Puncte:7

De ce sunt încă folosite curbele NIST?

drapel in

Sunt relativ nou în lumea cripto-ului (Dar în ceea ce privește matematica, sunt familiarizat cu funcționarea interioară. Obișnuiam să-l foloseam rar pentru confidențialitate, dar acum îl folosesc pentru multe lucruri).

Oricum, mă uitam la această adresă URL, și bineînțeles că am observat că curbele NIST par să aibă o mulțime de puncte slabe. Mai mult decât alte curbe, cum ar fi E-521, care, după cum am înțeles, s-a dovedit matematic a fi sigură pentru cele mai cunoscute atacuri.

De aici am câteva întrebări pe care speram că cineva mi le poate explica:

  • De ce oferă GPG criptare NIST dacă este mai puțin sigură decât altele? De ce nu oferă cele mai sigure opțiuni?

  • Cheile mele GPG sunt toate din categoria NIST, ar trebui să le schimb? (De altfel, subcheia mea de semnare este diferită, dar încă de tip vulnerabil.)

miraunpajaro avatar
drapel in
@Patriot Multumesc! Ai dreptate, am schimbat-o, cred că acum este mai corect. La primul tău comentariu, înseamnă asta că este o plângere comună? Nu ar trebui să fie aceasta o problemă prioritară pentru, haideți gnupg?
poncho avatar
drapel my
Cel mai cunoscut atac împotriva Curve25519 este de patru ori mai ușor decât cel mai cunoscut atac împotriva P256. Atunci cum este P256 o opțiune „mai puțin sigură”?
dave_thompson_085 avatar
drapel cn
În mare parte, înșelă https://crypto.stackexchange.com/questions/52983/why-is-there-the-option-to-use-nist-p-256-in-gnupg https://crypto.stackexchange.com/questions /52859/why-is-c25519-in-the-gpg-expert-options https://security.stackexchange.com/questions/160311/which-ecc-to-choose-with-gpg
drapel cn
De asemenea, legat de: https://crypto.stackexchange.com/q/44397/29574
Puncte:17
drapel cn

Aceasta este o întrebare totuși care navighează la limitele războaielor meta/politice în cadrul comunității criptografiei.

SafeCurves este o resursă bună, dar este foarte cu opinii despre ce înseamnă „sigur”. Ca exemplu secp256k1, curba folosită de Bitcoin și Ethereum pentru a le garanta securitatea este considerată „nesigură” de către echipa SafeCurves, în timp ce în prezent are peste 1000+ B$ „bug bounty” sub formă de BTC și ETH care ar putea fi piratată dacă ați putea Rupe-o...

Deci, nu, nu este pentru că SafeCurves spune că ceva nu este "sigur"asta inseamna ca este"spart„. Curbele NIST ar putea fi mai bune, sigur, dar încă funcționează și își fac treaba și (din câte știm noi) nu există atacuri efective, practice împotriva lor, care să amenințe sistemele care le folosesc în prezent, atâta timp cât sunt implementate "corespunzator"... Care înseamnă nu sunt sparte, și nu aș spune personal că nu sunt „sigure” pentru utilizare în 2021. Dar dacă proiectez un nou sistem în care să pot alege orice mecanism de acord cheie sau algoritm de semnătură, nici nu sunt prima mea alegere.

O problemă uriașă atunci când lucrezi în dezvoltarea de software (și hardware) este „conformitatea”, iar NIST sunt cei care emit „standardele” care sunt considerate ca Sfântul Graal în lumea conformității, mă tem.
Deci, în timp ce lucrează în prezent la noi schițe (de ex. proiectul pentru FIPS 186-5 include în prezent Ed25519 ca algoritm de semnătură) care conține mai multe curbe „moderne”, încă nu și-au actualizat recomandările și standardele și, prin urmare, multe entități sunt mandatate să se bazeze pe recomandările lor vechi, cum ar fi curba P-256.

Compatibilitatea este, de asemenea, o mare problemă. De exemplu, curba NIST P-256 este susținută de Web Crypto API, care ar trebui să fie în timp constant și „securizat” (în sensul „nu cunoaștem atacuri efective, practice împotriva acesteia”). Între timp, Curve25519, mai modern, este considerat a fi mai sigur și mai puțin predispus la erori de implementare decât P-256, dar nu este încă acceptat de API-ul Web Crypto. Deci, pentru a face chestii JavaScript folosind ECC, este mai bine să utilizați P-256 decât Curve25519 pentru moment. (Sau WASM, dar acesta este un alt subiect.)

De asemenea, este important de observat că GnuPG urmează Specificațiile OpenPGP și încearcă să fie un instrument larg interoperabil, inter-compatibil. Ca atare, acceptă o mulțime de scheme diferite, printre care unele sunt mai vechi decât altele, unele sunt mai mult sau mai puțin utilizate. Există o schiță care include suport pentru Ed25519 și X25519 în PGP, care este deschisă în prezent și la care sa lucrat activ în ultimii câțiva ani:

Aceleași probleme de compatibilitate apar și cu PGP: dacă doriți să puteți comunica cu ușurință cu ceilalți care îl folosesc, cel mai bine este să utilizați ceva pe care alții îl folosesc/sprijin.

Deci, PGP va ajunge acolo la un moment dat, dar este un proces lent și atâta timp cât aceste curbe și standarde vechi nu sunt practic (sau riscă să fie) rupte, acest proces lent probabil nu se va accelera.

Acum, dacă vă schimbați cheile PGP dacă utilizați P-256 sau o altă curbă al cărei „cost pentru rho” este peste 2^100 în acea listă: https://safecurves.cr.yp.to/rho.html ? Aș spune „Nu”. Nu trebuie să vă faceți griji pentru moment, cel puțin pentru următorii 5 ani, eventual mai mult. Dar Calculatoare cuantice ar putea schimba această poveste în câțiva ani în plus, dacă vor fi la fel de eficienți pe cât ne așteptăm să fie în rezolvarea problemei logaritmului discret în practică.

poncho avatar
drapel my
Există un singur computer cuantic „real” (unde „real” înseamnă „suficient de mare și de fiabil pentru a rula algoritmul lui Shor pe dimensiunea curbelor pe care le folosim), toate curbele eliptice devin nesigure (excepție: metodele bazate pe izogenie supersingulară, care funcționează complet diferit)
drapel cn
Da, asta e așteptarea de care spuneam. Dar am îndoieli că vom putea avea un QC suficient de „stabil” pentru a realiza acest lucru ^^'
miraunpajaro avatar
drapel in
Foarte frumos! O întrebare despre calculatoarele cuantice. AFAI, există limite inferioare cu privire la cât de multă energie ar fi nevoie pentru forța brută a unor algori ecc. Aceste limite se aplică calculului cuantic? Presupun că nu, dar nu cred.
drapel cn
Nu, orice algo ECC (care nu este bazat pe izogney) este spart de un computer cuantic.De asemenea, probabil că vă amestecați cu [legatul faimos](https://crypto.stackexchange.com/a/1160/29574) cu privire la energia necesară pentru a forța brută o cheie de 256 de biți, dar asta este pentru algoritmi simetrici, nu ECC.
Mark avatar
drapel ng
@Lery, punctul important este că este de fapt pentru forțarea brută, în timp ce un QC funcțional vă permite să faceți mult mai bine decât forța brută împotriva ECC.
miraunpajaro avatar
drapel in
Aah vad. Și cripto simetric este rezistent cuantic, văd.
miraunpajaro avatar
drapel in
@Mark Ai putea detalia? Cum anume?
Mark avatar
drapel ng
@miraunpajaro dacă ar fi forțat brut ECC, ar dura $\Theta(2^\lambda)$ timp (în esență prin definiție). Tehnicile generice în calculul cuantic (algoritmul lui Grover) vă permit adesea să reduceți acest lucru la $\Theta(2^{\lambda/2})$ - puteți opri acest lucru prin dublarea dimensiunilor cheilor. Problema cu ECC este că algoritmul lui Schor există, ceea ce reduce complexitatea DLOG (pe un grup de dimensiune $O(2^\lambda)$) la timpul polinomial (cuantic), de ex. $\lambda^{O(1)}$.
Mark avatar
drapel ng
Cheltuielile de energie legate în sine spune în esență „plătiți o cantitate minimă de energie pentru fiecare bit de energie care este șters”. Acest lucru înseamnă probabil că nu există un analog cuantic (calcularea cuantică este, până când măsurați, „reversibilă”), dar puteți lega cantitatea de energie pentru a rezolva DLOG peste un grup generic (care are o limită inferioară de $\ Omega(2^{\lambda/2})$ în setarea clasică --- limita în sine nu este specifică cripto simetrică.
poncho avatar
drapel my
@Mark: de fapt, există tehnici generice în calculul clasic care rup ECC în timp $\Theta(2^{\lambda/2})$ - aceste atacuri se bazează pe structura de grup a ECC
Mark avatar
drapel ng
@poncho Da, de aceea am scris $\Omega(2^{\lambda/2})$ și nu $\omega(2^{\lambda/2})$. Am scris $\Omega(\cdot)$ în loc de $\Theta(\cdot)$ pentru a evidenția faptul că argumentului îi pasă în mod specific de *limita inferioară* (și faptul că există o limită superioară care se potrivește nu contează), poate asta a fost oarecum pedant.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.