АНБ недавно удалило EC-256 и SHA-256 из CNSA — стоит ли нам беспокоиться по этому поводу?
Нет.
Есть одна неопровержимая причина, почему, как указано в документе:
Криптографические системы, которые АНБ производит, сертифицирует и поддерживает, часто имеют очень длительный жизненный цикл. Сегодня АНБ должно предъявлять требования к системам, которые будут использоваться в течение многих десятилетий в будущем, и данные, защищенные этими системами, по-прежнему будут нуждаться в криптографической защите в течение десятилетий после замены этих решений.
Стандарты NSA и стандарты NIST для «промышленности» не совпадают с точки зрения реализации. Если вы хотите, чтобы ваш веб-сервер начал использовать 512-битную кривую вместо 256, вам может потребоваться обновить openssl, но обычно это занимает не более в день, чтобы внести изменения после авторизации. С другой стороны, сертифицированное АНБ аппаратное устройство, используемое оперативниками под глубоким прикрытием, не так-то просто заменить. Также радиостанции milspec, спутниковая связь, коммуникационное оборудование, установленное на подводной лодке .... ни одно из них не заменяется часто, и после завершения проектирования может пройти более десяти лет испытаний. То же самое и с интервалами смены ключей, а также о количестве времени, в течение которого данные должны оставаться конфиденциальными, и все это гораздо дольше для национальной безопасности.
С закатом «индустрии» уровней безопасности ниже 128 бит примерно через 8 лет и, возможно, уровней ниже 160 бит десятью годами позже, делая математику, вы можете себе представить, что стандарты АНБ могут потребовать около 2 десятилетий безопасности за пределами отрасли. , и это действительно упоминается в документе:
Полное развертывание новой криптографии во всех системах национальной безопасности может занять 20 или более лет.
Так что теперь это делает Отлично В смысле, они просто пытаются опередить уже хорошо задокументированные и понятные тенденции в отношении размеров ключей для использования в будущем, но должны действовать СЕЙЧАС из-за длительных сроков, связанных с проверкой, покупкой и заменой нового оборудования и программного обеспечения.
Отказ от SHA-256 вместо SHA-384 можно рассматривать как логичный по нескольким причинам. Во-первых, вы ДОЛЖНЫ использовать 384-битную кривую или больше, во-вторых, это производительность на 64-битных платформах, а в-третьих, она имеет общую кодовую базу с более крупным SHA-512 для асимметричных реализаций, по-прежнему нацеленных на 256-битную безопасность.
Итак, это возвращает нас к сбрасыванию P-256...это большое дело в данный момент? В 2041 году, через 20 лет, этого точно не будет, и поэтому нам НЕ следует ни в малейшей степени тревожиться, я ожидаю, что 160-битная защита будет минимальной, даже для гражданских приложений с низким уровнем безопасности. Теперь для AES это означает 192-битную или более крупную схему с соответствующей 384-битной схемой подписи, и это то, что указано в документе.
Если вы помните соревнование AES, целевой срок службы был до 2030 года, так что может случиться так, что в 2041 году мы уже будем использовать модный новый блочный шифр из другого соревнования. Конечно, AES очень хорошо выдержал практические атаки на его математику.
При чтении документа выясняется, что эти стандарты предназначены не только для государственного сектора или частных подрядчиков, работающих с секретными документами, но и для каждый (публичные и частные).
Не совсем так, это касается коммерческих продуктов, реализующих шифрование для использования правительством США, в которых реализованы незасекреченные алгоритмы из пакета CNSA. Коммерческий здесь может означать готовый или разработанный подрядчиком для выполнения требований правительства. Эти продукты по-прежнему должны быть проверены с использованием других критериев, но они должны реализовывать перечисленные алгоритмы, но НЕ реализовывать алгоритмы, которые не требуют минимальных требований безопасности (нужна ссылка на этот), хотя они могут по-прежнему реализовывать алгоритмы Suite B с высокой безопасностью, по крайней мере на данный момент.
Поэтому вместо этого сосредоточьтесь на том, как документ затрагивает квантовую угрозу: используйте симметричные алгоритмы или подождите, пока пакет CNSA не будет обновлен квантово-устойчивыми асимметричными алгоритмами (почти наверняка основанными на решетке) после того, как NIST опубликует проект стандарта, где-то между следующим годом и 2024 годом.
Если они действительно были в бешенстве из-за квантовых атак, то это потому, что они сами разработали практическую атаку и были обеспокоены тем, что Китай/Россия/Иран не отставали и предпримут решительные шаги с большими затратами.
Я поднял NIST SP 800-56A Rev3, чтобы собрать больше информации, и в этом документе, по сути, говорится, что даже несекретные данные кажутся неприемлемыми, когда речь идет о кривых ниже EC-384.
Где ты это видишь? Под Таблица 24: Утвержденные эллиптические кривые для согласования ключей ECC., даже 224-битные кривые и 2048-битные простые группы по-прежнему перечислены, хотя они очень четко указывают на целевую силу безопасности. Так уж получилось, что CNSA выбирает алгоритмы, которые соответствуют их требованиям к безопасности, реализации, гибкости и совместимости.
Стандарты NIST больше говорят о том, что вам разрешено использовать это сейчас, а документ NSA больше о том, что вам разрешено Начало используя сейчас, есть совпадение, но цель совсем другая, ничего не кажется необычным, на самом деле я бы не считал обязательным использование больших размеров ключей, чем указано в документе, чтобы быть наиболее говорящим о том, как мы не должны паниковать ... так что не не паникуйте.
