NSA a eliminat recent EC-256 și SHA-256 din CNSA - ar trebui să fim alarmați de acest lucru?
Nu.
Există un motiv copleșitor pentru care, așa cum se precizează în document:
Sistemele criptografice pe care NSA le produce, certifică și sprijină au adesea cicluri de viață foarte lungi. NSA trebuie să producă astăzi cerințe pentru sistemele care vor fi utilizate timp de multe decenii în viitor, iar datele protejate de aceste sisteme vor necesita în continuare protecție criptografică timp de decenii după înlocuirea acestor soluții.
Standardele NSA și standardele NIST pentru „industrie” nu sunt aceleași din perspectiva implementării, dacă doriți ca serverul dvs. web să înceapă să utilizeze o curbă de 512 de biți în loc de 256, poate fi necesar să faceți upgrade openssl, dar de obicei durează mai puțin de o zi pentru a face modificarea odată autorizată. Pe de altă parte, un dispozitiv hardware certificat NSA, folosit de operatorii în acoperire adâncă, nu este chiar atât de ușor de înlocuit. De asemenea, radiouri milspec, comunicații prin satelit, hardware de comunicații instalate într-un submarin... niciunul dintre acestea nu este înlocuit des și poate avea mai mult de un deceniu de testare după ce proiectarea este finalizată. Același lucru cu intervalele de rotație a cheilor și cantitatea de timp în care datele ar putea avea nevoie să rămână confidențiale, totul mult mai mult pentru securitatea națională.
Odată cu setarea „industriei” a nivelurilor de securitate sub 128 de biți în aproximativ 8 ani și, probabil, niveluri sub 160 de biți un deceniu mai târziu, făcând calculele vă puteți imagina că standardele NSA pot necesita aproximativ 2 decenii de securitate dincolo de industrie. . și acest lucru este de fapt menționat în document:
Noua criptografie poate dura 20 de ani sau mai mult pentru a fi implementată complet în toate sistemele naționale de securitate.
Deci acum face perfect În sens, pur și simplu încearcă să fie înaintea tendințelor deja bine documentate și înțelese cu privire la dimensiunile cheie pentru utilizare în viitor, dar trebuie să acționeze ACUM din cauza perioadelor lungi de timp implicate în validarea, achiziționarea și înlocuirea noului hardware și software.
Eliminarea SHA-256 pentru SHA-384 poate fi văzută ca logică din mai multe motive. În primul rând, TREBUIE să utilizați o curbă de 384 de biți sau mai mare, în al doilea rând este performanța pe platforme pe 64 de biți, iar al treilea este că împărtășește o bază de cod comună cu SHA-512 mai mare pentru implementări asimetrice care vizează încă securitatea pe 256 de biți.
Deci asta ne readuce la aruncarea lui P-256...este mare lucru în acest moment? În 2041, peste 20 de ani, cu siguranță nu va fi, și de aceea NU ar trebui să ne alarmăm câtuși de puțin, m-aș aștepta ca securitatea pe 160 de biți să fie minimă, chiar și pentru aplicațiile civile cu securitate scăzută. Pentru AES acum asta înseamnă 192 de biți sau mai mare, cu o schemă de semnătură de 384 de biți care se potrivește, și asta este ceea ce este specificat în document.
Dacă vă amintiți de competiția AES, durata de viață țintă a fost până în 2030, așa că este posibil ca în 2041, să folosim deja un nou cifru bloc de lux dintr-o altă competiție. Desigur, AES a rezistat extrem de bine la atacurile practice asupra matematicii sale.
Citind documentul, se pare că aceste standarde nu sunt doar pentru sectorul public sau contractorii privați care manipulează documente clasificate, ci mai degrabă. toata lumea (publice și private).
Nu chiar, acest lucru este în special în ceea ce privește produsele comerciale care implementează criptarea pentru utilizarea de către guvernul SUA, care implementează algoritmi neclasificați din suita CNSA. Comercial aici poate însemna de pe raft sau dezvoltat de un antreprenor pentru a îndeplini o cerință guvernamentală. Aceste produse trebuie totuși validate folosind alte criterii, dar trebuie să implementeze algoritmii enumerați în timp ce NU implementează algoritmi care nu au nevoie de cerința minimă de securitate (necesită citare pe aceasta), deși pot implementa totuși algoritmii Suite B cu securitate puternică, cel putin pentru moment.
Așadar, concentrați-vă în schimb asupra modului în care documentul implică amenințarea cuantică: utilizați algoritmi simetrici sau așteptați până când suita CNSA este actualizată cu algoritmi asimetrici rezistenți cuantici (aproape sigur bazați pe rețea) după ce NIST publică un proiect de standard, cândva între anul viitor și 2024.
Dacă s-ar fi speriat cu adevărat de atacurile cuantice, ar fi pentru că ei înșiși au dezvoltat un atac practic și au fost îngrijorați că China/Rusia/Iran nu vor rămâne cu mult în urmă și ar fi luate pași drastici cu costuri mari.
Am scos NIST SP 800-56A Rev3 pentru a aduna mai multe informații, iar acel document afirmă, în esență, că chiar și datele neclasificate par a fi interzis atunci când vine vorba de curbele sub EC-384.
Unde vezi asta? Sub Tabelul 24: Curbe eliptice aprobate pentru acordul cheie ECC., chiar și curbele de 224 de biți și grupurile principale de 2048 de biți sunt încă listate, deși sunt foarte clare cu privire la puterea de securitate vizată. Se întâmplă ca CNSA să fotografieze algogii care îndeplinesc cerințele de securitate, implementare, flexibilitate și interoperabilitate.
Standardele NIST sunt mai mult despre a spune că aveți voie să utilizați acest lucru acum, iar documentul NSA este mai mult despre ceea ce aveți voie să start Folosind acum, există o suprapunere, dar scopul este foarte diferit, nimic nu pare ieșit din comun, de fapt, aș considera NU obligarea unor chei de dimensiuni mai mari decât cele indicate în document ca fiind cea mai grăitoare despre cum să nu ne panicăm... așa că nu nu intrați în panică.
