鉴于由于pollard-rho而使我们的大多数ECC加密原语在256位曲线上进行定义时只能提供“仅” 128位安全性,因此在2020年中期考虑将128位安全性视为安全还是安全的(5 -8年)。

考虑到当前的光刻和GPU的发展,我正在寻找能量/热力学POV的答案,而不是针对特定密码,但是为了讨论,我将AES-GCM或Salsa20作为示例我使用128位密钥的对称密码。

布鲁斯·施耐尔(Bruce Schneier)谈到加密工程学中的AES-128,就好像它已经被破坏一样!

评论

我可以称其为AES-128已被完全破坏吗?从理论上讲,AES-128已被破坏,任何分组密码在多目标攻击方面均存在弱点。什么是多目标攻击?

@Kelalaka yup回答了我的问题,谢谢。

这个问/答比询问AES-128是否损坏更通用,因此即使将上述有关AES-128的问题假定为重复,我也将其保留在此处。如果有人认为有任何伤害,请标记问题并提供原因。
我不同意最后的说法,ECC应该包含在更通用的标题中,如果只是关于AES,那将是一个骗局。就个人而言,老实说,我认为当前的标题并不那么糟糕。

64位密钥几乎没有损坏,您需要一台超级计算机在合理的时间内暴力破解该大小的密钥。 $ 2 ^ {128} $是$ 2 ^ {64} $(〜1800亿亿)的乘积。

#1 楼

我强烈不同意AES-128以任何方式,形状或形式被破坏,同样具有256位密钥的ECC也被破坏。请注意,即使在@kelaka关于AES-128的答复中,您也需要超过3,400万年的整个比特币挖掘能力来进行$ 2 ^ {128} $的计算。这远没有打破。如果量子计算机曾经大规模出现,则非常不清楚要为AES-128实现$ 2 ^ {64} $量子计算需要实际运行多长时间(但ECC-256会遇到更大的麻烦)。最重要的是,这些还远没有破裂。 (我不知道您指的是Schneier所说的话,但无论如何我完全不同意。)

评论


$ \ begingroup $
我们不是说如果攻击所需的时间少于暴力破解的时间,则算法在理论上就被破坏了吗?没有经典的计算能力可以达到$ 2 ^ {126.1} $。当然,这并不意味着它在实践中就被打破了。还是应该在发现弱点时使用一个较小的术语?
$ \ endgroup $
– kelalaka
20年1月14日在6:13

$ \ begingroup $
我们做到了,但是这里还需要运用一些理由。我不认为$ 2 ^ {126.1} $被归类为值得关注的弱点。相反,在20年后,最佳攻击是$ 2 ^ {126.1} $的事实大大提高了我对AES的信心。
$ \ endgroup $
–耶胡达·林德尔(Yehuda Lindell)
20年1月14日在7:04

$ \ begingroup $
由于具有互补性,因此有点像$ 2 ^ {55} $时间里的DES攻击。这是一个弱点,但并不是真正值得关注的。
$ \ endgroup $
–耶胡达·林德尔(Yehuda Lindell)
20 Jan 14'7:33

$ \ begingroup $
与Biclique攻击相比,我想说DES补充属性是一个简单的属性。不确定,但是也许设计师也意识到了这一点(如果有相反的证据,请启发我)。很小的校正,距NIST要求算法已有22年了; 1997年9月12日,@ fgrieu,我认为,如果没有后门等,任何与蛮力不同的攻击都必须使用更多的资源。
$ \ endgroup $
– kelalaka
20年1月14日在8:07

$ \ begingroup $
“破解”对于学术密码学家和网络安全人员而言具有不同的含义。如果您可以在未来十亿年左右的时间内对其进行计算,那么学术界就会称其为破坏性的。
$ \ endgroup $
–汤姆
20 Jan 15'at 11:57

#2 楼

正如您专门要求将128位安全性与具体事物进行比较时,这里有一些值得深思的地方(以补充其他答案):



$ 2 ^ {61 }≈$ SHA-1从最近的SHA-mbles攻击中选择了前缀冲突(即,绝对可行)。

$ 2 ^ {63}≈$ SHAttered攻击(运行的最初SHA-1冲突)多个月)。 (即适用于Google,三字母代理机构和其他大型参与者。)

$ 2 ^ {66}≈$当前的比特币哈希率每秒! (即显示当前计算能力的限制)

请注意,比特币网络所利用的原始计算能力已经如何达到$ 2 ^ {80} $的水平:每〜4.5小时,比特币网络就会拥有执行$ 2 ^ {80} $ SHA计算。

这也意味着64位和80位级别已被破坏,我们必须彻底摆脱64位分组密码。
引用上面提到的“ SHA-mble”研究:


附带的结果,这表明现在以不到64万美元的安全级别破解密码即可破解密码。位(即计算对称加密的$ 2 ^ {64} $运算)。


现在,您可能听说过Bruce Schneier及其著作“ Applied Cryptography”(应用密码学)说:


热力学第二定律的结果之一是,代表信息需要一定量的能量。要通过更改系统状态来记录单个位,需要的能量不少于kT,其中T是系统的绝对温度,k是玻尔兹曼常数。 (贴上我;
物理课快结束了。)

假设$ k = 1.38×10 ^ {-16} $ erg /°Kelvin,并且环境温度为宇宙是3.2°Kelvin,理想的计算机在3.2°K下运行
每次设置或清除a都会消耗$ 4.4×10 ^ {-16} $ ergs
一点。要使计算机运行的温度低于宇宙本底辐射
,将需要额外的能量来运行热泵。

现在,我们太阳的年能量输出约为$ 1.21×10 ^ {41 } $ ergs。这足以在我们理想的计算机上提供大约$ 2.7×10 ^ {56} $的单个位更改。状态更改足够,可以通过其所有值放入一个187位计数器。如果我们在太阳周围建立一个戴森球,并捕获其全部能量32年而又没有任何损失,我们就可以为计算机供电,使其计数达到2 ^ {192} $。当然,使用此计数器进行任何有用的计算都不会剩下能量。

但这只是一颗星星,而其中只有一颗。典型的超新星会释放出$ 10 ^ {51} $ ergs。 (以中微子的形式释放的能量大约是原来的一百倍,但现在让它们
放行。)如果所有这些能量都可以引导到一个计算时,可以循环使用219位计数器的所有状态。

这些数字与设备的技术无关。它们是热力学允许的最大值。并且
他们强烈暗示对256位密钥的强行攻击将是不可行的,直到计算机不是由
物质建造而成,而是占据空间以外的东西为止。


可悲的是,这是为了提倡256位级别的安全性,当转换为128位级别时,它只是告诉我们,我们将需要使用大约0.1的所有太阳能量纳秒级,以翻转128位计数器的所有可能状态。

热力学并不能真正帮助我们与128位计数器进行令人印象深刻的比较,因为它仍然很小。 br />

评论


$ \ begingroup $
有趣的谢谢!
$ \ endgroup $
–伍德斯托克
20年1月14日,12:16

$ \ begingroup $
@fgrieu你是对的,我在那里犯了太多错误。我会说我饿了,匆忙去吃午餐作为借口。 :(希望我现在已经解决了。
$ \ endgroup $
– Lery
20 Jan 14 '13:36

$ \ begingroup $
@Lery:是的,现在的答案很好。注意:通常为SHA-256d哈希提供比特币哈希率,对于SHA-256,我们可以加倍(添加一位)。通过使用ASIC和浪费能量,可以实现这种速度。根据我的粗略计算,在利用比特币赚钱的最佳方法是设计和操作ASIC破解鲸鱼私钥之前,我们只有20位左右。如果那导致基于挖矿的所有加密货币被禁止或以其他方式终止,那很好!
$ \ endgroup $
–fgrieu♦
20 Jan 14 '15:19



$ \ begingroup $
@fgrieu,“仅20位”听起来可能并不多,但是根据摩尔定律,它已经发展了30年。
$ \ endgroup $
–马克
20 Jan 14'23:42

$ \ begingroup $
不到总辐射太阳能的1/10 ^ 9到达地球,并且计算机的温度大约是地球环境温度的100倍。此外,AES算法希望您以128位变体形式执行10个步骤,我们假设需要翻转至少10位。如果您拥有最高效的计算机,那么从这里可以做的最好的事情就是在大约3个小时的预期时间内强行使用AES128。
$ \ endgroup $
– pqnet
20-2-3在17:44

#3 楼

BSI当前的建议建议在2022年之后提供120位安全性。而AES 128仍在其建议中。

如果当前对AES128的估计约为126.1位安全性,那仍高于阈值。多年来,AES一直受到大量的加密分析,因此这一估计似乎很强大。