Esistono buoni strumenti per testare la qualità della crittografia dei dati?

1

Sto cercando di aumentare la mia comprensione della crittografia dei dati, e mi stavo chiedendo questo. Sarebbe davvero bello se ci fossero dei buoni strumenti per testare quanto siano sicuri i miei dati crittografati, per esempio quanto tempo impiegherebbe per una mela marcia media che rovina il barile per decifrarlo.

    
posta Thierry 30.10.2014 - 14:43
fonte

2 risposte

3

L'esistenza di uno strumento che possa garantire la sicurezza di alcuni sistemi di crittografia comporterebbe una serie di problemi scientifici difficili, fino al famoso P vs NP . Al momento, nessun crittografo è riuscito a dimostrare che la crittografia sicura o l'hashing possono effettivamente esistere, per non parlare di uno strumento in grado di testare un determinato sistema. Tutti abbiamo candidati : non funzioni che non possono essere interrotte, solo funzioni che non sappiamo come rompere, anche se ci abbiamo provato duramente.

Ciò che può esistere è uno strumento che esegue alcune analisi statistiche su, ad esempio, l'output di un PRNG presumibilmente sicuro, e dichiara se appare qualche pregiudizio. Se uno strumento di analisi statistica trova un pregiudizio, allora è ovvio che l'algoritmo crittografico è pura spazzatura. Tuttavia, se non lo fa, allora non prova nulla in un modo o nell'altro. Quasi tutti gli algoritmi, deboli o meno, producono risultati in cui i sistemi di analisi statistica non vedranno nulla di evidentemente pericoloso.

Il metodo pratico per valutare la sicurezza di un sistema di crittografia è:

  1. Il metodo è documentato (precisamente fino al livello del bit, sufficiente per scrivere potenzialmente una nuova implementazione interoperabile)? In caso contrario, probabilmente non è sicuro.

  2. Questa documentazione è stata pubblicata come protocollo per l'ispezione da parte dei crittografi per almeno due anni? In caso contrario, non puoi sapere se è sicuro.

  3. L'implementazione ha una buona reputazione, gli sviluppatori pubblicano noti problemi di sicurezza e producono rapidamente le correzioni? In caso contrario, non utilizzare lo strumento.

risposta data 30.10.2014 - 15:01
fonte
1

Penso che la tua vera domanda sia alla fine lì, "Quanto ci vorrà per rompere la mia crittografia?" E quello strumento che stai chiedendo è la matematica.

Per le crittografie a chiave simmetrica, puoi calcolare il numero di possibili chiavi usando 2 ^ x dove x è il numero di bit nella tua chiave. Ad esempio, in AES-256, la chiave è lunga 256 bit, il che ci dà 2 ^ 256 possibili chiavi, confinando vicino a 10 ^ 77 possibilità. Quindi, puoi prendere il numero di ipotesi che possono essere eseguite al secondo, ad esempio, 1.000.000.000 (un po 'fattibile), e dividerle con un po' di matematica, e apprendi che in media ci vorranno circa 10 ^ 67 secondi per "brutale" forza "una chiave del genere. Anche con 1,000,000,000,000,000 di tentativi al secondo (un quadrilione di tentativi al secondo), è ancora 10 ^ 61, che è più lungo dell'universo che esiste ... ancora ...

Ci sono alcuni punti deboli in AES che riducono la dimensione del problema, quindi invece di prendere 10 ^ 67 secondi è un po 'meno, come 10 ^ 60 secondi, ma è comunque un periodo di tempo incredibilmente lungo. Altri criptosistemi hanno diversi punti di forza chiave, quindi dovrai calcolare il time-to-crack per ognuno di loro, ma in generale sono abbastanza simili.

I cifrari ben documentati sono "più sicuri" in quanto le loro debolezze sono ben note e puoi trovare facilmente le informazioni su di loro. Buoni numeri!

    
risposta data 30.10.2014 - 15:57
fonte

Leggi altre domande sui tag