标记为“密码学”的条目

第45页第1页

新澳大利亚后门法

上周,澳大利亚 通过 法律 这个政府在计算机和通信系统中要求后门的能力。细节还在待界定但是 它的 真正地 坏的.

注意:很多人给我发电子邮件问我为什么还没有写博客。一,我忙于其他事情。二,我没什么好说的以前很多次。

如果有更多好的链接或评论,188滚球网站请在评论中发表。188滚球网站

编辑添加(12/13):澳大利亚政府 响应有点尴尬。

12月12日发布,2018年上午9:18·查看评论188滚球网站

更多关于加密和后门的五眼声明

本月早些时候,我写关于五眼国家关于加密和后门的声明。(简短的总结:他们喜欢他们。)关于这个声明的一个奇怪之处是它是从执法的角度清楚地写出来的,尽管我们通常认为五只眼睛是情报机构的联合体。

苏珊·兰多检查声明的细节,解释发生了什么,为什么这句话要比它看起来的要少得多。

10月1日发布,2018年上午6:22·查看评论188滚球网站

PKCS 1数字签名安全性证据

这是一项有趣的研究:“关于PKCS 1 v1.5签名方案的安全性“:

文摘:RSA PKCS 1 v1.5签名算法是实践中使用最广泛的数字签名方案。它的两个主要优点是其极为简单,这使得它很容易实现,而且签名验证比DSA或ECDSA快得多。尽管RSA PKC 1 v1.5签名具有巨大的实际重要性,为他们的安全提供正式的证据,基于合理的密码硬度假设,结果证明是非常困难的。因此,最新版本的PKCS 1(RFC 8017)甚至建议更换更复杂、效率更低的方案RSA-PSS,因为它可以证明是安全的,因此被认为更坚固。主要障碍是RSA PKC 1 v1.5签名使用了确定性填充方案,这使得标准证明技术不适用。

我们引入了一种新技术,使RSA-PKCS 1 v1.5签名的第一个安全证明成为可能。在标准RSA假设下,我们证明了对自适应选择消息攻击(euf-cma)的完全不可生存性。此外,我们在phi隐藏假设下给出了严格的证明。这些证明是随机的Oracle模型,参数与标准使用略有偏差。因为我们需要更大的哈希函数输出长度。然而,我们还演示了如何在实践中实例化RSA-PKCS 1 v1.5签名,以便应用我们的安全证明。

为了更全面地了解RSA PKC 1 v1.5签名的精确安全性,我们在标准模型中也给出了安全性证明,但对于较弱的攻击者模型(仅关键攻击),并基于已知的复杂性假设。我们工作的主要结论是,从可证明的安全角度来看,RSA PKC 1 v1.5可以安全使用,如果哈希函数的输出长度被适当地选择。

我不认为该协议“可以证明是安全的”,这意味着它不能有任何漏洞。本文证明了在证明模型下不存在漏洞。而且,更重要的是,PKCS 1 v1.5和它的继承者一样安全RSA-PSSRSA全域.

9月25日发布,2018年上午6:50·查看评论188滚球网站

量子计算与密码学

量子计算是一种新的计算方法,它允许人类使用当今的计算技术进行根本不可能的计算。它允许快速搜索,这会破坏我们今天使用的一些加密算法。它使我们能够很容易地将大量的数据任何密钥长度都会破坏RSA密码系统。

这就是密码学工作者努力设计和分析“抗量子”公钥算法的原因。目前,量子计算对于密码学家来说太幼稚了,无法确定什么是安全的,什么是不安全的。但即使假设外星人已经充分开发了这项技术,量子计算并不意味着密码术的世界末日。对称密码学很容易使量子抵抗,我们正在研究抗量子公钥算法。如果基于我们的数学知识和计算能力,公钥密码最终成为一种暂时的异常,我们还可以活下去。如果一些无法想象的外星技术能破解所有的密码术,我们仍然可以根据信息理论进行保密——尽管有很大的能力损失。

在其核心,密码学依赖于数学上的怪癖,有些事情做起来比撤销容易。就像打碎一个盘子比把所有的碎片粘在一起容易一样,把两个素数相乘得到一个大的数要比把这个大的数乘以两个素数容易得多。这种不对称——单向函数和陷阱门单向函数——构成了所有密码学的基础。

要加密消息,我们把它和密钥结合起来形成密文。没有钥匙,逆转这一过程更加困难。不仅仅是有点困难,但天文上更难。现代加密算法速度如此之快,它们可以确保整个硬盘驱动器的安全,而不会出现任何明显的减速,但在宇宙热死之前,这种加密是不能被打破的。

使用对称加密——用于加密消息的那种,文件夹,驱动——这种不平衡是指数级的,当钥匙变大时会被放大。添加一位密钥会使加密的复杂性增加不到百分之一(我在这里手舞足蹈),但会使破坏成本增加一倍。所以一个256位的密钥可能看起来只有128位密钥的两倍复杂,但是(根据我们目前的数学知识),它是340282366920938463463374607431768211456倍更难打破。

公钥加密(主要用于密钥交换)和数字签名更加复杂。因为它们依赖于复杂的数学问题,如因子分解,有更多的潜在技巧来逆转它们。所以您将看到rsa的密钥长度为2048位,以及384位用于基于椭圆曲线的算法。再来一次,虽然,用这些关键长度反转算法的成本已经超出了人类目前的范围。

这种单向性是基于我们的数学知识。当你听说一个密码破译者“破坏”了一个算法,他们发现了一个新的技巧,使倒车更容易。密码学家一直在发现新的技巧,这就是为什么我们倾向于使用比严格必要更长的密钥长度。对称和公钥算法都是如此;我们正在努力证明他们的未来。

量子计算机承诺会推翻许多这一点。因为他们的工作方式,它们擅长于逆转这些单向函数所需的各种计算。对于对称密码术,这还不错。格罗弗的算法表明,量子计算机可以加速这些攻击,从而有效地将密钥长度减半。这意味着256位密钥对量子计算机的强度与128位密钥对传统计算机的强度相同;在可预见的未来,两者都是安全的。

对于公钥密码,结果更糟。Shor算法可以很容易地打破所有常用的基于因子分解和离散对数问题的公钥算法。将密钥长度加倍会增加8倍的中断难度。可持续发展的优势还不够。

这两段有很多注意事项,其中最大的是目前还不存在能够做这种事情的量子计算机,没有人知道什么时候——或者即使是——我们能够建造一个。我们也不知道,当我们试图实现Grover或Shor的算法时,除了玩具键大小以外,还会出现什么样的实际困难。(量子计算机上的错误修正很容易是一个无法克服的问题。)另一方面,一旦人们开始使用实际的量子计算机,我们不知道还会发现什么其他技术。我敢打赌,我们将克服工程挑战,而且将会有许多新的技术和进步,但它们需要时间来发现和发明。就像我们花了几十年才把超级计算机放进口袋里一样,建造足够大的量子计算机需要几十年的时间来解决所有的工程问题。

在短期内,密码学家们正在努力设计和分析量子电阻算法,而且这些措施可能会在数十年内保持安全。这是一个必然的缓慢过程,因为好的密码分析转换标准需要时间。幸运的是,我们有时间。实际的量子计算似乎总是“未来十年”,这意味着没有人知道。

之后,虽然,这些算法总是有可能落入拥有更好量子技术的外星人手中。我不太担心对称密码术,格罗弗算法基本上是量子改进的上限,比我所说的基于数论的公钥算法,感觉更脆弱。量子计算机有可能有一天会将它们全部破坏,即使是今天的量子电阻。

如果发生这种情况,我们将面临一个没有强大的公钥密码技术的世界。这将是对安全的巨大打击,并会破坏我们目前所做的许多事情,但我们可以适应。在20世纪80年代,Kerberos是一个全对称的身份验证和加密系统。最近,GSM蜂窝标准只使用对称加密技术进行认证和密钥分发(按比例)。对,这些系统有集中的信任点和失败点,但有可能设计其他同时使用秘密拆分和秘密共享的系统,以将这种风险降到最低。(想象一下,两个通信者从五个不同的密钥服务器中的每一个都得到了会话密钥的一部分。)如今,通信的普及也使事情变得更容易了。我们可以使用带外协议,例如,您的手机可以帮助您为计算机创建密钥。我们可以使用当面注册来增加安全性,也许在你购买智能手机或初始化互联网服务的商店。硬件的进步也可能有助于在这个世界上保护密钥。我不想在这里设计任何东西,只是要指出有很多设计的可能性。我们知道密码学是关于信任的,我们拥有比互联网早期更多的管理信任的技术。一些重要的特性,如前向保密性,将被削弱并变得更加复杂,但只要对称密码术仍然有效,我们还有保安。

这是一个奇怪的未来。也许是基于数论加密的整个思想,这就是我们现代的公共密钥系统,是基于我们不完全计算模型的临时迂回道。既然我们的模型已经扩展到包括量子计算,我们可能会回到20世纪70年代末和80年代初的时候:对称密码术,基于代码的密码术,Merkle哈希签名。这既有趣又讽刺。

对,我知道量子密钥分发是公钥加密的一个潜在替代品。但是,拜托——有人期望一个需要专门的通信硬件和电缆的系统对除利基应用以外的任何东西都有用吗?未来是流动的,永远在,嵌入式计算设备。这些安全性必须仅限于软件。

还有一个未来的场景需要考虑,不需要量子计算机的。虽然有几个数学理论支持我们在密码学中使用的单向性,证明这些理论的有效性实际上是计算机科学中一个重大的开放性问题。就像一个聪明的密码学家有可能找到一个新的诀窍,使破解一个特定的算法变得更容易一样,我们可以想象外星人有足够的数学理论来破解所有的加密算法。对我们来说,今天,这太荒谬了。公钥密码学是全数字理论,而且很容易受到数学倾向更高的外星人的攻击。对称密码学是如此的非线性混乱,很容易让事情变得更复杂,所以很容易增加键的长度,这是不可想象的未来。考虑一个带有512位块和密钥大小的AES变量,128回合。除非数学与我们目前的理解有根本不同,这将是安全的,直到计算机是由物质以外的东西构成,并占据空间以外的东西。

但是如果不可想象的事情发生了,这将使我们只剩下基于信息理论的密码术:一次性密码本及其变体。这将是对安全的巨大打击。一次性护垫理论上是安全的,但在实际应用中,除了专门的利基应用之外,它们是不可用的。今天,只有疯子才会试图建立基于一次性垫子的通用系统——而密码学家们嘲笑他们,因为它们用密钥管理和物理安全问题(很多,困难得多。在我们的外星科幻未来,我们可能没有别的了。

对付这些上帝般的外星人,密码技术将是我们唯一能确定的技术。我们的核武器可能不会引爆,我们的战斗机可能会从空中坠落,但是我们仍然能够使用一次性的垫子安全地通信。这是乐观的。

本文最初出现在里面安全与隐私期刊.

9月14日发布,2018年上午6:15·查看评论188滚球网站

关于量子密钥分发的全球通信总部

英国的GCHQ直言不讳评估量子密钥分配:

QKD协议只解决了为加密数据约定密钥的问题。无处不在的按需现代服务(如验证身份和数据完整性,建立网络会话,提供访问控制,自动软件更新)更多地依赖于身份验证和完整性机制,如数字签名,而不是加密。

QKD技术不能取代当代公钥签名提供的灵活认证机制。QKD似乎也不适合未来的一些重大挑战,例如确保物联网(IOT)的安全,大数据,社会化媒体,或云应用程序。

我同意他们的看法。这是个聪明的主意,但实际上根本没用。在这个量子计算机已经打破了传统的公钥算法的世界里,我甚至认为这只是一个小众解决方案。

把整件事都读一遍。它很短。

8月1日发布,2018年下午2:07·查看评论188滚球网站

主要蓝牙漏洞

蓝牙有严重的安全漏洞

在某些实现中,椭圆曲线参数并没有全部通过密码算法实现验证。这可能允许无线范围内的远程攻击者注入无效的公钥以高概率确定会话密钥。这样的攻击者就可以被动地拦截和解密所有设备消息,和/或伪造和注入恶意消息。

纸类.网站. 新闻 文章.

这是认真的。立即更新软件,尽量不要考虑所有无法更新的蓝牙应用程序。

发表于7月25日,2018年下午2:08·查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.