Perché le organizzazioni di standard offrono tempi di protezione così brevi per la crittografia a 128 bit?

Per "> 2030", il NIST sta in realtà affermando che la crittografia simmetrica a 128 bit dovrebbe essere sicura fino a almeno dell'anno 2030. Se la versione corrente di un determinato software si basa su La crittografia a 128 bit è ancora in circolazione tra 17 anni, bravo.

Come ha detto Dan, è compito del NIST essere pessimista su queste cose, perché tutti le ascolta, e perché la crittografia, nella fredda luce del giorno, ha un curriculum piuttosto negativo; se avessimo, ormai, sviluppato la primitiva simmetrica di crittografia ideale (come in, possiamo provare matematicamente che ci sono attacchi no più efficienti della forza bruta) che usavano una lunghezza di chiave finita (OTP è probabilmente noncrissibile perché usa una lunghezza infinita della chiave), lo utilizzeremmo ancora.

Così com'è, quasi ogni sistema crittografico che sia mai stato concepito attraverso la storia umana è stato da allora incrinato, e mentre quelli attualmente in uso (una minoranza d'élite di tutti i cifrari mai inventati) sono creduti sicuri, è solo perché il i migliori attacchi noti contro di loro in questo momento sono migliori della forza bruta solo se applicati a una versione ridotta della complessità dell'algoritmo (meno "round" del codice).

Un motivo potrebbe essere il potenziale per difetti rilevati negli algoritmi a 128 bit che riducono la sua effettiva entropia.

Ad esempio, forse si scopre un difetto che perde informazioni. Questa perdita potrebbe ridurre il numero effettivo di bit da dire, < 100-bit, rendendo gli attacchi più di 2 ²⁸ volte più semplici.

È essenzialmente la copertura di scommesse contro una moltitudine di possibilità, sia dal progresso tecnologico (ad esempio, i computer Quantum) per progettare i difetti nell'algoritmo.