Perché utilizzare la crittografia simmetrica a 256 bit in TLS quando RSA a 2048 bit non offre nemmeno la forza a 128 bit?

21

Ho notato che i siti Web iniziano a utilizzare la crittografia simmetrica a 256 bit, ma spesso continuano a utilizzare chiavi RSA a 2048 bit.

link

Il link sopra mostra i consigli di ECRYPT II, in cui si afferma che la crittografia simmetrica a 128 bit e quella asimmetrica a 3248 bit hanno una resistenza comparabile.

I consigli NIST indicano che la simmetria a 128 bit è paragonabile alla crittografia asimmetrica a 3072 bit.

Ciò significherebbe che RSA a 2048 bit è più debole della crittografia simmetrica a 128 bit. Il che mi fa chiedere perché i siti web stanno iniziando a offrire la crittografia simmetrica a 256 bit, mentre il link più debole (RSA) non offre nemmeno la forza a 128 bit.

C'è qualcosa che mi manca qui?

    
posta abaj 18.06.2014 - 16:36
fonte

4 risposte

30

Le persone usano la crittografia a 256 bit perché possono e, data la scelta, le persone tendono ad andare per i numeri più grandi, perché sentono di "meritarselo".

Scientificamente, non ha senso usare AES-256 quando lo scambio di chiavi si basa su RSA a 2048 bit. Questo è solo uno spreco di cicli della CPU; AES-128 sarebbe stato altrettanto bene. Ma "256" può corteggiare gli auditor in sottomissione. Tali sono le complessità della psicologia umana.

    
risposta data 18.06.2014 - 16:39
fonte
13

La debolezza della RSA si applica solo allo scambio di chiavi e alla definizione della sessione. Se l'attaccante non lo rileva, la comunicazione stessa è molto più resistente alla forza bruta con la crittografia simmetrica a 256 bit. (Anche se entrambi sono attualmente molto, molto al di là dell'impossibile forza bruta. Gli attacchi di riduzione chiave che potrebbero emergere in futuro potrebbero fare una differenza significativa, ma non è noto ora.) La RSA è il punto debole, ma ciò non t significa che non vale la pena usare una sicurezza più elevata per la parte persistente della connessione / sessione.

    
risposta data 18.06.2014 - 17:13
fonte
1

Quando la suite di crittografia utilizza la segretezza avanzata, il certificato del server viene utilizzato solo per l'autenticazione, non per la crittografia.

Una chiave RSA a 2048 bit potrebbe sembrare non giustificare una crittografia a 256 bit, ma lo scambio di chiavi ECDHE per la segretezza avanzata comporta una crittografia molto più strong senza l'utilizzo del certificato firmato dalla CA.

Senza l'inoltro segreto o con lo scambio di chiavi DHE, forse i cipher a 256 bit non hanno senso, ma hanno senso con ECDHE.

    
risposta data 06.04.2017 - 13:01
fonte
0

La domanda migliore è perché utilizzare anche rsa a 2048 bit e rsa a 4096 bit o uno degli algoritmi più nuovi e migliori?

Inoltre, anche se aes256 sta sprecando cicli di CPU (e sono d'accordo che lo sia), i cicli di CPU sono abbondanti, dovresti sempre usare un algoritmo di crittografia doppio di ciò che è considerato sicuro e con qualsiasi cosa riguardi i trasferimenti di rete che la tua connessione sta per essere il collo di bottiglia più grande di aes128 vs aes256 specialmente su linee standard 100/100 mbit fth. Forse quando le linee 100/100 gbit sono considerate standard la differenza sarà più evidente ma a quel punto avremo cpus molto più veloci e il dibattito su aes128 vs aes256 sarà lo stesso del dibattito di 8 contro 32 GB di ram oggi (alias 32GB) essendo il minimo indispensabile.

    
risposta data 16.01.2017 - 00:52
fonte

Leggi altre domande sui tag