Curve25519よりも安全な曲線
私の知る限り、Curve25519は128ビットの対称暗号と同等のセキュリティレベルのみを提供します。 256ビット暗号に匹敵するセキュリティレベルを提供し、一部のアプリケーションですでに使用されている新しい(NISTではない)曲線があるかどうかを知りたいですか?
私の知る限りでは、非常に高いセキュリティマージンを持つE-521やM-511のような曲線がありますが、現在それらを使用している実装は知りません。
(ところで、128ビットは安全であると考えられていますが、4K-RSAまたは256ビットの曲線と組み合わせた256ビットの対称暗号を頻繁に使用することは少し奇妙に思えます。)
「安全」以上に安全なものはありません。 128ビットのセキュリティしかないため、前もってそれを破ることができる攻撃者は、地球上のすべてのコンピューター(スマートフォンやコーヒーマシンを含む)よりもはるかに高いコンピューティング能力を持っている攻撃者です。そのような攻撃者がyourキーを壊すことを邪魔するほどに低く急降下することは信じられないことです。彼はすでにあなたのすべての考えを知っており、あなたのすべての行動を導き、そしておそらくあなたの魂も所有しています。
128ビットを超えるセキュリティレベルは、「より高いセキュリティ」を提供するためのものではなく、追加のビットの強力な表示によって監査人、マネージャー、顧客、および将来の仲間(必ずしもこの順序ではない)をなだめるためのものです。これは 楽園の鳥 のようなものです:特大のキーを使用することで、CPUとネットワーク帯域幅を浪費するaffordができるほど素晴らしいという信号を送信します途方もなく拡大された暗号化について。
現実的には、キーが壊れた場合(その場合)は、そのサイズが原因ではありません。これは、ソフトウェアのバグ、ハードウェアのリーク、または不適切に設計されたプロトコルでのキーの誤用によるものです。 その意味で、実際のセキュリティについて話すことができます:
Curve25519のデザイナーであり、通常の作者である implementation は、「彼の取引を知っている」ことで知られているDaniel J. Bernsteinです。彼のコードにはおそらく、ほとんどの開発者が行うよりもはるかに少ないバグが含まれています。彼のコードを使用することは、他のすべてが同じであるという点で、良い考えです。
一方、protocolsは重要な問題であり、暗号化アルゴリズムの実装よりもプロトコルを妨害する方がはるかに簡単です。曲線を探すことによって、あなたは間違ったものを探しています。 「どんなプロトコルを使うべきか」と考えるべきです。次に、選択したプロトコルが偶然に複数のカーブの使用を許可する場合に備えて、特定のカーブについて心配します。 Curve25519は、(まだ)すべてまたは最も確立されたプロトコルに浸透していません。たとえば、SSL/TLSではCurve25519はサポートされていません(ただし、SSHにはサポートされています)。
この投稿はあなたの質問に直接答えるものではないことに気づきましたが、とにかくトーマスの投稿に対する「悪魔の擁護者」の反論として投稿したいと思いました。
私はトーマスに完全に同意します。私たちのライフタイムで128ビットを超えるセキュリティが必要になると考える理由はありません。
そうは言っても、Curve25519の作者であるバーンスタインdidは、200ビット強のセキュリティを持つ別の曲線Curve41417を共同執筆しています。彼らの論文では、[1]彼らは「2 ^ 128が今日可能な計算をはるかに超えていることは容易にわかる」と述べていますが、彼らは次の理由も述べています:
- 暗号化プリミティブを確認するには時間がかかる-弱点が存在する可能性がある-----したがって、高いセキュリティマージンは悪いことではない
- 物理的に、数世紀後には、年間2 ^ 128回の演算を計算できる十分な計算能力が得られる可能性があります
- 曲線に依存する一部のECCプロトコルには、厳しいセキュリティ制限がありません。したがって、これを相殺するためのより高いセキュリティマージンが必要です。
- 「セキュリティ要件からどれだけのパフォーマンスを引き出すことができるか」ではなく、「パフォーマンス要件からどれだけのセキュリティを引き出せるか」を尋ねるべきであり、場合によっては、より高いセキュリティマージンを簡単に提供できる