Encryption

蠻力攻擊和密碼分析是否反駁了 Kerckhoffs 的原則?

  • February 23, 2016

根據Kerckhoffs 的原則 “密碼系統應該是安全的,即使系統的所有內容,除了密鑰,都是公共知識。” 現在我想提出我的一個發人深省的公式,它駁斥了他在 1883 年制定的 Kerckhoff 原理,並為我們 21 世紀的加密提出了一個新的和更新的原理。

我的新的和發人深省的原則是這樣表述的:

“沒有密碼系統是安全的,無論系統是否為公眾所知,除非時間量 $ T $ 和成本/能力 $ C $ 破解密鑰對於攻擊者來說太高了,無法維持。”

簡而言之,這意味著:如果需要花費大量時間(以年數和數十年計)以及大量金錢和精力,以購買快速硬體以進行暴力攻擊並聘請有才華的密碼分析員來破解您的秘密密鑰,那麼您可以暫時認為您的加密數據是安全的。

這就是問題所在:僅暫時安全

因為如果將來有其他攻擊者出現更快的硬體和更複雜的密碼分析或黑客方法,從而減少破解時間 $ T $ 和努力 $ C $ 只剩下幾天和一美元的花生,那麼你就不再安全了!

或者,如果有大人物出現。最明顯的例子是我們密碼學家認為我們的主要對手 NSA(國家安全域)。他們每年有數十億(甚至數万億)美元的無限預算來大量購買最新、最快的電腦硬體,而且他們可能會僱傭世界上最好的密碼分析員並支付報酬。如今,眾所周知,低於 2048 位的密鑰長度已不足以抵禦政府實施的硬核暴力攻擊。我所說的“硬核”是指以最佳配置提供的最好和最快的硬體來破解密鑰。據我所知,美國國家安全域目前正在投資研發量子電腦(超級電腦),這些電腦的速度將如此之快,甚至可能破解 4096,8192 和更長的位密鑰。例如,可以在 Youtube 上找到關於量子電腦的優秀紀錄片和報告。

現在你可能會問自己,為什麼我上面闡述的原則會激怒我們密碼學家和密碼開發者?我認為是的,因為它基本上意味著密碼學對於保守秘密毫無用處。這是一個發人深省的強烈聲明,不是嗎!

因為唯一阻礙攻擊者破解您的密鑰、讀取您的秘密消息或解密您的秘密數據的是您的密鑰的強度以及破解它們需要多長時間!但無論如何,它們總有一天會被打破!這就是我的觀點。

所以問題是:這是否都反駁了 Kerckhoffs 的原則?你怎麼看,現在有足夠的硬體和軟體資源可以破解任何密碼系統和密鑰嗎?還有人力資源(密碼分析員)。

這是一個可以用“是”或“否”來回答的問題。如果您這樣做,請詳細說明。不要只給出一個簡短的是/否的答案。

PS我也想對這個問題給出我自己的答案,如下所示:是的,新原則駁斥了Kerckhoff過時的原則,因為a)Kerckhoff生活在1883年,2014年不了解計算技術和能力,b)Kerckhoff只是假設保持密鑰“應該”足以保證密碼系統的安全;並且我認為這是一個錯誤的設計原則,或者您想怎麼稱呼它,因為僅使密鑰保密是不夠的,您還必須使密鑰足夠強大以承受快速的蠻力攻擊和復雜的密碼分析。最重要的是,新原則進一步駁斥了 Kerckhoff 的原則,說所有密碼系統和所有密鑰實際上都是不安全的,因為破解密鑰的計算技術越好越快,密鑰就越不安全!同樣,我自己的簡短回答是:**是的,Kerckhoff 的原理被新原理所駁斥。**但每個人都可以有他/她自己的意見。如果有人回答“否”,那好吧,我也可以。似乎這些人對他們的加密密鑰的保密性抱有強烈的幻想,並且不想承認暴力破解和密碼分析的力量,因此說這樣的觀察將是“無關緊要的”。我認為對於那些使用 2048 位密鑰的使用者來說,這並不是無關緊要的,他們認為或被告知它們是安全的,但仍然被破解。實際上,我認為我的話題很有爭議。;)

不,這些觀察與 Kerckhoffs 原理無關。Kerckhoffs 原則是一種設計原則,它討論了加密系統在哪些條件下應該是安全的。您正在談論加密系統安全意味著什麼。兩者是正交的。

同樣,加密系統最終可以通過各種方式被破壞的觀察也幾乎沒有爭議。它本質上是可證明的安全性。在某些假設下,我們證明了破壞方案的複雜性。如果這些假設被證明是錯誤的,或者復雜性在現代計算技術的範圍內,那麼系統不安全也就不足為奇了。

首先,您應該注意,Kerckhoff 的原則並沒有規定您應該發布有關係統的所有內容,除了密鑰。它告訴您,即使系統已發布,您也應該以安全為目標來設計您的系統。

您的文章的下一個問題是它沒有考慮對稱和非對稱密碼學之間的區別。

讓我們首先考慮對稱密碼學。蠻力 $ n $ 位密鑰成本 $ 2^n $ 使用經典電腦。量子電腦有效地將密鑰大小減半,即 $ n $ 位密鑰成本 $ 2^{n/2} $ . $ 2^{128} $ 即使你對計算能力做出樂觀的假設,工作在幾十年內仍然是不可行的。除非我們對物理或數學的理解發生重大變化, $ 2^{256} $ 工作將永遠不可行。這意味著我們可以輕鬆防止針對對稱密碼的暴力攻擊。

接下來考慮非對稱密碼學。你是對的,如果量子電腦按承諾工作,那麼目前流行的算法 RSA 和(橢圓曲線)Diffie-Hellman 將會死掉。為了應對這種可能性,密碼學家正在研究抵抗量子電腦的系統。有一些很有前途的候選者,例如 McEliece 或基於格的密碼學。雖然這些受到一些問題的困擾,例如大型公鑰或專利,但與根本沒有公鑰加密的不便相比,這些不便微不足道。

密碼分析比計算能力更難預測。對於對稱加密,在性能和對加密分析的抵抗力之間存在相對簡單的權衡。例如,您可以增加分組密碼的輪數,或者您可以組合幾種加密算法。

針對非對稱加密的加密分析是 IMO 的更大風險。非對稱加密基於簡潔的數學問題,因此一個絕妙的想法可以打破一整套算法。由於我們的非對稱算法系列相對較少,這使情況變得更糟。

保守系統秘密能給你帶來什麼?充其量它就像對稱加密一樣,系統本身充當共享密鑰。請注意,此“密鑰”需要分發給系統的每個使用者。這意味著所有使用者必須相互信任,這顯然不適用於像網際網路這樣的開放系統。保持系統機密在需要公鑰屬性的地方不起作用。

我相信有可能設計出在發佈時保持安全的對稱加密算法。增加的計算資源是無關緊要的,只有密碼分析是一種威脅。由於系統保密是對稱的,這意味著 Kerckhoffs 原則成立。我什至會說,Kerckhoffs 的原則在電腦時代變得比以前更加重要。

我對非對稱加密有點不自信。但即使所有非對稱加密和密鑰交換算法都失敗了,我們也可以退回到對稱加密、量子密鑰交換和雜湊簽名的組合。這可能不方便,但遠不如依賴秘密系統那麼不方便和脆弱。

引用自:https://crypto.stackexchange.com/questions/20988