¿Es seguro el intercambio de claves Diffie Hellman de 1024 bits?

9

Mi sistema utiliza AES-256, 4096bit RSA CA key y 2048bit RSA keys para servidores junto con la firma SHA-256.

¿El uso de 1024bit DH key exchange reduce su seguridad?

Leí en una lista de correo que 1024bit DH proporciona aproximadamente 70-80bits de seguridad, ¿es cierto?

    
pregunta Hubert Kario 20.07.2011 - 07:36
fuente

2 respuestas

14

La comparación de la fortaleza de la clave entre el cifrado simétrico y el intercambio de claves asimétricas es como comparar manzanas con naranjas: es factible (ambas son frutas sabrosas) pero complicada y llena de detalles sutiles. Para romper DH, el mejor método conocido es tratar de resolver el problema logaritmo discreto , para el cual el algoritmo más conocido es una variante de cálculo de índice que contiene partes de Número general de tamiz de campo (GNFS es para la factorización, pero el logaritmo discreto módulo a primo, y la factorización de un gran número entero no primo, son problemas matemáticamente relacionados). Tales algoritmos de ataque requieren bastante potencia, en particular mucha RAM muy rápida; por otro lado, romper una clave simétrica a través de una búsqueda exhaustiva (eso es lo que queremos decir con " n bits de seguridad") requiere solo CPU, pero no RAM, y se distribuye mucho más fácilmente en muchos nodos. Así que las manzanas son CPU y las naranjas son RAM. La única medida común para ambos es el dólar; pero pedir el costo financiero de romper una clave DH de 1024 bits, o el costo financiero de romper una clave simétrica de 80 bits, no tiene sentido, ya que entra en cantidades donde el dólar deja de estar bien definido (como una orden de magnitud, los dólares pueden usarse para medir montos hasta la deuda nacional de los EE. UU., pero no mucho más altos).

Estas advertencias no impidieron que varios investigadores y organismos de estandarización hicieran comparaciones de manzana / naranja. Este sitio hace un buen trabajo al enumerar esas estimaciones de seguridad, con útiles calculadoras en línea. Como línea de base, casi todos coinciden en que el DH de 1024 bits está cerca, en seguridad, de lo que ofrece una clave simétrica de 77 a 80 bits. Tenga en cuenta que una clave simétrica de 64 bits fue roto en 2002 , y que 77 bits es "solo" 8192 veces más difícil.

Dado que el mejor ataque de logaritmo discreto conocido (IC con GNFS) tiene muchas partes comunes con el mejor algoritmo de factorización conocido (GNFS), DH con un módulo de k -bit debería ser aproximadamente equivalente a un RSA clave con un módulo de bits k . Así que también deberías usar 2048 bits para DH.

En su lista, "AES-256" es una exageración (AES-128 aún sería "más seguro" que el RSA o DH de 2048 bits), pero en su mayoría una exageración inofensiva (AES-256 es solo un 40% más lento que AES- 128).

    
respondido por el Thomas Pornin 20.07.2011 - 14:46
fuente
2

Una buena regla general es hacer coincidir los tamaños de sus claves DH con los tamaños de sus claves RSA, por lo que 2048 es un buen mínimo para usar en 2011.

    
respondido por el Daniel Miessler 20.07.2011 - 09:18
fuente

Lea otras preguntas en las etiquetas