Score:1

เหตุใดจึงใช้ SHA384 ในชุดรหัส TLS สำหรับ AES_256_GCM แทน SHA256

ธง es

ชุดการเข้ารหัส TLS ใช้ SHA256 เป็นแฮชเมื่อใช้ AES_128_GCM และ CHACHA20_POLY1305 แต่ใช้ SHA384 เมื่อใช้ AES_256_GCM

เดอะ รีจิสทรี TLS Cipher Suite ไม่มีชุดรหัสที่ใช้ AES_256_GCM_SHA256 แทน AES_256_GCM_SHA384

ตาม อาร์เอฟซี 8446แฮชนี้คือ "ใช้กับทั้งฟังก์ชันการสืบทอดคีย์และรหัสตรวจสอบข้อความแฮนด์เชค"

อะไรคือแรงจูงใจในการใช้ SHA384 มากกว่า SHA256 เป็น HMAC-แฮชสำหรับ HKDF เมื่อสร้างคีย์ AES_256_GCM?

kelalaka avatar
in flag
[มีการต่อต้านควอนตัม 128 บิตที่ถูกกล่าวหา](https://crypto.stackexchange.com/a/75241/18298)
knaccc avatar
es flag
@kelalaka ขอบคุณลิงค์ที่ดี คุณเห็นด้วยหรือไม่ว่าเมื่อใช้ AES_256_GCM การอัปเกรดเป็น SHA384 สำหรับส่วน MAC ของ handshake จะเป็นประโยชน์ แต่การอัปเกรดเป็น SHA384 สำหรับ HKDF เพื่อรับคีย์ AES_256_GCM จะไม่มีประโยชน์อะไร
kelalaka avatar
in flag
ไม่ได้ใช้อัลกอริทึมแฮช cipher suites อยู่แล้วหรือ [rfc8446#section-7.1](https://datatracker.ietf.org/doc/html/rfc8446#section-7.1) `ฟังก์ชันแฮชที่ใช้โดย Transcript-Hash และ HKDF เป็นรหัส อัลกอริทึมแฮชชุด.`
knaccc avatar
es flag
@kelalaka ฉันรู้ว่ามันถูกใช้โดยทั้งคู่ และคุณไม่สามารถใช้แฮชเดียวสำหรับแฮชการถอดเสียงและแฮชอื่นสำหรับ HKDF สิ่งที่ฉันหมายถึงคือ คุณเห็นด้วยหรือไม่ว่าการอัปเกรดเป็น SHA384 เหมาะสมแล้วที่จะทำให้แฮชการถอดเสียงแข็งแกร่งขึ้น เพื่ออัปเกรดความต้านทานควอนตัมไปพร้อม ๆ กับที่คุณอัปเกรดความต้านทานควอนตัมของรหัสสมมาตร แต่การใช้ SHA384 นั้นเป็นการอัปเกรดที่เป็นประโยชน์สำหรับแฮชการถอดเสียง แต่ไม่เป็นประโยชน์อย่างยิ่งในการอัปเกรดเป็นส่วน HKDF
knaccc avatar
es flag
@kelalaka เพื่อให้ง่ายขึ้น: ฉันถามว่าคุณเห็นด้วยหรือไม่ว่า SHA384 ช่วยอัพเกรดควอนตัมเพื่อป้องกันการชนกันของ MAC ทรานสคริปต์การจับมือ แต่ไม่ได้ให้ประโยชน์ใด ๆ กับ SHA256 สำหรับวัตถุประสงค์ของ HKDF ในความลับที่แบ่งปันของ ECDHE เพื่อรับคีย์ AES256GCM
kelalaka avatar
in flag
AFAIK TLS 1.3 ทำให้สิ่งต่าง ๆ ง่ายขึ้น แทนที่จะใช้สองแฮชในชุด ใช้หนึ่ง...
knaccc avatar
es flag
@kelalaka ฉันไม่แน่ใจว่าคุณเห็นด้วยหรือไม่กับความคิดเห็นล่าสุดของฉัน แต่ขอบคุณสำหรับข้อมูลเชิงลึกเกี่ยวกับควอนตัม ฉันจะอนุมัติให้เป็นคำตอบหากคุณต้องการส่ง
knaccc avatar
es flag
@kelalaka Aha สมบูรณ์แบบ ขอบคุณ!
Score:1
ธง in

สมมติว่ามีคนสร้างไฟล์ คอมพิวเตอร์ควอนตัมเข้ารหัส (CQC) ที่สามารถเรียกใช้อัลกอริทึมของ Grover ได้เป็นพิเศษอัลกอริทึมของ Grover นั้นเหมาะสมที่สุดโดยไม่แสดงอาการซึ่งเป็นสิ่งที่จำเป็น $\mathcal{O}(\sqrt{n})$- เวลาสำหรับ $n$ ความปลอดภัยบิต สำหรับการโจมตีด้วยภาพล่วงหน้าหรือการค้นหาคีย์. นั่นคือหนึ่งมีความปลอดภัย 128 บิตจากพื้นที่คีย์ 256 บิต นี่คือโฆษณาของอัลกอริธึมของโกรเวอร์ ใช่แล้ว $\mathcal{O}(\log{n})$-พื้นที่ อย่างไรก็ตาม มันไม่เพียงพอ

สิ่งที่ขาดหายไปโดยทั่วไปคือ $\mathcal{O}(\sqrt{n})$ การเรียกใช้อัลกอริทึมของ Grover พิจารณาว่าคุณต้องการทำลาย 128 บิต จากนั้นคุณต้องเรียกใช้อัลกอริทึมของ Grover $2^{64}$-เวลา. หากเราคิดว่าคุณสามารถดำเนินการอัลกอริทึมของ Grover ในเครื่องหนึ่งได้ภายในหนึ่งวินาที คุณก็ต้องมี $\ประมาณ 585$ ปีเพื่อค้นหากุญแจ นี่เป็นแง่ดีในแง่ที่ว่าเราสามารถเตรียม QCQ ได้ภายในหนึ่งนาโนวินาที

อัลกอริทึมของ Grover เหมือนอัลกอริทึมแบบคลาสสิก ขนานกันได้, ด้วย. น่าสนใจสำหรับ $k$ โกรเวอร์ขนานกัน เราไม่มีการเพิ่มขึ้นกำลังสอง เรามี $\sqrt{k}$ เร่งความเร็ว. สิ่งนี้ไม่ได้ขยายขนาดให้ดี

นี่คือทั้งหมดที่เกี่ยวกับ Grover ตอนนี้มีงานอื่นจาก บราสซาร์ดและคณะ สำหรับฟังก์ชันแฮชสำหรับ การค้นหาการชนกัน, มี $\mathcal{O}(\sqrt[3]{2^{256}})$-เวลาและ $\about \mathcal{O}(2^{85})$-ช่องว่าง. ที่ยังคงอยู่ใน asymptotically ที่ดีที่สุด และครั้งนี้เรามีความปลอดภัย 128 บิตจากฟังก์ชันแฮช 384 บิตด้วย $2^{128}$- ข้อกำหนดด้านพื้นที่

ด้วยสิ่งเหล่านี้ เราสามารถยืนยันได้ว่าแม้แต่ฟังก์ชันแฮช 256 บิตและแม้แต่บล็อกรหัส 128 บิตก็ยังปลอดภัยจาก CQC การคำนวณที่สมจริงยิ่งขึ้นจาก

เก็บรายละเอียดบทความให้ติด กศน และถือว่าเราต้องการ $384$ฟังก์ชันแฮชบิตเทียบกับ CQC เพื่อให้มีความต้านทานการชนกัน 128 บิต ความต้านทานของภาพล่วงหน้าคือ $192$-นิดหน่อย .

ถ้าเราใช้ HKDF 256 บิต จะมีความต้านทานพรีอิมเมจ CQC 128 บิต ซึ่งหมายความว่าแฮช 256 บิตก็เพียงพอแล้ว

ตั้งแต่ TLS 1.3 ทำให้ทุกอย่างง่ายขึ้น;

ฟังก์ชันแฮชที่ใช้โดย Transcript-Hash และ HKDF เป็นอัลกอริทึมแฮชชุดเข้ารหัส

คำอธิบายที่มีความหมายคือ SHA-384 ได้รับเลือกให้มีความต้านทานการชนกัน 128 บิตซึ่งเหมาะกับความต้านทาน 128 บิตของ AES-256 กล่าวอย่างง่าย ๆ ได้ว่า AES_256_GCM_SHA384 มีการรักษาความปลอดภัย 128 บิตกับฝ่ายตรงข้าม Quantum

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา