NSA ถอด EC-256 และ SHA-256 ออกจาก CNSA เมื่อเร็วๆ นี้ เราควรตื่นตระหนกกับเรื่องนี้หรือไม่?
เลขที่
มีเหตุผลท่วมท้นประการหนึ่งดังที่ระบุไว้ในเอกสาร:
ระบบการเข้ารหัสที่ NSA ผลิต รับรอง และสนับสนุนมักจะมีวงจรชีวิตที่ยาวนานมาก NSA ต้องจัดทำข้อกำหนดในวันนี้สำหรับระบบที่จะใช้เป็นเวลาหลายทศวรรษในอนาคต และข้อมูลที่ได้รับการปกป้องโดยระบบเหล่านี้จะยังคงต้องการการป้องกันด้วยการเข้ารหัสเป็นเวลาหลายทศวรรษหลังจากโซลูชันเหล่านี้ถูกแทนที่
มาตรฐาน NSA และมาตรฐาน NIST สำหรับ "อุตสาหกรรม" นั้นไม่เหมือนกันจากมุมมองของการนำไปใช้งาน หากคุณต้องการให้เว็บเซิร์ฟเวอร์ของคุณเริ่มใช้เส้นโค้ง 512 บิตแทน 256 คุณอาจต้องอัปเกรด opensl แต่โดยปกติจะใช้เวลาน้อยกว่า วันเพื่อทำการเปลี่ยนแปลงเมื่อได้รับอนุญาต ในทางกลับกัน อุปกรณ์ฮาร์ดแวร์ที่ผ่านการรับรองจาก NSA นั้นใช้งานโดยผู้ปฏิบัติงานในที่กำบังลึก ไม่ใช่เรื่องง่ายที่จะเปลี่ยน นอกจากนี้ วิทยุ milspec, การสื่อสารผ่านดาวเทียม, ฮาร์ดแวร์ระบบสื่อสารที่ติดตั้งในเรือดำน้ำ.... ไม่มีสิ่งใดถูกแทนที่บ่อยครั้ง และอาจมีการทดสอบมากกว่าทศวรรษหลังจากการออกแบบเสร็จสิ้น สิ่งเดียวกันกับช่วงเวลาการหมุนเวียนคีย์และระยะเวลาที่ข้อมูลอาจต้องเก็บเป็นความลับ ทั้งหมดนี้นานขึ้นเพื่อความปลอดภัยของชาติ
เมื่อ "อุตสาหกรรม" ตั้งค่าระดับความปลอดภัยให้ต่ำกว่า 128 บิตในเวลาประมาณ 8 ปี และอาจต่ำกว่า 160 บิตในทศวรรษต่อมา ลองคิดเลขดูสิว่ามาตรฐาน NSA อาจต้องการความปลอดภัยมากกว่าอุตสาหกรรมประมาณ 2 ทศวรรษ.. . และนี่คือข้อเท็จจริงที่กล่าวถึงในเอกสาร:
การเข้ารหัสใหม่อาจใช้เวลา 20 ปีขึ้นไปในการนำไปใช้กับระบบรักษาความปลอดภัยแห่งชาติทั้งหมดอย่างสมบูรณ์
ตอนนี้จึงทำให้ สมบูรณ์แบบ รู้สึกว่าพวกเขากำลังพยายามที่จะนำหน้าแนวโน้มที่มีการจัดทำเป็นเอกสารไว้อย่างดีและเข้าใจเกี่ยวกับขนาดคีย์สำหรับใช้ในอนาคต แต่จำเป็นต้องดำเนินการทันทีเนื่องจากกรอบเวลาที่ยาวนานที่เกี่ยวข้องกับการตรวจสอบความถูกต้อง การซื้อ และการเปลี่ยนฮาร์ดแวร์และซอฟต์แวร์ใหม่
การทิ้ง SHA-256 สำหรับ SHA-384 นั้นมีเหตุผลหลายประการ สิ่งแรกและสำคัญที่สุด คุณต้องใช้เส้นโค้ง 384 บิตหรือใหญ่กว่า ประการที่สองคือประสิทธิภาพบนแพลตฟอร์ม 64 บิต และประการที่สามคือการใช้ฐานรหัสร่วมกันร่วมกับ SHA-512 ที่ใหญ่กว่าสำหรับการใช้งานแบบอสมมาตรที่ยังคงกำหนดเป้าหมายความปลอดภัย 256 บิต
นั่นทำให้เรากลับไปที่การทิ้ง P-256...เป็นเรื่องใหญ่ ณ จุดนี้หรือไม่? ในปี 2041 หรืออีก 20 ปีข้างหน้า มันจะไม่เป็นอย่างนั้นอย่างแน่นอน และนั่นคือเหตุผลที่เราไม่ควรตื่นตระหนกแม้แต่น้อย ผมคาดว่าการรักษาความปลอดภัยแบบ 160 บิตจะเป็นขั้นต่ำ แม้แต่สำหรับแอปพลิเคชันพลเรือนที่มีความปลอดภัยต่ำ สำหรับ AES ในขณะนี้ นั่นหมายถึง 192 บิตหรือใหญ่กว่า พร้อมรูปแบบลายเซ็น 384 บิตที่ตรงกัน และนั่นคือสิ่งที่ระบุไว้ในเอกสาร
หากคุณจำการแข่งขัน AES ได้ อายุการใช้งานเป้าหมายคือจนถึงปี 2030 ดังนั้นในปี 2041 เราอาจจะใช้รหัสบล็อกใหม่แฟนซีจากการแข่งขันรายอื่นแล้ว แน่นอนว่า AES สามารถรองรับการโจมตีทางคณิตศาสตร์ได้ดีมาก
จากการอ่านเอกสาร ปรากฏว่ามาตรฐานเหล่านี้ไม่ได้มีไว้สำหรับภาครัฐหรือผู้รับเหมาเอกชนที่จัดการเอกสารลับเท่านั้น ทุกคน (ภาครัฐและเอกชน).
ไม่จริง นี่เป็นเฉพาะเกี่ยวกับผลิตภัณฑ์เชิงพาณิชย์ที่ใช้การเข้ารหัสเพื่อใช้งานโดยรัฐบาลสหรัฐฯ ซึ่งใช้อัลกอริทึมที่ไม่จัดประเภทจากชุด CNSA เชิงพาณิชย์ในที่นี้อาจหมายถึงการปิดร้านหรือพัฒนาโดยผู้รับเหมาเพื่อตอบสนองความต้องการของรัฐบาล ผลิตภัณฑ์เหล่านี้ยังคงต้องได้รับการตรวจสอบความถูกต้องโดยใช้เกณฑ์อื่น ๆ แต่จะต้องใช้งานอัลกอริทึมที่ระบุไว้ในขณะที่ไม่ใช้อัลกอริทึมที่ไม่ต้องการข้อกำหนดด้านความปลอดภัยขั้นต่ำ (จำเป็นต้องอ้างอิงในข้อกำหนดนั้น) แม้ว่าผลิตภัณฑ์เหล่านี้อาจยังคงใช้อัลกอริทึม Suite B ที่มีความปลอดภัยสูง อย่างน้อยก็ตอนนี้.
ดังนั้น ให้โฟกัสที่วิธีที่เอกสารจัดการกับภัยคุกคามควอนตัมแทน: ใช้อัลกอริทึมแบบสมมาตรหรือรอจนกว่าชุด CNSA จะได้รับการอัปเดตด้วยอัลกอริทึมแบบอสมมาตรที่ทนทานต่อควอนตัม (เกือบจะเป็นแบบตาข่าย) หลังจากที่ NIST เผยแพร่ร่างมาตรฐานในช่วงระหว่างปีหน้าถึงปี 2024
หากพวกเขาคลั่งไคล้การโจมตีด้วยควอนตัมจริง ๆ อาจเป็นเพราะพวกเขาพัฒนาการโจมตีจริงขึ้นมาเอง และกังวลว่าจีน/รัสเซีย/อิหร่านจะตามหลังอยู่ไม่ไกล และจะดำเนินการขั้นรุนแรงด้วยค่าใช้จ่ายจำนวนมาก
ฉันดึง NIST SP 800-56A Rev3 ขึ้นมาเพื่อรวบรวมข้อมูลเพิ่มเติม และโดยพื้นฐานแล้วเอกสารนั้นระบุว่าแม้แต่ข้อมูลที่ไม่ได้รับการจำแนกประเภทก็ดูเหมือนจะไม่ต้องดำเนินการเมื่อพูดถึงเส้นโค้งที่ต่ำกว่า EC-384
คุณเห็นมันที่ไหน? ภายใต้ ตารางที่ 24: เส้นโค้งวงรีที่ได้รับอนุมัติสำหรับข้อตกลงคีย์ ECCแม้แต่เส้นโค้ง 224 บิตและกลุ่มไพรม์ 2048 บิตก็ยังแสดงรายการอยู่ แม้ว่าจะมีความชัดเจนมากเกี่ยวกับระดับความปลอดภัยที่เป็นเป้าหมายก็ตาม มันบังเอิญมากที่ CNSA cherry ถ่ายภาพ algos ที่ตรงตามข้อกำหนดด้านความปลอดภัย การนำไปใช้งาน ความยืดหยุ่น และการทำงานร่วมกัน
มาตรฐาน NIST เกี่ยวกับการบอกว่าคุณได้รับอนุญาตให้ใช้สิ่งนี้ในขณะนี้ และเอกสารของ NSA นั้นเกี่ยวกับสิ่งที่คุณได้รับอนุญาตให้ใช้ เริ่ม ใช้ตอนนี้ มีการทับซ้อนกัน แต่จุดประสงค์แตกต่างกันมาก ไม่มีอะไรผิดปกติ อันที่จริงฉันจะพิจารณาไม่บังคับขนาดคีย์ที่ใหญ่กว่าที่กำหนดในเอกสารเพื่อให้บอกได้มากที่สุดว่าเราไม่ควรตื่นตระหนก... ดังนั้นอย่า ไม่ต้องตื่นตระหนก