reclamo más fuerte de ECC y RSA 10K

Estas estimaciones son muy crudas y, posiblemente, no tienen sentido.

Los algoritmos criptográficos asimétricos, como RSA y ECDSA, se basan en estructuras matemáticas, y romperlos requiere desentrañar esa estructura. En términos generales, la dificultad de hacerlo aumenta con el tamaño de los objetos subyacentes (es decir, el "tamaño de clave"), pero no en una regla exponencial fácil y simple.

Se han expandido muchos esfuerzos para hacer algunas "estimaciones de fortaleza" para poder comparar los tamaños de las claves RSA con los tamaños de las claves ECDSA, y también los tamaños de las claves para algoritmos simétricos (como AES). Incluso es muy difícil definirlo correctamente, ya que romper una clave RSA mediante factorización de enteros con los algoritmos más conocidos para esa tarea ( El Número general de tamices de campo requiere no solo una gran cantidad de cálculos, sino también el manejo de una gran cantidad de datos con patrones de acceso que no son susceptibles de serialización y paralelismo; para decir las cosas claramente, necesita una computadora con un realmente gran cantidad de muy rápido RAM (no estamos hablando de meros terabytes aquí). Esto no se compara directamente con, por ejemplo, la ruptura de la clave AES, que necesita una gran cantidad de CPU pero no necesita RAM, y es vergonzosamente paralelo .

Sin embargo, algunas personas inteligentes todavía han producido estimaciones, y hay un buen sitio web que las presenta y le permite modificar los parámetros . Por ejemplo, si observa las recomendaciones del NIST, una clave RSA de 2048 bits se considera "de alguna manera equivalente" a una clave de 112 bits para un algoritmo simétrico, mientras que una clave RSA de 3072 bits se consideraría una clave simétrica de 128 bits. . Las claves simétricas son solo un montón de bits sin una estructura especial, por lo que una n -bit key significa "se puede romper en el esfuerzo 2 ^{n -1} en promedio "(enumerando las posibles combinaciones de bits n hasta encontrar la correcta). Por lo tanto, según las estimaciones del NIST, se considera que RSA-3072 es aproximadamente 65536 veces más fuerte que RSA-2048 (porque 128-112 = 16 y 2 ¹⁶ = 65536).

Otras ecuaciones producen resultados diferentes. El método explicado en RFC 3766 califica a RSA-2048 como equivalente a una clave simétrica de 103 bits, y RSA-3072 hasta 125 bits. Ahora estas estimaciones implicarían que RSA-3072 sería más de 4 millones de veces más difícil de romper que RSA-2048 (2 ¹²⁵ / 2 ¹⁰³ = 4194304). También notemos que RFC 3766 dice que RSA-2048 es medio millón de veces más débil de lo que NIST dice que es.

También se puede decir que una declaración simple como "RSA-3072 es X veces más difícil de romper que RSA-2048" solo tiene sentido si puede cuantificar la dureza de la rotura RSA-2048 y RSA-3072. La cuantificación es: ¿cuánto dinero tomaría? Y, ahora y también para el futuro previsible (es decir, dentro de los próximos 40 años), la única respuesta sensata es "olvídalo". Ninguna cantidad de dinero en la Tierra, incluso con todo el dinero existente tomado en conjunto, le comprará un salto de llave RSA-2048 o un descanso de llave RSA-3072. Esto está simplemente fuera del alcance de nuestra tecnología.

Esto significa que no significa que RSA-2048 siempre será irrompible; solo dice que si (o cuándo) se rompe, será a través de una mejora cualitativa (un avance algorítmico) cuyas características son, por definición, totalmente desconocidas.

Correspondientemente, cualquier afirmación de que RSA-3072 sea "10 mil veces" más fuerte que RSA-2048 es en su mayoría especulación no demostrada. O, en el mejor de los casos, una extrapolación matemática a partir de puntos de datos existentes, elevados a niveles que no tienen sentido físico.

Acabo de encontrar una fuente que afirma estos 10 K que mencionaste, sin embargo, hay un estudio de Symantec aquí indicando lo siguiente:

  

Mientras que las longitudes de clave para los métodos de cifrado actuales que usan RSA aumentan exponencialmente   a medida que aumentan los niveles de seguridad, las longitudes de clave ECC aumentan linealmente    .    Por ejemplo, 128 bits.   la seguridad requiere una clave RSA de 3.072 bits, pero solo una clave ECC de 256 bits    .    Aumentando a   La seguridad de 256 bits requiere una clave RSA de 15.360 bits, pero solo una clave ECC de 512 bits   3 ....

Aquí usted puede encontrar un manual "relativamente fácil de entender" en la criptografía de curva elíptica.

Se puede encontrar una comparación entre los sistemas criptográficos aquí :

  

La criptografía de curva elíptica es probablemente mejor para la mayoría de los propósitos, pero no para todo.

     

La principal ventaja de ECC es que puede usar claves más pequeñas para el mismo nivel de seguridad, especialmente en niveles altos de seguridad (AES-256 ~ ECC-512 ~ RSA-15424). Esto se debe a los sofisticados algoritmos para factorizar como el Tamiz de campo numérico.

     

Ventajas de ECC:

     

• Teclas más pequeñas, textos cifrados y firmas.
  
• Generación de claves y firmas muy rápidas.
  
• Cifrado y descifrado moderadamente rápidos.
  
• Las curvas binarias son realmente rápidas en hardware.
  

Desventajas de ECC:

     

• Complicado y complicado de implementar de manera segura, particularmente las curvas estándar.
  
• Los estándares no son modernos, especialmente ECDSA, que es una especie de piratería en comparación con las firmas Schnorr.
  
• Firmar con un generador de números aleatorios roto compromete la clave.
  
• Todavía tiene algunos problemas de patentes, especialmente para curvas binarias.
  
• Los algoritmos más nuevos podrían en teoría tener debilidades desconocidas. Las curvas binarias dan un poco de miedo.   No use DUAL_EC_DRBG, ya que tiene una puerta trasera.
  

Ventajas de RSA:

     

• Encriptación y verificación muy rápidas y simples.
  
• Más fácil de implementar que ECC.
  
• La firma y el descifrado son similares; El cifrado y la verificación son similares.
  
• Ampliamente implementado, mejor soporte de la industria.
  

Desventajas de RSA:

     

• Generación de teclas muy lenta.
  
• Firma y descifrado lentos, que son un poco difíciles de implementar de forma segura.
  
• La clave de dos partes es vulnerable al ataque de GCD si se implementa de manera deficiente.