Attacchi di collisione su OCB?

7

Ho esaminato la OCB modalità di crittografia e tutto ciò che sento suona bene. Stavo pensando di implementarlo.

Tutto tranne questa voce solitaria, ovvero: Attacchi di collisione su OCB :

We show that collision attacks are quite effective on the OCB block cipher mode. When a collision occurs OCB loses its authentication capability. To keep adequate authentication security OCB has to be limited in the amount of data it processes. This restriction is relevant to real-life applications, and casts doubt on the wisdom of using OCB.

Questo significa che dovrei assolutamente stare lontano da OCB? Ho letto il giornale ma non ne ho abbastanza per essere sicuro di quanto sia davvero serio.

    
posta jnm2 24.06.2011 - 13:45
fonte

1 risposta

7

Questi attacchi sono teorici e improbabili che abbiano molta rilevanza pratica per tutti tranne un piccolo numero di usi (se ce ne sono). Non lasciare che la carta ti spaventi. È un utile pezzo di ricerca che sarà interessante per i ricercatori, da un crittografo rispettabile e di talento, ma a mio parere non minaccia l'uso pratico di OCB.

Il tipo di attacchi di collisione di cui parla Ferguson richiede circa 2 68 byte di dati da crittografare in OCB (tutti con una singola chiave) prima che possano verificarsi. Questo è un sacco di dati. Nessuna applicazione tipica è in grado di crittografare più dati con un'unica chiave.

Devi mantenere queste cose in prospettiva. Se questo è il più grande punto debole del tuo sistema, hai fatto un lavoro incredibilmente fantastico per costruire un sistema di sicurezza. Dubito di aver mai visto in vita mia un sistema di sicurezza in cui l'OCB sarebbe l'anello più debole. In pratica, i problemi di usabilità, le vulnerabilità di implementazione, l'errata configurazione e simili sono rischi molto maggiori. È molto più probabile che un utente scelga una password povera, o cada per un attacco di social engineering, o che il tuo software abbia una vulnerabilità di SQL injection, ecc. Con la crittografia moderna, gli hacker di solito non tentano di rompere il cryptomath; invece, lo ignorano.

    
risposta data 26.06.2011 - 07:21
fonte

Leggi altre domande sui tag