¿Por qué usar el cifrado simétrico de 256 bits en TLS cuando el RSA de 2048 bits ni siquiera ofrece una resistencia de 128 bits?

21

Me he dado cuenta de que los sitios web comienzan a usar cifrado simétrico de 256 bits, pero a menudo siguen usando claves RSA de 2048 bits.

enlace

El enlace anterior muestra las recomendaciones de ECRYPT II, que establecen que el cifrado asimétrico de 128 bits y el cifrado asimétrico de 3248 bits tienen una fuerza comparable.

Las recomendaciones del NIST establecen que la simetría de 128 bits es comparable al cifrado asimétrico de 3072 bits.

Esto significaría que el RSA de 2048 bits es más débil que el cifrado simétrico de 128 bits. Lo que me hace preguntarme por qué los sitios web están empezando a ofrecer cifrado simétrico de 256 bits, mientras que el enlace más débil (RSA) ni siquiera ofrece una potencia de 128 bits.

¿Hay algo que me esté perdiendo aquí?

    
pregunta abaj 18.06.2014 - 16:36
fuente

4 respuestas

30

Las personas utilizan el cifrado de 256 bits porque can y, dada la opción, las personas tienden a buscar los números más grandes, porque sienten que "lo merecen".

Científicamente, no tiene sentido utilizar AES-256 cuando el intercambio de claves se basa en el RSA de 2048 bits. Esto es solo ciclos de CPU desperdiciados; AES-128 hubiera sido igual de bueno. Pero "256" puede atraer a los auditores para que se sometan. Tales son las complejidades de la psicología humana.

    
respondido por el Tom Leek 18.06.2014 - 16:39
fuente
13

La debilidad de RSA solo se aplica al intercambio de claves y al establecimiento de la sesión. Si el atacante no detecta esto, la comunicación real en sí misma es mucho más resistente a la fuerza bruta con el cifrado simétrico de 256 bits. (Aunque ambos son en la actualidad, más allá de lo imposible para la fuerza bruta. Los ataques de reducción clave que podrían surgir en el futuro podrían hacer una diferencia significativa, pero eso no se conoce ahora). El RSA es el punto débil, pero eso no lo hace No significa que no valga la pena utilizar una mayor seguridad para la parte persistente de la conexión / sesión.

    
respondido por el AJ Henderson 18.06.2014 - 17:13
fuente
1

Cuando la suite de cifrado usa secreto de reenvío, el certificado del servidor solo se usa para la autenticación, no para el cifrado.

Es posible que una clave RSA de 2048 bits no parezca justificar un cifrado de 256 bits, pero el intercambio de claves ECDHE para el secreto hacia adelante da como resultado un cifrado mucho más sólido sin utilizar el certificado firmado por CA.

Sin secreto de reenvío o con el intercambio de claves DHE, tal vez los cifrados de 256 bits no tienen sentido, pero sí tienen sentido con ECDHE.

    
respondido por el Alice Wonder 06.04.2017 - 13:01
fuente
0

La mejor pregunta es ¿por qué incluso utilizar rsa 2048 bit y no rsa 4096 bit o uno de los algoritmos más nuevos y mejores?

Además, incluso si aes256 está perdiendo ciclos de cpu (y estoy de acuerdo con que lo es), los ciclos de cpu son abundantes, siempre debe usar un algoritmo de cifrado con una doble fuerza de lo que se considera seguro y con cualquier cosa que implique transferencias de red a la que se vaya su conexión Sea el cuello de botella más grande que aes128 vs aes256, especialmente en líneas estándar de 100/100 mbit. Tal vez una vez que las líneas de 100/100 gbit se consideran estándar, la diferencia será más notoria, pero para entonces también tendremos un CPU mucho más rápido y el debate sobre aes128 vs aes256 será el mismo que el debate de 8 vs 32GB de ram hoy (también conocido como 32GB siendo el mínimo indispensable).

    
respondido por el Mr. C 16.01.2017 - 00:52
fuente

Lea otras preguntas en las etiquetas