¿Ataques de colisión en OCB?

7

He estado buscando en el modo de cifrado OCB y todo lo que oigo suena bien. Estaba planeando implementarlo.

Todo excepto esta voz solitaria, es decir: Ataques de colisión en OCB :

  

Mostramos que los ataques de colisión son bastante efectivos en el bloque OCB   modo de cifrado. Cuando se produce una colisión, OCB pierde su autenticación.   capacidad. Para mantener la seguridad de autenticación adecuada, OCB tiene que ser   Limitado en la cantidad de datos que procesa. Esta restricción es relevante.   a aplicaciones de la vida real, y arroja dudas sobre la conveniencia de utilizar OCB.

¿Esto significa que definitivamente debería mantenerme alejado de OCB? Leí el periódico pero no tengo la experiencia suficiente para estar seguro de lo serio que es esto.

    
pregunta jnm2 24.06.2011 - 13:45
fuente

1 respuesta

7

Esos ataques son teóricos y es poco probable que tengan una gran relevancia práctica para todos menos un pequeño número de usos (si los hay). No dejes que el papel te asuste. Es un trabajo útil de investigación que será de interés para los investigadores, por parte de un criptógrafo reputado y talentoso, pero en mi opinión no amenaza el uso práctico de OCB.

El tipo de ataques de colisión de los que Ferguson está hablando requiere aproximadamente 2 68 bytes de datos para ser cifrados bajo OCB (todos con una sola clave) antes de que ocurran. Eso es un montón de datos. Ninguna aplicación típica va a encriptar tantos datos bajo una sola clave.

Tienes que mantener estas cosas en perspectiva. Si esta es la mayor debilidad de su sistema, ha hecho un trabajo fantástico, increíblemente sobresaliente en la construcción de un sistema de seguridad. Dudo que alguna vez en mi vida haya visto un sistema de seguridad donde OCB sería el eslabón más débil. En la práctica, los problemas de usabilidad, las vulnerabilidades de la implementación, la configuración incorrecta y similares son riesgos mucho mayores. Es mucho más probable que un usuario elija una contraseña deficiente, se caiga en un ataque de ingeniería social o que su software tenga una vulnerabilidad de inyección SQL, etc. Con la criptografía moderna, los atacantes generalmente no intentan romper el criptoma; en cambio, lo evitan.

    
respondido por el D.W. 26.06.2011 - 07:21
fuente

Lea otras preguntas en las etiquetas