Curva più sicura di Curve25519

Non c'è niente di più sicuro di "sicuro". Un aggressore che può romperlo in anticipo, perché ha "solo" sicurezza a 128 bit, è un attaccante che ha molto più potere di calcolo disponibile di tutti i computer sulla Terra messi insieme (inclusi anche smartphone e macchine da caffè). Non è plausibile che un tale attaccante piombasse così in basso da infastidire il tasto tuo ; conosce già tutti i tuoi pensieri, dirige tutte le tue azioni e probabilmente possiede anche la tua anima.

I livelli di sicurezza oltre i 128 bit non sono intesi a fornire "maggiore sicurezza", ma a calmare auditor, manager, clienti e potenziali compagni (non necessariamente in questo ordine) da una potente visualizzazione di bit extra. Questo è come birds of paradise : utilizzando una chiave sovradimensionata, si invia il segnale che sei così grande che puoi permettersi sprecare CPU e larghezza di banda della rete in crittografia ridicolmente ingrandita.

Realisticamente, se (quando) la tua chiave è rotta, allora non sarà attraverso la sua dimensione; ciò avverrà attraverso un bug del software, una perdita di hardware o un uso improprio dei tasti in un protocollo mal progettato. In questo senso , possiamo parlare di sicurezza effettiva:

• Il designer di Curve25519 e autore della sua usuale implementazione è Daniel J. Bernstein, che è noto a "conosci il suo mestiere". Il suo codice probabilmente contiene molti meno bug di quello che farebbe la maggior parte degli sviluppatori. Usare il suo codice è, a parità di altre condizioni, una buona idea.

• D'altro canto, i protocolli sono un problema importante, ed è molto più facile imbucare un protocollo rispetto all'implementazione di un algoritmo crittografico. Cercando una curva, stai cercando la cosa sbagliata. Dovresti pensare "quale protocollo dovrei usare?" e poi (solo allora) preoccuparsi della curva specifica, nel caso in cui il protocollo scelto avvenga per consentire l'uso di più curve. Curve25519 non ha (ancora) percolato in tutti o addirittura i protocolli più consolidati. Ad esempio, non c'è supporto per Curve25519 in SSL / TLS (ce n'è uno in SSH, però).

Mi rendo conto che questo post non risponde direttamente alla tua domanda, ma ho pensato di postarlo comunque come "avvocato del diavolo" per confutare il post di Thomas.

Sono pienamente d'accordo con Thomas; non c'è nessuno che possa dare una ragione per pensare che avrai mai bisogno di più di 128 bit di sicurezza nella nostra vita.

Detto questo, Bernstein, l'autore di Curve25519, ha co-autore di una curva alternativa, Curve41417, che ha poco più di 200 bit di sicurezza. Nel loro articolo [1] affermano che "è facile vedere che 2 ^ 128 è molto più di qualsiasi calcolo possibile oggi", "ma anche questo ragiona:

• I primitivi crittografici hanno bisogno di tempo per essere rivisti --- possono esistere dei punti deboli --- e quindi un margine di sicurezza elevato non è una cosa negativa
• È fisicamente possibile che, in pochi secoli, potremmo avere una potenza di calcolo sufficiente a calcolare 2 ^ 128 operazioni all'anno
• Alcuni protocolli ECC che dipendono dalle curve non hanno limiti di sicurezza stretti; quindi avere un margine di sicurezza più elevato per compensare ciò è necessario
• Dovremmo chiedere "quanta sicurezza possiamo ottenere dai nostri requisiti di rendimento" piuttosto che "quanta prestazione possiamo ottenere dai nostri requisiti di sicurezza", e in alcuni casi, possiamo facilmente permetterci margini di sicurezza più elevati

[1] link