¿Por qué la mayoría de las personas utiliza el cifrado de 256 bits en lugar de 128 bits?

126

¿La seguridad de 128 bits no es suficiente para la mayoría de las aplicaciones prácticas?

    
pregunta H M 23.04.2012 - 07:16
fuente

6 respuestas

143

¿Por qué la gente compra autos deportivos rojos ? No van más rápido que los autos deportivos de cualquier otro color ...

AES viene con tres tamaños de clave estándar (128, 192 y 256 bits). Mucha gente ve esto y piensa que si hay tres tamaños distintos en lugar de uno solo, entonces debe haber alguna diferencia, y como la versión de 256 bits es un poco más lenta que la versión de 128 bits (en aproximadamente un 40%), debe ser "más seguro". Así que van por "las más seguras" y eligen las claves de 256 bits.

En realidad, el AES tiene tres tamaños de clave distintos porque ha sido elegido como un algoritmo federal de EE. UU. apto para ser utilizado en varias áreas bajo el control del gobierno federal de EE. UU., y eso incluye al Ejército de EE. UU. El Ejército de los EE. UU. Tiene una Tradición de larga data de usar la criptografía, y esa Tradición se cristalizó en una regulación interna con toda la flexibilidad y sutileza que los ejércitos de todo el mundo demuestran constantemente (solo escuche algo de "música militar" y entenderá lo que quiero decir) . Desafortunadamente, esto sucedió hace bastante tiempo, antes de la invención de la computadora, y en ese momento la mayoría de los sistemas de encriptación podrían romperse, y los más robustos también eran muy difíciles y lentos de usar. Así que a los buenos cerebros militares se les ocurrió la idea de que debería haber tres "niveles de seguridad", de modo que los secretos más importantes se cifraran con los métodos pesados que merecían, pero los datos de menor valor táctico podría cifrarse con algoritmos más prácticos, aunque más débiles.

Estas regulaciones requieren tres niveles distintos. Sus diseñadores simplemente asumieron que el nivel inferior era necesariamente débil de alguna manera, pero la debilidad no era obligatoria . Así que el NIST decidió formalmente seguir las regulaciones (solicite tres tamaños clave) pero también hacer lo inteligente (el nivel más bajo tenía que ser inquebrantable con tecnología previsible). 128 bits son suficientes para la seguridad (consulte esta respuesta para obtener más información). Por lo tanto, AES acepta claves de 256 bits debido a la lasitud burocrática: era más fácil exigir algo un poco absurdo (un exceso de tamaño de la clave) que enmendar las regulaciones militares.

La mayoría de las personas no saben o no se preocupan por la Historia, y solo se ponen a lo grande porque sienten que se lo merecen.

    
respondido por el Thomas Pornin 05.09.2012 - 00:20
fuente
37

Cuando está construyendo un sistema de seguridad, necesita planificar un fallo. Esta es la idea detrás de una estrategia de defensa en profundidad .

Las primitivas criptográficas se debilitan con el tiempo. Si bien una primitiva de 128 bits es suficiente, podría descubrirse una falla en el cifrado que reduce este nivel de seguridad. Por lo tanto, debe agregar un margen de seguridad cuando la primitiva de subrayado falla.

Por ejemplo, md5 produce un hash de 128 bits, pero utiliza un elegido-prefijo atacar a un atacante puede producir una colisión con una complejidad de solo 2 ^ 39 .

    
respondido por el rook 23.04.2012 - 07:49
fuente
16

No vi esto mencionado en las respuestas o comentarios, así que pensé en agregar esto como respuesta. El tamaño de la clave no siempre se correlaciona directamente con la complejidad de un algoritmo. Una falacia común es asumir que un mensaje cifrado con AES256 es más difícil de descifrar (un adversario que obtiene cualquier tipo de información de significado solo con el texto cifrado) que la misma información protegida con AES128. Tiene sentido lógico que un mayor tamaño de clave proporciona una mayor complejidad, pero como con cualquier sistema, las implementaciones están sujetas a debilidades.

Suponiendo que está hablando de AES 128 en lugar de AES 256, existe una debilidad conocida en la función de expansión clave que afecta a AES256. Fundamentalmente, la debilidad reduce la complejidad de AES256 a un nivel inferior a AES128. Existe un ataque similar para AES192 también, aunque en este caso, la complejidad de AES192 Sigue siendo mayor que AES128.

Moraleja de la historia, la gente no entiende el cifrado ... j / k (no soy matemático). La realidad es que la gente asume "grande" con "seguro". Una pistola grande es mejor que tener una pistola pequeña. Los tamaños de clave más grandes son más seguros que los tamaños de clave más pequeños.

En realidad, la implementación de criptografía es más importante que el tamaño de la clave solo.

    
respondido por el bangdang 03.05.2012 - 02:04
fuente
9

FWIW, borrador de NIST en criptografía cuántica post recomienda 256.

enlace

    
respondido por el Blaze 30.05.2016 - 04:24
fuente
7

Tu premisa me parece mal. No estoy al tanto de ninguna evidencia de que "la mayoría de las personas utilizan encriptación de 256 bits en lugar de 128 bits". De hecho, si tuviera que adivinar, sospecho que lo contrario es el caso.

    
respondido por el D.W. 23.04.2012 - 07:46
fuente
-4

Supongo que estás hablando de criptografía simétrica. La respuesta es que nunca es lo suficientemente seguro (aunque sospecho que usar claves de 256 bits frente a 128 bits es una estrategia de marketing para que el cliente se sienta más seguro).

Y no olvide el aumento de la computación cuántica, que reduce significativamente la cantidad de tiempo necesario para un ataque de fuerza bruta.

    
respondido por el user1301428 23.04.2012 - 07:56
fuente

Lea otras preguntas en las etiquetas