私のシステムでは、サーバーにAES-256、4096ビットのRSA CAキー、および2048ビットのRSAキーをSHA-256署名とともに使用しています。
1024ビットDHキー交換を使用すると、セキュリティが低下しますか?
1024ビットDHが約70〜80ビットのセキュリティを提供するというメーリングリストを読みましたが、それは本当ですか?
対称暗号化と非対称キー交換のキー強度を比較することは、リンゴとオレンジを比較するようなものです。それは実行可能です(どちらもおいしい果物です)が、トリッキーで微妙な詳細に満ちています。 DHを破るために、最もよく知られている方法は discrete logarithm 問題を解決しようとしています。この問題について、最もよく知られているアルゴリズムは Index Calculus のバリアントであり、 General Number Field Sieve アルゴリズム(GNFSは因数分解用ですが、素数を法とする離散対数と大きな非素数整数の因数分解は数学的に関連する問題です)。このような攻撃アルゴリズムは、かなりの馬力、特に非常に高速なRAMを大量に必要とします。一方、徹底的な検索(つまり、「nビットのセキュリティ」)によって対称キーを分割するには、CPUのみが必要で、RAMは不要です。 、そして多くのノードにはるかに簡単に分散されます。したがって、リンゴはCPUであり、オレンジはRAMです。両方の本当に共通の唯一の対策はドルです。しかし、1024ビットのDHキーを解読することの経済的コスト、または80ビットの対称キーを解読することの経済的コストを尋ねることは、意味がありません。規模の大きさとして、ドルは米国の国債までの金額を測定するために使用できますが、それ以上ではありません)。
これらの警告は、さまざまな研究者や標準化生物がアップルとオレンジの比較を行うことを妨げませんでした。 このサイト は、便利なオンライン計算機を使用して、これらのセキュリティの見積もりを一覧表示します。ベースラインとして、1024ビットDHはセキュリティ上、77ビットから80ビットの対称キーが提供するものに近いという点で、ほぼ全員が同意しています。 64ビットの対称キーは 2002年に壊れた であり、77ビットは8192倍も「のみ」難しいことに注意してください。
最もよく知られている離散対数攻撃(GNFSを使用したIC)には、最もよく知られている因数分解アルゴリズム(GNFS)と多くの共通部分があるため、kビットを使用したDHモジュラスは、kビットモジュラスを持つRSA鍵とほぼ同等でなければなりません。したがって、DHにも2048ビットを使用する必要があります。
リストでは、「AES-256」はやり過ぎです(AES-128は2048ビットのRSAまたはDHよりも「より安全」です)が、ほとんど無害です(AES-256はAES-128より40%遅いだけです)。
目安としては、DHキーのサイズをRSAキーのサイズと一致させることです。そのため、2011では、2048を使用するのが適切です。