равнозначная криптостойкость

По какой формуле (или каково примерное соотношение если формулы нет) рассчитывается соотношение длины ключа для ассиметричных систем с длиной ключа для симметричных систем, для обеспечения равнозначной криптостойкости? :D Если предположить, что вскрытие шифр-информации будет проводиться только грубой силой, т.е. перебором ключей.

На страницу: 1, 2 След.

Комментарии

—	unknown (25/01/2005 08:49) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Нет такой формулы. Примерные соотношения носят эмпирический или еще хуже – умозрительный характер.

Если симметричный алгоритм считается стойким, то для него действительно нет никакого иного метода вскрытия кроме перебора (хотя это идеальный вариант).
В ассиметричных алгоритмах так не бывает. Методы, намного более эффективные чем "тупой" перебор есть всегда. Например, "методы решета" в факторизации чисел. Если скорость "перебора грубой силой" можно с погрешностью до порядка считать условно однинаковой для всех симметричных алгоритмов, то для ассим. она сильно зависит от выбранного метода.

Для RSA скорости методов растут относительно быстро, для эллиптических кривых медленно (пока).
Соотношения стойкости ассим./симм. ключей часто основаны просто на прогнозах специалистов. .

Можете почитать вот этот материал: http://www.pgpru.com/articles/crypto/keysize.shtml

Вот пример интересующей Вас таблицы:

http://crypto-r.narod.ru/glava4/glava4_6.html

Длина ключей симм./асимметричной криптосистемы, бит:

56/384

64/512

80/768

112/1792

128/2304

Но еще раз: эти таблицы условные и непостоянные.

—	unknown (27/01/2005 09:42) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Тоже, но с эллиптическими кривыми:

Block Cipher Keylength / RSA Key Length / EC Key Length
80 1024 160
112 2048 224
128 3072 256
192 7680 384
256 15360 512
Table 3: Comparison of EC vs RSA keylengths

PGP DH vs. RSA FAQ
Copyright © 1999 Sam Simpson – All Rights Reserved

—	Вий (08/02/2005 18:34) профиль/связь <#> комментариев: 510 документов: 110 редакций: 75

Не знаете, в ожидаемой версии 9 будут будут такие ключи, на эллиптических кривых? Насколько мне известно, в РФ уже действует ГОСТ от 2001 года (номер не знаю), где закреплен данный алгоритм.

—	SATtva (08/02/2005 18:46) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Предметное обсуждение ГОСТа идёт в другой теме. Пока же в ядре PGP реализован другой алгоритм на эллиптических кривых — ECC. Имейте в виду, хотя оба алгоритма — ECC и ГОСТ — основаны на операциях в группах эллиптических кривых, в действительности это разные алгоритмы. (Diffie-Hellman и Elgamal тоже, к примеру, оба основаны на дискретном логарифмировании в мультипликативной группе, но это не значит, что алгоритмы одинаковы.) Эллиптический ГОСТ используется только для цифровой подписи, ECC — для подписи и шифрования. Подключат ли его в девятой версии, я не знаю. Но может статься и так.

Только, ещё раз подчёркиваю, ECC не имеет никакого отношения к ГОСТу, о котором разговор особый. ECC не является рекомендованным в России алгоритмом. И, наконец, ECC запатентован компанией Certicom, поэтому, как и у IDEA, у него есть ряд ограничений на свободу использования, прежде всего, в коммерческой сфере.

—	*Гость* (26/01/2012 17:02) <#>

Эти патенты кого-то интересуют за пределами USA? На цифровую подпись, диффи-хеллман в эллиптических кривых они не распространяются?

—	unknown (26/01/2012 17:23, исправлен 26/01/2012 17:28) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

На всё. Они применили зонтик из более сотни патентов, запатентованы даже методы выбора точек для эллиптических кривых. После выкупа патентов АНБ и передачи в стандарты ситуация пока не улучшилась, а как-то подвисла — "минное поле" патентов. Упомянутая в вики альтернативная реализация DH от Бернштейна оценивается с осторожностью (т.к. не стандарт — то внедрять не хотят). Стандарты НИСТа также отсылают к разным организациям, которые могут предъявить права на ECC.

>Эти патенты кого-то интересуют за пределами USA

А кого-нибудь интересуют программы, не основанные на свободно поддерживаемых криптографических стандартах? Может конечно патентные страхи и преувеличены, но в проект Tor из-за этого пока не торопятся внедрять ECC (хотя очень было бы желательно для серверов).

—	*Гость* (26/01/2012 20:14) <#>

Эллиптические кривые есть же в openssl? Патенты кого-то интересуют за пределами USA? Иначе откуда в рашке стандарт на ЭК?

—	*Гость* (26/01/2012 22:52) <#>

патенты кого-то интересуют за пределами USA

Ну Samsung (Ю. Корея) же бодается со всякими Apple (USA) насчёт патентов и т.д. Подозреваю, что между развитыми государствами есть ряд соглашений о признании патентов — точно так же, как и о признании авторских прав.

—	sentaus (26/01/2012 23:00, исправлен 26/01/2012 23:01) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

Они бодаются в основном за американский рынок, это очень большой кусок пирога. Впрочем, в Южной Корее патенты на ПО тоже действуют. Ну и не забывайте, что с точки зрения американской юстиции вы попадаете в её сферу ответственности практически при любой деловой активности с резидентами США.

—	*Гость* (27/01/2012 00:27) <#>

Тор тором, но что мешает, например, настроить дистрибутив альтернативной прошивки для рутера на ЭК и написать "в Америке не качать", как в лицсоглашении на софт написано, что "программа содержит криптографию, в Иране и других странах оси зла пользоваться низзя!!!"? Или поставить его себе на сервер,если в опенссл он есть. Кстати, гугл включил у себя ECDHE.

—	unknown (27/01/2012 10:01, исправлен 27/01/2012 10:03) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Можно даже патентованные алгоритмы использовать (mp3 тоже был с непонятным патентным статусом, выкидывался из некоторых Linux-дистров и скачивался с отдельных зеркал). То же патентованное шифрование IDEA можно было скачать для GnuPG отдельно, что было актуально, когда выбор хороших свободных симметричных алгоритмов был невелик.

У тора понятно какие проблемы — переход на новое шифрование неизвестно как лучше плавно делать без шатдауна всей сети. И нельзя идти на риск профилирования пользователей по старым версиям, поэтому нельзя обеспечить обратную совместимость протокола. Если вдруг завтра скажут — всё-таки ECC патентно ограничить или появится новый гарантированно свободный стандарт, то не везде допустимо резко всё переделывать. В проектах типа Tor нельзя например резко менять алгоритмы или допускать применения разных параллельно.

Даже при том, что для свободных проектов риск судебных разбирательств невелик. Судятся обычно с тем, кто приводит к серьёзным убыткам или с кого можно получить прибыль (процесс Цертикома против Sony из-за ECC).

Просто, в отличие от коммерческих проектов, OpenSSL/GnuPG и пр. в случае чего могут безболезненно выпилить ECC обратно или вынести отдельным плагином в не US-зону как вы в качестве примера привели. Насколько это неудобно для пользователей — решать им самим. Если у кого-то например большая инфраструктура ключей и их нежелательно резко все менять — это их проблемы.

>Кстати, гугл включил у себя ECDHE.

Он не обеднеет, если надо будет как-то платить владельцам патентов за использование.

—	*Гость* (27/01/2012 20:16) <#>

Так почему же ее тогда не используют? Почему куча сайтов за пределами сшашки не используют шифрование вообще, когда есть ЭК?

>безболезненно выпилить ECC

Угу, и людям, которые его используют с ЭК, резко поплохеет.

—	*Гость* (27/01/2012 20:23) <#>

Еще обсуждение http://www.mail-archive.com/op.....sl.org/msg51385.html

—	*Гость* (27/01/2012 20:39) <#>

Даже манула не могу найти по настройке openssl с ECC.

—	*Гость* (27/01/2012 22:16) <#>

[offtopic]

> Даже манула не могу найти

"Погладь кота" в гугле.
[/offtopic]

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]