RSA 2048, ECDSA e SHA non sono disconnessi nel senso che AES-256 non è incrinabile?

5

La risposta

link

ha apparentemente dimostrato che AES-256 non sarà direttamente incrinato per almeno i prossimi 200 anni (a meno che non riusciamo a raccogliere l'energia prodotta dalle stelle lontane). Gli unici attacchi disponibili continueranno ad essere attacchi indiretti come brute-forzare la password originale, ecc.

Domande:

  1. Ripeto la prima domanda alla risposta di cui sopra che nessuno ha risposto: per quanto riguarda il calcolo quantico?

  2. Lo stesso vale per RSA 2048 e ECDSA? Saranno quelli crackati (fattore di rischio) in qualunque momento presto? Capisco che RSA 1024 sarà presto crackato - è vero?

  3. Che mi dici di SHA-1 o SHA-256? Saranno presto violati (invertiti)?

Mi dispiace per la mia mancanza di idee. Sto essenzialmente cercando di capire

  • se le mie email crittografate con PGP (RSA 2048)
  • se Bitcoin (SHA-256 e ECDSA)

sarà al sicuro per i prossimi 200 anni circa. I bitcoiners parlano in particolare dell'offerta di moneta dopo 150 anni, quindi mi chiedo se ci sia una base per la loro fiducia!

    
posta cryptonamus 26.04.2014 - 00:16
fonte

2 risposte

7

RSA-2048, ECDSA (su una curva a 256 bit), SHA-1, SHA-256 e AES-256 sono tutti "ugualmente" non incrinabili in quanto sono tutti nella vasta categoria di "non sappiamo come romperli con tecnologia esistente o prevedibile ".

(resistenza SHA-1 a collisioni , ma non a preimmaginazioni, non è in quella categoria. Quella che sappiamo come rompere - sarebbe piuttosto costosa, ma non oltre la nostra portata collettiva .)

Possiamo fare alcune stime asintotiche che affermano che se i computer sono autorizzati ad aumentare di potenza in quantità arbitrarie (ma ci sono buone ragioni perché questo probabilmente non accadrà), quindi l'RSA-2048 cadrà per prima (circa 2 112 resistenza), quindi ECDSA con P-256 (2 128 ), quindi SHA-1 (2 160 ), quindi SHA-256 e AES-256 (2 256 ). Ma tali confronti sono del tutto privi di senso, poiché si basano su un'ipotesi che non sembra del tutto compatibile con le leggi della fisica come li conosciamo.

I computer quantistici , se mai potranno essere costruiti, faranno il lavoro breve di RSA e ECDSA. Non faranno che indebolire SHA- * e AES, fino a livelli che saranno ancora tra "diabolicamente difficili da rompere" e "indistruttibili".

Le prospettive sull'evoluzione tecnologica per 150 anni sono pura congettura. Nessuno sa davvero come sarà il mondo tra 100 anni. Personalmente non faccio profezie oltre i 40 anni.

    
risposta data 26.04.2014 - 00:48
fonte
5

Il problema non è che questi algoritmi potrebbero avere le loro chiavi / input forzate brute. Dato abbastanza grandi chiavi e / o dimensioni di input, quasi sicuramente non lo faranno.

Il problema è che non esiste una sfera di cristallo con cui affermare se un particolare algoritmo sarà ancora considerato strong nei successivi duecento anni di crittoanalisi. Attualmente crediamo che questi algoritmi siano forti, ma queste credenze sono basate su prove empiriche (ad esempio, l'algoritmo AES stesso non è stato rotto dai più importanti crittografi del mondo) o su ipotesi matematiche (ad esempio, RSA è "difficile" per rompere assumendo il factoring è "difficile" e ECDSA è "difficile" da interrompere supponendo che la DLP sia "difficile").

Inoltre, non abbiamo un modo generico di affermare che i casi d'uso complessi di primitive crittografiche sicure siano forti. GPG è basato su RSA, AES e SHA. Anche se consideriamo un assioma che ognuno di questi primitivi è strong, la composizione specifica utilizzata da GPG può essere considerata debole. Per qualcosa di più reale, TLS ha attraversato molte revisioni, ogni pensiero al momento di essere relativamente sicuro, e ogni volta scoperto in seguito per essere sottilmente (o egregiamente) rotto.

Anche se in qualche modo abbiamo dimostrato che i primitivi e le composizioni sono sicuri, ci imbattiamo ancora in problemi. Questi algoritmi sono scritti in software e il software è scritto dagli umani. Gli umani sono imperfetti e commettiamo errori. La distribuzione Debian di GNU / Linux, ad esempio, ha apportato modifiche apparentemente innocue a OpenSSL che hanno portato il suo generatore di numeri casuali ad essere estremamente prevedibile. In molti casi d'uso crittografici, se il generatore di numeri casuali è rotto, l'intero sistema è rotto. Heartbleed è l'esempio recente di qualcosa che non è stato necessariamente insicuro implementato in modo non sicuro, portando a un compromesso catastrofico di dati sensibili sui server di tutto il mondo.

Infine, anche se abbiamo un'implementazione priva di bug e verificata formalmente di protocolli crittografici provati matematicamente, il altro software sul computer potrebbe essere non sicuro o configurato in modo improprio e vulnerabile al compromesso. Il tuo portafoglio Bitcoin potrebbe essere strongmente crittografato, ma non importa se la tua macchina Windows riceve un virus che sputa i tuoi tasti. Anche le persone stesse sono un anello debole; la ricerca ha ripetutamente dimostrato che le persone consegneranno praticamente qualsiasi informazione sensibile venga loro rivolta per un pezzo di caramelle o una GIF animata di un gatto.

TL; DR, i tuoi dati saranno al sicuro in duecento anni? Non ci scommetterei.

    
risposta data 26.04.2014 - 00:36
fonte

Leggi altre domande sui tag