web-dev-qa-db-ja.com

ほとんどの人が128ビットではなく256ビットの暗号化を使用するのはなぜですか?

128ビットのセキュリティは、ほとんどの実用的なアプリケーションに十分ではありませんか?

138
H M

なぜ人々はのスポーツカーを買うのですか?彼らは他のどの色のスポーツカーよりも速く進みません...

[〜#〜] aes [〜#〜] には、3つの標準鍵サイズ(128、192、256ビット)が付属しています。多くの人はこれを見て、1つだけではなく3つの異なるサイズがある場合、多少の違いがあると考えます。256ビットバージョンは128ビットバージョンよりも少し遅い(約40%)ため、 must「より安全」である必要があります。したがって、彼らは「最も安全な」ものを選び、256ビットの鍵を選択します。

実際には、AESは、米国連邦政府の管理下にあるさまざまな分野で使用されるのにふさわしい米国連邦アルゴリズムとして選択されており、米国陸軍を含む3つの異なる鍵サイズを持っています。米軍には暗号化を使用するという長年の伝統があり、その伝統は世界中の軍隊が絶えず示しているすべての柔軟性と微妙さを備えた内部規制へと結晶化しました(「軍事音楽」を聞くだけで理解できます)。 。残念ながら、これはかなり前の時代、コンピュータが発明される前、そしてほとんどの暗号化システムcouldは壊れていました。また、より堅牢なものは非常に難しく、使用が遅かったです。したがって、軍の優れた頭脳は、3の「セキュリティレベル」があるべきだという考えを思いついたので、最も重要な秘密は重い方法で暗号化されました当然のことですが、戦術的価値の低いデータは、より弱い、より実用的なアルゴリズムで暗号化できます。

したがって、これらの規制は3つの異なるレベルを要求しました。彼らの設計者はただ仮定低いレベルは必然的に何らかの方法で弱かったが、弱点はそうではなかった必須。つまり、 [〜#〜] nist [〜#〜]正式にの規則に従うことを決定しました(3つのキーサイズについて尋ねます)だけでなく、スマートなこと(最も低いレベルは予見可能な技術で破壊できなければなりませんでした)。セキュリティには128ビットで十分です(詳細は この回答 を参照してください)。したがって、官僚的な怠惰のため、AESは256ビットの鍵を受け入れます。軍事規制を修正するよりも、少し無意味なもの(鍵サイズの過剰)を要求する方が簡単でした。

ほとんどの人は歴史を知らないか、気にしません。そして彼らは彼らがそれに値すると感じているので、彼らはただ大いに行きます。

157
Thomas Pornin

セキュリティシステムを構築するときは、障害について計画する必要があります。これが 多層防御戦略 の背後にある考え方です。

暗号プリミティブは、時間の経過とともに弱くなります。 128ビットのプリミティブで十分ですが、暗号に欠陥が発見され、このレベルのセキュリティが低下する可能性があります。そのため、下線を引くプリミティブが失敗した場合は、セキュリティマージンを追加する必要があります。

たとえば、md5は128ビットのハッシュを生成しますが、 chosen-prefix攻撃を使用すると、攻撃者は2 ^ 39 の複雑さで衝突を生成できます。

38
rook

これが回答やコメントに記載されていないので、これを回答として追加しようと思いました。鍵のサイズは、常にアルゴリズムの複雑さに直接相関するわけではありません。一般的な誤解は、AES256を使用して暗号化されたメッセージは、AES128を使用して保護された同じ情報よりも解読が困難であると想定することです(攻撃者は、暗号テキストのみであらゆる種類の意味情報を取得します)。鍵のサイズが大きくなるほど複雑さが増すことは論理的に理にかなっていますが、他のシステムと同様に、実装には弱点があります。

AES 128とAES 256について話していると仮定すると、AES256に影響するキー拡張機能には既知の弱点があります。基本的に、 weakness は、AES256の複雑さをAES128よりも低くします。 AES192にも 類似の攻撃 がありますが、この場合、AES192の複雑さはAES128よりも大きくなります。

物語の教訓、人々は暗号を理解していません... j/k(私は数学者ではありません)。現実には、人々は「安全」で「大規模」を想定しています。大きな銃は小さな銃よりも優れています。大きいキーサイズは、小さいキーサイズよりも安全です。

実際には、暗号の実装は、キーのサイズだけよりも重要です。

18
bangdang

FWIW、ポスト量子暗号に関するNISTドラフトは256を推奨しています。

http://csrc.nist.gov/publications/drafts/nistir-8105/nistir_8105_draft.pdf

11
Blaze

あなたの前提は私には間違っているようです。 「ほとんどの人が128ビットではなく256ビットの暗号化を使用している」という証拠は知りません。確かに、私が推測しなければならなかった場合、私は逆がそうであると思います。

7
D.W.