¿Por qué las organizaciones de estándares ofrecen tiempos de protección tan cortos para el cifrado de 128 bits?

Para "> 2030", NIST indica que el cifrado simétrico de 128 bits debe ser seguro hasta al menos el año 2030. Si la versión actual de cualquier software dado depende de La criptografía de 128 bits todavía existe en 17 años, bravo.

Como dijo Dan, el trabajo de NIST es ser pesimista sobre estas cosas, porque todos los escuchan, y porque la criptografía, en la fría luz del día, tiene un historial bastante malo; si, por ahora, hubiéramos desarrollado la primitiva de encriptación simétrica ideal (como en, podemos probar matemáticamente que hay no ataques más eficientes que la fuerza bruta) que usaron una longitud de clave finita (la OTP es demostrablemente demostrable porque usa una longitud de clave infinita), todavía lo estaríamos usando.

Tal como está, casi todos los sistemas criptográficos que se han ideado a lo largo de la historia de la humanidad se han resquebrajado, y mientras que los que se usan actualmente en la actualidad (una minoría de élite de todos los cifrados jamás inventados) se consideran seguros, es solo porque los mejores ataques conocidos contra ellos en este momento solo son mejores que la fuerza bruta cuando se aplican contra una versión del algoritmo de complejidad reducida (menos "rondas" de cifrado).

Una de las razones sería el potencial de fallas descubiertas en los algoritmos de 128 bits que reducen su entropía efectiva.

Como ejemplo, tal vez se descubra una falla que filtra información. Esta fuga podría reducir el número efectivo de bits para decir, < 100 bits, facilitando los ataques más de 2 ²⁸ veces.

Se trata esencialmente de apuestas de cobertura contra una multitud de posibilidades, tanto desde el avance tecnológico (por ejemplo, las computadoras Quantum) como para diseñar fallas en el algoritmo.