¿Por qué Bruce Schneier recomienda criptografía simétrica sobre criptografía de clave pública?

Esta preferencia de la criptografía simétrica sobre la criptografía asimétrica se basa en la idea de que la criptografía asimétrica utiliza objetos matemáticos parametrizados y existe la sospecha de que dichos parámetros podrían elegirse especialmente para debilitar el sistema. Por ejemplo, cuando usas Diffie-Hellman, DSA o ElGamal, tienes que trabajar en módulo a gran primo p . Un primer p elegido al azar estará bien, pero es posible seleccionar un p especial que "se vea bien" pero que permita una ruptura fácil (o más fácil) de los algoritmos para quien sepa cómo se generó ese valor especial de p . Tales números primos p que hacen que el cifrado sea débil son muy raros, por lo que no le pegará a uno por mala suerte (como digo, un número primo elegido al azar estará bien).

Esto significa que los buenos parámetros criptográficos son nada en mis números de manga . Si observa FIPS 186-4 (el estándar para DSA), Verá una descripción de un sistema de generación para los parámetros DSA (a saber, el módulo grande p y el generador g y el orden del grupo q ) que es demostrablemente no malicioso. Esto funciona simplemente mostrando el PRNG determinista que presidió la generación de estos valores; Al revelar la semilla, puede demostrar que produjo los parámetros con fidelidad y, por lo tanto, no se entregó a la "elaboración de primos especiales".

Se puede hacer un foque contra las curvas elípticas estándar del NIST (ver FIPS 186-4 nuevamente) porque estas curvas nuevamente tienen algunos parámetros, y el NIST olvidó usar un PRNG determinista como se describe anteriormente (en realidad, el NIST no tiene la culpa aquí) ; estas curvas fueron heredadas de la SEC, por lo que el error fue probablemente de Certicom). El curvas de Brainpool intenta corregir ese error. (Tenga en cuenta que entre las 15 curvas NIST, al menos las 5 "Curvas de Koblitz" no pueden haberse debilitado deliberadamente ya que no hay ningún parámetro aleatorio en ellas).

Ole 'Bruce convierte todo lo anterior en un anatema genérico contra la criptografía asimétrica porque deseaba una línea contundente, no una explicación más correcta pero extensa sobre la validación de parámetros de grupo, como se describió anteriormente. La lección a recordar es que el diseño completo de cualquier sistema criptográfico debe ser lo más transparente posible , y esto incluye la generación de parámetros "aparentemente aleatorios".

Según lo que él dice, las compañías cambian sutilmente sus productos de manera indetectable para las puertas traseras. Acerca de los sistemas de clave pública, menciona la adición de un exponente común a un protocolo de intercambio de clave pública.

  

... haciendo que el generador de números aleatorios sea menos aleatorio, filtre la clave de alguna manera, agregando un exponente común a un protocolo de intercambio de clave pública, etc.

Quizás, cree que la criptografía de clave pública está más abierta a la manipulación que la criptografía simétrica.

blog de Schneier tiene un par de declaraciones aclaratorias:

  

Es más probable que la NSA tenga algunos conocimientos matemáticos fundamentales.   avance en romper algoritmos de clave pública que algoritmos simétricos.

y

  

Personalmente me preocupa cualquier constante cuyos orígenes no lo haga   Confíe personalmente.

La justificación de la declaración anterior, por supuesto, es muy compleja y se basa en cierta medida en la intuición / experiencia con respecto al estado del arte en matemáticas. Esta última es una declaración más directa de que ciertos sistemas han sido más propensos a la influencia de la NSA que otros, y se hace eco de la declaración (probablemente controvertida) del artículo "Prefiera los sistemas convencionales basados en registros discretos sobre los sistemas de curvas elípticas; constantes en las que la NSA influye cuando pueden ".

También tenga en cuenta que el artículo está destinado a presentar reglas básicas para una audiencia que lee Guardian. Por supuesto, existen algoritmos simétricos que es probable que la NSA haya roto (o que se conoce que pueden romperse por la NSA), y algoritmos asimétricos sin constantes no confiables. No está diciendo que prefiera un cambio de César a la DSA. Pero, según Schneier, los algoritmos simétricos estándar son más confiables que los algoritmos asimétricos estándar.

Creo que tienes razón en que la mayor dificultad de la distribución de claves podría significar que, para muchos propósitos, una preferencia para criptografía simétrica no se traducirá en la posibilidad de usarla. Probablemente esté pensando principalmente en cómo debe comunicarse con amigos / colegas / co-conspiradores, ya que esas son las circunstancias en las que el usuario promedio tiene una libre elección de algoritmos. Sin duda, su consejo para aquellos que diseñan sistemas criptográficos completos sería más complejo.

Finalmente, tenga en cuenta que todos estos consejos son específicamente sobre la vigilancia de la NSA. Si no consideras a la NSA (o sus aliados) como tu adversario, entonces no es necesariamente relevante, aunque gran parte de ella es un buen consejo de todos modos. Un pirata informático típico tiene un conjunto más limitado de ataques disponibles.

Solo puedo adivinar, pero creo que puede derivarse de la sensación de que el cifrado asimétrico es más matemáticamente inestable que simétrico.

Por ejemplo, se sabe que la criptografía simétrica segura es teóricamente posible: considere, por ejemplo, el teclado de un solo uso, que a veces incluso se puede usar en la práctica. Los cifrados simétricos estándar son, en cierto modo, un esquema para emular esto pero con claves más cortas (especialmente si se considera, por ejemplo, el modo CTR).

Entonces considere el caso de cualquier sistema asimétrico. Aquí es necesario que sea matemáticamente posible tener una función matemática F (clave de publicación secreta para proteger) que produce un resultado encriptado que no se puede utilizar para deducir la protección de secreto para protegerla incluso si el atacante conoce la clave pública. Es decir. no tiene ningún argumento secreto que la función pueda usar para proteger el secreto (como es el caso del esquema simétrico): ¡lo único que es secreto es lo que quiere proteger! Aún así, la función debe ser biyectiva, ya que de lo contrario el destinatario no puede descifrarla. Así que toda la información debe estar allí. De hecho, debe ser computacionalmente fácil revertir la operación sabiendo cierta información adicional relacionada con la clave pública, a saber, la clave privada. Es mucho menos claro que tales funciones existen, no se sabe que existan. RSA y ECC son esencialmente propuestas para tal esquema, pero solo propuestas, ya que no se ha comprobado que sean seguras. Establecer la seguridad de cualquier esquema asimétrico, establecería, por implicación, P! = NP, y por lo tanto parece ser un problema muy difícil.

Por lo tanto, dado que no se conoce ninguna instancia conocida de un esquema asimétrico seguro (y de hecho un esquema asimétrico debe satisfacer algunas propiedades matemáticas mucho más difíciles que el esquema simétrico), pero dado que se conocen ejemplos seguros de esquemas simétricos, todo lo demás siendo iguales, es razonable sospechar más de los esquemas asimétricos.

Desde un punto de vista práctico, parece que la complejidad de la factorización y el problema de registro discreto (tal como se emplea en cifrados asimétricos) se reduce año tras año (aunque los mejores algoritmos aún son exponenciales en el tiempo), mientras que AES y DES (Casi) están manteniendo su terreno. El mayor problema con DES fue el pequeño tamaño de la clave, no es que el algoritmo haya sido descifrado. 3DES sigue siendo seguro, pero bastante lento en comparación con AES.

La criptografía de clave pública utiliza dos claves y tiene una complejidad matemática enorme, como resultado de lo cual la computadora se ralentiza cuando se realiza el cifrado y descifrado de datos grandes.