Perché il gruppo DH casuale è raccomandato su un gruppo standard?

3

So che alla luce di logjam ci sono stati consigli per generare il proprio gruppo DH ( link ). Mi sembra che lasciare questo compito all'utente finale sia molto più probabile che essere problematico di qualcuno che precalcola un attacco contro un grande gruppo (come il gruppo # 14 con 2048-bit o addirittura il gruppo # 16 con 4096-bit se si è paranoico).

Inoltre, la generazione di quei gruppi standard non è ovviamente creata maliziosamente (è basata sull'espansione pi). Tuttavia, un gruppo casuale non mi garantisce che non sia stato creato con cattive intenzioni.

Che cosa offre questa raccomandazione comune?

Gruppi standard: link

    
posta Anthony Kraft 16.04.2016 - 21:35
fonte

2 risposte

1

Utilizzi strumenti per generare gruppi DH sicuri per te, quindi non li generi in modo completamente casuale. Questi strumenti li sottopongono a severi test che assicurano che non hanno proprietà che li rendono insicuri. I test sono così precisi che la probabilità che uno dei parametri scelti sia insicuro è eccezionalmente bassa. Esistono due tipi di generatori, chiamati 2 e 5. Il valore predefinito è 2, ma puoi leggere le differenze qui . La generazione va più o meno così:

  • Il generatore di gruppi DH crea un elenco di candidati casuali. Sono tutti completamente casuali, presi dal pool di entropia del sistema in modo da poter essere sicuri che non siano selezionati maliziosamente.
  • Il generatore mette ogni candidato attraverso numerosi test e scarta la maggior parte, lasciando solo alcuni che hanno proprietà speciali che li rendono sicuri per l'uso.

Ciò che il NIST ha fatto è usare il pi per il primo passo, perché ovviamente non ti fideresti di loro se ti dicessero che usavano la loro casualità, perché altrimenti potevano teoricamente nasconderlo. Questo in modo sicuro trasforma il primo passo in uno deterministico.

Ora, non devi preoccuparti di creare i gruppi come se stessi, perché il generatore viene entropicamente dall'entropia del tuo sistema. Questo stadio non è deterministico, il che rende gli attacchi di pre-computazione che indeboliscono la DH non più un problema.

La ragione per cui dovresti usare i tuoi gruppi DH è perché ti rende più sicuro dagli attacchi che coinvolgono il precalcolo. La ragione per cui non dovresti usare i tuoi gruppi DH è perché la loro generazione è pesante dal punto di vista computazionale e se stai usando un computer molto vecchio, potrebbe volerci molto tempo per crearli. Ma fintanto che li generi utilizzando openssl dhparam , non dovrai preoccuparti di gruppi DH non validi.

    
risposta data 24.04.2016 - 08:11
fonte
0

Non scoraggiare questi argomenti:

  • Un prototipo di computer quantistico sta già lavorando e sta facendo qualcosa . Indovina cosa?
  • Una farm GPU è molto conveniente al giorno d'oggi, anche per i ricercatori privati. E, sì - 10x GeForce Titan Z può rendere A BUON CALCIO
  • Non esiste alcun problema di generazione / calcolo di gruppi "on-site", è un modo più veloce ora

Quindi sono d'accordo con l'articolo che hai fornito come riferimento.

    
risposta data 16.04.2016 - 21:46
fonte

Leggi altre domande sui tag