¿Existen buenas herramientas para probar la calidad de cifrado de los datos?

1

Estoy tratando de aumentar mi comprensión del cifrado de datos, y me estaba preguntando esto. Sería muy bueno si hubiera alguna buena herramienta para probar qué tan seguros están mis datos cifrados, por ejemplo, cuánto tiempo tomaría que una manzana podrida promedio estropeara el barril para descifrarla.

    
pregunta Thierry 30.10.2014 - 14:43
fuente

2 respuestas

3

La existencia de una herramienta que pueda garantizar la seguridad de algunos sistemas de encriptación implicaría probar una serie de problemas científicos importantes, hasta e incluyendo el famoso P vs NP . En este momento, ningún criptógrafo ha logrado demostrar que el cifrado seguro o el hash puede existir realmente, y mucho menos haber diseñado una herramienta que podría probar un sistema determinado. Todo lo que tenemos son candidatos : no son funciones que no se pueden romper, solo funciones que no sabemos cómo romper, aunque hemos hecho grandes esfuerzos.

Lo que puede existir es una herramienta que ejecuta algunos análisis estadísticos sobre, por ejemplo, el resultado de un PRNG supuestamente seguro, y declara si aparece algún sesgo. Si una herramienta de análisis estadístico encuentra un sesgo, es obvio que el algoritmo criptográfico es basura pura. Sin embargo, si no lo hace, entonces no prueba nada de una manera u otra. Casi cualquier algoritmo, débil o no, produce resultados en los que los sistemas de análisis estadísticos no verán nada obviamente sospechoso.

La forma práctica de evaluar la seguridad de un sistema de cifrado es:

  1. ¿Está documentado el método (precisamente, hasta el nivel de bits, suficiente para escribir una nueva implementación interoperable)? Si no, entonces probablemente no sea seguro.

  2. ¿Se ha publicado esa documentación como un protocolo para inspección por criptógrafos durante al menos dos años? Si no, no puedes saber si es seguro.

  3. ¿La implementación tiene buena reputación, los desarrolladores publican problemas de seguridad conocidos y producen correcciones rápidamente? Si no es así, entonces no uses esa herramienta.

respondido por el Thomas Pornin 30.10.2014 - 15:01
fuente
1

Creo que tu verdadera pregunta está al final, "¿Cuánto tiempo tomará para romper mi cifrado?" Y esa herramienta que estás preguntando es sobre las matemáticas.

Para los cifrados de clave simétrica, puede calcular el número de claves posibles utilizando 2 ^ x, donde x es el número de bits en su clave. En AES-256, por ejemplo, la clave tiene una longitud de 256 bits, lo que nos da 2 ^ 256 claves posibles, limita casi 10 ^ 77 posibilidades. Luego, puede tomar la cantidad de conjeturas que se pueden realizar por segundo, por ejemplo, 1,000,000,000 (algo factible), y dividirlas con algunas matemáticas, y aprender que, en promedio, tomará unos 10 ^ 67 segundos "bruta". fuerza "una llave como esa. Incluso con 1,000,000,000,000,000 intentos por segundo (un cuatrillón de intentos por segundo), sigue siendo 10 ^ 61, que es más largo que el universo ... aún ...

Hay algunas debilidades en AES que reducen el tamaño del problema, por lo que en lugar de tomar 10 ^ 67 segundos es un poco menos, como 10 ^ 60 segundos, pero ese es un período de tiempo increíblemente largo. Otros criptosistemas tienen diferentes fortalezas clave, por lo que tendrás que calcular el tiempo de crack para ti mismo para cada uno de ellos, pero en general son bastante similares.

Los cifrados bien documentados son "más seguros", ya que sus puntos débiles son bien conocidos y se puede encontrar información sobre ellos con bastante facilidad. ¡Felices cifras!

    
respondido por el Desthro 30.10.2014 - 15:57
fuente

Lea otras preguntas en las etiquetas