Elliptic-Curves

NSA 最近從 CNSA 中刪除了 EC-256 和 SHA-256——我們應該對此感到震驚嗎?

  • October 8, 2021

最近,美國國家安全域(重新發布?)他們的 CNSA 指南和一些關於後量子電腦的資訊(根據文件的標題)。

這是方便起見的連結如果您不想直接訪問連結,文件標題為“量子密碼學和後量子計算”

關於 P-256 移除的問題

新套件的顯著區別在於,至少建議使用 EC-384 強度密鑰。通讀該文件,這些標準似乎不僅適用於處理機密文件的公共部門或私人承包商,還適用於所有人(公共和私人)。

例如,他們的工作表上提出的一個問題是,“我在特定 NSS 上的數據只需要在短時間內保護。我真的需要遵守 CNSSP-15 增強的算法強度嗎?” (請記住,這裡唯一的“增加”強度是通過刪除 SHA-256 和 EC-384)。

對這個問題的回答是,“NSA 要求 NSS 轉換算法,以符合通用標準並確保互操作性。NSS 開發人員和運營商應轉換為遵守或就其特定場景中涉及的問題與 NSA 協商。”

我認為這實際上意味著在他們發佈時,EC-256 和 SHA-256 將被視為死在水中。

我調出 NIST SP 800-56A Rev3 以收集更多資訊,該文件基本上指出,當涉及到低於 EC-384 的曲線時,即使是分類的數據似乎也是不可行的。

他們表示,“D/As 計劃在 P-256 上部署 ECC 可能需要進一步改變(例如,到 P-384),然後量子抗性算法達到足夠的市場滲透率。” 他們聲明其目的是避免盡可能多的“跳躍”(?),然後說,“因此,D/As 計劃使用 P-384 以外的曲線部署 ECC 以保護未分類的 NSS 或提供社區利益分離在繼續之前與 NSA 協商。”

‘Atsec Security’ 的這篇博文表明,過渡需要在 2021 年 9 月(剛剛過去)之前完成。

對依賴 128 位強度加密的其他結構的判斷

這裡明顯的例子從比特幣和所有加密貨幣開始。比特幣使用 secp256k1 和 SHA-256。由於比特幣今天的估值剛剛超過 1 萬億美元,人們可以假設,如果有人發現了任何實用領域內的密碼分析方法(即,可能在一年內至少破解一個密鑰;我不知道)不知道,這超出了我的想像),那麼整個協議就有麻煩了。

大家會同意還是不同意?如果你不同意,為什麼?此外,一段時間以來,Cloudflare 一直在頒發預設 EC-256 / SHA-256 強度的證書。與這些站點的連接仍然可以被認為是安全的嗎?

我想先來這裡聽取專家的意見,然後再將任何虛假資訊/恐慌散佈到其他地方。

NSA 最近從 CNSA 中刪除了 EC-256 和 SHA-256——我們應該對此感到震驚嗎?

不。

正如文件中所述,有一個壓倒性的原因:

NSA 生產、認證和支持的密碼系統通常具有很長的生命週期。NSA 必須在今天對將在未來使用數十年的系統提出要求,並且在這些解決方案被替換後的數十年內,受這些系統保護的數據仍需要加密保護。

NSA 標準和 NIST 的“行業”標準從實現的角度來看是不一樣的,如果你想讓你的 web 伺服器開始使用 512 位曲線而不是 256,你可能需要升級 openssl,但通常只需要不到授權後進行更改的一天。另一方面,由 NSA 認證的硬體設備,被深度掩護的特工使用,幾乎不那麼容易更換。此外,軍用規格無線電、衛星通信、安裝在潛艇中的通信硬體……這些都不會經常更換,並且在設計完成後可能需要十多年的測試。密鑰輪換間隔和數據可能需要保密的時間量也是如此,為了國家安全,所有這些都需要更長的時間。

隨著“行業”安全級別在大約 8 年內低於 128 位,十年後可能低於 160 位,通過數學計算,您可以想像 NSA 標準可能需要超過行業 2 年的安全級別。 . 這實際上在文件中提到:

新密碼學可能需要 20 年或更長時間才能完全部署到所有國家安全系統。

所以現在這很有意義,他們只是試圖領先於已經充分記錄和理解的關於未來使用的密鑰尺寸的趨勢,但由於驗證、購買和更換新的需要很長的時間框架,現在需要採取行動硬體和軟體。

出於多種原因,為 SHA-384 刪除 SHA-256 可以被視為合乎邏輯的。首先,您必須使用 384 位或更大的曲線,其次是在 64 位平台上的性能,第三是它與更大的 SHA-512 共享一個通用程式碼庫,用於仍然針對 256 位安全性的非對稱實現。

所以這讓我們回到了放棄 P-256 的話題……在這一點上這有什麼大不了的嗎?在 20 年後的 2041 年,它肯定不會,這就是為什麼我們不應該有絲毫驚慌,我希望 160 位安全性是最低要求,即使對於低安全性的民用應用程序也是如此。對於現在的 AES,這意味著 192 位或更大,具有匹配的 384 位簽名方案,這就是文件中指定的內容。

如果你回想一下 AES 比賽,目標壽命是到 2030 年,所以在 2041 年,我們可能已經在使用來自另一場比賽的花哨的新分組密碼。當然,AES 在對其數學的實際攻擊方面表現得非常好。

通讀該文件,這些標準似乎不僅適用於處理機密文件的公共部門或私人承包商,還適用於所有人(公共和私人)。

並非如此,這專門針對美國政府使用的實施加密的商業產品,這些產品實施來自 CNSA 套件的非分類算法。這裡的商業可能意味著現成的,或由承包商開發以滿足政府要求。這些產品仍然必須使用其他標准進行驗證,但它們必須實現列出的算法,而不是實現不需要最低安全要求的算法(需要引用該標準),儘管它們仍然可以實現具有強大安全性的 Suite B 算法,至少現在。

因此,請轉而關注文件如何應對量子威脅:使用對稱算法或等到 NIST 在明年到 2024 年之間的某個時間發布標準草案後,使用抗量子非對稱算法(幾乎可以肯定是基於格的)更新 CNSA 套件。

如果他們真的對量子攻擊感到害怕,那是因為他們自己已經開發出一種實際的攻擊方式,並且擔心中國/俄羅斯/伊朗不會落後,並且會以巨大的代價採取激烈的措施。

我調出 NIST SP 800-56A Rev3 以收集更多資訊,該文件基本上指出,當涉及到低於 EC-384 的曲線時,即使是未分類的數據似乎也是不可行的。

你在哪裡看到的?在表 24 下:ECC 密鑰協議的批准橢圓曲線。,即使是 224 位曲線和 2048 位素數組仍然列出,儘管它們非常清楚目標安全強度。恰巧 CNSA 對滿足其安全性、實施、靈活性和互操作性要求的算法進行了描述。

NIST 標準更多的是說你現在可以使用它,而 NSA 文件更多的是你現在可以開始使用什麼,有重疊但目的非常不同,似乎沒有什麼不尋常的,事實上我會考慮不強制規定比文件中給出的更大的密鑰大小,這是最能說明我們不應該恐慌的方式……所以不要恐慌。

引用自:https://crypto.stackexchange.com/questions/95458