Сравнение стойкости SSL и ...

Оба протокола, SSL и OpenPGP, разрабатывались профессионалами со знанием дела, так что сравнивать их особого смысла нет. Лучше задумайтесь о надёжности реализаций. К примеру, в одной из версий MS Outlook была уязвимость, позволявшая подменить SSL-сертификат сервера (если пользователь получал почту по защищённому соединению) и остаться незамеченным — программа не выдавала предупреждение.

Да-да, это понятно. И все же – неужели не существует кроме качественной, конкретная количественная оценка криптостойкости SSL/TLS?

Ведь не зря же первое время 40-битный SSL полагался достаточно устойчивым, но жизнь внесла свои коррективы, и в обиход была запущена 128-битная версия. Вот и интересно – долго ли простоит этот бастион?

Ведь не зря же первое время 40-битный SSL полагался достаточно устойчивым

Не было такого. С середины девяностых (когда был создан SSL) и до 2001 г. экспортные версии браузеров содержали ограниченную версию SSL, где применялся шифр RC4 с 40-битовым ключом (формально, ключ был 128-битовым, но только 40 бит были случайными, а остальные — нулями). Обусловлено это было экспортными ограничениями криптотехнологий из США, а не какими-то техническими причинами. Так, версии браузеров, предназначенные для внутреннего рынка США, поддерживали нормальную длину ключа.

И все же – неужели не существует кроме качественной, конкретная количественная оценка криптостойкости SSL/TLS?

SSL — это параметризуемый протокол, а не алгоритм шифрования. Скажем, его применение с 512-битовым ключом RSA, хэшем MD5 и 40-битовым RC4 будет "несколько" отличаться от варианта с 4096-битовым RSA, SHA-1 и AES-256.

Итак, если я правильно понял, конкретики здесь не ожидается?

Пока вы не конкретизируете вопрос хотя бы на уровень ниже – до алгоритмов, ответить будет трудно...

А если нет, то может где то есть данные по криптостойкости семейства протоколов SSL в виде, в котором любят приводить примеры типа "1000 компьютеров мощностью 100 МФлопс будут подобрать в течении 500 световых лет" и т.п.

Это вообще из области рекламы. Ну типа как сравнивают стиральные порошки, которые якобы отстирывают на 20% лучше. Хотя так просто это не сравнить.

В действительности сравнение криптостойкости протоколов очень сложное и в одну цифру или таблицу оно не поместится.

Протокол можно разбить на подпротоколы: шифрования, аутентификации. Уже нужно подумать над формальным описанием того насколько надёжно это сделано.

Затем для каждого подпротокола строится идеальная модель: "оракул". Затем пытаются перепробовать все виды нетривиальных атак, которые дают различитель между реальным протоколом и его оракулом. При том что различитель не позволяет сам по себе ничего вскрыть: это лишь мера вероятности, описывающая отличие между идеальной моделью и её реализацией.

Затем пытаются построить модели (полу) реальных атак. Считают, что на них потребуется столько-то шифртекстов, (известных, подобранных или ещё каких) открытых текстов и прочей информации. Считают сколько шагов нужно в виде операций в битах по сравнению с перебором грубой силой. Результат пишут в виде формулы с большим O.

Подпротоколы состоят ещё из режимов шифрования, заполнения и т.д.

И наконец, те самые алгоритмы уровнем ниже – "атомарные" криптографические примитивы: RSA, DH, AES.

В итоге в серьёзном теоретическом исследовании до таких простых и понятных цифр не доходят, потому что они ничего не значат и только вводят в заблуждение, если затраты на атаку нереально большие.

Вообще слишком конкретное заявление "нашу систему будут ломать n комьютеров за n миллионов лет" в ряде случаев это почти Ханаанский бальзам

нашу систему будут ломать n комьютеров за n миллионов лет

Обычно в таких заявлениях не учитывается экспонентциальное увеличение мощьности компьютеров с течением времени.

Где-то даже видел рассчёты, что при этих условиях оптимальное время взлома любого шифра прямым перебором (при фиксированном бюжджете) – где-то два года. Просто надо начинать считать не сразу, а подождав некоторое время :)
Впрочем, в этих рассчётах не учитывалась инфляция, которая съедает бюджет, выделенный на вычисления...

Вобщем, криптография это ещё и экономика.

%до 2001 г. экспортные версии браузеров содержали ограниченную версию SSL, где применялся шифр RC4 с 40-битовым ключом (формально, ключ был 128-битовым, но только 40 бит были случайными, а остальные — нулями)%

А это уже неприятно :-(
Получается, что нас обманывали, и верить тому, что отображается о длине ключа в About и других местах броузеров нельзя?

Это же вроде подтверждается и статьей "SSL: техника безопасного Web'а", где рекомендуется "укрепить" свой браузер:

http://offline.computerra.ru/1998/244/1259/

И для этого даже создана специальная утилита Fortify: http://www.fortify.net

Прокомментируйте эту информацию, пожалуйста.

Где-то даже видел рассчёты, что при этих условиях оптимальное время взлома любого шифра прямым перебором (при фиксированном бюжджете) – где-то два года.

По крайней мере для симметричных шифров это абсолютно неверно

(Не обращайте внимание, что статья из устаревшего перевода, принципы в ней также верны, как и закон Мура и даже больше).

Это же вроде подтверждается и статьей "SSL: техника безопасного Web'а", где рекомендуется "укрепить" свой браузер:

[WWW] http://offline.computerra.ru/1998/244/1259/

И для этого даже создана специальная утилита Fortify: [WWW] http://www.fortify.net

Прокомментируйте эту информацию, пожалуйста.

А как говорят "для тех ктов танке" эти ограничения были сняты ещё администрацией пр. США Клинтона, так что современные браузеры и ОС патчить не надо.

Где-то даже видел рассчёты, что при этих условиях оптимальное время взлома любого шифра прямым перебором (при фиксированном бюжджете) – где-то два года.

Эко загнули-то! У "любого шифра" какая длина ключа, 56 бит? Вот Вам информация к размышлению по теме.

Получается, что нас обманывали, и верить тому, что отображается о длине ключа в About и других местах броузеров нельзя?

Там писали (у Эксплорера по крайней мере, Нетскейпом я тогда не пользовался), что это экспортная версия и используется ключ с заниженной стойкостью.

Это же вроде подтверждается и статьей "SSL: техника безопасного Web'а", где рекомендуется "укрепить" свой браузер ... Прокомментируйте эту информацию, пожалуйста.

В 98-ом году это было актуально, но сегодня ввиду практического отсутствия экспортных ограничений больше не имеет смысла.

unknown, снова коллизия хэш-значений комментариев? :-)

так что современные браузеры и ОС патчить не надо

Вы знаете, в таких вещах, как защита информации, все же хотелось бы большей уверенности, что используемый броузер соответствует заявленным характеристикам.

Существует ли независимый метод, программа и т.д. для точного определения, в каком именно крипторежиме работает/законнектился с сайтом используемый браузер?

Вы можете проанализировать исходный код браузера, чтобы убедиться, что он пишет правду о свойствах соединения. :) Или доверять производителю.

А всеобщих методик нет. Впрочем, возможно часть информации можно получить путём анализа траффика при установлении соединения. Я точно не знаю, как это сделано в SSL, но думаю, что-то оттуда вытащить можно.

Броузеров много, и проанализировать их все вы не сможете. Или я ошибаюсь? :-)

Насчет методик сторонними средствами – например, многие сниферы позволяют различить открытый http от закрытого https. Кроме того, в фазе хендшейка SSL-клиент и сервер обмениваются установочной информацией – может, в ней содержатся параметры протокола, который устанавливается?

А просто верить всяким там "About" – вы меня извините.... На заборе тоже бывает кое-что написано

Если прямой перебор будет занимать более двух лет, то имеет смысл подождать до тех пор, пока этот срок не сократиться до двух лет, чем начинать сразу на существующих мощностях, поскольку иначе вас обгонят те, кто начнёт позже на появившихся к тому времени более быстрых (за ту же цену) компьютерах.
Время "два года" получается чисто математически при существующих константах у закона Мура в области производителности.
Не более чем занимательный математический факт.

Пределы же роста вытекают из предположения, что процессор не может быть меньше, чем атом.
А вот помниться кто-то из классиков утверждал, что "электрон так же неисчерпаем, как и атом". Вы твёрдо уверены, что он ошибался? ;)