web-dev-qa-db-ja.com

128ビット以上のエントロピーが必要ですか?

UUIDは128ビットの数値を使用します。現在、同じ2つのUUIDをランダムに生成することはできません。つまり、128ビットのエントロピーがすべての暗号化操作に適しているということですか?テキスト、暗号化されたテキスト、秘密キー、公開キーの間には数学的関係があるため、128ビットよりも大きいキーを使用する暗号化アルゴリズムがそうすると思います。たとえば、プレーンテキストと暗号化されたテキストがある場合、弱いアルゴリズムでは、2つの既知のパラメータ間の数学的関係を使用して、使用されたキーを攻撃し、3番目のパラメータに到達できます。

別の言い方をすれば、128ビットのエントロピーを暗号的に安全な疑似乱数ジェネレータにシードした場合、そのCSPRNGを使用してキーを生成しても安全ですか?

  1. 4096ビットRSAキー?
  2. 256ビットのECCキー?
  3. 256ビットAESキー?
  4. 256ビットHMACキー?
cryptographybrute-forcekey-generationentropy
5
dodtsair

128ビットのエントロピーで十分です。エントロピーを検討する上での唯一かつ唯一のポイントは、システムがブルートフォース攻撃に耐えることを確認することです。可能な値のスペースは非常に大きくなければならず、攻撃者は非ばかばかしい時間に無視できる割合の値しか試すことができません。 強い理由 128ビットで十分な理由があります。現実的には、多くの資金を備えた非常に強力な組織(AppleまたはGoogle、NSAなどの通常のかかしよりもはるかに多くのリソースを集めることができる)を含む)は、ほとんど285 1年以内の基本的な計算(AESブロックの暗号化など)-目立たないわけではなく、2の100万分の1の100万分の1未満です。128 スペース。

アルゴリズムのリストで、128ビットのシードと強力なPRNGから256ビットのAES鍵を生成する場合、本当に 256ビットのキー。攻撃者の観点から見ると、これは128ビットの鍵です。心に留めておいてください、それでも攻撃者を阻止するには十分です。しかし、ここで「256ビット」と主張することは詐欺に近づきます(そして、AESの場合、実際の利益のために+ 40%の実行時コストを意味します)。 HMACについても同じことが言えますが、実際には、「対称暗号」の一部であるすべてのアルゴリズムについても言えます。

非対称アルゴリズムの場合、tryを実行して強度を推定し、対称鍵との同等性を求めることができます。 (たとえば)RSAとAESに対する攻撃はまったく同じ種類のテクノロジを使用しないため、これは非常に困難です(簡単にするために、RSAには非常に高速なRAMが大量に必要ですが、AESには必要ありません= RAMまったく、比較的低速な回路を使用して、構築と操作を非常に安価にする必要があります。)スマートピープルのいくつかのグループが考案したものについては このサイト を参照してください。一般的なコンセンサスは、256ビットの楕円曲線(少なくとも、「通常の」曲線)は、強度が128ビットの対称鍵といくらか同等であるべきであるということです。4096ビットのRSA鍵は、このアサーションは理にかなっていますが、そうではありません(100ビット以上の強さを比較しても意味がありません)。

量子コンピューター に浮かぶ比較的最近のアイデアがあります。これは、どういうわけかビット数を2倍にする必要があります。理論的な理由は グローバーの検索アルゴリズム が2の空間を探索できることですn 関数2を呼び出して、関数(量子コンピューターに実装)への入力n/ 2 回。その理論では、魔法の「128ビットセキュリティ」を実現するには256ビットの鍵が必要になります。ただし、その理論には2つの主要な欠陥があります。

  • 誰もが指摘する欠点は、量子コンピュータがまだ存在していないことです(まあ、ほとんど誰もが 一部の人々 量子コンピュータを販売していると主張しています)。デコヒーレンスは明らかに克服するのが非常に難しく、マシン全体を非常に冷たくして、さらに数ミリ秒間、宇宙が私たちがやろうとしていることに追いつかないことを祈る以外は、どうすればよいかわからない。

  • だれも指摘していないが、少なくとも他の1つと同じくらい重要な欠点は、量子コンピューターでの基本計算が、古典的なコンピューターでの基本計算と同様のエネルギー量を消費するという兆候がないことです。ただし、これは非常に重要なポイントです。トランジスタの発明以来、コンピューターは着実に効率的になっています。 ムーアの法則 として理論化されました。また、ムーアの法則が間もなく終了することを示す明確な兆候もあり(Gordon Moore氏自身もそう言っています)、主に電子ゲートの最小サイズに近づいているため(量子ゲートを小さくすると、量子トンネルを通じて狂ったようにリークします)、斬新なアイデアではありません。1970年代にすべて発想され発表されたアイデアのプールに供給された1970年代の電力の増加は、今や私たちの知恵の終わりにいます。

    したがって、すぐに古典的なコンピューティングの限界に到達し、実際には知っている、ある程度の信頼性があり、キースペースのどれだけを探索できるかがわかります古典的なコンピュータ。しかし、そこに到達するまでには約70年かかりました。

    量子コンピューターについては、まだ存在していないので、私たちは初日です。 70年後、量子コンピュータの最適化が実現し、最適化によってもたらされると主張するには、かなり多くの希望的な考えが必要です。初等古典演算のコストと同程度の大きさの初等量子演算のコスト。実際、まだ誰もそれについて何も知りません。

将来どのようなテクノロジーで達成できるかについて明確な概念を考えることが難しいことを示すために、次の逸話(最近読んだ あの本 )を考えてみましょう。歴史上初めて Pilâtrede Rozier が自由な気球で飛行してから25年後、当時の最も偉大な思想家たちは、新しい発明が人類に何をもたらすことができるかを考えていました。彼らの見解では、風船の有用性の頂点は、風船を馬車につなぐことでした。それにより、風船が軽くなり、より少ない馬で風船を引き寄せることができました。ビジョナリーを感じるときはいつでもそれについて考えてください。

その時点での量子コンピューターの効率は二重に投機的であり、キーの長さについての考えにそれを含めることは本当に合理的ではありません。はるかに顕著な点は、量子コンピュータが機能する場合、たとえ少しでもゆっくりと機能しても、RSA、Diffie-Hellman、および楕円曲線がトーストすることです。 これは調査する価値があり、これが ポスト量子暗号 の研究対象です。

16
Thomas Pornin