NSA đã loại bỏ EC-256 và SHA-256 khỏi CNSA gần đây--chúng ta có nên lo lắng về điều này không?
Không.
Có một lý do áp đảo tại sao, như đã nêu trong tài liệu:
Các hệ thống mật mã mà NSA sản xuất, chứng nhận và hỗ trợ thường có vòng đời rất dài. NSA phải đưa ra các yêu cầu ngày hôm nay cho các hệ thống sẽ được sử dụng trong nhiều thập kỷ trong tương lai và dữ liệu được bảo vệ bởi các hệ thống này sẽ vẫn yêu cầu bảo vệ bằng mật mã trong nhiều thập kỷ sau khi các giải pháp này được thay thế.
Tiêu chuẩn NSA và tiêu chuẩn NIST cho "ngành" không giống nhau từ góc độ triển khai, nếu bạn muốn máy chủ web của mình bắt đầu sử dụng đường cong 512-bit thay vì 256, bạn có thể cần nâng cấp openssl, nhưng thông thường chỉ mất chưa đầy một ngày để thực hiện thay đổi sau khi được ủy quyền. Mặt khác, một thiết bị phần cứng được NSA chứng nhận được sử dụng bởi các đặc vụ trong vỏ bọc sâu, gần như không dễ thay thế. Ngoài ra, radio milspec, liên lạc vệ tinh, phần cứng liên lạc được lắp đặt trong tàu ngầm.... không thứ nào trong số đó được thay thế thường xuyên và có thể có hơn một thập kỷ thử nghiệm sau khi thiết kế hoàn tất. Điều tương tự cũng xảy ra với các khoảng thời gian luân chuyển khóa và lượng thời gian dữ liệu có thể cần được giữ bí mật, tất cả đều lâu hơn cho an ninh quốc gia.
Với "ngành" thiết lập mức độ bảo mật dưới 128 bit trong khoảng 8 năm và có lẽ mức dưới 160 bit một thập kỷ sau đó, làm phép toán bạn có thể hình dung rằng các tiêu chuẩn của NSA có thể yêu cầu khoảng 2 thập kỷ bảo mật ngoài ngành.. .và điều này thực tế đã được đề cập trong tài liệu:
Mật mã mới có thể mất 20 năm hoặc hơn để được triển khai đầy đủ cho tất cả các Hệ thống An ninh Quốc gia.
Vì vậy, bây giờ nó làm cho hoàn hảo nghĩa là, họ chỉ đơn giản là đang cố gắng đi trước các xu hướng đã được ghi chép và hiểu rõ về kích thước khóa để sử dụng trong tương lai, nhưng cần phải hành động NGAY BÂY GIỜ do các khung thời gian dài liên quan đến việc xác thực, mua và thay thế phần cứng và phần mềm mới.
Bỏ SHA-256 cho SHA-384 có thể được coi là hợp lý vì nhiều lý do. Đầu tiên và quan trọng nhất, bạn PHẢI sử dụng đường cong 384 bit hoặc lớn hơn, thứ hai là hiệu suất trên nền tảng 64 bit và thứ ba là nó chia sẻ cơ sở mã chung với SHA-512 lớn hơn để triển khai bất đối xứng vẫn nhắm mục tiêu bảo mật 256 bit.
Vì vậy, điều đó đưa chúng ta trở lại việc loại bỏ P-256...đó có phải là một vấn đề lớn vào thời điểm này? Vào năm 2041, 20 năm nữa, điều đó chắc chắn sẽ không xảy ra, và đó là lý do tại sao chúng ta KHÔNG nên lo lắng dù chỉ một chút, tôi cho rằng bảo mật 160-bit là mức tối thiểu, ngay cả đối với các ứng dụng dân sự có độ bảo mật thấp. Đối với AES bây giờ, điều đó có nghĩa là 192 bit hoặc lớn hơn, với lược đồ chữ ký 384 bit phù hợp và đó là những gì được chỉ định trong tài liệu.
Nếu bạn nhớ lại cuộc thi AES, thì tuổi thọ mục tiêu là đến năm 2030, vì vậy có thể xảy ra trường hợp là vào năm 2041, chúng tôi sẽ sử dụng một mật mã khối mới lạ mắt từ một cuộc thi khác. Tất nhiên, AES đã tổ chức rất tốt các cuộc tấn công thực tế vào toán học của nó.
Đọc qua tài liệu, có vẻ như các tiêu chuẩn này không chỉ dành cho khu vực công hoặc các nhà thầu tư nhân xử lý các tài liệu mật, mà còn mọi người (Công cộng và tư nhân).
Không hẳn, điều này đặc biệt liên quan đến các sản phẩm thương mại triển khai mã hóa để chính phủ Hoa Kỳ sử dụng, các sản phẩm này triển khai các thuật toán không được phân loại từ bộ CNSA. Thương mại ở đây có thể có nghĩa là có sẵn hoặc được phát triển bởi một nhà thầu để đáp ứng yêu cầu của chính phủ. Các sản phẩm này vẫn phải được xác thực bằng cách sử dụng các tiêu chí khác, nhưng chúng phải triển khai các thuật toán được liệt kê trong khi KHÔNG triển khai các thuật toán không cần yêu cầu bảo mật tối thiểu (cần trích dẫn về yêu cầu đó), mặc dù chúng vẫn có thể triển khai các thuật toán Suite B với khả năng bảo mật mạnh, ít nhất là cho đến bây giờ.
Vì vậy, thay vào đó, hãy tập trung vào cách tài liệu đối phó với mối đe dọa lượng tử: Sử dụng các thuật toán đối xứng hoặc đợi cho đến khi bộ CNSA được cập nhật bằng các thuật toán bất đối xứng kháng lượng tử (gần như chắc chắn là dựa trên mạng) sau khi NIST xuất bản một tiêu chuẩn dự thảo, vào khoảng giữa năm sau và 2024.
Nếu họ thực sự lo lắng về các cuộc tấn công lượng tử, thì đó là bởi vì chính họ đã phát triển một cuộc tấn công thực tế và lo ngại rằng Trung Quốc/Nga/Iran sẽ không bị tụt lại phía sau và sẽ thực hiện các bước quyết liệt với chi phí rất lớn.
Tôi đã mở NIST SP 800-56A Rev3 để thu thập thêm thông tin và tài liệu đó về cơ bản nói rằng ngay cả dữ liệu chưa được phân loại dường như là không thể thực hiện được khi nói đến các đường cong bên dưới EC-384.
Bạn thấy điều đó ở đâu? Dưới Bảng 24: Các đường cong elip được phê duyệt cho thỏa thuận khóa ECC., ngay cả các đường cong 224-bit và các nhóm nguyên tố 2048-bit vẫn được liệt kê, mặc dù chúng rất rõ ràng về sức mạnh bảo mật được nhắm mục tiêu. Tình cờ là CNSA chọn ra các thuật toán đáp ứng các yêu cầu về bảo mật, triển khai, tính linh hoạt và khả năng tương tác của họ.
Các tiêu chuẩn NIST nói nhiều hơn về việc nói rằng bạn được phép sử dụng cái này ngay bây giờ và tài liệu NSA nói nhiều hơn về những gì bạn được phép bắt đầu sử dụng ngay bây giờ, có sự trùng lặp nhưng mục đích rất khác, dường như không có gì khác thường, trên thực tế, tôi sẽ cân nhắc KHÔNG bắt buộc kích thước khóa lớn hơn so với quy định trong tài liệu để nói rõ nhất về cách chúng ta không nên hoảng sợ... vì vậy đừng đừng hoảng sợ.