Điểm:8

NSA đã loại bỏ EC-256 và SHA-256 khỏi CNSA gần đây--chúng ta có nên lo lắng về điều này không?

lá cờ us

Gần đây, NSA (tái xuất bản?) hướng dẫn CNSA của họ và một số thông tin về máy tính hậu lượng tử (theo tiêu đề của tài liệu).

Đây là liên kết để thuận tiện (tài liệu có tiêu đề, 'Mật mã lượng tử và Điện toán hậu lượng tử' nếu bạn không muốn truy cập thẳng vào liên kết)

Câu hỏi về Loại bỏ P-256

Sự khác biệt đáng chú ý trong bộ sản phẩm mới là ở mức tối thiểu, các phím cường độ EC-384 được khuyến nghị.Đọc qua tài liệu, có vẻ như các tiêu chuẩn này không chỉ dành cho khu vực công hoặc các nhà thầu tư nhân xử lý các tài liệu mật, mà còn mọi người (Công cộng và tư nhân).

Ví dụ: một trong những câu hỏi được đặt ra trên trang tính của họ là "Dữ liệu tôi có trên NSS cụ thể của mình chỉ yêu cầu bảo vệ trong một thời gian ngắn. Tôi có thực sự cần tuân thủ các cường độ thuật toán gia tăng của CNSSP-15 không?" (hãy nhớ rằng 'sự gia tăng' sức mạnh duy nhất ở đây là thông qua việc loại bỏ SHA-256 & EC-384).

Câu trả lời được đưa ra cho câu hỏi đó là: "NSA bắt buộc chuyển đổi thuật toán cho NSS để phù hợp với tiêu chuẩn chung và đảm bảo khả năng tương tác. Các nhà phát triển và nhà điều hành NSS nên chuyển đổi để tuân thủ hoặc tham khảo ý kiến ​​của NSA về các vấn đề liên quan đến kịch bản cụ thể của họ."

Tôi hiểu điều này có nghĩa là vào thời điểm họ công bố điều đó, EC-256 & SHA-256 được coi là đã chết trong nước.

Tôi đã mở NIST SP 800-56A Rev3 để thu thập thêm thông tin và tài liệu đó về cơ bản nói rằng ngay cả dữ liệu chưa được phân loại cũng có vẻ là một cấm đi khi nói đến các đường cong bên dưới EC-384.

Họ tuyên bố, "D/As có kế hoạch triển khai ECC với P-256 có thể yêu cầu thay đổi thêm (ví dụ: đối với P-384) trước khi các thuật toán kháng lượng tử đạt đủ mức thâm nhập thị trường." Họ tuyên bố rằng mục đích là để tránh càng nhiều "bước nhảy" càng tốt(?), sau đó kết thúc bằng tuyên bố, "Vì vậy, D/Như dự định triển khai ECC với các đường cong khác với P-384 để bảo vệ NSS KHÔNG ĐƯỢC PHÂN LOẠI hoặc để cung cấp cho cộng đồng tham khảo ý kiến ​​tách biệt lợi ích với NSA trước khi tiến hành."

Bài đăng trên blog này của 'Atsec Security' gợi ý rằng quá trình chuyển đổi cần được thực hiện và hoàn thành trước tháng 9 năm 2021 (vừa được thông qua).

Phán quyết về các cấu trúc khác dựa trên tiền điện tử sức mạnh 128 bit

Các ví dụ rõ ràng ở đây bắt đầu với Bitcoin và tất cả các loại tiền điện tử. Bitcoin sử dụng secp256k1 & SHA-256. Vì Bitcoin vừa đạt mức định giá 1 nghìn tỷ đô la ngày hôm nay, người ta có thể cho rằng nếu có không tí nào phương pháp phân tích mật mã mà ai đó đã tìm thấy nằm trong lĩnh vực thực tế (nghĩa là có thể bẻ khóa ít nhất một khóa trong vòng một năm; tôi không biết, điều đó nằm ngoài tầm kiểm soát của tôi), thì toàn bộ giao thức này đang gặp sự cố.

Tất cả các bạn sẽ đồng ý hay không đồng ý? Và nếu bạn không đồng ý, tại sao? Ngoài ra, Cloudflare đã phát hành chứng chỉ có độ mạnh EC-256 / SHA-256 mặc định trong một thời gian. Kết nối đến các trang web đó vẫn có thể được coi là an toàn?

Tôi muốn đến đây trước để nghe từ các chuyên gia trước khi lan truyền bất kỳ thông tin sai lệch / hoảng loạn nào ở nơi khác.

kelalaka avatar
lá cờ in
Không! Nếu EC-256 hiện không an toàn, khá chắc chắn rằng ec-512 cũng sẽ sớm ra mắt. Về SHA-256, tôi rất nghi ngờ vì [các mức bảo mật của NIST](https://crypto.stackexchange.com/a/75241/18298) khi đó không thực sự thực tế; đồng thau et al.cần một lượng lớn bộ nhớ lượng tử để nhanh hơn Grover. Và, đó là về các đường cong NIST vốn đã không an toàn theo [các nhà mật mã thực thụ](https://safecurves.cr.yp.to/). NIST tội nghiệp, phải ở lại với đường cong của họ.
Maarten Bodewes avatar
lá cờ in
"Đáp: Hỗ trợ SHA-384 đã được bao gồm trong các phiên bản trước của CNSSP-15 và nó được đánh giá là cung cấp đủ bảo mật cho NSS. Vì mục đích tương tác, việc lựa chọn một hàm băm duy nhất đã được duy trì trong Bộ CNSA. NSA không lường trước được xem xét lại quyết định này cho đến khi chuyển đổi thuật toán hậu lượng tử." Điều đó không giống với việc đốt cháy SHA-256.
Maarten Bodewes avatar
lá cờ in
Có cuộc thảo luận về mức độ bảo mật SHA-256 cung cấp, điều này trở nên phức tạp khi bạn cân nhắc về thời gian/tài nguyên. Bạn chắc chắn có thể lập luận rằng nó ít hơn 128 trong những trường hợp cụ thể, nhưng thực tế không có chỗ nào có thể phá vỡ được - ngay cả khi bạn bao gồm cả máy tính lượng tử trong hỗn hợp.Tất nhiên, nếu bạn có tùy chọn thì bạn luôn có thể quyết định sử dụng SHA-384 (hoặc -512) và tránh *ngay cả cuộc thảo luận*. Như bạn có thể thấy, tuy nhiên, ngay cả NSA cũng cho phép SHA-256, ví dụ: chứng chỉ trong nhiều trường hợp (nhưng dường như chúng cũng cho phép RSA-2048, vì vậy có điều đó).
lá cờ kr
Trang SafeCurves là một quảng cáo cho các đường cong Edwards và Montgomery.Có thể sử dụng nó để thuyết phục các kỹ sư hoặc người quản lý sản phẩm hỗ trợ Curve25519, nhưng tôi khuyên bạn không nên đề cập đến nó trong một cuộc thảo luận nghiêm túc về bảo mật, đặc biệt là giữa các “nhà mật mã học thực thụ”. Nó chứa một số tuyên bố gây hiểu lầm hoặc lỗi thời từ quan điểm kỹ thuật.
Điểm:6
lá cờ cn

NSA đã loại bỏ EC-256 và SHA-256 khỏi CNSA gần đây--chúng ta có nên lo lắng về điều này không?

Không.

Có một lý do áp đảo tại sao, như đã nêu trong tài liệu:

Các hệ thống mật mã mà NSA sản xuất, chứng nhận và hỗ trợ thường có vòng đời rất dài. NSA phải đưa ra các yêu cầu ngày hôm nay cho các hệ thống sẽ được sử dụng trong nhiều thập kỷ trong tương lai và dữ liệu được bảo vệ bởi các hệ thống này sẽ vẫn yêu cầu bảo vệ bằng mật mã trong nhiều thập kỷ sau khi các giải pháp này được thay thế.

Tiêu chuẩn NSA và tiêu chuẩn NIST cho "ngành" không giống nhau từ góc độ triển khai, nếu bạn muốn máy chủ web của mình bắt đầu sử dụng đường cong 512-bit thay vì 256, bạn có thể cần nâng cấp openssl, nhưng thông thường chỉ mất chưa đầy một ngày để thực hiện thay đổi sau khi được ủy quyền. Mặt khác, một thiết bị phần cứng được NSA chứng nhận được sử dụng bởi các đặc vụ trong vỏ bọc sâu, gần như không dễ thay thế. Ngoài ra, radio milspec, liên lạc vệ tinh, phần cứng liên lạc được lắp đặt trong tàu ngầm.... không thứ nào trong số đó được thay thế thường xuyên và có thể có hơn một thập kỷ thử nghiệm sau khi thiết kế hoàn tất. Điều tương tự cũng xảy ra với các khoảng thời gian luân chuyển khóa và lượng thời gian dữ liệu có thể cần được giữ bí mật, tất cả đều lâu hơn cho an ninh quốc gia.

Với "ngành" thiết lập mức độ bảo mật dưới 128 bit trong khoảng 8 năm và có lẽ mức dưới 160 bit một thập kỷ sau đó, làm phép toán bạn có thể hình dung rằng các tiêu chuẩn của NSA có thể yêu cầu khoảng 2 thập kỷ bảo mật ngoài ngành.. .và điều này thực tế đã được đề cập trong tài liệu:

Mật mã mới có thể mất 20 năm hoặc hơn để được triển khai đầy đủ cho tất cả các Hệ thống An ninh Quốc gia.

Vì vậy, bây giờ nó làm cho hoàn hảo nghĩa là, họ chỉ đơn giản là đang cố gắng đi trước các xu hướng đã được ghi chép và hiểu rõ về kích thước khóa để sử dụng trong tương lai, nhưng cần phải hành động NGAY BÂY GIỜ do các khung thời gian dài liên quan đến việc xác thực, mua và thay thế phần cứng và phần mềm mới.

Bỏ SHA-256 cho SHA-384 có thể được coi là hợp lý vì nhiều lý do. Đầu tiên và quan trọng nhất, bạn PHẢI sử dụng đường cong 384 bit hoặc lớn hơn, thứ hai là hiệu suất trên nền tảng 64 bit và thứ ba là nó chia sẻ cơ sở mã chung với SHA-512 lớn hơn để triển khai bất đối xứng vẫn nhắm mục tiêu bảo mật 256 bit.

Vì vậy, điều đó đưa chúng ta trở lại việc loại bỏ P-256...đó có phải là một vấn đề lớn vào thời điểm này? Vào năm 2041, 20 năm nữa, điều đó chắc chắn sẽ không xảy ra, và đó là lý do tại sao chúng ta KHÔNG nên lo lắng dù chỉ một chút, tôi cho rằng bảo mật 160-bit là mức tối thiểu, ngay cả đối với các ứng dụng dân sự có độ bảo mật thấp. Đối với AES bây giờ, điều đó có nghĩa là 192 bit hoặc lớn hơn, với lược đồ chữ ký 384 bit phù hợp và đó là những gì được chỉ định trong tài liệu.

Nếu bạn nhớ lại cuộc thi AES, thì tuổi thọ mục tiêu là đến năm 2030, vì vậy có thể xảy ra trường hợp là vào năm 2041, chúng tôi sẽ sử dụng một mật mã khối mới lạ mắt từ một cuộc thi khác. Tất nhiên, AES đã tổ chức rất tốt các cuộc tấn công thực tế vào toán học của nó.

Đọc qua tài liệu, có vẻ như các tiêu chuẩn này không chỉ dành cho khu vực công hoặc các nhà thầu tư nhân xử lý các tài liệu mật, mà còn mọi người (Công cộng và tư nhân).

Không hẳn, điều này đặc biệt liên quan đến các sản phẩm thương mại triển khai mã hóa để chính phủ Hoa Kỳ sử dụng, các sản phẩm này triển khai các thuật toán không được phân loại từ bộ CNSA. Thương mại ở đây có thể có nghĩa là có sẵn hoặc được phát triển bởi một nhà thầu để đáp ứng yêu cầu của chính phủ. Các sản phẩm này vẫn phải được xác thực bằng cách sử dụng các tiêu chí khác, nhưng chúng phải triển khai các thuật toán được liệt kê trong khi KHÔNG triển khai các thuật toán không cần yêu cầu bảo mật tối thiểu (cần trích dẫn về yêu cầu đó), mặc dù chúng vẫn có thể triển khai các thuật toán Suite B với khả năng bảo mật mạnh, ít nhất là cho đến bây giờ.

Vì vậy, thay vào đó, hãy tập trung vào cách tài liệu đối phó với mối đe dọa lượng tử: Sử dụng các thuật toán đối xứng hoặc đợi cho đến khi bộ CNSA được cập nhật bằng các thuật toán bất đối xứng kháng lượng tử (gần như chắc chắn là dựa trên mạng) sau khi NIST xuất bản một tiêu chuẩn dự thảo, vào khoảng giữa năm sau và 2024.

Nếu họ thực sự lo lắng về các cuộc tấn công lượng tử, thì đó là bởi vì chính họ đã phát triển một cuộc tấn công thực tế và lo ngại rằng Trung Quốc/Nga/Iran sẽ không bị tụt lại phía sau và sẽ thực hiện các bước quyết liệt với chi phí rất lớn.

Tôi đã mở NIST SP 800-56A Rev3 để thu thập thêm thông tin và tài liệu đó về cơ bản nói rằng ngay cả dữ liệu chưa được phân loại dường như là không thể thực hiện được khi nói đến các đường cong bên dưới EC-384.

Bạn thấy điều đó ở đâu? Dưới Bảng 24: Các đường cong elip được phê duyệt cho thỏa thuận khóa ECC., ngay cả các đường cong 224-bit và các nhóm nguyên tố 2048-bit vẫn được liệt kê, mặc dù chúng rất rõ ràng về sức mạnh bảo mật được nhắm mục tiêu. Tình cờ là CNSA chọn ra các thuật toán đáp ứng các yêu cầu về bảo mật, triển khai, tính linh hoạt và khả năng tương tác của họ.

Các tiêu chuẩn NIST nói nhiều hơn về việc nói rằng bạn được phép sử dụng cái này ngay bây giờ và tài liệu NSA nói nhiều hơn về những gì bạn được phép bắt đầu sử dụng ngay bây giờ, có sự trùng lặp nhưng mục đích rất khác, dường như không có gì khác thường, trên thực tế, tôi sẽ cân nhắc KHÔNG bắt buộc kích thước khóa lớn hơn so với quy định trong tài liệu để nói rõ nhất về cách chúng ta không nên hoảng sợ... vì vậy đừng đừng hoảng sợ.

fgrieu avatar
lá cờ ng
_âviệc thiết lập mặt trời của "ngành" về mức độ bảo mật dưới 128-bit trong khoảng 8 nămâ_ phụ thuộc rất nhiều vào lĩnh vực mà một người đang xem xét. Một số ngành như kiểm soát truy cập _nên_ ngừng hoạt động [tiền điện tử đối xứng 48-bit](https://www.blackhat.com/presentations/bh-usa-08/Nohl/BH_US_08_Nohl_Mifare.pdf) và RSA/Rabbin 1024-bit.
Richie Frame avatar
lá cờ cn
@fgrieu thực sự, theo ngành, tôi đang đề cập đến các công ty thuộc khu vực công thực sự tuân theo các hướng dẫn được đặt trong SP800-131A và SP800-57(1)

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.