Score:8

NSA ถอด EC-256 และ SHA-256 ออกจาก CNSA เมื่อเร็วๆ นี้ เราควรตื่นตระหนกกับเรื่องนี้หรือไม่?

ธง us

เมื่อเร็ว ๆ นี้ NSA (เผยแพร่ซ้ำ?) หลักเกณฑ์ CNSA และข้อมูลบางอย่างเกี่ยวกับคอมพิวเตอร์ยุคหลังควอนตัม (ตามชื่อเรื่องของเอกสาร)

นี่คือลิงค์เพื่อความสะดวก (เอกสารนี้มีชื่อว่า 'Quantum Cryptography and Post-Quantum Computing' หากคุณไม่ต้องการไปที่ลิงก์โดยตรง)

คำถามเกี่ยวกับการกำจัด P-256

ข้อแตกต่างที่เห็นได้ชัดเจนในชุดใหม่คือ แนะนำให้ใช้คีย์เสริม EC-384 เป็นอย่างน้อยจากการอ่านเอกสาร ปรากฏว่ามาตรฐานเหล่านี้ไม่ได้มีไว้สำหรับภาครัฐหรือผู้รับเหมาเอกชนที่จัดการเอกสารลับเท่านั้น ทุกคน (ภาครัฐและเอกชน).

ตัวอย่างเช่น คำถามหนึ่งที่ถูกโพสต์ในเอกสารของพวกเขาคือ "ข้อมูลที่ฉันมีใน NSS เฉพาะของฉันต้องการการป้องกันเพียงช่วงสั้นๆ เท่านั้น ฉันจำเป็นต้องปฏิบัติตามความแข็งแกร่งของอัลกอริทึมที่เพิ่มขึ้นของ CNSSP-15 หรือไม่" (โปรดจำไว้ว่าสิ่งเดียวที่ 'เพิ่ม' ในความแข็งแกร่งในที่นี้คือการทิ้ง SHA-256 & EC-384)

คำตอบสำหรับคำถามนั้นคือ "NSA กำหนดอัลกอริทึมการเปลี่ยนผ่านสำหรับ NSS เพื่อให้เป็นไปตามมาตรฐานทั่วไปและเพื่อให้แน่ใจว่าสามารถทำงานร่วมกันได้ นักพัฒนาและผู้ดำเนินการ NSS ควรเปลี่ยนไปปฏิบัติตามหรือปรึกษากับ NSA เกี่ยวกับปัญหาที่เกี่ยวข้องในสถานการณ์เฉพาะของตน"

ฉันใช้สิ่งนี้เพื่อหมายความว่าในเวลาที่พวกเขาตีพิมพ์ว่า EC-256 & SHA-256 ถูกพิจารณาว่าตายในน้ำ

ฉันดึง NIST SP 800-56A Rev3 ขึ้นมาเพื่อรวบรวมข้อมูลเพิ่มเติม และโดยพื้นฐานแล้วเอกสารนั้นระบุว่าแม้แต่ข้อมูลที่ไม่เป็นความลับก็ดูเหมือนจะเป็น ไม่ไป เมื่อมาถึงเส้นโค้งที่ต่ำกว่า EC-384

พวกเขากล่าวว่า "D/A วางแผนที่จะปรับใช้ ECC กับ P-256 อาจต้องมีการเปลี่ยนแปลงเพิ่มเติม (เช่น เป็น P-384) ก่อนที่อัลกอริธึมการต่อต้านควอนตัมจะเข้าถึงตลาดได้อย่างเพียงพอ" พวกเขาระบุว่าเจตนาคือเพื่อหลีกเลี่ยง "การกระโดด" ให้ได้มากที่สุดเท่าที่จะเป็นไปได้ (?) จากนั้นจึงจบด้วยการระบุว่า "ดังนั้น D/As จึงวางแผนที่จะปรับใช้ ECC ด้วยเส้นโค้งอื่นที่ไม่ใช่ P-384 เพื่อปกป้อง NSS ที่ไม่ได้รับการยกเว้น หรือเพื่อให้ชุมชนของ การแยกดอกเบี้ยปรึกษากับ NSA ก่อนดำเนินการต่อ"

โพสต์บล็อกนี้โดย 'Atsec Security' เสนอแนะว่าต้องทำการเปลี่ยนแปลงและเสร็จสิ้นภายในเดือนกันยายน 2564 (เพิ่งผ่านพ้นไป)

คำตัดสินเกี่ยวกับโครงสร้างอื่น ๆ ที่ใช้ Crypto Strength 128 บิต

ตัวอย่างที่ชัดเจนในที่นี้เริ่มต้นด้วย Bitcoin และสกุลเงินดิจิทัลทั้งหมด Bitcoin ใช้ secp256k1 & SHA-256 เนื่องจาก Bitcoin เพิ่งมีมูลค่าสูงถึง 1 ล้านล้านดอลลาร์ในวันนี้ ใคร ๆ ก็สามารถสันนิษฐานได้ว่าหากมี ใดๆ วิธีการเข้ารหัสลับที่บางคนพบว่าอยู่ในขอบเขตของการปฏิบัติจริง (กล่าวคือสามารถถอดรหัสอย่างน้อยหนึ่งคีย์ภายในหนึ่งปี บางทีฉันไม่รู้ นั่นอยู่เหนือหัวของฉัน) ดังนั้นโปรโตคอลทั้งหมดนี้จึงมีปัญหา

ทุกท่านจะเห็นด้วยหรือไม่เห็นด้วย? และถ้าคุณไม่เห็นด้วย ทำไม? นอกจากนี้ Cloudflare ยังออกใบรับรองที่มีความแข็งแกร่งเริ่มต้น EC-256 / SHA-256 มาระยะหนึ่งแล้ว การเชื่อมต่อกับเว็บไซต์เหล่านั้นยังถือว่าปลอดภัยได้หรือไม่?

ฉันต้องการมาที่นี่ก่อนเพื่อรับฟังความคิดเห็นจากผู้เชี่ยวชาญก่อนที่จะกระจายข้อมูลที่ผิด/ตื่นตระหนกไปที่อื่น

kelalaka avatar
in flag
ไม่! หาก EC-256 ไม่ปลอดภัยในตอนนี้ ค่อนข้างแน่ใจว่า ec-512 ก็จะหายไปในไม่ช้าเช่นกัน เกี่ยวกับ SHA-256 ฉันสงสัยมากเนื่องจาก [ระดับความปลอดภัยของ NIST](https://crypto.stackexchange.com/a/75241/18298) นั้นไม่สมจริงเอาซะเลย บราสซาร์ดและคณะต้องใช้หน่วยความจำควอนตัมจำนวนมากเพื่อให้เร็วกว่า Grover และเกี่ยวกับเส้นโค้ง NIST ที่ไม่ปลอดภัยอยู่แล้วตาม [นักเข้ารหัสตัวจริง](https://safecurves.cr.yp.to/) NIST แย่ ต้องอยู่กับเส้นโค้งของพวกเขา
Maarten Bodewes avatar
in flag
"คำตอบ: การสนับสนุน SHA-384 รวมอยู่ในเวอร์ชันก่อนหน้าของ CNSSP-15 และได้รับการตัดสินว่ามีความปลอดภัยเพียงพอสำหรับ NSS สำหรับวัตถุประสงค์ในการทำงานร่วมกัน การเลือกฟังก์ชันแฮชเดียวได้รับการเก็บรักษาไว้ใน CNSA Suite NSA ไม่คาดหวัง ทบทวนการตัดสินใจนี้จนกว่าจะมีการเปลี่ยนแปลงอัลกอริทึมหลังควอนตัม" นั่นไม่เหมือนกับการเผาไหม้ SHA-256
Maarten Bodewes avatar
in flag
มีการพูดคุยกันว่า SHA-256 ให้การรักษาความปลอดภัยมากน้อยเพียงใด ซึ่งจะซับซ้อนขึ้นเมื่อคุณคำนึงถึงเวลา / ทรัพยากร คุณสามารถโต้แย้งได้อย่างแน่นอนว่ามันน้อยกว่า 128 ในสถานการณ์เฉพาะ แต่ไม่มีที่ไหนเลยที่เกือบจะแตกได้ - แม้ว่าคุณจะรวมคอมพิวเตอร์ควอนตัมไว้ในส่วนผสมก็ตามแน่นอน หากคุณมีตัวเลือก คุณสามารถตัดสินใจว่าจะใช้ SHA-384 (หรือ -512) ได้ตลอดเวลา และหลีกเลี่ยง *แม้แต่การอภิปราย* อย่างที่คุณเห็น แม้ว่า NSA จะอนุญาต SHA-256 ก็ตาม เช่น ใบรับรองในหลาย ๆ กรณี (แต่ดูเหมือนว่าจะอนุญาตแบบครอบคลุม - อนุญาต RSA-2048 ดังนั้นจึงเป็นเช่นนั้น)
kr flag
หน้า SafeCurves เป็นโฆษณาสำหรับเส้นโค้งของ Edwards และ Montgomeryมันอาจจะโอเคถ้าจะใช้มันเพื่อโน้มน้าวใจวิศวกรหรือผู้จัดการผลิตภัณฑ์ให้สนับสนุน Curve25519 แต่ฉันขอแนะนำว่าอย่าพูดถึงมันในการอภิปรายอย่างจริงจังเกี่ยวกับความปลอดภัย โดยเฉพาะอย่างยิ่งในหมู่ “นักเข้ารหัสตัวจริง” ประกอบด้วยการอ้างสิทธิ์จำนวนมากที่ทำให้เข้าใจผิดหรือล้าสมัยจากมุมมองทางเทคนิค
Score:6
ธง cn

NSA ถอด EC-256 และ SHA-256 ออกจาก CNSA เมื่อเร็วๆ นี้ เราควรตื่นตระหนกกับเรื่องนี้หรือไม่?

เลขที่

มีเหตุผลท่วมท้นประการหนึ่งดังที่ระบุไว้ในเอกสาร:

ระบบการเข้ารหัสที่ NSA ผลิต รับรอง และสนับสนุนมักจะมีวงจรชีวิตที่ยาวนานมาก NSA ต้องจัดทำข้อกำหนดในวันนี้สำหรับระบบที่จะใช้เป็นเวลาหลายทศวรรษในอนาคต และข้อมูลที่ได้รับการปกป้องโดยระบบเหล่านี้จะยังคงต้องการการป้องกันด้วยการเข้ารหัสเป็นเวลาหลายทศวรรษหลังจากโซลูชันเหล่านี้ถูกแทนที่

มาตรฐาน NSA และมาตรฐาน NIST สำหรับ "อุตสาหกรรม" นั้นไม่เหมือนกันจากมุมมองของการนำไปใช้งาน หากคุณต้องการให้เว็บเซิร์ฟเวอร์ของคุณเริ่มใช้เส้นโค้ง 512 บิตแทน 256 คุณอาจต้องอัปเกรด opensl แต่โดยปกติจะใช้เวลาน้อยกว่า วันเพื่อทำการเปลี่ยนแปลงเมื่อได้รับอนุญาต ในทางกลับกัน อุปกรณ์ฮาร์ดแวร์ที่ผ่านการรับรองจาก NSA นั้นใช้งานโดยผู้ปฏิบัติงานในที่กำบังลึก ไม่ใช่เรื่องง่ายที่จะเปลี่ยน นอกจากนี้ วิทยุ milspec, การสื่อสารผ่านดาวเทียม, ฮาร์ดแวร์ระบบสื่อสารที่ติดตั้งในเรือดำน้ำ.... ไม่มีสิ่งใดถูกแทนที่บ่อยครั้ง และอาจมีการทดสอบมากกว่าทศวรรษหลังจากการออกแบบเสร็จสิ้น สิ่งเดียวกันกับช่วงเวลาการหมุนเวียนคีย์และระยะเวลาที่ข้อมูลอาจต้องเก็บเป็นความลับ ทั้งหมดนี้นานขึ้นเพื่อความปลอดภัยของชาติ

เมื่อ "อุตสาหกรรม" ตั้งค่าระดับความปลอดภัยให้ต่ำกว่า 128 บิตในเวลาประมาณ 8 ปี และอาจต่ำกว่า 160 บิตในทศวรรษต่อมา ลองคิดเลขดูสิว่ามาตรฐาน NSA อาจต้องการความปลอดภัยมากกว่าอุตสาหกรรมประมาณ 2 ทศวรรษ.. . และนี่คือข้อเท็จจริงที่กล่าวถึงในเอกสาร:

การเข้ารหัสใหม่อาจใช้เวลา 20 ปีขึ้นไปในการนำไปใช้กับระบบรักษาความปลอดภัยแห่งชาติทั้งหมดอย่างสมบูรณ์

ตอนนี้จึงทำให้ สมบูรณ์แบบ รู้สึกว่าพวกเขากำลังพยายามที่จะนำหน้าแนวโน้มที่มีการจัดทำเป็นเอกสารไว้อย่างดีและเข้าใจเกี่ยวกับขนาดคีย์สำหรับใช้ในอนาคต แต่จำเป็นต้องดำเนินการทันทีเนื่องจากกรอบเวลาที่ยาวนานที่เกี่ยวข้องกับการตรวจสอบความถูกต้อง การซื้อ และการเปลี่ยนฮาร์ดแวร์และซอฟต์แวร์ใหม่

การทิ้ง SHA-256 สำหรับ SHA-384 นั้นมีเหตุผลหลายประการ สิ่งแรกและสำคัญที่สุด คุณต้องใช้เส้นโค้ง 384 บิตหรือใหญ่กว่า ประการที่สองคือประสิทธิภาพบนแพลตฟอร์ม 64 บิต และประการที่สามคือการใช้ฐานรหัสร่วมกันร่วมกับ SHA-512 ที่ใหญ่กว่าสำหรับการใช้งานแบบอสมมาตรที่ยังคงกำหนดเป้าหมายความปลอดภัย 256 บิต

นั่นทำให้เรากลับไปที่การทิ้ง P-256...เป็นเรื่องใหญ่ ณ จุดนี้หรือไม่? ในปี 2041 หรืออีก 20 ปีข้างหน้า มันจะไม่เป็นอย่างนั้นอย่างแน่นอน และนั่นคือเหตุผลที่เราไม่ควรตื่นตระหนกแม้แต่น้อย ผมคาดว่าการรักษาความปลอดภัยแบบ 160 บิตจะเป็นขั้นต่ำ แม้แต่สำหรับแอปพลิเคชันพลเรือนที่มีความปลอดภัยต่ำ สำหรับ AES ในขณะนี้ นั่นหมายถึง 192 บิตหรือใหญ่กว่า พร้อมรูปแบบลายเซ็น 384 บิตที่ตรงกัน และนั่นคือสิ่งที่ระบุไว้ในเอกสาร

หากคุณจำการแข่งขัน AES ได้ อายุการใช้งานเป้าหมายคือจนถึงปี 2030 ดังนั้นในปี 2041 เราอาจจะใช้รหัสบล็อกใหม่แฟนซีจากการแข่งขันรายอื่นแล้ว แน่นอนว่า AES สามารถรองรับการโจมตีทางคณิตศาสตร์ได้ดีมาก

จากการอ่านเอกสาร ปรากฏว่ามาตรฐานเหล่านี้ไม่ได้มีไว้สำหรับภาครัฐหรือผู้รับเหมาเอกชนที่จัดการเอกสารลับเท่านั้น ทุกคน (ภาครัฐและเอกชน).

ไม่จริง นี่เป็นเฉพาะเกี่ยวกับผลิตภัณฑ์เชิงพาณิชย์ที่ใช้การเข้ารหัสเพื่อใช้งานโดยรัฐบาลสหรัฐฯ ซึ่งใช้อัลกอริทึมที่ไม่จัดประเภทจากชุด CNSA เชิงพาณิชย์ในที่นี้อาจหมายถึงการปิดร้านหรือพัฒนาโดยผู้รับเหมาเพื่อตอบสนองความต้องการของรัฐบาล ผลิตภัณฑ์เหล่านี้ยังคงต้องได้รับการตรวจสอบความถูกต้องโดยใช้เกณฑ์อื่น ๆ แต่จะต้องใช้งานอัลกอริทึมที่ระบุไว้ในขณะที่ไม่ใช้อัลกอริทึมที่ไม่ต้องการข้อกำหนดด้านความปลอดภัยขั้นต่ำ (จำเป็นต้องอ้างอิงในข้อกำหนดนั้น) แม้ว่าผลิตภัณฑ์เหล่านี้อาจยังคงใช้อัลกอริทึม Suite B ที่มีความปลอดภัยสูง อย่างน้อยก็ตอนนี้.

ดังนั้น ให้โฟกัสที่วิธีที่เอกสารจัดการกับภัยคุกคามควอนตัมแทน: ใช้อัลกอริทึมแบบสมมาตรหรือรอจนกว่าชุด CNSA จะได้รับการอัปเดตด้วยอัลกอริทึมแบบอสมมาตรที่ทนทานต่อควอนตัม (เกือบจะเป็นแบบตาข่าย) หลังจากที่ NIST เผยแพร่ร่างมาตรฐานในช่วงระหว่างปีหน้าถึงปี 2024

หากพวกเขาคลั่งไคล้การโจมตีด้วยควอนตัมจริง ๆ อาจเป็นเพราะพวกเขาพัฒนาการโจมตีจริงขึ้นมาเอง และกังวลว่าจีน/รัสเซีย/อิหร่านจะตามหลังอยู่ไม่ไกล และจะดำเนินการขั้นรุนแรงด้วยค่าใช้จ่ายจำนวนมาก

ฉันดึง NIST SP 800-56A Rev3 ขึ้นมาเพื่อรวบรวมข้อมูลเพิ่มเติม และโดยพื้นฐานแล้วเอกสารนั้นระบุว่าแม้แต่ข้อมูลที่ไม่ได้รับการจำแนกประเภทก็ดูเหมือนจะไม่ต้องดำเนินการเมื่อพูดถึงเส้นโค้งที่ต่ำกว่า EC-384

คุณเห็นมันที่ไหน? ภายใต้ ตารางที่ 24: เส้นโค้งวงรีที่ได้รับอนุมัติสำหรับข้อตกลงคีย์ ECCแม้แต่เส้นโค้ง 224 บิตและกลุ่มไพรม์ 2048 บิตก็ยังแสดงรายการอยู่ แม้ว่าจะมีความชัดเจนมากเกี่ยวกับระดับความปลอดภัยที่เป็นเป้าหมายก็ตาม มันบังเอิญมากที่ CNSA cherry ถ่ายภาพ algos ที่ตรงตามข้อกำหนดด้านความปลอดภัย การนำไปใช้งาน ความยืดหยุ่น และการทำงานร่วมกัน

มาตรฐาน NIST เกี่ยวกับการบอกว่าคุณได้รับอนุญาตให้ใช้สิ่งนี้ในขณะนี้ และเอกสารของ NSA นั้นเกี่ยวกับสิ่งที่คุณได้รับอนุญาตให้ใช้ เริ่ม ใช้ตอนนี้ มีการทับซ้อนกัน แต่จุดประสงค์แตกต่างกันมาก ไม่มีอะไรผิดปกติ อันที่จริงฉันจะพิจารณาไม่บังคับขนาดคีย์ที่ใหญ่กว่าที่กำหนดในเอกสารเพื่อให้บอกได้มากที่สุดว่าเราไม่ควรตื่นตระหนก... ดังนั้นอย่า ไม่ต้องตื่นตระหนก

fgrieu avatar
ng flag
_âการที่ "อุตสาหกรรม" ตั้งค่าระดับความปลอดภัยต่ำกว่า 128 บิตในเวลาประมาณ 8 ปีâ_ ขึ้นอยู่กับว่าอุตสาหกรรมใดกำลังมองหา อุตสาหกรรมบางประเภท เช่น การควบคุมการเข้าถึง _sould_ จะเลิกใช้ [การเข้ารหัสแบบสมมาตร 48 บิต](https://www.blackhat.com/presentations/bh-usa-08/Nohl/BH_US_08_Nohl_Mifare.pdf) และ 1024-bit RSA/Rabbin
Richie Frame avatar
cn flag
@fgrieu โดยอุตสาหกรรม ฉันหมายถึงบริษัทภาครัฐจริง ๆ ตามแนวทางที่กำหนดไว้ใน SP800-131A และ SP800-57(1)

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา