Cifrado y el "decaimiento del tiempo de seguridad" de los datos cifrados anteriores

Navega tus respuestas
19

Esta pregunta se basa en el supuesto de que, una vez cifrados, los datos se pueden descifrar (eventualmente) a través de

  1. Fuerza bruta (potencia de cálculo / tiempo)
  2. Explotaciones en la criptografía utilizada
  3. Robo de claves privadas

La mayoría de los modelos de amenazas, procedimientos e interacción comercial con los que he estado involucrado se ha centrado en la protección y seguridad de los datos actuales o futuros, pero no tanto en lo que se necesita para mantener la seguridad de los datos cifrados previamente.

Los "datos previamente encriptados" pueden no solo incluir mensajes o archivos encriptados, sino que también pueden incluir una captura de una sesión anterior de SSH o VPN.

¿Existe alguna discusión en la comunidad de Seguridad de TI sobre los datos que se cifraron en una fecha determinada en relación con la ley de Moore, la computación en la nube y el tiempo, todos funcionando como factores que pueden descifrar la información de cifrado previamente ?

¿Existe alguna discusión sobre el robo de una clave privada que ponga en riesgo los datos anteriores?

Muchas personas en los departamentos de negocios y legales consideran el cifrado como una caja de seguridad infalible que nunca puede romperse, y no lo ven como un bloc encriptado cuya seguridad decae con el tiempo y necesita una vigilancia continua para su mantenimiento. (por ejemplo, no se descuide con estos blobs, no los deje en un servidor público para análisis , ya que las personas pueden intento de descifrar it)

Estoy interesado en cualquier pensamiento alrededor

  • Si este es un factor en la decisión de usar una conexión cableada privada en lugar de una VPN
  • Ejemplos y métodos para medir la sensibilidad al tiempo de la información y el riesgo de exposición
  • Riesgos y remediaciones en el ámbito de la seguridad de TI
  • Formas de comunicar el riesgo (y la remediación relevante) a personas no técnicas. (por ejemplo, para financiación)
  • ...?
pregunta random65537 22.03.2011 - 16:32
fuente

2 respuestas

20

Una noción se llama Perfect Forward Secrecy . Esto se aplica a situaciones en las que cifras datos y los descifras casi simultáneamente, pero te preocupas por un atacante que luego obtendría una copia de la clave de descifrado. Este es un modelo restrictivo, pero se aplica a las conexiones SSL: la clave privada del servidor es de larga duración (por lo general, se almacena en un archivo local) y, por lo tanto, está sujeta a futuros robos; mientras que no existe una necesidad legítima de descifrar los datos intercambiados en una fecha futura.

En el caso de SSL, la solución se basa en las suites de cifrado "DHE" (Diffie-Hellman Ephemeral). En términos generales, el cliente y el servidor utilizan un acuerdo de clave Diffie-Hellman, con nuevos exponentes privados, para establecer las claves de sesión. La clave privada del servidor (la que corresponde a la clave pública en el certificado del servidor) se usa solo para la firma (de modo que el servidor esté debidamente autenticado por el cliente). Por lo tanto, el robo posterior de la clave privada del servidor no permite que el atacante descifre los datos que se intercambiaron de antemano. Los exponentes privados de Diffie-Hellman y la clave de la sesión, que son transitorios (vinculados solo a esa sesión), nunca se almacenan en un medio físico y se olvidan una vez que se cierra la sesión; por lo tanto, son mucho menos susceptibles a robos posteriores.

La ley de Moore y el aumento general de la potencia de cómputo disponible no es un gran problema, porque es predecible: tal potencia de cómputo aumenta en un factor menos que 2 cada año. Por lo tanto, es fácil sobredimensionar un poco las claves para tener en cuenta ese factor: en el caso de cifrado simétrico, solo agregue un bit de clave por año. Esto significa que AES con una clave de 192 bits estará bien durante al menos un siglo, al menos con respecto a dichos avances tecnológicos. Para RSA, Diffie-Hellman, Rabin-Williams o El-Gamal, apunte a claves de 8192 bits para el mismo nivel de protección (clave de 384 bits para curvas elípticas).

Más preocupantes son los avances científicos , es decir, el descubrimiento potencial de algoritmos más rápidos para, por ejemplo, la factorización de enteros. Tales avances son mucho menos predecibles que los avances tecnológicos; sin embargo, también parecen ocurrir bastante raramente (el último gran avance en la factorización fue la invención del Número de Tamiz de Campo, y eso fue hace 20 años). La computadora cuántica es un comodín desconocido aquí: si alguna vez se puede construir, entonces destruye completamente la criptografía asimétrica (bueno, en al menos, los algoritmos basados en factorización y basados en registros discretos, incluidas las variantes de curva elíptica, posiblemente, cifrado de McElliece puede resistir) .

En términos generales, la mayor amenaza para la confidencialidad a largo plazo de los datos cifrados es el robo de claves privadas. Cuando sea aplicable, PFS realmente mejora las cosas por un margen justo. Preocuparse por la ley de Moore o la computación cuántica es una muy buena noticia: significa que ya ha frustrado todos los vectores de ataque más fáciles, lo que no es un logro pequeño. Pensar que "el cifrado es una caja de seguridad infalible" no es completamente absurdo: si se hace correctamente , la parte de cifrado en sí agregará riesgos insignificantes a los que ya debe enfrentarse cuando se trata de almacenar una clave privada y mantenerla Seguro sin perderlo por completo.

    
respondido por el Thomas Pornin 22.03.2011 - 17:41
fuente
8

El resultado práctico de esto es que casi todos los departamentos de seguridad con los que trabajo tratan el cifrado como algo que esperan proteger durante un período de tiempo prolongado y sus decisiones sobre qué cifrado usar se basan en cuánto tiempo necesitan los datos. 'seguro'

Es cierto que los factores que influyen en esto son vagos y tienden a cambiar a medida que alguien descubre un nuevo ataque teórico, pero en términos generales, apruebo este enfoque.

No creo que conozco a nadie en organizaciones globales que se ocupen de la encriptación que no lo vea así. Cambian las claves según la fuerza bruta esperada de la mitad del espacio clave (o menos) y cambian los algoritmos cuando los gobiernos recomiendan otros nuevos.

Algunas actualizaciones:

Muchas conexiones cifradas que usan mis clientes solo son importantes en ese momento; si se rompen un mes después, no importa. Estos tipos de conexiones suelen utilizar criptografía de alto rendimiento, no criptografía que durará años.

Crypto utilizado para proteger datos médicos privados, por otro lado, tiene que ser fuerte durante la vida del paciente como mínimo, y el rendimiento es menos importante, por lo que se utiliza crypto mucho más fuerte.

Se trata de lo apropiado.

    
respondido por el Rory Alsop 22.03.2011 - 17:46
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las diferencias entre los cifrados arcfour, arcfour128 y arcfour256 en OpenSSH? Evaluación de amenazas para un portal cautivo