密钥旋转的目的是什么?

首先对密钥被破坏的可能性有影响吗?它是指避免对所有过去的数据或将来的所有数据进行泄露后都避免访问吗?

评论

嗯,如果钥匙被破坏了,可以限制损坏吗?

首先对密钥被破坏的可能性有影响吗?它是指避免在违反所有过去的数据或将来的所有数据(两者都发生还是全部发生)之后避免访问?

密钥轮换不会减少密钥被破坏的风险。它主要限制使用某个密钥加密的数据量,因此可以说这样做是为了防止将来的密钥被过去的通行证破坏是安全的。(br)
@SEJPM随着对手收集更多受同一密钥保护的数据,某些攻击变得更容易执行。因此,从某种意义上讲,使用密钥的时间越长,盗用的可能性就越大。我不建议在64GB以上使用相同的AES密钥,因为拥有两个完全相同的密码块的风险越来越大。

@FilipHaglund在我所知道的所有加密模式下,都会泄漏一些有关明文的信息。例如,在CBC模式下,如果对手看到两个相同的密码块,则对手可以计算两个明文块的XOR。

#1 楼

正如@SEJPM所指出的那样,旋转加密密钥的主要目的不是减少密钥被破坏的可能性,而是减少使用该密钥加密的内容的数量,从而减少因单个密钥泄露而泄露的材料的数量。

但是,对密钥进行签名有一个具体的原因:说要花费$ X $个月的计算时间(给定威胁模型的期望值)来破解密钥,然后每$ X旋转签名密钥一次-1 $个月并撤消旧的密钥,然后在攻击者破解密钥时,攻击者产生的任何新签名要么被A)由于密钥到期而被客户拒绝,要么被B)追溯到密钥吊销(这也会在客户端引起警告)。

评论


$ \ begingroup $
这是专门针对类似RSA的签名方案吗?与例如基于散列的签名,最好的攻击方法是简单的无状态搜索暴力,并且由于成功是泊松过程,因此切换密钥根本不会减慢攻击者的速度。
$ \ endgroup $
–丹尼尔·卢巴罗夫(Daniel Lubarov)
18年7月14日在16:54

$ \ begingroup $
@DanielLubarov我不关注。假设攻击者开始强行强制使用哈希禁止的密钥。中途旋转关键点。您是在说攻击者不会浪费时间吗?
$ \ endgroup $
– Mike Ounsworth
18年7月15日在17:07

$ \ begingroup $
我认为这取决于签名方案。例如。使用Picnic,攻击者将可以蛮力搜索单个分组密码密钥。假设攻击者可以在两年内测试所有密钥。如果钥匙从不旋转,则攻击将花费两年时间。如果密钥每年旋转一次,则在第1年有50%的可能会破坏密钥1,在第2年有50%的可能会破坏密钥2,依此类推。没有保证的完成日期,但是预计时间是2年。同意?
$ \ endgroup $
–丹尼尔·卢巴罗夫(Daniel Lubarov)
18年7月16日在6:36

$ \ begingroup $
@DanielLubarov同意,...我认为,但这比“切换键根本不会减慢攻击者的速度”弱,对吗?
$ \ endgroup $
– Mike Ounsworth
18年7月16日在11:41

$ \ begingroup $
我猜你是对的,但根据旋转频率的不同,预期的开裂时间之差最多可达两倍。 (再次假设是简单的蛮力搜索。)为什么不只是在密钥大小上增加一位,而不用担心旋转呢?
$ \ endgroup $
–丹尼尔·卢巴罗夫(Daniel Lubarov)
18年7月16日在20:48

#2 楼

实际上,没有实际的理由来旋转钥匙,但前提是您要使用的钥匙从字法上讲是坚固的。这是人们主张“最佳实践”的情况之一,而实际上这只是一种没有任何正当理由的标准。根据您的风险评估,它可能是适当的,但它不是“最佳实践”。

除了已知的违反密钥的行为外,通常情况下的一个例外是,当密钥不是经过加密时强,或者随着时间的推移变得弱,或者算法被破坏。在这种情况下,您一知道就可以手动旋转键(以及必要的算法)。如果依赖按键旋转,则将平均旋转间隔除以两次曝光。

即,对于小于80位的密钥,例如1DES,尤其是对于具有47-52位熵的8字符密码,密钥旋转的频率不足。对密码轮换说“不”,并设置侦探性行动阈值-您每人每年将节省约1工时的生产力损失,并且您真正有机会识别攻击,而不必依靠轮换限制攻击的程度。如果可以的话,请将最小密码长度设置为16个字符或更多。


“减少被盗材料的数量。”从理论上讲是,但实际上没有。如果您每年(例如,AWS客户管理的KMS密钥)或每三年(例如,AWS管理的KMS密钥)旋转密钥,那么在通常情况下,您的大部分信息资产将在此期间被触摸,这意味着破解密钥的人在您旋转时已经拥有它们。如果您有很多较旧的,非常有价值的数据,则可能需要轮换使用,但这是一个异常情况,而不是一般情况,并且会反映在风险评估中。
“签名密钥的旋转。”我不知道签名密钥在密码上比一般密钥弱。如果您接受每180天旋转一次密码,那么具有256位熵的密钥可以每4.6 x 10 ^ 63天旋转一次。如果有人想争取将密钥旋转设置为一个世纪左右,以防万一,请确定,但是要避免这种情况,则会增加开销,以后可能会咬人(您必须保留旧密钥,只要对它们加密的数据是有价值,否则您每次旋转时都必须重新加密所有数据)。对于公共CA,可能(出于安全考虑)旋转签名密钥是合理的(但我对此表示怀疑),但这再次是风险评估的问题,而不是“最佳实践”。

简而言之,将密钥旋转作为标准或“最佳实践”没有逻辑或经验依据。取决于单个组织的风险评估,这可能是一个好主意,但在一般情况下,绝不是一个好主意,因为密钥轮换本身将风险引入了信息治理。

评论


$ \ begingroup $
那么,就像在量子密钥分发网络控制的加密设备上所做的那样,每分钟旋转一次密钥的目的是什么?
$ \ endgroup $
–Paul Uszak
19年8月20日在22:35

$ \ begingroup $
@PaulUszak通过听起来更安全来出售更多单元吗?
$ \ endgroup $
–森林
19年8月21日在5:51

$ \ begingroup $
我认为Mike Ounsworth的回答既有逻辑依据,也有经验依据。如果我有您的子项,那么我不希望您更改它们。
$ \ endgroup $
–爱国者
19年8月21日在10:28

$ \ begingroup $
@PaulUszak多读少写:您指的是特例。在一般情况下,数十亿使用或可能使用加密密钥的人既不希望定期轮换也不降低风险。
$ \ endgroup $
–安迪·罗宾逊(Andy Robinson)
19年8月21日在12:36

$ \ begingroup $
@forest我很抱歉。我的论点是将按键旋转作为“最佳实践”。这是一种适当的做法,但默认情况下不可行。如果愿意,可以将由于密钥泄露而导致的实际损失与因密钥管理和存储失败而导致的实际损失进行比较。
$ \ endgroup $
–安迪·罗宾逊(Andy Robinson)
19年8月21日在20:18

#3 楼

密钥轮换可将系统的安全性与完美的信息理论安全性融合在一起。它减少了易受按键漏洞影响的数据大小。如果您的网络以10Gb / s的速度运行(总丢失26个四千万位),则按月旋转密钥仍然会导致大量信息丢失。

但请考虑一下(公认的)特殊性量子密钥分发网络(QKDN)的案例。 QuintessenceLabs和ID Quantique QKDN每隔几分钟创建一次新密钥。这些系统正在接近一个时标(OTP)的理论安全性。并且速度不断提高。东京展示了基于OTP的视频会议系统,具有恒定的按键旋转功能。和NIST的CCTV系统的旋转方式相同。这些努力证明了密钥生成/旋转的速度已经很快。由于您无法打破OTP,这种不断的轮换有可能将数据丢失从密钥泄露降低到几乎为零。

评论


$ \ begingroup $
问候!第一个句子...我知道第二句话肯定是这样,但是我不能弯折第一句话,这样对我来说很有意义。完美的信息理论安全性适用于一次性垫。如果我旋转一个GPG加密子密钥,那将不会使我更接近一次性键盘的安全级别。您的意思是您在这里说的话,您说错了话还是我误会了?
$ \ endgroup $
–爱国者
19-10-6在14:38

$ \ begingroup $
对于OTP,我会说理论上的安全性是如此之高,因为您无法区分正确的密钥和错误的密钥。但是,即使减少使用密钥加密的数据量,您仍然需要很少的数据来验证特定密钥是否正确。因此,我完全看不到这种融合。当然,在丢失密钥时会危害较少的数据,但是攻击本身不会变得越来越不可行,直到密钥的大小与数据大小一样小为止。因此,我不同意这个答案。
$ \ endgroup $
–马腾·博德威斯♦
19-10-6在15:01