Encryption

Mega.nz 加密是否容易受到量子電腦的暴力破解?

  • December 12, 2020

我對 Mega.nz 雲儲存感興趣。它使用端到端加密。

它說它使用 AES-128加密文件

他們的白皮書中有更多細節

但我看到量子電腦可能對 AES-128 很危險:

Grover 算法允許暴力破解 n 位密鑰 $ \mathcal{O}(2^{n/2}) $ 時間而不是 $ \mathcal{O}(2^n) $ 經典電腦所需的時間。因此,一個 128 位的 AES 密鑰可能會被暴力破解 $ O(2^{64}) $ 時間由足夠強大的量子電腦執行,該電腦可以使用 128 個以上的量子位執行 Grover 算法 $ 2^{64} $ 時間。

所以,我的問題是:加密文件可以被量子電腦解密嗎?

AES-128 上的 Grover 算法

如果 Grover 算法的所有問題都解決了,那麼可以,否則不行!

  • Grover 算法提供二次加速,因此 AES-128 在 Grover 方法的搜尋複雜度方面具有 64 位安全性。
  • Grover 對 AES-128 的攻擊需要大約 $ 2^{64} $ 連續的AES評估。那就是必須設置機器 $ 2^{64} $ 次,執行成功,提取結果。這不像經典機器上的 for 循環。
  • 攻擊時間仍然是二次的,所需的門不實用,可以在附近 $ 2^{86} $ 對於AES-128
  • Graver 算法可以並行執行,但是,執行 $ k $ 機器將提供 $ \sqrt{k} $ 加快速度,每個副本仍然會存在上述問題。

他們是一家公司,如果您要成為他們的客戶,如果您擔心未來,請讓他們包括最簡單的緩解 AES-256。AES-128 和 AES-256 之間的性能差異只有 40%,也就是說 AES-256 慢了 40%。這在安全方面沒什麼大不了的。奇怪的是他們不提供,因為業界將 AES-256 視為黃金標準。


對 AES-128 的更真實的攻擊

在 MEGA 文件加密中,每個節點(文件或文件夾)都有自己的加密密鑰。儘管AES-128 是安全的,但使用 AES-128,MEGA 擁有的使用者越多,使用者上傳的文件越多,就會對 AES-128 產生現實的攻擊,即使用Oechslin 彩虹表的並行版本多目標攻擊

從 $ t $ 目標的預期成本是 $ 2^{128}/t $ . 現在假設您有十億個目標。然後,您將能夠找到遠低於 128 位安全性的**第一個加密密鑰。**費用將低於 $ 2^{100} $ 時間會低於 $ 2^{70} $ . 這可以通過超級電腦來實現。

因此,MEGA 必須為其客戶提供使用 AES-256 的選項。最後,加密是在客戶端執行的,這對 MEGA 伺服器來說是完全免費的。


從他們的白皮書中回顧 Mega

超級簡單

MEGA 是一個安全的雲儲存和通信平台,具有使用者控制的端到端加密 (E2EE)。端到端加密意味著沒有中間人——甚至是 MEGA——有權訪問使用者的加密密鑰,從而訪問儲存的數據。但是,使用者可以選擇與其他人共享數據(單個文件或整個文件夾)以及相關的加密密鑰。

它支持基於瀏覽器的端到端加密雲儲存訪問。

端到端加密

文件在上傳前在客戶端加密。如果使用者想要共享文件,則他們將文件的加密密鑰與接收者的公鑰共享。可以像 Signal 一樣在另一個通道中驗證接收者密鑰,並且將通知任何更改。

原始碼透明

所有與安全相關的程式碼都在使用者端工作,Mega 發布原始碼,以便第三方可以驗證原始碼。這是一個非常重要的方面

隱私

他們承諾僅出於運營目的保留使用者的電子郵件和 IP 地址。他們承諾不保留處理活動和數據,儘管他們可以看到活動。這些文件仍然是加密的,Mega 無法訪問。

漏洞管理

他們希望持續確保安全,並為以前未知的與安全相關的錯誤或設計缺陷提供獎勵。這是一個重要方面,因為它將吸引更多人查看他們的設計和程式碼。

它們還提供數據冗餘並符合法規要求。合規性是一個有趣的部分,因為至少現在澳大利亞禁止端到端加密。雖然 MEGA 的服務受紐西蘭法律管轄,但我不清楚法律變更的情況。

引用自:https://crypto.stackexchange.com/questions/86846