selbst scheinen wie zwei verschiedene Länder zu sein, die aus US-Bürgern und USA bestehen.) Außerdem wird niemand wissen, was in den nächsten 80 Jahren passieren wird.Nachrichten erfordern möglicherweise seit Tausenden von Jahren keine Geheimhaltung, aber möglicherweise einige hundert Jahre lang Geheimhaltung.
Die NSA hat seitdem [auf die Verwendung von 256 Schlüsseln für AES umgestellt] (https://www.iad.gov/iad/customcf/openAttachment.cfm?FilePath=/iad/library/ia-guidance/ia-solutions-for-classified)/algorithm-guidance/assets/public/upload/Commercial-National-Security-Algorithm-CNSA-Suite-Factsheet.pdf&WpKes=aF6woL7fQp3dJi2Ag8xy3LrS8UQmzM92ApVEmU) aus Sorge um Quantum.Die Antwort sollte geändert werden, um die @SteveSether's-Analyse einzuschließen :)
Die Frage ist, warum diese Antwort ** 128 ** gefällt?
rook
2012-04-23 10:49:09 UTC
view on stackexchange narkive permalink

Wenn Sie ein Sicherheitssystem erstellen, müssen Sie einen Fehler planen. Dies ist die Idee hinter einer Tiefenverteidigungsstrategie.

Kryptografische Grundelemente werden mit der Zeit schwächer. Obwohl ein 128-Bit-Grundelement ausreichend ist, kann ein Fehler in der Verschlüsselung aufgedeckt werden, der diese Sicherheitsstufe verringert. Sie müssen also einen Sicherheitsabstand hinzufügen, wenn das unterstrichene Grundelement fehlschlägt.

Zum Beispiel erzeugt md5 einen 128-Bit-Hash. Mit einem ausgewählten Präfixangriff kann ein Angreifer jedoch eine Kollision mit einer Komplexität von nur 2 ^ 39 erzeugen.

Im Wesentlichen geht es um Sicherheitsmargen. Je länger der Schlüssel ist, desto höher ist die effektive Sicherheit. Wenn es jemals zu einer Unterbrechung von AES kommt, die die effektive Anzahl der zum Knacken erforderlichen Vorgänge verringert, bietet Ihnen ein größerer Schlüssel eine bessere Chance, sicher zu bleiben. Außerdem ist der Leistungsunterschied zwischen 256-Bit-AES und 128-Bit-AES bei heute verfügbarer Standardhardware relativ gering. Das und, wie CodeInChaos erwähnte, größere Zahlen klingen besser und sicherer.
Ok, keine schlechte Logik. Aber kann jemand genau sagen, wie stark eine 128-Bit-Verschlüsselung derzeit ist, vorausgesetzt, es wird kein wesentlicher Verstoß festgestellt und große Quantencomputer werden nicht realisiert?
@HM, http://crypto.stackexchange.com/a/753/706
In Bezug auf die MD5-Geschichte habe ich gehört, dass kryptografische Hash-Algorithmen im Allgemeinen als weniger zuverlässig gelten als Verschlüsselungsalgorithmen, da sie keinen so starken Sicherheitsnachweis haben wie Verschlüsselungsalgorithmen. Ich kenne die Details nicht und entschuldige mich für keinen Hinweis, aber ich habe solche Wörter mehrmals an mehreren Stellen gelesen und denke, dass diesbezüglich tatsächlich ein Unterschied zwischen Hash-Algorithmen und Verschlüsselungsalgorithmen besteht. Außerdem wird seit Jahren kein praktisch gefährlicher Verstoß gegen moderne und Standard-Verschlüsselungsalgorithmen wie AES entdeckt.
@Polynomial Ja Rand, das ist das Wort, das ich hätte verwenden sollen.
Der Vergleich mit MD5 ist etwas irreführend. Die Kollisionsbeständigkeit von MD5 war aufgrund des Geburtstagsparadoxons nie besser als 2 ^ 64.
@HM Ich denke, das Gegenteil ist der Fall.Hash-Funktionen benötigen häufig schwierig zu erreichende Sicherheitseigenschaften wie Kollisionsfestigkeit.Es ist wahr, dass Hashes in Bezug auf diese Eigenschaft anfälliger sind, aber für den Widerstand vor dem Bild sind sie im Allgemeinen ziemlich sicher.Tatsächlich könnte sogar etwas so Schwaches wie MD5 (Hölle, sogar MD4 oder MD2!) Verwendet werden, um eine extrem sichere Stream-Verschlüsselung zu erstellen, die weitaus sicherer ist als jede der zahlreichen kaputten Chiffren, die in der Geschichte liegen (DES, RC4, E0, A5)/ 1 usw.).
bangdang
2012-05-03 05:04:08 UTC
view on stackexchange narkive permalink

Ich habe dies in den Antworten oder Kommentaren nicht erwähnt, daher dachte ich, dies als Antwort hinzuzufügen. Die Schlüsselgröße korreliert nicht immer direkt mit der Komplexität eines Algorithmus. Ein häufiger Irrtum ist die Annahme, dass eine mit AES256 verschlüsselte Nachricht schwieriger zu knacken ist (ein Gegner erhält nur unter Verwendung des Chiffretextes Bedeutungsinformationen) als dieselben Informationen, die mit AES128 geschützt wurden. Es ist logisch, dass eine größere Schlüsselgröße eine größere Komplexität mit sich bringt, aber wie bei jedem System sind Implementierungen Schwachstellen ausgesetzt.

Angenommen, Sie sprechen von AES 128 gegenüber AES 256, gibt es eine bekannte Schwäche in der Schlüsselerweiterungsfunktion, die sich auf AES256 auswirkt. Grundsätzlich reduziert die Schwäche die Komplexität von AES256 auf einen niedrigeren Wert als AES128. Es gibt auch einen ähnlichen Angriff für AES192, obwohl in diesem Fall die Komplexität von AES192 größer bleibt als die von AES128.

Moral der Geschichte, die Leute verstehen Krypto nicht ... j / k (ich bin kein Mathematiker). Die Realität ist, dass die Leute "groß" mit "sicher" annehmen. Eine große Waffe ist besser als eine kleine Waffe. Größere Schlüsselgrößen sind sicherer als kleinere Schlüsselgrößen.

In der Realität ist die Implementierung von Krypto wichtiger als die Schlüsselgröße allein.

Wenn ich mich richtig erinnere, ist diese Schwäche nur bei Verwendung von AES relevant. Dies sind recht ungewöhnliche Modi und kein typischer Verschlüsselungsmodus, in dem zufällige Schlüssel verwendet werden. Ich bin mir ziemlich sicher, dass AES-256 für den normalen Gebrauch stärker ist (CBC, CTR, ...)
"Eine große Waffe ist besser als eine kleine Waffe" Und die Detonation des Zaren Bomba in jemandes Gesicht ist tödlicher als die Detonation des kleinen Jungen in ihrem Gesicht, aber sie sind so oder so tot.
@CodesInChaos Benötigen größere Schlüssel nicht mehr Runden, um eine vollständige Verbreitung zu erreichen (wenn ich mich recht erinnere, beruhte die Anzahl der zusätzlichen Runden, die AES256 gegeben wurden, auf einer Vermutung, nicht auf empirischen Tests oder Beweisen)?Oder ist das nur dann ein Problem, wenn der Schlüssel selbst nicht einheitlich ist?
@forest Ich gehe davon aus, dass dies nur dann von Bedeutung ist, wenn Sie entweder die höhere Sicherheitsstufe erreichen möchten, die von einem 256-Bit-Schlüssel erwartet wird, oder wenn der Schlüssel schlecht uneinheitlich ist (z. B. ist die zweite Hälfte konstant).Es stellt sich auch die Frage, was Sie unter Diffusion verstehen, wie viele Runden eine kleine Änderung der Eingabe benötigt, um zu diffundieren, oder wie viele Runden eine kleine Änderung des Schlüssels benötigt, um zu diffundieren.
@CodesInChaos Da ich auf den Unterschied in der Diffusionsrate verwiesen habe, wenn eine größere Schlüsselgröße verwendet wird (anstatt einer größeren Blockgröße), habe ich die Anzahl der Runden gemeint, die erforderlich sind, um eine vollständige Diffusion zu erreichen, wenn sich ein Teil der Taste ändert.
Es ist verwirrend, dass die Schlussfolgerung der Quellen die Empfehlung gegen AES256 nicht unterstützt: "Diese Komplexität ist zwar viel schneller als eine erschöpfende Suche, aber völlig unpraktisch und scheint keine wirkliche Bedrohung für die Sicherheit von AES-basierten Systemen darzustellenSysteme ", von http://eprint.iacr.org/2009/374
Blaze
2016-05-30 07:24:56 UTC
view on stackexchange narkive permalink

FWIW, NIST-Entwurf zur Post-Quanten-Krypto empfiehlt 256.

http://csrc.nist.gov/publications/drafts/nistir-8105/nistir_8105_draft.pdf

Obwohl sie sagen, dass es "übermäßig konservativ" sein könnte und nicht "die Möglichkeit komplexerer Quantenangriffe" berücksichtigt, sagen sie tatsächlich "Für symmetrische Schlüsselsysteme besteht eine einfache Heuristik darin, die Schlüssellängen zu verdoppeln, um die quadratische Beschleunigung zu kompensierenerreicht durch Grovers Algorithmus. "Dies scheint derzeit ein vernünftiger Ansatz zu sein, da bekannt ist, dass bei Quantencomputern viele Fortschritte erzielt wurden und das Interesse an der Technologie wächst.Heute gesendete Nachrichten könnten in einigen Jahren entschlüsselt werden, wenn sie Kryptografietechniken verwenden, die nicht "quantensicher" sind.
`die Möglichkeit komplexerer Quantenangriffe` Gibt es nicht einen Beweis dafür, dass der Grover-Algorithmus der effizienteste Weg ist, einen endlichen Schlüsselraum zu durchqueren?Das heißt,Der äquivalente Schlüsselraum kann niemals auf weniger als 2 ^ (n / 2) / √k reduziert werden, wobei _n_ die Bitlänge und _k_ die Anzahl paralleler Instanzen des Grover-Algorithmus ist.Ich könnte mich jedoch falsch erinnern.
D.W.
2012-04-23 10:46:20 UTC
view on stackexchange narkive permalink

Ihre Prämisse scheint mir falsch zu sein. Mir sind keine Beweise dafür bekannt, dass "die meisten Leute 256-Bit-Verschlüsselung anstelle von 128-Bit verwenden". In der Tat, wenn ich raten müsste, vermute ich, dass das Gegenteil der Fall ist.

Ich denke, Sie haben Recht damit, dass die meisten SSL-Setups standardmäßig 128-Bit bevorzugen. Ich denke jedoch, der Punkt der Frage ist "Warum einen längeren Schlüssel verwenden, wenn 128-Bit sowieso sicher ist?".
Beispielsweise bevorzugen sowohl Firefox als auch Opera AES-256-Verschlüsselungssuiten. Sie bevorzugen sogar Nicht (EC) DHE-Suiten mit AES-256 gegenüber (EC) DHE-Suiten mit AES-128, was IMO verrückt macht.
freeman
2020-06-23 05:59:45 UTC
view on stackexchange narkive permalink

Schließlich stoßen Sie auf ein Problem, das der Komprimierungssoftware ähnelt. Eine zu starke Komprimierung kann zu Datenverlust führen. Obwohl es "theoretisch" keine endliche Zahl für die Stärke der Verschlüsselung gibt, bedeutet dies nicht, dass Sie Ihre Daten mehr als 256 Bit verschlüsseln müssen. Möglicherweise sind Sie technisch in der Lage, dies zu tun, aber auf das Risiko, dass ein Computer einen Monat oder Jahre braucht, um hochzufahren und Ihr Betriebssystem zu laden?

https://medium.com/@ drgutteridge / Was-ist-der-Deal-mit-Verschlüsselungsstärke-ist-128-Bit-Verschlüsselung-genug-oder-brauchen-Sie-mehr-3338b53f1e3d

user1301428
2012-04-23 10:56:54 UTC
view on stackexchange narkive permalink

Ich gehe davon aus, dass Sie über symmetrische Kryptographie sprechen. Die Antwort ist, dass es nie sicher genug ist (obwohl ich vermute, dass die Verwendung von 256-Bit- gegenüber 128-Bit-Schlüsseln eine Marketingstrategie ist, damit sich der Kunde sicherer fühlt).

Und vergessen Sie nicht den Aufstieg von Quantencomputer, der die für einen Brute-Force-Angriff benötigte Zeit erheblich verkürzt.

Ja, es ist symmetrisch. Über Quantencomputer Wikipedia sagt: "Bennett, Bernstein, Brassard und Vazirani haben 1996 bewiesen, dass eine Brute-Force-Schlüsselsuche auf einem Quantencomputer nicht schneller sein kann als ungefähr 2n / 2 Aufrufe des zugrunde liegenden kryptografischen Algorithmus, verglichen mit ungefähr 2n im klassischer Fall. In Gegenwart großer Quantencomputer kann ein n-Bit-Schlüssel mindestens n / 2 Bit Sicherheit bieten. Quantum Brute Force kann leicht durch Verdoppelung der Schlüssellänge besiegt werden. "
Aber für solche Angriffe, die praktisch werden, werden sehr große, vollwertige Quantencomputer benötigt, von denen ich nicht glaube, dass sie sehr bald realisiert werden können. Auf jeden Fall scheint es eine gute Idee zu sein, 256 Bit zu verwenden, wenn ein relativ langfristiger Schutz erforderlich ist (und das Ändern der Schlüssel / Schlüssellänge bei Bedarf nicht praktikabel ist), obwohl 256 Bit im Zeitalter der Quantencomputer zu 128 Bit werden. Warum also nicht 512 verwenden? bisschen? aber ich persönlich erinnere mich an keine 512-Bit-unterstützende Chiffre !!
@HM "Quantum Brute Force kann leicht durch Verdoppelung der Schlüssellänge besiegt werden". Ich weiß nichts darüber, deshalb werde ich nicht ins Detail gehen, aber es ist wahr, da verstehen Sie, warum Sie 256 Bit anstelle von 128 verwenden :) Auf jeden Fall, wie Sie sagen, geben längere Schlüssel Ihnen langfristig Schutz, der wahrscheinlich wichtig genug ist, um ihre Verwendung zu rechtfertigen.
In vielen Fällen wäre es ohnehin einfacher, den Schors-Algorithmus für die öffentliche Kryptographie des Schlüsselaustauschs auszuführen.
@HM "AES hat eine feste Blockgröße von 128 Bit und eine Schlüsselgröße von 128, 192 oder 256 Bit, während Rijndael mit Block- und Schlüsselgrößen in einem beliebigen Vielfachen von 32 Bit mit einem Minimum von 128 Bit angegeben werden kann. Die Blockgröße hat ein Maximum von 256 Bit, aber die Schlüsselgröße hat kein theoretisches Maximum. " (aus Wikipedia)
Und was ist mit Sicherheitstoken? Ich hatte bereits Fragen dazu gestellt, aber [diese Frage] (http://security.stackexchange.com/questions/13140/secure-key-lengths-in-web-sites-apps) wurde geschlossen! Ich meine, wenn wir eine zufällige Zeichenfolge als Token verwenden, bedeutet dies, dass sie nicht von kryptografischen Grundelementen (Chiffren, Hashes usw.) verwendet wird, genau wie ein Sicherheitstoken. Ist ein 128-Bit-Token ausreichend? Ist Quantencomputing auch in diesem Bereich ein Problem?
@HM meinst du so etwas wie Sitzungs-IDs?
Wahrscheinlich ist die Sitzungs-ID ein irreführendes Beispiel, da afaik-Sitzungs-IDs nicht vollständig zufällig generiert werden (z. B. werden einige Client-Parameter zum Generieren verwendet). Auch die Beschränkung der Frage auf Web-Szenarien scheint eine weitere schlechte Idee zu sein, die die Diskussion möglicherweise fehlleiten kann, da Remote-Brute-Force-Angriffe fast immer stark in ihrer Geschwindigkeit eingeschränkt sind (insbesondere im Web). Lokale Brute-Force-Angriffe können mit viel höheren Geschwindigkeiten ausgeführt werden.
Nehmen Sie ein Sicherheitstoken als geheime Zufallszeichenfolge an, die von zwei Computern gemeinsam genutzt wird und direkt zur Authentifizierung verwendet wird. Jeder kann eine unbegrenzte Anzahl von Permutationen ausprobieren, um sich als die andere (vertrauenswürdige) Seite auszugeben. Aber wenn die Anzahl der Permutationen groß genug ist, gibt es für Außenstehende praktisch keine Chance, erfolgreich zu sein.
@HM Ich möchte Ihnen keine falschen Antworten geben, daher werde ich nicht antworten. Ich bin kein Experte für Quantencomputer, ich weiß nur, dass damit kryptografische Schlüssel schneller zerstört werden können. Ich werde mich auf jeden Fall mehr mit dem Thema befassen.
Es kann leicht sicher genug sein.[2 ^ 128 ist verdammt schwer, aber theoretisch etwas plausibel, und 2 ^ 256 liegt weit außerhalb des Bereichs, für den wir eine Idee haben, eine Maschine zu bauen.] (Https://security.stackexchange.com/q/6141/ 2138) Mit einem "perfekt effizienten" Computer (von dem ich ziemlich sicher bin, dass er, soweit wir wissen, nicht existieren kann) [werden diese Grenzen praktisch bedeutungslos] (https://physics.stackexchange.com/q/257323/14091)).Das kommt wirklich darauf an: * theoretisch * schwer oder nur schwer * angesichts dessen, was wir zu tun haben *?Ich vermute, die meisten Menschen sind mehr mit letzterem beschäftigt.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...