Crittografia e "decadimento della sicurezza" dei dati crittografati precedenti

19

Questa domanda presuppone che tutti i dati, una volta crittografati, possano essere (eventualmente) decodificati attraverso

  1. Forza bruta (potenza / tempo di calcolo)
  2. Sfruttamenti nella crittografia utilizzata
  3. Furto delle chiavi private

La maggior parte dei modelli di minacce, delle procedure e dell'interazione commerciale con cui sono stato coinvolto si è concentrata sulla protezione e sulla sicurezza dei dati attuali o futuri, ma non su ciò che è necessario per mantenere la sicurezza dei dati precedentemente crittografati.

"Dati crittografati in precedenza" potrebbero non solo includere messaggi o file crittografati, ma anche includere un'acquisizione di una precedente sessione SSH o VPN.

C'è qualche discussione nella comunità della sicurezza IT sui dati che sono stati crittografati in una determinata data in relazione alla legge di Moore, al cloud computing e al tempo tutti funzionanti come fattori che potrebbero decrittografare le informazioni precedentemente crittografate ?

C'è una discussione sul furto di una chiave privata che metterebbe a rischio i dati precedenti?

Molte persone negli uffici aziendali e legali considerano la crittografia una cassetta di sicurezza infallibile che non può mai rompere e non la vedono come un blob crittografato la cui sicurezza decade nel tempo e necessita di una vigilanza costante da mantenere. (ad esempio, non essere negligente con questi BLOB, non lasciarli su server pubblico per analisi in quanto le persone potrebbero tenta di decrittografarlo it)

Sono interessato a qualsiasi pensiero intorno

  • Se questo è un fattore nel decidere di utilizzare una connessione privata cablata invece di una VPN
  • Esempi e metodi per misurare la sensibilità al tempo delle informazioni e il rischio di esposizione
  • Rischi e rimedi nell'ambito della sicurezza IT
  • Modi per comunicare il rischio (e la relativa riparazione) a persone non tecniche. (ad esempio per i finanziamenti)
  • ...?
posta random65537 22.03.2011 - 16:32
fonte

2 risposte

20

Una nozione è chiamata Perfect Forward Secrecy . Questo si applica alle situazioni in cui si crittografa i dati e li decodifichi quasi simultaneamente, ma ti preoccupi di un utente malintenzionato che in seguito otterrà una copia della chiave di decrittografia. Questo è un modello restrittivo, ma si applica alle connessioni SSL: la chiave privata del server è longeva (di solito, è memorizzata in un file locale) e quindi soggetta a furto futuro; mentre non vi è alcuna legittima necessità di decifrare i dati scambiati a una data futura.

Nel caso di SSL, la soluzione si basa sulle suite di crittografia "DHE" (Diffie-Hellman Ephemeral). In parole povere, client e server utilizzano un accordo chiave Diffie-Hellman, con nuovi esponenti privati, per stabilire le chiavi di sessione. La chiave privata del server (quella corrispondente alla chiave pubblica nel certificato del server) viene utilizzata solo per la firma (in modo che il server sia debitamente autenticato dal client). Pertanto, un ulteriore furto della chiave privata del server non consente all'autore dell'attacco di decrittografare i dati precedentemente scambiati. Gli esponenti privati Diffie-Hellman e la chiave di sessione, essendo transitori (collegati solo a quella sessione), non vengono mai memorizzati su un supporto fisico e vengono dimenticati una volta chiusa la sessione; quindi, sono molto meno suscettibili di ulteriore furto.

La legge di Moore e l'aumento generale della potenza di calcolo disponibile non sono un grosso problema, perché è prevedibile: tale potenza di calcolo aumenta di un fattore inferiore a 2 ogni anno. Pertanto, è facile sovradimensionare le chiavi un po 'per tenere conto di questo fattore: nel caso della crittografia simmetrica, basta aggiungere un bit chiave all'anno. Ciò significa che AES con una chiave a 192 bit andrà bene per almeno un secolo, almeno per quanto riguarda tali progressi tecnologici. Per RSA, Diffie-Hellman, Rabin-Williams o El-Gamal, puntare a 8192 bit per lo stesso livello di protezione (chiave a 384 bit per curve ellittiche).

Più preoccupanti sono i progressi scientifici , ovvero la potenziale scoperta di algoritmi più veloci per, per esempio, la fattorizzazione di interi. Tali progressi sono molto meno prevedibili dei progressi tecnologici; tuttavia, sembrano anche accadere abbastanza di rado (l'ultimo grande passo avanti nella fattorizzazione è stata l'invenzione del Number Field Sieve, e ciò avvenne 20 anni fa). Il computer quantistico è un jolly sconosciuto qui: se può mai essere costruito, allora distrugge completamente la crittografia asimmetrica (beh, a almeno, gli algoritmi basati sulla fattorizzazione e sul registro discreto, incluse le varianti della curva ellittica, possibilmente, crittografia McElliece potrebbero resistere) .

In generale, la più grande minaccia per la riservatezza a lungo termine dei dati crittografati è il furto di chiavi private. Quando applicabile, PFS migliora davvero le cose con un margine equo. Preoccuparsi della legge di Moore o dell'informatica quantistica è davvero una buona notizia: significa che hai già sventato tutti i vettori di attacco più facili, il che non è un risultato insignificante. Pensare che "la crittografia è una cassetta di sicurezza infallibile" non è completamente assurda: se fatto correttamente , la parte di crittografia stessa aggiungerà rischi trascurabili a ciò che si deve già affrontare quando si tratta di archiviare una chiave privata e mantenerla sicuro senza perderlo del tutto.

    
risposta data 22.03.2011 - 17:41
fonte
8

Il risultato pratico di questo è che quasi tutti i reparti di sicurezza con cui lavoro trattano la crittografia come qualcosa che si aspettano di proteggere per un certo periodo di tempo e le loro decisioni su quale crittografia utilizzare sono basate su quanto tempo hanno bisogno di dati 'garantire'

Certamente i fattori che si alimentano in questo sono lanosi, e sono inclini a cambiare quando qualcuno scopre un nuovo attacco teorico, ma in generale approvo questo approccio.

Non penso di conoscere nessuno nelle organizzazioni globali che si occupano di crittografia e che non la guarda in questo modo. Cambiano le chiavi in base a una forza bruta atteso di metà dello spazio della chiave (o inferiore) e cambiano gli algoritmi quando i governi ne raccomandano di nuovi.

Alcuni aggiornamenti:

Un sacco di connessioni crittografate che i miei clienti usano sono importanti solo in quel momento - se vengono interrotte un mese dopo non importa. Questi tipi di connessioni utilizzano in genere crittografia ad alte prestazioni, non crittografica che durerà anni.

La crittografia utilizzata per proteggere i dati medici privati, d'altra parte, deve essere strong per la vita del paziente come minimo e le prestazioni sono meno importanti, quindi viene usata una crittografia molto più strong.

È tutta questione di appropriatezza.

    
risposta data 22.03.2011 - 17:46
fonte