ชุดการเข้ารหัส TLS ใช้ SHA256 เป็นแฮชเมื่อใช้ AES_128_GCM และ CHACHA20_POLY1305 แต่ใช้ SHA384 เมื่อใช้ AES_256_GCM
เดอะ รีจิสทรี TLS Cipher Suite ไม่มีชุดรหัสที่ใช้ AES_256_GCM_SHA256 แทน AES_256_GCM_SHA384
ตาม อาร์เอฟซี 8446แฮชนี้คือ "ใช้กับทั้งฟังก์ชันการสืบทอดคีย์และรหัสตรวจสอบข้อความแฮนด์เชค"
อะไรคือแรงจูงใจในการใช้ SHA384 มากกว่า SHA256 เป็น HMAC-แฮชสำหรับ HKDF เมื่อสร้างคีย์ AES_256_GCM?
สมมติว่ามีคนสร้างไฟล์ คอมพิวเตอร์ควอนตัมเข้ารหัส (CQC) ที่สามารถเรียกใช้อัลกอริทึมของ Grover ได้เป็นพิเศษอัลกอริทึมของ Grover นั้นเหมาะสมที่สุดโดยไม่แสดงอาการซึ่งเป็นสิ่งที่จำเป็น $\mathcal{O}(\sqrt{n})$- เวลาสำหรับ $n$ ความปลอดภัยบิต สำหรับการโจมตีด้วยภาพล่วงหน้าหรือการค้นหาคีย์. นั่นคือหนึ่งมีความปลอดภัย 128 บิตจากพื้นที่คีย์ 256 บิต นี่คือโฆษณาของอัลกอริธึมของโกรเวอร์ ใช่แล้ว $\mathcal{O}(\log{n})$-พื้นที่ อย่างไรก็ตาม มันไม่เพียงพอ
สิ่งที่ขาดหายไปโดยทั่วไปคือ $\mathcal{O}(\sqrt{n})$ การเรียกใช้อัลกอริทึมของ Grover พิจารณาว่าคุณต้องการทำลาย 128 บิต จากนั้นคุณต้องเรียกใช้อัลกอริทึมของ Grover $2^{64}$-เวลา. หากเราคิดว่าคุณสามารถดำเนินการอัลกอริทึมของ Grover ในเครื่องหนึ่งได้ภายในหนึ่งวินาที คุณก็ต้องมี $\ประมาณ 585$ ปีเพื่อค้นหากุญแจ นี่เป็นแง่ดีในแง่ที่ว่าเราสามารถเตรียม QCQ ได้ภายในหนึ่งนาโนวินาที
อัลกอริทึมของ Grover เหมือนอัลกอริทึมแบบคลาสสิก ขนานกันได้, ด้วย. น่าสนใจสำหรับ $k$ โกรเวอร์ขนานกัน เราไม่มีการเพิ่มขึ้นกำลังสอง เรามี $\sqrt{k}$ เร่งความเร็ว. สิ่งนี้ไม่ได้ขยายขนาดให้ดี
นี่คือทั้งหมดที่เกี่ยวกับ Grover ตอนนี้มีงานอื่นจาก บราสซาร์ดและคณะ สำหรับฟังก์ชันแฮชสำหรับ การค้นหาการชนกัน, มี $\mathcal{O}(\sqrt[3]{2^{256}})$-เวลาและ $\about \mathcal{O}(2^{85})$-ช่องว่าง. ที่ยังคงอยู่ใน asymptotically ที่ดีที่สุด และครั้งนี้เรามีความปลอดภัย 128 บิตจากฟังก์ชันแฮช 384 บิตด้วย $2^{128}$- ข้อกำหนดด้านพื้นที่
ด้วยสิ่งเหล่านี้ เราสามารถยืนยันได้ว่าแม้แต่ฟังก์ชันแฮช 256 บิตและแม้แต่บล็อกรหัส 128 บิตก็ยังปลอดภัยจาก CQC การคำนวณที่สมจริงยิ่งขึ้นจาก
เก็บรายละเอียดบทความให้ติด กศน และถือว่าเราต้องการ $384$ฟังก์ชันแฮชบิตเทียบกับ CQC เพื่อให้มีความต้านทานการชนกัน 128 บิต ความต้านทานของภาพล่วงหน้าคือ $192$-นิดหน่อย .
ถ้าเราใช้ HKDF 256 บิต จะมีความต้านทานพรีอิมเมจ CQC 128 บิต ซึ่งหมายความว่าแฮช 256 บิตก็เพียงพอแล้ว
ตั้งแต่ TLS 1.3 ทำให้ทุกอย่างง่ายขึ้น;
ฟังก์ชันแฮชที่ใช้โดย Transcript-Hash และ HKDF เป็นอัลกอริทึมแฮชชุดเข้ารหัส
คำอธิบายที่มีความหมายคือ SHA-384 ได้รับเลือกให้มีความต้านทานการชนกัน 128 บิตซึ่งเหมาะกับความต้านทาน 128 บิตของ AES-256 กล่าวอย่างง่าย ๆ ได้ว่า AES_256_GCM_SHA384 มีการรักษาความปลอดภัย 128 บิตกับฝ่ายตรงข้าม Quantum
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
