web-dev-qa-db-ja.com

安全なブロック暗号とアルゴリズムは何ですか?

米国以外の大規模な国際組織で働いています。 NSAインターネット上のほとんどの暗号化を解読することに関する最近の漏洩に関して、現在、米国と英国の政府が暗号化標準の弱体化とハードウェアとソフトウェアのバックドアに積極的に関与していることがわかりました。残念ながら、どのような暗号化が破られていますか不明です。現在インターネットで使用されている暗号化プロトコルがSuite Bからのものであることはわかっています。NSAがこの機能を使用して企業秘密、知的財産、その他を盗む可能性があることを非常に懸念しています米国政府、企業、産業に利益をもたらす、または機会が与えられる前に彼らが発明の特許を取得できるようにする、私たちの組織からの情報。

どうやら「エドワードスノーデン卿」によると「強力な暗号化は機能する」。しかし、「強力な暗号化」とは何ですか? NSAそれについて知らずに、彼の計画についてGuardianの記者と最初に通信し、高度に分類された情報を漏らすことができたので、それが機能している明確な証拠があります。彼が使用していた暗号化は不明です私は、TLSが破られる可能性が高いという投稿を目にしました。彼らは秘密の裁判所命令を使用して、米国の認証局からルート証明書を取得し、ほとんどの通信が通過するときに透過的なMITM攻撃を実行できるようにしているからです。 US/UKネットワーク。

NSA例、デュアルEC DRBGによってプッシュされたバックドアRNGについての議論もありました。明らかに、それらは避け、適切な乱数ジェネレータを使用する必要があります。ただし、問題はそれよりも深くなる可能性があります。 TLSプロトコルは他のアルゴリズムで構成されています。ご存知のように、Diffie-Hellman鍵交換は、2つのパーティ間で対称鍵を交換するために使用されます。これらの対称ブロック暗号も侵害される可能性があります。

ブロック暗号の暗号化には、未知の攻撃がある可能性があります。 DES標準で知っているように、NSAは暗号解読の面で学界および商業の世界より少なくとも20年先であり、最高の数学者を採用しています。世界には、多くのスーパーコンピューターと実行可能な量子コンピューターがあることは言うまでもありません。1970年代から1990年代後半にかけて、64ビットを超える暗号の輸出をブロックするために使用されていた米国政府も知っています。これらの制限が「便利に」解除され、最大256ビットのスイートB。

Suite Bは、鍵サイズが128ビットと256ビットのAdvanced Encryption Standard(AES)で構成されています。指定された2つのモードは、カウンターモード(CTR)とガロア/カウンターモード(GCM)です。政府は、「256ビット」を最高の「トップシークレット」セキュリティレベルとして推奨し、監視システムでその機能を活用できるようにバックドアと暗号化システムを弱めることを義務付けているため、256ビットまたは特にアルゴリズム(例:AES)は信頼できません。また、米国政府が秘密の弱点を持っていることを知っている基準を押し進めている可能性があるため、米国政府が作成または承認したものはもはや信頼できないようです。

参照:

theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
theguardian.com/world/interactive/2013/sep/05/nsa-project-bullrun-classification-guide
wired.com/threatlevel/2013/09/nsa-router-hacking/
g1.globo.com/fantastico/noticia/2013/09/nsa-documents-show-united-states-spied-brazilian-oil-giant.html
arstechnica.com/security/2013/01/secret-backdoors-found-in-firewall-vpn-gear-from-barracuda-networks/
en.wikipedia.org/wiki/Data_Encryption_Standard#NSA.27s_involvement_in_the_design
en.wikipedia.org/wiki/Cryptography_export_laws
en.wikipedia.org/wiki/NSA_Suite_B
en.wikipedia.org/wiki/D-Wave_Two
top500.org

この投稿は、提示された情報に関する憶測、修正、または意見を募集するものではありません。これらの特定の質問への回答を求めています:

  • 256ビットのブロックサイズを2倍または4倍にして512ビットまたは1024ビットにすると、強力な攻撃者による攻撃がかなり困難になりますか?主要なスケジュールのやり直しが必要になると思いますが、正しいですか?ブロックサイズを大きくすると、キーサイズも一致するはずですよね?
  • Threefishが512ビットと1024ビットのキーとブロックサイズで存在することを知っています。米国以外の政府が承認し、パブリックドメインのブロック暗号化アルゴリズムは他にもありますが、コミュニティから信頼性の高いセキュリティ分析が行われていますか?このアルゴリズムを使用しているオープンソースライブラリはありますか?
  • TrueCryptがアルゴリズムをチェーンしてストレージの保護を強化できることを理解しています。 XTSモードを使用するTwofish-Serpent-AES。これは、アルゴリズムの脆弱性に対する実際の検証可能な保護を提供しますか、またはこれに対する攻撃はありますか?この方法は通信にも使用できますか?
  • 暗号化プロセスのラウンド数が標準の数を超えて増加した場合、おそらく送信者とレシピエントの間の可変の事前に合意された数によって、これは現在のアルゴリズムのセキュリティマージンを大幅に増加させるでしょうか?
  • ブロック暗号暗号化の他のどのモードが、政府が推奨するモード(CTR、GCMおよびXTS)よりも安全であると考えられていますか?
  • データをより安全に暗号化するためのブロック暗号の代わりに使用できる他の暗号化方法またはオープンソースプログラムは何ですか?
8
jcnrm

スノーデン氏が概説した問題のほとんどは、本質的にサイドチャネル攻撃です。アルゴリズムは、突然堅牢性が低下するのではなく、これらのアルゴリズムを使用するソフトウェアとインフラストラクチャになります。たとえば、ルートCAは常に居住する国に公開されており、提供する保護は政府機関ではなく他の通常の民間人に対するものです。

1990年代にキー強度の基準が引き上げられたのは、猫がより強力なアルゴリズムをすでに手に入れていなかったためである可能性があります(他のすべての非第三世界の国々はすでにはるかに優れた暗号化を持っていました)。 40ビットを超えて52ビットを超えるキーをブロックすると、米国のeコマースおよびICT=製品の成長が抑制されます。それでも、地下室の量子コンピューターがその時点でオンラインになった可能性があります。結局、彼らはひび割れたエニグマを1950年代の国々に売りました。

NSAの主な責任は外国の資産を襲撃するよりも米国の資産を保護することであると述べられた別の質問についてのコメントを思い出します。それゆえ、彼らがを持っていることを米国の人々に暗号をリリースするインセンティブtバックドアを入れます。


質問1A: 256ビットのブロックサイズを512ビットまたは1024ビットに2倍または4倍にしても、強力な攻撃者が攻撃することはかなり難しくなりますか?

質問1Aの回答: 256ビットの暗号化されたメッセージを有効な方法でクラックしたことは、O(N)復号化または同様のことを意味するため、実際にはそうではありません。このシナリオのキーまたはブロックサイズは、問題の時間の複雑さを変更しなくなります。ビット強度を増やすことは、NSAの能力の通常の線形予測に役立ちます。

質問1B:主要なスケジュールのやり直しが必要になると思いますよね?

質問1Bの回答:おそらく。この質問は他の人に任せます。

質問1C:ブロックサイズが大きくなると、キーサイズも一致するはずですよね?

質問1Cの回答:エラー。ちょっと。 Shannon Information Theoryも同様に示唆していますが、アルゴリズムをオーバーホールする必要があります。これにより、暗号が既知から未知へと変更され、セキュリティ評価が低下します。

質問2: 512ビットおよび1024ビットのキーとブロックサイズのThreefishが存在することを知っています。米国以外の政府が承認し、パブリックドメインのブロック暗号化アルゴリズムは他にもありますが、コミュニティから信頼性の高いセキュリティ分析が行われていますか?このアルゴリズムを使用しているオープンソースライブラリはありますか?

質問2の回答:わからない。特定の暗号についてリリースされた公的な研究論文を数える必要があります。

質問3: TrueCryptがストレージをよりよく保護するためにアルゴリズムをチェーンできることを理解しています。 XTSモードを使用するTwofish-Serpent-AES。これは、アルゴリズムの脆弱性に対する実際の検証可能な保護を提供しますか、またはこれに対する攻撃はありますか?この方法は通信にも使用できますか?

質問3の回答質問1と同じ結果。あるクラスのアルゴリズムを時間内にクラックできる場合O(N)であれば、そのクラスのすべての暗号をクラックできますネストや順序に関係なく。

質問4:暗号化プロセスのラウンド数が標準の数を超えて増加した場合、おそらく送信者とレシピエントの間の可変の事前に合意した数によって、現在のアルゴリズムのセキュリティマージンが大幅に増加しますか?

質問4の回答はい、新しいキーマテリアルが提供された場合。しかし、あなたの質問が仮定するように、NSAはサイドチャネル攻撃を使用している(可能性が高い)か、素数の時間の複雑さの問題を壊しました(可能性は低いですが可能です)。強化されたアルゴリズムはそれを止めません。

質問5:政府が推奨するモード(CTR、GCM、XTS)よりも安全であると考えられるブロック暗号暗号化の他のモードは何ですか?

質問5の回答:わからない。


質問6:データをより安全に暗号化するためにブロック暗号の代わりに使用できる他の暗号化方法またはオープンソースプログラムは何ですか?

質問6の回答6

この問題に積極的に投資する組織の場合は、会社のオフィス間の通信に(大規模な)ワンタイムパッドを使用するTCP/IPネットワークトンネルを確立する必要があります。

組織は、本社のハードドライブにワンタイムパッドを生成し、信頼できるスタッフがオフィス間の定期的なデータクーリエとして機能するようにすることができます。

ワンタイムパッド用のオープンソースTCP/IP VPNアプリケーションがまだ存在しない場合は、中規模のソフトウェア開発プロジェクトでそれを作成できます。

運用上の弱点や標的型攻撃からエンドポイントを保護する必要があることに注意してください。時々スパイ機関は非常にローテクな方法を使用します-従業員を購入するか携帯電話をスリ。

6
LateralFractal