Jak silne jest szyfrowanie 256-bitowe?

„Tu jest napisane, że 256-bitowe szyfrowanie… czy to dobrze?”

Większość ludzi często spotyka się z określeniem 256-bitowe szyfrowanie i – jeśli mamy być szczerzy – nie ma pojęcia, co ono oznacza ani jak silne jest. Po wyjściu poza poziom powierzchniowy, „szyfruje dane i czyni je nieczytelnymi”, szyfrowanie jest niezwykle skomplikowanym tematem. To nie jest lekka lektura. Większość z nas nie trzyma książki o wykładaniu modułowym na stoliku obok łóżka.

Dlatego zrozumiałe jest, że może być trochę zamieszania, jeśli chodzi o siłę szyfrowania, co ona oznacza, co jest „dobre”, itd. Nie brakuje pytań dotyczących szyfrowania – a zwłaszcza szyfrowania 256-bitowego.

Główne z nich to: Jak silne jest szyfrowanie 256-bitowe?

Więc dzisiaj porozmawiamy właśnie o tym. Omówimy, czym w ogóle jest odrobina bezpieczeństwa, zapoznamy się z najczęstszą formą szyfrowania 256-bitowego i powiemy, co trzeba zrobić, aby złamać szyfrowanie o tej sile.

Porozmawiajmy o tym.

Szybkie odświeżenie na temat szyfrowania, ogólnie

Gdy coś szyfrujesz, bierzesz niezaszyfrowane dane, zwane tekstem jawnym, i wykonujesz na nich funkcję algorytmiczną, aby utworzyć kawałek zaszyfrowanego szyfrogramu. Algorytm, którego używasz, nazywany jest kluczem. Z wyjątkiem kluczy publicznych w szyfrowaniu asymetrycznym, wartość klucza szyfrowania musi być utrzymywana w tajemnicy. Klucz prywatny związany z tym fragmentem szyfrogramu jest jedynym praktycznym sposobem na jego odszyfrowanie.

Teraz to wszystko brzmi niezwykle abstrakcyjnie, więc posłużmy się przykładem. I nie będziemy się zajmować Bobem i Alice, ponieważ są oni zajęci wyjaśnianiem szyfrowania w dosłownie każdym innym przykładzie w Internecie.

Załóżmy, że Jack i Diane chcą wysłać Diane wiadomość o treści: „O tak, życie toczy się dalej”.

Jack weźmie swoją wiadomość i użyje algorytmu lub szyfru – klucza szyfrującego – aby zakodować wiadomość w szyfrogram. Teraz przekaże go Diane, wraz z kluczem, który może być użyty do odszyfrowania wiadomości, tak aby można ją było ponownie odczytać.

Dopóki nikt inny nie dostanie w swoje ręce klucza, szyfrogram jest bezwartościowy, ponieważ nie można go odczytać.

Jak działa współczesne szyfrowanie?

Jack i Diane właśnie zademonstrowali szyfrowanie w jego najbardziej podstawowej formie. Podczas gdy matematyka stosowana w prymitywnych szyfrach była dość prosta, ponieważ musiała być wykonywana przez człowieka, pojawienie się komputerów zwiększyło złożoność matematyki leżącej u podstaw współczesnych kryptosystemów, ale koncepcje są wciąż w dużej mierze takie same.

Klucz lub określony algorytm jest używany do szyfrowania danych, a odszyfrować je może tylko inna strona znająca powiązany klucz prywatny.

W tym przykładzie, zamiast pisemnej wiadomości, która ponuro stwierdza, że życie trwa nadal, nawet po utracie radości, Jack i Diane „robią co mogą” na komputerach (wciąż „trzymając się 16” – przepraszam, to są żarty Johna Mellencampa, które prawdopodobnie nie mają sensu poza USA). Teraz szyfrowanie, które ma się odbyć, jest cyfrowe.

Komputer Jacka użyje swojego klucza, który tak naprawdę jest niezwykle skomplikowanym algorytmem, który został wyprowadzony z danych współdzielonych przez urządzenia Jacka i Diane, do zaszyfrowania tekstu jawnego. Diane użyje odpowiadającego jej klucza symetrycznego do odszyfrowania i odczytania danych.

Ale co tak naprawdę jest szyfrowane? Jak zaszyfrować „dane?”

W oryginalnym przykładzie były to rzeczywiste litery na fizycznym kawałku papieru, które zostały zamienione w coś innego. Ale jak komputer szyfruje dane?

To wraca do sposobu, w jaki komputery faktycznie zajmują się danymi. Komputery przechowują informacje w formie binarnej. 1’s i 0’s. Wszelkie dane wprowadzane do komputera są kodowane w taki sposób, aby mogły być odczytane przez maszynę. To właśnie te zakodowane dane, w swojej surowej formie, są szyfrowane. Jest to właściwie część tego, co wchodzi w skład różnych typów plików używanych przez certyfikaty SSL/TLS, jest to częściowo zależne od tego, jaki schemat kodowania próbujesz zaszyfrować.

Więc komputer Jacka szyfruje zakodowane dane i przesyła je do komputera Diane, który używa powiązanego klucza prywatnego do odszyfrowania i odczytania danych.

Ponownie, tak długo jak klucz prywatny pozostaje, no wiesz… prywatny, szyfrowanie pozostaje bezpieczne.

Nowoczesne szyfrowanie rozwiązało największą historyczną przeszkodę w szyfrowaniu: wymianę kluczy. Historycznie, klucz prywatny musiał być fizycznie przekazywany. Bezpieczeństwo klucza polegało dosłownie na fizycznym przechowywaniu klucza w bezpiecznym miejscu. Kompromitacja klucza nie tylko sprawiała, że szyfrowanie stawało się bezużyteczne, ale także, że można było przez nią zginąć.

W latach 70-tych trio kryptografów, Ralph Merkle, Whitfield Diffie i Martin Hellman, rozpoczęło pracę nad sposobem bezpiecznego udostępniania klucza szyfrującego w niezabezpieczonej sieci z obserwującym napastnikiem. Udało im się to na poziomie teoretycznym, ale nie udało im się wymyślić asymetrycznej funkcji szyfrującej, która byłaby praktyczna. Nie mieli też mechanizmu uwierzytelniania (ale to już zupełnie inna rozmowa). Merkle wymyślił wstępną koncepcję, ale jego nazwisko nie jest kojarzone z wynalezionym przez nich protokołem wymiany kluczy – mimo protestów dwóch pozostałych twórców.

Około rok później Ron Rivest, Adi Shamir i Leonard Adleman stworzyli tytułową metodę wymiany kluczy opartą na wymianie kluczy Diffie-Hellmana (RSA), która zawierała również funkcje szyfrowania/deszyfrowania i uwierzytelniania. Jest to istotne, ponieważ były to narodziny zupełnie nowej iteracji szyfrowania: szyfrowania asymetrycznego.

Dali nam również wspomnianego wcześniej Boba i Alicję, co przynajmniej dla mnie czyni z tego coś w rodzaju prania.

W każdym razie, zrozumienie różnicy między szyfrowaniem symetrycznym i asymetrycznym jest kluczowe dla reszty tej dyskusji.

Szyfrowanie asymetryczne vs. Szyfrowanie symetryczne

Symetryczne szyfrowanie jest czasami nazywane szyfrowaniem z kluczem prywatnym, ponieważ obie strony muszą dzielić klucz symetryczny, który może być używany zarówno do szyfrowania, jak i odszyfrowywania danych.

Szyfrowanie asymetryczne z drugiej strony jest czasami nazywane szyfrowaniem z kluczem publicznym. Lepszym sposobem na myślenie o szyfrowaniu asymetrycznym może być myślenie o nim jak o szyfrowaniu jednokierunkowym.

W przeciwieństwie do obu stron dzielących klucz prywatny, istnieje para kluczy. Jedna strona posiada klucz publiczny, który może zaszyfrować, druga posiada klucz prywatny, który może odszyfrować.

Szyfrowanie symetryczne jest używane przede wszystkim jako mechanizm wymiany symetrycznych kluczy prywatnych. Jest ku temu powód, szyfrowanie asymetryczne jest historycznie droższą funkcją ze względu na rozmiar kluczy. Dlatego kryptografia klucza publicznego jest używana bardziej jako zewnętrzna ściana chroniąca strony podczas nawiązywania połączenia, podczas gdy szyfrowanie symetryczne jest używane w samym połączeniu.

2048-bitowe klucze vs. 256-bitowe klucze

W SSL/TLS szyfrowanie asymetryczne spełnia jedną, bardzo ważną funkcję. Pozwala klientowi zaszyfrować dane, które będą używane przez obie strony do uzyskania symetrycznych kluczy sesji, których będą używać do komunikacji. Nigdy nie można używać szyfrowania asymetrycznego do funkcjonalnej komunikacji. Podczas gdy klucz publiczny może być użyty do weryfikacji podpisu cyfrowego, nie może on całkowicie odszyfrować niczego, co szyfruje klucz prywatny, dlatego szyfrowanie asymetryczne nazywamy „jednokierunkowym”.

Ale większym problemem jest rozmiar klucza, który sprawia, że rzeczywiste funkcje szyfrowania i deszyfrowania są drogie pod względem zasobów procesora, które pochłaniają. Z tego powodu wiele większych organizacji i przedsiębiorstw, wdrażając SSL/TLS na skalę masową, odciąża handshake’i: aby zwolnić zasoby na serwerach aplikacji.

Zamiast tego używamy szyfrowania symetrycznego do faktycznej komunikacji, która ma miejsce podczas szyfrowanego połączenia. Klucze symetryczne są mniejsze i mniej kosztowne do obliczenia.

Więc, gdy widzisz, że ktoś wspomina o 2048-bitowym kluczu prywatnym, najprawdopodobniej ma na myśli klucz prywatny RSA. Jest to klucz asymetryczny. Musi on być wystarczająco odporny na ataki, ponieważ pełni tak krytyczną funkcję. Również dlatego, że wymiana kluczy jest najlepszym wektorem ataku na połączenie. O wiele łatwiej jest ukraść dane używane do tworzenia symetrycznego klucza sesji i obliczyć go samodzielnie, niż złamać klucz metodą brute force, gdy jest już w użyciu.

W związku z tym nasuwa się pytanie: „Jak silne JEST szyfrowanie 256-bitowe?”. Jeśli jest ono mniej wytrzymałe niż klucz 2048-bitowy, to czy nadal jest wystarczające? Zamierzamy odpowiedzieć na to pytanie, ale najpierw musimy omówić nieco więcej zagadnień, aby zapewnić odpowiedni kontekst.

Czym dokładnie jest „bit” bezpieczeństwa?

To naprawdę ważne, abyśmy omówili bity bezpieczeństwa i porównali siłę szyfrowania między algorytmami, zanim przejdziemy do praktycznej dyskusji o tym, jak silne jest 256 bitów bezpieczeństwa, ponieważ nie jest to porównanie 1:1.

Na przykład, 128-bitowy klucz AES, który jest połową obecnie zalecanej wielkości, jest mniej więcej równoważny 3072-bitowemu kluczowi RSA pod względem faktycznego bezpieczeństwa, jakie zapewnia.

Jest również ważne, aby zrozumieć różnicę między twierdzeniem o bezpieczeństwie a poziomem bezpieczeństwa.

• Powód bezpieczeństwa – Jest to poziom bezpieczeństwa, który kryptograficzny prymityw – szyfr lub funkcja haszująca, o której mowa – został początkowo zaprojektowany do osiągnięcia.
• Poziom bezpieczeństwa – Rzeczywista siła, którą prymityw kryptograficzny osiąga.

Jest to zwykle wyrażone w bitach. Bit jest podstawową jednostką informacji. Jest to właściwie portmanteau od „cyfry binarnej”, która jest zarówno niesamowicie wydajna, jak i nie tak wydajna. Jasne, łatwiej jest powiedzieć bit. Ale właśnie spędziłem cały akapit wyjaśniając, że bit to w zasadzie 1 lub 0 w systemie binarnym, podczas gdy oryginalny termin osiągnąłby to w dwóch słowach. Więc to ty decydujesz, czy jest to bardziej efektywne. W każdym razie, nie zamierzamy spędzić więcej czasu na binarnych niż już mamy, ale Ross napisał świetny artykuł na ten temat kilka miesięcy temu, który powinieneś sprawdzić.

Anyway, poziom bezpieczeństwa i roszczenie bezpieczeństwa są zwykle wyrażane w bitach. W tym kontekście, bity bezpieczeństwa, nazwijmy to (n), odnoszą się do liczby operacji, które atakujący musiałby hipotetycznie wykonać, aby odgadnąć wartość klucza prywatnego. Im większy klucz, tym trudniej jest go odgadnąć/zdemaskować. Pamiętajmy, że klucz ten składa się z 1s i 0s, więc istnieją dwie potencjalne wartości dla każdego bitu. Atakujący musiałby wykonać 2n operacji, aby złamać klucz.

To może być trochę zbyt abstrakcyjne, więc oto szybki przykład: Powiedzmy, że istnieje klucz 2-bitowy. Oznacza to, że będzie on miał 22 (4) wartości.

To byłoby banalnie proste do złamania przez komputer, ale kiedy zaczynamy wchodzić w większe rozmiary kluczy, staje się to niewiarygodnie trudne dla współczesnego komputera, aby poprawnie odgadnąć wartość klucza prywatnego w rozsądnym czasie.

Ale zanim przejdziemy do matematyki, wróćmy do kwestii securityclaim vs. security level

Security Claim vs. Security Level

Typowo, gdy widzisz szyfrowanie na rynku, widzisz reklamę Security Claim. Jest to poziom bezpieczeństwa, jaki byłby w optymalnych warunkach. Zamierzamy odnieść to do SSL/TLS i PKI, ale procent czasu, w którym optymalne warunki są obecne, jest daleki od 100%. Błędne konfiguracje są powszechne, podobnie jak utrzymywanie wsparcia dla starszych wersji SSL/TLS i przestarzałych zestawów szyfrów dla dobra interoperacyjności.

W kontekście SSL/TLS, kiedy klient wchodzi na stronę internetową, ma miejsce handshake, w którym obie strony określają wspólnie uzgodniony zestaw szyfrów do użycia. Siła szyfrowania, którą faktycznie otrzymamy, zależy od parametrów ustalonych podczas handshake’u, jak również od możliwości samego serwera i klienta.

Czasami 256-bitowe szyfrowanie zapewnia tylko poziom bezpieczeństwa 128 bitów. Jest to szczególnie powszechne w przypadku algorytmów haszujących, które mierzą odporność na dwa różne rodzaje ataków:

• Kolizje – Gdy dwa różne kawałki danych wytwarzają tę samą wartość haszującą, nazywa się to kolizją i łamie algorytm.
• Odporność na PreImage – Jak odporny jest algorytm na exploit, w którym atakujący próbuje znaleźć wiadomość z określoną wartością hash.

Więc, na przykład, SHA-256 ma odporność na kolizje 128 bitów (n/2) , ale odporność na PreImage 256 bitów. Oczywiście, hashowanie różni się od szyfrowania, ale istnieje również wiele podobieństw, które sprawiają, że warto o tym wspomnieć.

Więc, jak silne jest szyfrowanie 256-bitowe?

Znowu, to zależy od algorytmu, którego używasz, i różni się w zależności od szyfrowania asymetrycznego do symetrycznego. Jak już powiedzieliśmy, nie są to porównania 1:1. W rzeczywistości, poziom bezpieczeństwa szyfrowania asymetrycznego nie jest tak naprawdę tak naukowy, jak mogłoby się wydawać. Szyfrowanie asymetryczne opiera się na problemach matematycznych, które są łatwe do wykonania w jedną stronę (szyfrowanie), ale niezwykle trudne do odwrócenia (deszyfrowanie). Z tego powodu, ataki na asymetryczne kryptosystemy z kluczem publicznym są zwykle znacznie szybsze niż poszukiwania przestrzeni klucza metodą brute-force, które nękają symetryczne schematy szyfrowania z kluczem prywatnym. Tak więc, gdy mówisz o poziomie bezpieczeństwa kryptografii z kluczem publicznym, nie jest to ustalona liczba, ale obliczenie twardości obliczeniowej implementacji przeciwko najlepszemu, najbardziej obecnie znanemu atakowi.

Symetryczne szyfrowanie jest nieco łatwiejsze do obliczenia ze względu na naturę ataków, przed którymi muszą się bronić.

Spójrzmy więc na AES czyli Advanced Encryption Standard, który jest powszechnie używany jako szyfr zbiorczy w SSL/TLS. Szyfry zbiorcze są symetrycznymi kryptosystemami, które faktycznie zajmują się zabezpieczaniem komunikacji, która ma miejsce podczas szyfrowanego połączenia HTTPS.

Są historycznie dwa smaki: szyfry blokowe i szyfry strumieniowe.

Szyfry blokowe rozbijają wszystko co szyfrują na bloki wielkości klucza i szyfrują je. Odszyfrowanie polega na połączeniu bloków z powrotem. A jeśli wiadomość jest zbyt krótka lub zbyt długa, co ma miejsce w większości przypadków, musi zostać rozbita i/lub wypełniona wyrzuconymi danymi, aby nadać jej odpowiednią długość. Ataki paddingowe są jednym z najczęstszych zagrożeń dla SSL/TLS.

TLS 1.3 pozbył się tego stylu masowego szyfrowania właśnie z tego powodu, teraz wszystkie szyfry muszą być ustawione na tryb strumieniowy. Szyfry strumieniowe szyfrują dane w pseudolosowych strumieniach o dowolnej długości, są one uważane za łatwiejsze do wdrożenia i wymagają mniej zasobów. TLS 1.3 pozbył się również niektórych niepewnych szyfrów strumieniowych, takich jak RC4.

Więc, krótko mówiąc, obecnie istnieją tylko dwa sugerowane szyfry strumieniowe, AES i ChaCha20. Skupimy się teraz na AES, ponieważ ChaCha20 to zupełnie inne zwierzę.

GCM oznacza Galois Counter Mode, który pozwala AES – który jest w rzeczywistości szyfrem blokowym – działać w trybie strumieniowym. CCM jest podobny, łącząc tryb licznika z funkcjami uwierzytelniania wiadomości.

Jak pokazaliśmy, można faktycznie bezpiecznie uruchomić AES w GCM lub CCM z 128-bitowymi kluczami i być w porządku. Otrzymasz odpowiednik 3072-bitowego RSA pod względem poziomu bezpieczeństwa. Zazwyczaj jednak sugerujemy stosowanie kluczy 256-bitowych, aby zachować maksymalną twardość obliczeniową przez jak najdłuższy okres czasu.

Spójrzmy więc na te 256-bitowe klucze. Klucz 256-bitowy może mieć2256 możliwych kombinacji. Jak wspomnieliśmy wcześniej, klucz dwubitowy miałby cztery możliwe kombinacje (i byłby łatwy do złamania przez dwubitowca). Mamy tu jednak do czynienia z wykładaniem, więc za każdym razem, gdy podnosimy wykładnik, n, zwiększamy szalenie liczbę możliwych kombinacji. 2256 to 2 x 2, x 2, x 2… 256 razy.

Jak już wspomnieliśmy, najlepszym sposobem na złamanie klucza szyfrowania jest 'brute-forcing,' który jest w zasadzie tylko próbą & błędu w prostych słowach. Tak więc, jeśli długość klucza jest 256-bitowa, byłoby 2256 możliwych kombinacji, a haker musi wypróbować większość z 2256 możliwych kombinacji, zanim dojdzie do wniosku. Prawdopodobnie nie zajmie to wszystkich prób, aby odgadnąć klucz – zwykle jest to około 50% – ale czas, jaki byłby potrzebny, aby to zrobić, trwałby znacznie dłużej niż jakakolwiek ludzka żywotność.

256-bitowy klucz prywatny będzie miał 115,792,089,237,316,195,423,570,985,008,687,907,853,269,
984,665,640,564,039,457,584,007,913,129,639,936 (to 78 cyfr) możliwych kombinacji. Żaden superkomputer na Ziemi nie jest w stanie złamać tej liczby w rozsądnym czasie.

Nawet jeśli użyjesz Tianhe-2 (MilkyWay-2), najszybszego superkomputera na świecie, złamanie 256-bitowego szyfru AES zajmie miliony lat.

Ta liczba jeszcze bardziej wzrasta, gdy spróbujesz dowiedzieć się, ile czasu zajęłoby sfałszowanie klucza prywatnego RSA. Według DigiCert, obliczenie 2048-bitowego klucza RSA zajęłoby 6,4 kwadryliona lat (6 400 000 000 000 000 000 lat).

Nikt nie ma tyle czasu.

Obliczenia kwantowe zmienią to wszystko

Teraz byłoby to dobre miejsce, aby porozmawiać trochę o szyfrowaniu kwantowym i zagrożeniu, jakie stanowi ono dla naszych nowoczesnych prymitywów kryptograficznych. Jak już wspomnieliśmy, komputery pracują w systemie binarnym. 1’s i 0’s. A sposób działania bitów w nowoczesnych komputerach polega na tym, że muszą one mieć znaną wartość, są albo 1 albo 0. Kropka. Oznacza to, że nowoczesny komputer może zgadywać tylko raz na raz.

Oczywiście, to poważnie ogranicza jak szybko może wymuszać kombinacje w celu złamania klucza prywatnego.

Quantum Computers nie będą miały takich ograniczeń. Teraz, dwie rzeczy, po pierwsze, obliczenia kwantowe są nadal około 7-10 lat od opłacalności, więc wciąż jesteśmy daleko. Niektóre firmy, takie jak DigiCert, zaczęły umieszczać cyfrowe certyfikaty post-kwantowe na urządzeniach IoT, które będą miały długi czas życia, aby spróbować wstępnie zabezpieczyć je przed obliczeniami kwantowymi, ale poza tym nadal jesteśmy w fazie badań, jeśli chodzi o szyfrowanie odporne na kwanty.

Problem polega na tym, że komputery kwantowe nie używają bitów, ale bitów kwantowych lub qubitów. Bit kwantowy może być zarówno 1, jak i 0 dzięki zasadzie zwanej superpozycją, która jest nieco bardziej skomplikowana, niż zamierzamy dzisiaj. Qubity dają komputerom kwantowym moc wykładania ich ataków brute force, co skutecznie niweluje twardość obliczeniową zapewnioną przez wykładanie, które miało miejsce w prymitywie kryptograficznym. Komputer o czterech Qubitach może efektywnie znajdować się w czterech różnych pozycjach (22) jednocześnie. Ponownie jest to 2n, więc komputer kwantowy z n qubitami może wypróbować 2n kombinacji jednocześnie. Bristlecone, który ma 72 qubity, może wypróbować 272 (4,722,366,482,869,645,213,696) wartości na raz.

Ale nadal jesteśmy daleko od tego i komputer kwantowy musiałby dowiedzieć się, jak skutecznie uruchomić algorytm Shora, inny temat na inny dzień, więc jest to nadal w dużej mierze teoretyczne.

Nadal, nagle 4,6 kwadryliona lat nie wydaje się tak długim czasem.

Zwińmy to…

256-bitowe szyfrowanie jest dość standardowe w 2019 roku, ale zawsze wzmianka o 256-bitowym szyfrowaniu nie odnosi się do tej samej rzeczy. Czasami256-bitowe szyfrowanie wznosi się tylko do poziomu bezpieczeństwa 128 bitów. Czasami rozmiar klucza i poziom bezpieczeństwa są nierozerwalnie związane, podczas gdy innym razem jeden jest po prostu używany do przybliżenia drugiego.

Więc odpowiedź na pytanie „jak silne jest szyfrowanie 256 bitowe” nie jest jednoznaczna. Przynajmniej nie przez cały czas.

W kontekście SSL/TLS, najczęściej odnosi się do szyfrowania AES, gdzie 256 bitów naprawdę oznacza 256 bitów. I, przynajmniej na razie, to 256-bitowe szyfrowanie jest nadal bardzo silne.

Do czasu, gdy napastnik korzystający z nowoczesnego komputera będzie w stanie złamać 256-bitowy klucz symetryczny, nie tylko zostanie on wyrzucony, ale prawdopodobnie wymienisz również certyfikat SSL/TLS, który pomógł go wygenerować.

Długo by opowiadać, największym zagrożeniem dla Twojego szyfrowania i kluczy szyfrujących jest nadal niewłaściwe zarządzanie, a technologia, która za nimi stoi, jest solidna.