3DES vs DES per connessioni VPN

8

Sto cercando di connettere i telefoni Android 2.1 alla nostra VPN aziendale, ma sembrerebbe che supportino solo DES piuttosto che 3DES per la crittografia.

È sicuro usare DES, ho intenzione di essere hackerato se cambio la crittografia in DES?

    
posta Simon Hodgson 10.01.2011 - 15:11
fonte

2 risposte

6

In termini standard (cioè FIPS 46-3, che ha definito DES e 3DES dal punto di vista federale degli Stati Uniti [ritirato nel 2005 ...]), 3DES è un "tipo di DES" . Quindi è possibile che rivendicando "supporto DES" il tuo software VPN implementa effettivamente 3DES. Ora presumo che tu abbia verificato quel punto e che il software in Android conosca solo il DES originale, non 3DES (che è un po 'sorprendente per un sistema operativo recente come Android 2.1, ma chissà).

Craccare un tasto DES è fattibile ma non facile. Questo è un 2 55 fattore di lavoro medio. È stato fatto con hardware specializzato (la macchina EFF "Deep Crack" ), poi di nuovo con PC standard e altre macchine fornite (ma molti di loro). Un motore generico basato su FPGA ha dimostrato di costare circa 10000 € e di essere in grado di copia una chiave a 56 bit in meno di una settimana (in media). Quindi si deve presumere che in un contesto aziendale (supponendo che gli "attaccanti" abbiano un enorme incentivo a scoprire segreti commerciali) una VPN protetta da una chiave DES a 56 bit può essere decifrata.

Tuttavia, l'uso degli smartphone per accedere ai dati sensibili tramite la VPN mi sembra un punto di sicurezza molto più debole. Gli smartphone sono utilizzati in ambienti non protetti (questo è il punto di avere un sistema mobile ...) e sono probabilmente l'oggetto rubato più di frequente in questi giorni. Per un determinato aggressore, l'uso di una macchina FPGA non è molto costoso, ma aggredisce il proprietario dello smartphone con una chiave da 5 $ ancora meno, e, ecco! in seguito l'utente malintenzionato riceve uno smartphone gratuito). Se la VPN dà accesso a qualcosa di sensibile, lasciare che le persone lo usino dagli smartphone è una specie di offesa.

    
risposta data 10.01.2011 - 15:49
fonte
2

Il motivo per cui DES è stato deprecato per la maggior parte degli usi è che può essere forzato brutalmente in una piccola quantità di tempo (nel 1999 una chiave DES è stata forzata bruta in 22 ore - quindi l'aspettativa è che ora sarebbe molto più veloce)

Dipende dal tipo di connessione che vuoi -

  • ti connetteresti solo alle email?
  • userai una chiave di crittografia che persiste?

Se ti stai solo connettendo a email non sensibili, e qualsiasi chiave utilizzata è temporanea e di breve durata, potrebbe essere comunque appropriato utilizzare DES.

Se ti stai connettendo a dati aziendali sensibili o personali, o usi una chiave longeva, potresti voler investire in altri controlli attenuanti se devi usare DES.

In che tipo di contesto sarà usato?

    
risposta data 10.01.2011 - 15:43
fonte

Leggi altre domande sui tag