使用当前最先进的处理器,是否认为80位密钥大小可以抵御暴力攻击?
#1 楼
TL; DR:不再是无条件的。根据该消息来源,截至2020年11月23日,比特币矿工的总哈希值为$ \ approx140 \ cdot10 ^ {18} H / s $,其中一个哈希为两个嵌套的SHA-256;这是每年$ \ approx2 ^ {92.8} $ SHA-256。我相信2010-2011年的显着增长是GPU的增长,而2013-2014年的时期则是ASIC使用的增加。如今,比特币的开采主要是使用高度专业化的ASIC进行的。最近的硬件以15pJ / SHA-256(3250 W功率在墙上)宣传220 T SHA-256 / s,价格为2684美元。它已经卖完了,地球正在为碳排放而苦苦挣扎。
因此,今天不能盲目地认为80位安全性足够好。取决于多种因素,80位可能非常安全,或者显然不够;
目标值
有意义的时间范围
多么容易(或更难)是由于与
相比使用SHA-256进行了密钥检查,
每个搜索引擎所需的内存量>
多目标攻击的可能性,其中攻击者的目标是在几个目标密钥中找到一个,而他们设法使针对所有目标密钥测试候选密钥的成本大体上与它们的数目无关。这有时很简单(例如,当在所有目标密钥下都可以对相同的已知明文块的密文块进行块加密时)。
加法:我将Thomas Pornin的答案中的所有内容均列为第二(二月) (2014年),但也许“现在,80位似乎仍然很坚固”,仅在某些情况下(包括问题的情况),至少在当时有效。
在针对KATAN(真正的低端设备,例如RFID标签)的上下文中,密钥恢复的预期结果是能够克隆一个单个RFID标签。不管密钥大小如何,通过旁通道攻击或微探测来恢复密钥的成本都可能比暴力破解成本低得多,而与密钥大小无关(尽管测试KATAN密钥所需的工作比执行SHA-256要少得多)。因此,目前(2015年11月),基于合理的经济理由,80位密钥对于单个RFID标签密钥来说并不是主要弱点(如果我们不考虑宣布任何中断所产生的非理性破坏性影响,更理性的愿望是不要如果发生这种中断,则必须争论密钥的大小)。对于使用RFID标签密钥的主密钥或KATAN的其他一些用途,80位是不够的。
评论
$ \ begingroup $
评论不用于扩展讨论;此对话已移至聊天。
$ \ endgroup $
– e-sushi
18年4月15日在13:22
$ \ begingroup $
我相信比特币的采矿率可能实际上不能代表完整的SHA-256计算。我记得针对一种比特币挖掘ASIC中常见的技术,该技术使用快速近似加法器来创建某种“模糊SHA-256”,这可能正确也可能不正确。加法器尺寸的减小使整体挖掘速度更快,因为可以将更多代码塞入单个芯片,但这确实意味着它实际上并未在每个块中计算出完整的两个SHA-256哈希。
$ \ endgroup $
–森林
19 Mar 8 '19 at 10:28
$ \ begingroup $
@Squeamish Ossifrage:采纳了您的建议。该评论最终将消失。
$ \ endgroup $
–fgrieu♦
19 Mar 8 '19 at 11:41
$ \ begingroup $
@forest:是的,我记得在博客中看到了此技术。但是它的主要卖点是,在大多数情况下,它都会精确地计算SHA256d,因此,即使广泛使用了该技术,也不会为达到此目的而改变任何东西。此外,可能的节省相对较低,同一篇文章提到使用该技术在比特币环境中存在缺陷。因此,我怀疑该技术是否会用于ASIC中,而不是非自愿地通过超频。
$ \ endgroup $
–fgrieu♦
19 Mar 8 '19在11:42
$ \ begingroup $
@SqueamishOssifrage:我是一个困惑的人。尝试28.2怎么样?
$ \ endgroup $
–fgrieu♦
19年3月8日在16:17
#2 楼
80位的密钥大小是不可行的历史限制;这就是1990年代的经验法则。这就是Skipjack使用80位密钥,而SHA-1提供160位输出的原因。许多人还估计1024位RSA,DH或DSA密钥可提供“ 80位等效”保护(请参阅此网站)。摩尔定律最乐观的说法之一是:每三年,我们可以在给定的硅面积中放置四倍的晶体管,并将其时钟速度提高一倍。对于加密破解工作,这意味着每年可以多赚一点钱。从这个意义上讲,1994年的“ 80位”将是如今的“ 100位”。但是,这种关于“法律”的观点确实是不现实的,并且在以后的几年中没有得到验证(晶体管密度一直保持上升,但是时钟频率却停滞了。)
当前公开的对称密钥记录破解是一个64位的密钥。 Distributed.net的人们已经发起了一个72位尝试。 4000天后(将近11年!),他们探索了3%的关键空间。目前,80位仍然很坚固。转到128位是过大的,但是我们还是这样做,因为它具有较大的“安全裕度”(一个相当不合理的原因),并且出于美学原因(一个非常不合理的原因,但是,嘿,“ 128”是两个的幂,并且幂两个看起来不错)。
评论
$ \ begingroup $
从根本上说,仍然具有原始计算能力的摩尔定律。当您采用多核体系结构时,原始计算能力仍然呈指数级增长。从HPC峰值性能中也可以看出。暴力破解攻击可以完全并行进行,因此您可以利用它。实际上,它可能会在不久的将来放慢速度,因为要为这种计算能力供电会遇到麻烦。所需的功率也会成倍增长(但影响因素却有所不同),电源和冷却装置难以跟上。
$ \ endgroup $
–luk32
2014年2月3日在18:49
$ \ begingroup $
摩尔定律仅在您考虑攻击一台计算机或具有固定空间量的单个计算中心上的密码时才有意义。但是今天您可以订购原始计算能力,例如在亚马逊云中,然后取决于您愿意花多少钱。情报机构(也可能是有组织犯罪组织)拥有自己的计算中心,没有人知道他们的实际能力。
$ \ endgroup $
– tylo
2014年2月7日在12:27
$ \ begingroup $
@ luk32,“您可以轻松地将2个内核彼此相邻”实际上并不是那么容易。缓存访问变得更慢,更分散,并且每个单独的核心可用的电路总数更少(或者电路必须收缩以容纳所需的空间)。实际上,仅购买第二个GPU或第二台计算机并并行解决该问题要容易得多。摩尔定律提供了对专用于此任务的大型服务器场或专用于解决这些问题的大型FPGA的有限了解。
$ \ endgroup $
–kurtzbot
14年7月30日在18:58
$ \ begingroup $
比特币的哈希率每三个月翻一番,而且它是功能最强大的人类计算机,因此情况显然比您所说的还要糟糕。
$ \ endgroup $
–MaiaVictor
17 Mar 5 '17 at 1:28
$ \ begingroup $
@tylo:您为什么区分情报机构和有组织犯罪?自从肯尼迪被吹走以来我们所学到的东西似乎有点傻。
$ \ endgroup $
–威廉·希尔德
19年6月14日在14:28
#3 楼
这取决于您要保证数据安全的时间。您
想要这个秘密的保险箱一星期,还是一辈子?如果将这个秘密透露给错误的人,您会遇到麻烦,入狱还是被杀死?
这还取决于您想保护数据安全的人。您是否希望您的数据受到国家级对手的保护,例如美国,英国,中国,俄罗斯?
您想考虑那些可能已经秘密使用或可能在未来<5年内很快推出的可行量子计算机的对手吗?
假设我们想要保护来自某个机构的数据,该机构有大量黑预算(每年108亿美元),其任务是获取和解密世界范围的通信。我们还假设他们拥有可行的量子计算机,我们知道他们一直在尝试建造一台量子计算机,而且在某一点上它比密码学领域的学术界领先约20年。如果他们还没有,那么他们将在接下来的<5年内这样做。因此,您需要考虑是否希望数据保密的时间更长。在评估针对暴力搜索的安全性时,攻击者无需执行全部尝试。假设您有一个128位密钥,即$ 2 ^ {128} $个搜索操作。那是最坏的情况。如果他们在$ 2 ^ {64} $次操作或$ 2 ^ {72} $次操作后找到了正确的密钥,那么他们可以停在那里,他们已经破解了您的数据。可能存在一些统计分析可以用来确定在特定密钥空间中比蛮力搜索更快地找到密钥的可能性。另外,请记住,针对各种算法的攻击会降低所需的暴力搜索次数。
您希望80位密钥是安全的,当有人与世界上顶级常规超级计算机(包括GPU和具有AES- NI说明)。在最坏的情况下,可以使用当前最好的量子搜索算法(格罗弗算法)在量子计算机上花费2 ^ {40} $的时间来破解它。 $ 2 ^ {40} $的安全性根本不是安全的。
给定一个128位密钥,对于普通的超级计算机,它被某些人认为是过大的,因此可以破解$ 2量子计算机上^^ 64的时间仍然不是很安全。
如果我们使用192位密钥,那么量子计算机将花费$ 2 ^ {96} $的时间。如今可能只有最低限度的安全裕度,它可能会再保护您的数据几年。
如果我们升级到256位密钥,则花费$ 2 ^ {128} $的时间花费一个量子电脑。如果我们假设$ 2 ^ {80} $处于世界顶级超级计算机的范围之内,并且根据摩尔定律,它们每年额外获得1位处理能力,那么这将是安全的,直到2062年。到那时还活着,您可能仍然希望保护您的秘密。既定的极权政府可能会强行将您从退休之家中遣送并入狱,因为您仅向您的朋友发送了一个256位加密消息,谈论在2013年进行一次反政府集会。您想冒险吗?
您的下一个选择是高于256位,以阻止它们在您的一生中破解数据,然后您可以安心地休息。使用Threefish算法,您可以拥有512位或1024位密钥。对于512位密钥,该密钥至少对量子计算机具有$ 2 ^ {256} $的安全性。他们将在那里待到2190年左右。您最好希望他们不会抓到您,让您进入低温睡眠状态,然后在他们解密后再次唤醒您,以证明自己并惩罚您。找出真实数据?如果您厌倦了估算袜子使用的“安全”级别和供您使用的“安全”算法的政府袜子木偶呢?如果您希望能够在胁迫下为他们提供任意数量的假密钥,并且仍将其解密为合理的东西,从而不会遇到麻烦,该怎么办?好吧,那你应该使用一次性垫。他们可以尝试每一个键并让其显示所有可能的明文,但仍然不知道确切的真实数据是什么。这就是间谍,军队和政府使用它的原因-合理的可否认性。只是不要使用像英特尔的RDRAND这样的后门或可能躲闪的随机数生成器。使用正确的TRNG。
评论
$ \ begingroup $
我不同意“如果他们还没有一台(有用的昆腾计算机),那么他们将在未来的<5年内使用”。我准备打赌,我们的星球上没有这样的机构(双关语意),它将在未来8年内使量子计算机做任何对密码分析有用的事情。泄漏的文件清楚地表明,确定是否可以建立有用的质量控制仍然是一个研究主题(因此值得怀疑)。
$ \ endgroup $
–fgrieu♦
2014年2月7日在13:06
$ \ begingroup $
由Don Coppersmith解释,差分密码分析法(激发您“领先学术界20年”)在1989年被学术界所熟知,在1974年被IBM所知。您是否提到该机构在1969年或更早就知道这一点?无论抵消多少,我都将其归因于1990年之前军事密码学的普遍进步。众所周知,学术界在理论上已经赶上了潮流(显然不是在蛮力的立场上,而且很可能不是在拦截和其他技术上)攻击)。
$ \ endgroup $
–fgrieu♦
2014年2月7日在17:17
$ \ begingroup $
何时或如何以每年$ 10.8B的价格成立一个秘密的国家监视机构(双关语)。黑色预算是否会进行质量控制只是猜测和传闻。无法知道他们在Oak Ridge或Ft的秘密量子计算能力。米德真的是。猜测毫无意义。关键是他们正在存储所有数据。加密的数据被标记,如果他们不能立即解密,则将其存储直到可以。因此,当他们进行质控时,如果使用较小的密钥长度,则最终将对您的数据进行解密。
$ \ endgroup $
– NDF1
2014年2月7日在22:40
$ \ begingroup $
参见布鲁斯·施耐尔(Bruce Schneier)的话:“学术界花了二十年的时间才知道,美国国家安全局(NSA)的“调整”实际上提高了DES的安全性。这意味着在70年代,美国国家安全局比之早了二十年。最先进的技术。” NSA知道70年代和IBM当时曾协助NSA进行安全检查的差分密码分析。
$ \ endgroup $
– NDF1
2014年2月7日在22:50
$ \ begingroup $
您的最后一句话为在需要长时间保密的情况下使用宽会话密钥以及使用加密系统提供了向前保密性提供了一个很好的论据:这可以确保将来长期密钥的中断(通过量子计算机,如果有的话)我们相信您的直觉,或者只是通过对系统的妥协(如果您问我)来阻止他们)将不允许破译过去的拦截。
$ \ endgroup $
–fgrieu♦
2014年2月9日在17:45
评论
该问题似乎是题外话,因为问题的症结在于见解,因为您认为安全的东西与其他人不同。而且问题的性质与密码学无关,无论如何,这只是计算攻击的成本,即基本数学。我建议阅读密码本身,以了解设计目标是什么。使用80位密钥根本没有多大意义,特别是并不意味着攻击具有$ 2 ^ {80} $的复杂度。考虑到强行强制使用此密钥空间,它可能处于当前技术的边界:如果您可以访问超级计算机网络,并且需要数周或数月的时间,则有可能。
我认为这个问题很好,可以合理地回答。我尝试了。