Sto cercando di aumentare la mia comprensione della crittografia dei dati, e mi stavo chiedendo questo. Sarebbe davvero bello se ci fossero dei buoni strumenti per testare quanto siano sicuri i miei dati crittografati, per esempio quanto tempo impiegherebbe per una mela marcia media che rovina il barile per decifrarlo.
L'esistenza di uno strumento che possa garantire la sicurezza di alcuni sistemi di crittografia comporterebbe una serie di problemi scientifici difficili, fino al famoso P vs NP . Al momento, nessun crittografo è riuscito a dimostrare che la crittografia sicura o l'hashing possono effettivamente esistere, per non parlare di uno strumento in grado di testare un determinato sistema. Tutti abbiamo candidati : non funzioni che non possono essere interrotte, solo funzioni che non sappiamo come rompere, anche se ci abbiamo provato duramente.
Ciò che può esistere è uno strumento che esegue alcune analisi statistiche su, ad esempio, l'output di un PRNG presumibilmente sicuro, e dichiara se appare qualche pregiudizio. Se uno strumento di analisi statistica trova un pregiudizio, allora è ovvio che l'algoritmo crittografico è pura spazzatura. Tuttavia, se non lo fa, allora non prova nulla in un modo o nell'altro. Quasi tutti gli algoritmi, deboli o meno, producono risultati in cui i sistemi di analisi statistica non vedranno nulla di evidentemente pericoloso.
Il metodo pratico per valutare la sicurezza di un sistema di crittografia è:
Il metodo è documentato (precisamente fino al livello del bit, sufficiente per scrivere potenzialmente una nuova implementazione interoperabile)? In caso contrario, probabilmente non è sicuro.
Questa documentazione è stata pubblicata come protocollo per l'ispezione da parte dei crittografi per almeno due anni? In caso contrario, non puoi sapere se è sicuro.
L'implementazione ha una buona reputazione, gli sviluppatori pubblicano noti problemi di sicurezza e producono rapidamente le correzioni? In caso contrario, non utilizzare lo strumento.
Penso che la tua vera domanda sia alla fine lì, "Quanto ci vorrà per rompere la mia crittografia?" E quello strumento che stai chiedendo è la matematica.
Per le crittografie a chiave simmetrica, puoi calcolare il numero di possibili chiavi usando 2 ^ x dove x è il numero di bit nella tua chiave. Ad esempio, in AES-256, la chiave è lunga 256 bit, il che ci dà 2 ^ 256 possibili chiavi, confinando vicino a 10 ^ 77 possibilità. Quindi, puoi prendere il numero di ipotesi che possono essere eseguite al secondo, ad esempio, 1.000.000.000 (un po 'fattibile), e dividerle con un po' di matematica, e apprendi che in media ci vorranno circa 10 ^ 67 secondi per "brutale" forza "una chiave del genere. Anche con 1,000,000,000,000,000 di tentativi al secondo (un quadrilione di tentativi al secondo), è ancora 10 ^ 61, che è più lungo dell'universo che esiste ... ancora ...
Ci sono alcuni punti deboli in AES che riducono la dimensione del problema, quindi invece di prendere 10 ^ 67 secondi è un po 'meno, come 10 ^ 60 secondi, ma è comunque un periodo di tempo incredibilmente lungo. Altri criptosistemi hanno diversi punti di forza chiave, quindi dovrai calcolare il time-to-crack per ognuno di loro, ma in generale sono abbastanza simili.
I cifrari ben documentati sono "più sicuri" in quanto le loro debolezze sono ben note e puoi trovare facilmente le informazioni su di loro. Buoni numeri!
Leggi altre domande sui tag encryption hash