Điểm:1

Tại sao SHA384 được sử dụng trong bộ mật mã TLS cho AES_256_GCM thay vì SHA256?

lá cờ es

Bộ mật mã TLS sử dụng SHA256 làm hàm băm khi sử dụng AES_128_GCM và CHACHA20_POLY1305, nhưng SHA384 khi sử dụng AES_256_GCM.

Các Cơ quan đăng ký bộ mật mã TLS không chứa bộ mật mã sử dụng AES_256_GCM_SHA256 thay vì AES_256_GCM_SHA384.

Dựa theo RFC 8446, hàm băm này "được sử dụng với cả chức năng dẫn xuất khóa và mã xác thực thông báo bắt tay".

Điều gì có thể là động lực để sử dụng SHA384 thay vì SHA256 làm HMAC-Băm cho HKDF khi thiết lập khóa AES_256_GCM?

kelalaka avatar
lá cờ in
[Đã bị cáo buộc kháng lượng tử 128-bit](https://crypto.stackexchange.com/a/75241/18298)
knaccc avatar
lá cờ es
@kelalaka Cảm ơn, liên kết tuyệt vời. Bạn có đồng ý rằng khi sử dụng AES_256_GCM, việc nâng cấp lên SHA384 cho phần MAC bắt tay sẽ có lợi, nhưng việc nâng cấp lên SHA384 cho HKDF để lấy khóa AES_256_GCM sẽ không mang lại lợi ích gì thêm?
kelalaka avatar
lá cờ in
Không phải đã sử dụng thuật toán băm của bộ mật mã sao? [rfc8446#section-7.1](https://datatracker.ietf.org/doc/html/rfc8446#section-7.1) `Hàm Hash được sử dụng bởi Transcript-Hash và HKDF là mật mã bộ thuật toán băm.`
knaccc avatar
lá cờ es
@kelalaka Tôi biết cả hai đều sử dụng nó và bạn không thể sử dụng một hàm băm cho hàm băm bản ghi và một hàm băm khác cho HKDF. Ý tôi là, bạn có đồng ý rằng việc nâng cấp lên SHA384 có ý nghĩa để làm cho hàm băm của bản phiên mã mạnh hơn, nhằm nâng cấp điện trở lượng tử của nó đồng thời bạn nâng cấp điện trở lượng tử của mật mã đối xứng. Tuy nhiên, việc sử dụng SHA384 đó là một bản nâng cấp có lợi cho hàm băm bảng điểm, nhưng không thực sự có lợi khi nâng cấp lên phần HKDF
knaccc avatar
lá cờ es
@kelalaka Nói một cách đơn giản hơn: Tôi đang hỏi liệu bạn có đồng ý rằng SHA384 giúp nâng cấp lượng tử để ngăn va chạm đối với MAC phiên mã bắt tay hay không, nhưng không mang lại bất kỳ lợi ích nào so với SHA256 cho mục đích của HKDF trên bí mật được chia sẻ của ECDHE để lấy khóa AES256GCM.
kelalaka avatar
lá cờ in
Chà, AFAIK TLS 1.3 đã đơn giản hóa mọi thứ, thay vì sử dụng hai hàm băm trên bộ, hãy sử dụng một ...
knaccc avatar
lá cờ es
@kelalaka Tôi không chắc bạn có đồng ý hay không với nhận xét cuối cùng của tôi, nhưng cảm ơn vì cái nhìn sâu sắc về lượng tử. Tôi sẽ chấp thuận đó như một câu trả lời nếu bạn muốn gửi nó.
knaccc avatar
lá cờ es
@kelalaka Aha, hoàn hảo, cảm ơn!
Điểm:1
lá cờ in

Giả sử rằng ai đó đã xây dựng một Máy tính lượng tử mật mã (CQC) đặc biệt có thể chạy thuật toán Grover.Thuật toán của Grover là tối ưu tiệm cận mà người ta cần $\mathcal{O}(\sqrt{n})$-thời gian cho $n$ bảo mật bit để tấn công trước hình ảnh hoặc tìm kiếm chính. Đó là một cái có bảo mật 128 bit từ không gian khóa 256 bit. Đây là quảng cáo của thuật toán Grover, vâng, nó có $\mathcal{O}(\log{n})$-space, tuy nhiên, điều này là không đủ.

Điều thường thiếu là $\mathcal{O}(\sqrt{n})$ cuộc gọi của thuật toán Grover, hãy xem xét rằng bạn muốn phá vỡ 128-bit thì bạn cần chạy thuật toán Grover $2^{64}$-thời gian. Nếu chúng tôi cho rằng bạn có thể thực thi một thuật toán Grover trong một máy trong một giây thì bạn cần $\xấp xỉ 585$ năm để tìm chìa khóa. Điều này khá lạc quan theo nghĩa là người ta có thể chuẩn bị QCQ trong một nano giây.

Thuật toán Grover, giống như thuật toán cổ điển có thể được song song hóa, quá. Chà, thật thú vị, vì $k$ song song Grover chúng ta không có tăng bậc hai, chúng ta có $\sqrt{k}$ tăng tốc. Điều này không mở rộng quy mô tốt.

Đây là tất cả về Grover's, bây giờ có một tác phẩm khác từ Đồng thau và cộng sự. cho các hàm băm cho phát hiện va chạm, có $\mathcal{O}(\sqrt[3]{2^{256}})$-thời gian và $\approx \mathcal{O}(2^{85})$-khoảng trống. Điều đó vẫn ở mức tối ưu tiệm cận và lần này chúng ta có bảo mật 128-bit từ hàm băm 384-bit với $2^{128}$-yêu cầu về không gian.

Với những điều này, chúng ta có thể lập luận rằng ngay cả các hàm băm 256 bit và thậm chí mật mã khối 128 bit đều an toàn đối với CQC. Một tính toán thực tế hơn được thực hiện từ

Giữ chi tiết cho bài viết, hãy dán NIST và cho rằng chúng ta cần $384$Hàm băm -bit chống lại CQC để có khả năng chống va chạm 128 bit, khả năng chống ảnh trước là $192$-chút .

Nếu chúng tôi sử dụng HKDF 256-bit, nó sẽ có khả năng chống ảnh trước CQC 128-bit. Điều này có nghĩa là hàm băm 256 bit là đủ.

Kể từ TLS 1.3 đơn giản hóa hầu hết mọi thứ;

Hàm Hash được Transcript-Hash và HKDF sử dụng là thuật toán băm của bộ mật mã.

Lời giải thích có ý nghĩa là SHA-384 được chọn để có khả năng chống va chạm 128 bit phù hợp với khả năng chống va chạm 128 bit của AES-256. Một cách đơn giản, người ta có thể nói rằng AES_256_GCM_SHA384 có bảo mật 128 bit chống lại các đối thủ Lượng tử.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.