можно ли избежать обмена асимметричными ключами?


"цепь на столько слаба, на сколько слабо ее самое слабое звено", гласит масса FAQов и статей. Также многие из них гласят, что одним из самых уязвимых звеньев в криптосистеме PGP является шифрование ключа симметричного алгоритма с помощью RSA для последующей пересылки с криптотекстом. Так, чтобы зашифровать ключ со степенью стойкости, эквиволентной 256 битному AES, необходимо использовать длину RSA ключа около 15 тыс.(!) бит. Зато ключи асимметричного алгоритма можно рассылать по не защищенным каналам связи. Пожалуйста, поправьте меня, если я что-то понял не верно.
Вопрос: допустим, я имею возможность передать своему адресату симметричный ключ лично, т.е. используя абсолютно безопасный канал связи. Следовательно, необходимость в исползовании пары открытый/закрытый ключ отпадает. В указанных обстоятельствах, целесообразно и возможно ли "заставить" PGP использовать определенный симметричный ключ (естественно, не вкладывая его в сообщение), без вовлечения в процесс RSA?
Заранее благодарю.

Комментарии
— SATtva (19/07/2008 10:04)   
Использование только симметричного шифрования полезно лишь в одном случае: если Вы имеете дело со сверхсекретными данными и опасаетесь квантовых криптоанализаторов. (Я лично не склонен полагать, что эффективный квантовый компьютер, пригодный для криптоанализа, соберут на моём веку.) В противном случае это глупость и перестраховка.

возможно ли "заставить" PGP использовать определенный симметричный ключ (естественно, не вкладывая его в сообщение), без вовлечения в процесс RSA?

Можно, это называется Conventional encryption, обычное шифрование с помощью пароля. Вы вводите пароль (он, разумеется, должен быть максимально сложным, в идеале — просто случайный набор символов), PGP преобразует его в симметричный ключ и шифрует им сообщение.[1]

Если между Вами и корреспондентом есть реальный надёжный канал (скажем, если Вы периодически встречаетесь), то такой подход нормален.

Зато ключи асимметричного алгоритма можно рассылать по не защищенным каналам связи.

Одна ремарка: рассылать можно, но для аутентификации этих ключей Вам всё равно понадобится защищённый канал. В то же время, этапа непосредственной аутентификации можно избежать, если ключ заверен[link1] доверенной подписью.

[1] На самом деле, в этой схеме два симметричных ключа. Один — сеансовый случайный, как и в схеме асимметричного шифрования, который шифрует само сообщение. Второй — не совсем случайный, но тоже симметричный, вычисляемый из пароля, который шифрует сеансовый ключ. Впрочем, это уже механика OpenPGP.
Гость (22/07/2008 16:43)   
По теме асимметрика vs симметрика ещё можно указать такой факт: сравните возраст известных на данное время и считающихся стойкими асимметричных алгоитмов и симметричных. Сравнение будет в пользу первых. Сейчас активно разрабатываются методы криптоанализа, которые со дня на день могут понизить полагаемую стойкость симметричных алгоритмов. В то же время я не слышал ничего про атаки на простую как две капли воды схему RSA (для сравнения, вспомните насколько сложны современные симметричные шифры, типа того же ШнаерФиш и прочих).
— SATtva (22/07/2008 16:52, исправлен 22/07/2008 16:56)   
сравните возраст известных на данное время и считающихся стойкими асимметричных алгоитмов и симметричных. Сравнение будет в пользу первых.

Одноразовый блокнот изобрели в 1917-м. ;-) Это, конечно, не совсем корректное сравнение, зато DES (и 3DES, соответственно), изобретённый в 75-м — вполне. Какие претензии к его стойкости?

В то же время я не слышал ничего про атаки на простую как две капли воды схему RSA

А субэкспоненциальное решето числового поля?

Ну и я бы, пожалуй, не сравнивал симметричные алгоритмы и алгоритмы с открытым ключом, когда дело касается шифрования больших объёмов данных: ни по скорости, ни по безопасности.
— unknown (22/07/2008 17:23)   
Кстати, алгебраический криптоанализ работает и против DES и против RSA, только непонятно когда он будет против них эффективен.

Ссылки
[link1] https://www.pgpru.com/biblioteka/osnovy/setjdoverija