Puncte:1

De ce este folosit SHA384 în suitele de criptare TLS pentru AES_256_GCM în loc de SHA256?

drapel es

Suitele de criptare TLS folosesc SHA256 ca hash atunci când se utilizează AES_128_GCM și CHACHA20_POLY1305, dar SHA384 când se utilizează AES_256_GCM.

The Registrul TLS Cipher Suite nu conține suite de criptare care să folosească AES_256_GCM_SHA256 în loc de AES_256_GCM_SHA384.

Conform RFC 8446, acest hash trebuie să fie „utilizat atât cu funcția de derivare a cheii, cât și cu codul de autentificare a mesajului de strângere de mână”.

Care ar putea fi motivația pentru utilizarea SHA384 peste SHA256 ca HMAC-Hash pentru HKDF la stabilirea unei chei AES_256_GCM?

kelalaka avatar
drapel in
[A avea presupusa rezistență cuantică de 128 de biți](https://crypto.stackexchange.com/a/75241/18298)
knaccc avatar
drapel es
@kelalaka Mulțumesc, link excelent. Sunteți de acord că, atunci când utilizați AES_256_GCM, este benefic să faceți upgrade la SHA384 pentru partea MAC de strângere de mână, dar nu ar fi un avantaj suplimentar să faceți upgrade la SHA384 pentru HKDF pentru a obține cheia AES_256_GCM?
kelalaka avatar
drapel in
Nu folosește deja algoritmul hash suitelor de criptare? [rfc8446#section-7.1](https://datatracker.ietf.org/doc/html/rfc8446#section-7.1) `Funcția Hash folosită de Transcript-Hash și HKDF este cifrul algoritm de hash suite.`
knaccc avatar
drapel es
@kelalaka Știu că este folosit de ambii și nu puteți folosi un hash pentru transcrierea și un alt hash pentru HKDF. Ceea ce vreau să spun este că sunteți de acord că actualizarea la SHA384 are sens pentru a face hash-ul transcriptului mai puternic, pentru a-și îmbunătăți rezistența cuantică în același timp, actualizați rezistența cuantică a cifrului simetric. Dar, această utilizare a SHA384 este o actualizare benefică a hash-ului de transcriere, dar nu chiar benefică ca o actualizare a părții HKDF
knaccc avatar
drapel es
@kelalaka Pentru a spune mai simplu: vă întreb dacă sunteți de acord că SHA384 ajută ca o actualizare cuantică pentru a preveni coliziunile pentru transcrierea de strângere de mână MAC, dar nu oferă niciun beneficiu față de SHA256 în scopul HKDF pe secretul partajat ECDHE pentru a obține cheia AES256GCM.
kelalaka avatar
drapel in
Ei bine, AFAIK TLS 1.3 a simplificat lucrurile, în loc să folosești două hash pe suită, folosește unul...
knaccc avatar
drapel es
@kelalaka Nu sunt sigur dacă sunteți sau nu de acord cu ultimul meu comentariu, dar vă mulțumesc pentru înțelegerea cuantică. Voi aproba asta ca răspuns dacă doriți să-l trimiteți.
knaccc avatar
drapel es
@kelalaka Aha, perfect, mulțumesc!
Puncte:1
drapel in

Să presupunem că cineva a construit un Calculator cuantic criptografic (CQC) care în special poate rula algoritmul lui Grover.Algoritmul lui Grover este optim asimptotic, ceea ce este necesar $\mathcal{O}(\sqrt{n})$- timpul pentru $n$ biți de securitate pentru atac înainte de imagine sau căutare cheie. Acesta este unul care are securitate pe 128 de biți din spațiul de cheie de 256 de biți. Aceasta este reclama algoritmului lui Grover, da, are $\mathcal{O}(\log{n})$-spațiu, totuși, acest lucru nu este suficient.

Ceea ce lipsește în general este $\mathcal{O}(\sqrt{n})$ apelul algoritmului lui Grover, luați în considerare că doriți să spargeți 128 de biți, atunci trebuie să rulați algoritmul lui Grover $2^{64}$-timp. Dacă presupunem că puteți executa un algoritm al lui Grover într-o mașină într-o secundă, atunci aveți nevoie $\aproximativ 585$ ani pentru a găsi cheia. Acest lucru este destul de optimist în sensul că se poate pregăti un QCQ într-o nano secundă.

Algoritmul lui Grover, ca și algoritmul clasic poate fi paralelizat, de asemenea. Ei bine, interesant, pentru $k$ paralel Grover nu avem creștere pătratică, avem $\sqrt{k}$ accelera. Acest lucru nu se extinde bine.

Acesta este totul despre al lui Grover, acum există o altă lucrare de la Brassard et al. pentru funcții hash pentru constatarea coliziunii, are $\mathcal{O}(\sqrt[3]{2^{256}})$-timp și $\aproximativ \mathcal{O}(2^{85})$-spaţiu. Aceasta are încă în optim asimptotic și de data aceasta avem securitate pe 128 de biți de la funcția hash de 384 de biți cu $2^{128}$-cerințe de spațiu.

Cu acestea putem argumenta că chiar și funcțiile hash de 256 de biți și chiar și cifrarea bloc de 128 de biți sunt în siguranță pentru CQC. Un calcul mai realist făcut din

Păstrând detaliul articolului, să lipim NIST și să presupunem că avem nevoie $384$-funcția hash de biți împotriva CQC pentru a avea rezistență la coliziune de 128 de biți, rezistența pre-imagine este $192$-bit.

Dacă folosim HKDF de 256 de biți, acesta va avea rezistență înainte de imagine CQC de 128 de biți. Aceasta înseamnă că hash-ul de 256 de biți va fi suficient.

Din TLS 1.3 a simplificat aproape totul;

Funcția Hash utilizată de Transcript-Hash și HKDF este algoritmul hash suitei de cifrare.

Explicația semnificativă este că SHA-384 este ales pentru a avea o rezistență la coliziune de 128 de biți care se potrivește cu rezistența de 128 de biți a AES-256. Într-un mod simplificat se poate spune că AES_256_GCM_SHA384 are securitate pe 128 de biți împotriva adversarilor Quantum.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.