Сравнение стойкости SSL и ...
Добрый день!
Будьте добры, растолкуйте, насколько отличаются по криптостойкости решения на SSL и например, такого известного продукта, как PGP?
Конечно, понимаю, что это совершенно различные по способу использования и идеологии продукты, но ведь степени защиты данных, обеспечиваемых их протоколами, можно сравнивать?
И если да, то интересует сравнение криптостойкости современных SSL-3, TLS-1 и т.п. с максимальной длиной ключа (128, 256 и т.д.).
А если нет, то может где то есть данные по криптостойкости семейства протоколов SSL в виде, в котором любят приводить примеры типа "1000 компьютеров мощностью 100 МФлопс будут подобрать в течении 500 световых лет" и т.п.
Вообще, будут интересны любые сведения по стойкости SSL.
комментариев: 11558 документов: 1036 редакций: 4118
Ведь не зря же первое время 40-битный SSL полагался достаточно устойчивым, но жизнь внесла свои коррективы, и в обиход была запущена 128-битная версия. Вот и интересно – долго ли простоит этот бастион?
комментариев: 11558 документов: 1036 редакций: 4118
Не было такого. С середины девяностых (когда был создан SSL) и до 2001 г. экспортные версии браузеров содержали ограниченную версию SSL, где применялся шифр RC4 с 40-битовым ключом (формально, ключ был 128-битовым, но только 40 бит были случайными, а остальные — нулями). Обусловлено это было экспортными ограничениями криптотехнологий из США, а не какими-то техническими причинами. Так, версии браузеров, предназначенные для внутреннего рынка США, поддерживали нормальную длину ключа.
SSL — это параметризуемый протокол, а не алгоритм шифрования. Скажем, его применение с 512-битовым ключом RSA, хэшем MD5 и 40-битовым RC4 будет "несколько" отличаться от варианта с 4096-битовым RSA, SHA-1 и AES-256.
комментариев: 1060 документов: 16 редакций: 32
комментариев: 9796 документов: 488 редакций: 5664
Это вообще из области рекламы. Ну типа как сравнивают стиральные порошки, которые якобы отстирывают на 20% лучше. Хотя так просто это не сравнить.
В действительности сравнение криптостойкости протоколов очень сложное и в одну цифру или таблицу оно не поместится.
Протокол можно разбить на подпротоколы: шифрования, аутентификации. Уже нужно подумать над формальным описанием того насколько надёжно это сделано.
Затем для каждого подпротокола строится идеальная модель: "оракул". Затем пытаются перепробовать все виды нетривиальных атак, которые дают различитель между реальным протоколом и его оракулом. При том что различитель не позволяет сам по себе ничего вскрыть: это лишь мера вероятности, описывающая отличие между идеальной моделью и её реализацией.
Затем пытаются построить модели (полу) реальных атак. Считают, что на них потребуется столько-то шифртекстов, (известных, подобранных или ещё каких) открытых текстов и прочей информации. Считают сколько шагов нужно в виде операций в битах по сравнению с перебором грубой силой. Результат пишут в виде формулы с большим O.
Подпротоколы состоят ещё из режимов шифрования, заполнения и т.д.
И наконец, те самые алгоритмы уровнем ниже – "атомарные" криптографические примитивы: RSA, DH, AES.
В итоге в серьёзном теоретическом исследовании до таких простых и понятных цифр не доходят, потому что они ничего не значат и только вводят в заблуждение, если затраты на атаку нереально большие.
Вообще слишком конкретное заявление "нашу систему будут ломать n комьютеров за n миллионов лет" в ряде случаев это почти Ханаанский бальзам
Обычно в таких заявлениях не учитывается экспонентциальное увеличение мощьности компьютеров с течением времени.
Где-то даже видел рассчёты, что при этих условиях оптимальное время взлома любого шифра прямым перебором (при фиксированном бюжджете) – где-то два года. Просто надо начинать считать не сразу, а подождав некоторое время :)
Впрочем, в этих рассчётах не учитывалась инфляция, которая съедает бюджет, выделенный на вычисления...
Вобщем, криптография это ещё и экономика.
А это уже неприятно :-(
Получается, что нас обманывали, и верить тому, что отображается о длине ключа в About и других местах броузеров нельзя?
Это же вроде подтверждается и статьей "SSL: техника безопасного Web'а", где рекомендуется "укрепить" свой браузер:
http://offline.computerra.ru/1998/244/1259/
И для этого даже создана специальная утилита Fortify: http://www.fortify.net
Прокомментируйте эту информацию, пожалуйста.
комментариев: 9796 документов: 488 редакций: 5664
По крайней мере для симметричных шифров это абсолютно неверно
(Не обращайте внимание, что статья из устаревшего перевода, принципы в ней также верны, как и закон Мура и даже больше).
А как говорят "для тех ктов танке" эти ограничения были сняты ещё администрацией пр. США Клинтона, так что современные браузеры и ОС патчить не надо.
комментариев: 11558 документов: 1036 редакций: 4118
Эко загнули-то! У "любого шифра" какая длина ключа, 56 бит? Вот Вам информация к размышлению по теме.
Там писали (у Эксплорера по крайней мере, Нетскейпом я тогда не пользовался), что это экспортная версия и используется ключ с заниженной стойкостью.
В 98-ом году это было актуально, но сегодня ввиду практического отсутствия экспортных ограничений больше не имеет смысла.
комментариев: 11558 документов: 1036 редакций: 4118
хэш-значенийкомментариев? :-)Вы знаете, в таких вещах, как защита информации, все же хотелось бы большей уверенности, что используемый броузер соответствует заявленным характеристикам.
Существует ли независимый метод, программа и т.д. для точного определения, в каком именно крипторежиме работает/законнектился с сайтом используемый браузер?
комментариев: 1060 документов: 16 редакций: 32
А всеобщих методик нет. Впрочем, возможно часть информации можно получить путём анализа траффика при установлении соединения. Я точно не знаю, как это сделано в SSL, но думаю, что-то оттуда вытащить можно.
Насчет методик сторонними средствами – например, многие сниферы позволяют различить открытый http от закрытого https. Кроме того, в фазе хендшейка SSL-клиент и сервер обмениваются установочной информацией – может, в ней содержатся параметры протокола, который устанавливается?
А просто верить всяким там "About" – вы меня извините.... На заборе тоже бывает кое-что написано
Время "два года" получается чисто математически при существующих константах у закона Мура в области производителности.
Не более чем занимательный математический факт.
Пределы же роста вытекают из предположения, что процессор не может быть меньше, чем атом.
А вот помниться кто-то из классиков утверждал, что "электрон так же неисчерпаем, как и атом". Вы твёрдо уверены, что он ошибался? ;)