Рейтинг:0

Режимы блочного шифрования CTR и OFB и их постквантовая безопасность. Некоторые вопросы

флаг pf

Говорят, что квантовые компьютеры могут взламывать блочные шифры с помощью 2 ^ (n/2) запросов (что является размером ключа n).

Я прочитал эту бумагу: https://eprint.iacr.org/2016/197

В нем говорится, что режимы CTR и OFB безопасны для квантовых противников.

Это оставило у меня сомнения.

Может ли квантовый противник взломать блочный шифр в режиме CTR/OFB с помощью 2^(n/2) запросов? Или запросы будут как классические вычисления ( 2^(n/2) )?

У меня есть еще один вопрос.

У меня есть внешний HD, полностью зашифрованный блочным шифром Threefish в режиме CTR с 3 уровнями 1024-битных ключей. Я знаю, что CTR уязвим для атак типа «встреча посередине», и на практике у меня есть только 2049-битная безопасность (несмотря на то, что злоумышленнику приходится хранить в памяти 2^1024 блока).

/\ В случае, если безопасность CTR будет 2 ^ n (где n - размер ключа) в квантовом сценарии, будет ли у меня 2049-битная постквантовая безопасность с использованием режима CTR с 3 1024-ключами в режиме CTR?

kelalaka avatar
флаг in
$O(2^{n/2})$-запрос для машины Гровера. Для 128-битной квантовой атаки все еще проблематично, поскольку неясно, как будут обрабатываться запросы $2^{64}$ (учитывайте время установки). [Просто используйте 256-битные ключи и будьте в безопасности](https://crypto.stackexchange.com/q/76738/18298), и в этом случае нужно $2^{128}$ вызовов.
kelalaka avatar
флаг in
Более того, если вы используете режим CTR для шифрования диска, вы делаете это так же, как программы 20-летней давности. Проверьте [Теорию шифрования диска из Википедии] (https://en.wikipedia.org/wiki/Disk_encryption_theory). Просто используйте VeryCrypt и все в порядке?
phantomcraft avatar
флаг pf
@kelalaka Спасибо, это ответило на мой вопрос.
Рейтинг:0
флаг my

Я прочитал эту бумагу: https://eprint.iacr.org/2016/197

В нем говорится, что режимы CTR и OFB безопасны для квантовых противников.

Вы должны понимать предполагаемую модель атаки. Он предполагает сценарий, в котором злоумышленник может делать квантово-запутанные запросы к Oracle и получать обратно запутанные ответы; то, что они показывают, что даже в этом сценарии у злоумышленника нет значительного преимущества перед простой атакой самого базового блочного шифра [1].

Теперь, если у вас есть шифрование диска, а «запросы», которые разрешено делать злоумышленнику, — это изучение зашифрованного текста (состоящего из классических «0» и «1»), у него нет возможности предпринять такую ​​атаку, а так бумажка для вас совершенно не актуальна.


У меня есть внешний HD, полностью зашифрованный блочным шифром Threefish в режиме CTR с 3 уровнями 1024-битных ключей.

И как генерировать эти ключи? Если вы не сгенерируете их совершенно случайным образом и не сохраните в совершенно безопасном месте, у вас не будет такой безопасности, как вы думаете. Например, если вы создаете их на основе введенного пользователем пароля, то у вас не больше безопасности, чем то, что содержится в пароле.


[1]: я чувствую необходимость указать, что эта модель атаки кажется чрезвычайно надуманной; мы буквально не знаем, как сделать реализацию, которая позволила бы такую ​​атаку.

phantomcraft avatar
флаг pf
Я создаю свои ключи с помощью этой небольшой программы: https://github.com/sandy-harris/maxwell — я просто использую «параноидальный режим», который концентрирует энтропию в одном 1024-битном ключе; Я доверяю этому.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.