¿Cuáles son los criptogramas realistas y más seguros para los cifrados de código de autenticación de mensajes simétricos, asimétricos, hash,?

Las recomendaciones que cita son un poco excesivas. Un punto a tener en cuenta es que más allá de un cierto nivel (por ejemplo, en el tamaño de la clave o el tamaño de salida de la función hash), todas las funciones son "irrompibles con tecnología previsible" y es un poco delicado compararlas. Afirmar que el SHA-512 es "más robusto" que el SHA-256 significa que usted está imaginando que el SHA-256 podría romperse, lo que, por lo que podemos decir por ahora y los próximos 40 años, no es cierto (más de 40 años , intentar imaginar qué tecnología podríamos tener es arriesgado; hace 40 años, nadie se imaginaba Internet como lo es hoy, pero la mayoría de la gente asumió que para el 2010 todos conduciríamos automóviles voladores).

AES-128 ya es lo suficientemente seguro y menos costoso (AES-256 usa 14 rondas, mientras que AES-128 usa 10 rondas).

La clave RSA rota más grande actualmente es un módulo de 768 bits, y tomó un gran esfuerzo (cuatro años, y cerebros realmente grandes). Las claves de 1024 bits se consideran utilizables para la seguridad a corto plazo, aunque se recomiendan claves más grandes. Las claves de 2048 bits son apropiadas. Usar una tecla dos veces más grande significa 8 veces más trabajo para firmar o descifrar, por lo que no desea exagerar. Consulte este sitio para obtener una encuesta sobre cómo la longitud de la clave RSA puede relacionarse con la seguridad.

ECDSA sobre una curva de 256 bits ya alcanza un nivel de seguridad "inquebrantable" (es decir, aproximadamente el mismo nivel que AES con una clave de 128 bits, o SHA-256 contra colisiones). Tenga en cuenta que hay curvas elípticas en los campos principales y curvas en los campos binarios; la clase más eficiente depende del hardware involucrado (para curvas de tamaño similar, una PC preferirá las curvas en un campo principal, pero el hardware dedicado será más fácil de construir con campos binarios; el CLMUL en los procesadores Intel y AMD más nuevos pueden cambiar eso).

SHA-512 usa operaciones de 64 bits. Esto es rápido en una PC, no tan rápido en una tarjeta inteligente. SHA-256 es a menudo una mejor oferta en hardware pequeño (incluidas las arquitecturas de 32 bits, como enrutadores domésticos o teléfonos inteligentes).

En este momento, los sistemas de RFID baratos tienen una potencia demasiado baja para usar cualquiera de los anteriores (en otras palabras, los sistemas de RFID que pueden no ser tan baratos como deberían ser). Los sistemas RFID todavía utilizan algoritmos personalizados de seguridad a menudo cuestionable. Los teléfonos celulares, por otro lado, tienen suficiente potencia de CPU para realizar la criptografía adecuada con AES o RSA (sí, incluso los teléfonos baratos no inteligentes).

La respuesta citada es mi respuesta a lo que es el criptográfico más seguro en .NET.

Mis recomendaciones (para dispositivos de alta y baja potencia):

• Cifrado simétrico: AES-128

• Cifrado asimétrico: RSA con clave de 2048 bits o ECDSA / ECDH con clave de 256 bits

• Hash: SHA-256

• Código de autenticación de mensaje: HMAC con SHA-256

• Cifrado de flujo: AES-128 en modo CTR

En términos de seguridad, estas recomendaciones siguen siendo válidas y las mismas que yo haría.

En el caso de los cifrados asimétricos, realmente hay tres aspectos que le preocupan: el cifrado, el intercambio de claves y las firmas. RSA puede ser un esquema de cifrado y firma, mientras que ECDSA es específicamente una firma. Sin embargo, también existen versiones de curva elíptica de cifrado e intercambio de claves (aunque no estoy seguro de qué es del dominio público). Dicho esto, los tamaños de los parámetros son los mismos para los tres.

El único otro problema es que SHA-256/512 pronto será reemplazado, pero "pronto" en este caso será 2012.

En cuanto a la baja potencia, realmente depende de la poca potencia. Si por teléfono te refieres a un teléfono inteligente, todos estos son apropiados. Para una tarjeta inteligente, RFID, red de sensores, etc. es una historia diferente. Además, la mayoría de los algoritmos de baja potencia no estarán en una biblioteca estándar. Sin embargo, lo guiaría hacia el tamaño de los parámetros en la oración "no exagerar".

Para seguridad hasta el año 2030, los expertos en NIST recomiendan usar al menos SHA-224, 2048 bits para RSA o DSA, EDCSA de 224 bits y AES-128 o triple-DES de 3 teclas.

Sobre la base de su trabajo, a partir de finales de 2010, el gobierno de EE. UU. desaprueba estos algoritmos: SHA-1, RSA o DSA de 1024 bits, ECDSA de 160 bits (curvas elípticas), 2TDEA de 80/112 bits (dos tecla triple DES)

Para obtener más información, consulte esta publicación y los documentos del NIST a los que hace referencia: enlace

Cryptographic Right Answers por Colin Percival en 2009 sigue siendo bonito Muy actualizado en mi humilde opinión y cubre la pregunta y más.

Para cifrados simétricos, es posible que sea mejor usar AES-128 en lugar de AES-256 debido a posibles debilidades en la programación de claves para AES-256: enlace

Lo que hicimos fue seleccionar varios métodos de cifrado y hash y convertir todos los resultados a un formato hexadecimal común. Nuestros datos más confidenciales son el uso de SHA-256 y DES-3, mientras que los datos menos confidenciales que se pueden adivinar fácilmente utilizan MD5 & RC4 y también estamos usando una conversión XOR directa para algunas cosas. Cada cifrado simétrico tiene su propia contraseña y todos los datos cifrados están codificados con una suma de verificación. Confiar en un cifrado para todo es peligroso.