Cómo interpretar esta declaración contra el RSA de 4096 bits

5

Si bien estoy de acuerdo en que las claves RSA de tamaño doble pueden plantear más problemas de lo que posiblemente justifique el aumento de seguridad, tengo problemas para comprender el argumento que se presenta aquí: enlace

Afirman que RSA2048 corresponde a aproximadamente 112 bits de seguridad y RSA4096 a aproximadamente 140 bits, y afirman que la mejora de 28 bits es "marginal". Pero la forma en que entiendo esto, es que la conversión de "bits clave" a "bits de seguridad" es que (como estimación) toma ~ 2 operaciones 112 para descifrar una clave RSA de 2048 bits y ~ 2 operaciones 140 para descifrar una clave RSA de 4096 bits. En mi opinión, eso significa que si ellos ™ resuelven el problema RSA2048 de manera rutinaria en un segundo lanzándole toda la potencia de la CPU, aún así, la clave RSA4096 tardará varios años. (O: ser un poco menos paranoico y reemplazar "un segundo" con "un minuto" y "varios años" se convierte en "varios siglos").

¿Por qué esas diferencias aún serían llamadas "marginales"?

Tal vez la respuesta es que 112 o 140 bits es solo para algunos de fuerza bruta (aunque la fuerza bruta ingenua sería algo así como 1024 vs 2048 bis), pero eso no implicaría eso ¿Para empezar, estos números son inadecuados como un medio para describir la complejidad / seguridad?

    
pregunta Hagen von Eitzen 15.10.2017 - 13:41
fuente

1 respuesta

7

El razonamiento en el consejo citado es pobre:

  

El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos establece que RSA ‑ 2048 proporciona aproximadamente 112 bits de seguridad y RSA ‑ 3072 proporciona aproximadamente 128. No existe una recomendación formal sobre dónde se encuentra RSA ‑ 4096, pero el general El consenso es que vendría en algún lugar alrededor de 140 bits, 28 bits de mejora con respecto a RSA-2048. Esta es una mejora tan marginal que realmente no vale la pena mencionarla.

     

Si necesita más seguridad de la que ofrece RSA ‑ 2048, el camino a seguir sería cambiar a la criptografía de curva elíptica, no seguir usando RSA.

Como se indica en la pregunta, incluso la mejora en la resistencia a la fuerza bruta de 28 bits (o 2 28 ) de 2848 bits RSA a 4096 bits RSA es grande (no marginal), suficiente para décadas de progreso de computación de fuerza bruta, y bien podría marcar la diferencia entre seguro e inseguro en, digamos, medio siglo.

Además, la cifra de 28 bits citada está significativamente por debajo del consenso general, que sería más como 36 & pm; 4 bits. Factorizar el módulo público de una clave RSA correctamente dibujada n con computadoras clásicas (no cuánticas) es, por lo que sabemos, mejor hecho por GNFS con esfuerzo

Sibiennoseconocelavelocidadalaqueeltérminoo(1)llegaacero,lasproyeccionessobreelesfuerzodecomputaciónsuelenignorarqueo(1).TomarelRSAde3072bitscomoreferencia,loqueindicaqueelRSAde4096bitsseríamásdifícilyaproximadamente18bits(no12bits),elRSA7680bitsyaproximadamente64bitsmásduro,y15360bitsyamp;aprox;131-bitmásduro.Estocoincidemuybienconlascifrasapartirdelniveldeseguridadde128bitsen NIST SP 800-57 Pt 1 referenciada implícitamente en la cita:

Sihayconsenso,esque

  • SiserompeelRSAde4096bitsenlaspróximastresdécadas,estoselograrámedianteunavanceinnovadorenelalgoritmodefactorización,o(y)eladvenimientodelascomputadorascuánticasutilizablesparaelcriptoanálisis(queactualmentenoexiste,ysiguesiendoaltamentehipotético).
  • NohayningunarazónconvincenteparacreerquelaECCseríamenossusceptibleatalprogresohipotético;inclusohay argumentos convincentes de que al mismo nivel de seguridad (y cada vez más en niveles más altos), ECC caería antes que RSA a las computadoras cuánticas utilizables para el criptoanálisis.

Un argumento correcto que se debe presentar en contra del RSA de 4096 bits es que actualmente el RSA de 2048 bits es más que seguro, por lo tanto, el RSA de 4096 bits es un exceso. Pero un argumento razonable para usar RSA de 4096 bits es la posibilidad de computadoras cuánticas utilizables para el criptoanálisis; o / y, la necesidad de repeler a quienes consideran que tales dispositivos podrían materializarse en la vida útil de la llave. El RSA de 4096 bits es lo suficientemente rápido para ser utilizado desde la mayoría de las aplicaciones de PGP / GPG que involucran una computadora de propósito general posterior a 2010; El tamaño de la clave y el texto cifrado es soportable; así que ¿por qué no?

Mi consejo es que el RSA de 4096 bits es una opción acertada para la seguridad a largo plazo en PGP / GPG. Es seguro, interoperable, más simple, por lo tanto, mejor auditado que ECC, y hay cierta credibilidad en los argumentos de que proporciona un mejor nivel de seguridad contra las computadoras cuánticas hipotéticas utilizables para el criptoanálisis.

Nota: uso quantum computer usable para cryptanalysis en lugar de quantum computer , porque los dispositivos que realizan Adiabatic Quantum Computing (como en D-Wave's 2000Q ) son cada vez más conocidas como computadoras cuánticas, aunque no he visto ninguna afirmación seria de que su tecnología pueda llevar a algo útil para el análisis de criptoanálisis. contrariamente a la Intel / QuTech 17 ‑ Qbit chip superconducting .

    
respondido por el fgrieu 16.10.2017 - 10:31
fuente

Lea otras preguntas en las etiquetas