Jsou dnešní šifry bezpečné?

Nákladová analýza délky klíčů Bezpečnost určitého elektronického klíče posuzují vývojáři laboratoří RSA podl...


Nákladová analýza délky klíčů
Bezpečnost určitého elektronického klíče posuzují vývojáři laboratoří RSA podle
nákladů na prolomení použité metody šifrování. Podle jejich mínění budou dnes
zašifrovaná data dostatečně bezpečná ještě i za 20 let.
Metody s veřejným klíčem činí výměnu dat přes Internet bezpečnou. Jak
bezpečnou, závisí především na délkách soukromého a veřejného klíče. Čím větší
je součet počtu bitů obou čísel, tím lépe jsou před špiony chráněny šifrované
zprávy. Zda bude metoda v konkrétním případě vyhovovat požadavkům uživatele, se
však z toho samotného nedá rozhodnout.
K posouzení síly veřejného klíče potřebuje uživatel měřítko, na jehož stupnici
může porovnat požadovanou hodnotu a skutečnou hodnotu. Je zřejmé, že lze
odhadnout kvalitu veřejného klíče podle nákladů na jeho prolomení. Nejznámější
jednotka, která je k dispozici, se nazývá MIPS-rok (MIPS milion instrukcí za
sekundu) a udává počet programových instrukcí, které vykoná počítač s výpočetní
rychlostí 1 MIPS za jeden rok. Jeden MIPS-rok tudíž odpovídá 3*1013 instrukcí.
Pro prolomení RSA klíče je nutné asi 1011 MIPS-roků.
Rozhodují náklady na útok
Místo aby brali v úvahu vynaložené matematické úsilí jednoho hackera, vztahují
vývojáři laboratoří RSA svůj posudek kvality na finanční rozměr: náklady na
prolomení klíče v poskytnutém čase. A do toho vstupují dva faktory, totiž cena
za výpočetní rychlost a peníze za nutnou operační paměť.
Současně, jak zdůrazňují výzkumníci, určuje bezpečnost klíče také cena
chráněných dat. Co postačuje k ochraně databáze tajného kódu v ceně 200 000
korun, to může rozluštit útočník již s náklady 2 000 000 korun. K tomu ještě
náklady na špionáž rostou, když je krátká střední délka života záznamů. To
potom musí být vetřelci rychlí a především investovat do výkonu počítače. Jinak
vyjádřeno, je pak veřejný klíč dostatečně bezpečný, když náklady na prolomení
soukromého klíče jasně překračují hodnotu šifrovaných dat, přičemž výpočetní
doba musí být zřetelně kratší než délka života dat.
Nyní jsou 1 024bitové klíče pro všechny účely skutečně dostatečně bezpečné.
Členové výzkumné laboratoře RSA se s tím ale nespokojují. Chtějí vědět, jak
dlouho smějí být dostatečně klidní a kdy lze očekávat první úspěšné útoky na
metodu 1 024bitovým klíčem.
Daný nákladový model ovšem poskytuje jen jednu metodu výpočtu soukromého klíče,
totiž tzv. algoritmus NFS (Number Field Sieve síto číselného pole). Jiné
postupy mohou více snížit špionovy výdaje na rozluštění tajných dat. Zatím jsou
však ještě příliš nevyzrálé, což se však může v příštích letech změnit.
Hackeři potřebují čas a paměť
Matematické rovnice jsou zasvěceným známy již déle: jedna pro náklady na
výpočet jako funkce délky klíče a jedna pro velikost potřebné operační paměti.
Jsou materiálem, se kterým analytici RSA vypočítávají náklady pro hackerské
vybavení. Ty rostou proporcionálně ke složitosti úkolu a kromě toho se zvyšují,
když se má zkrátit doba výpočtu. Přitom může více počítačů, když spolu
komunikují, sdílet jak práci, tak operační paměť. Dva počítače se současnými
500 MB RAM pracují pak stejně rychle, jak to dokazuje jednoduchá premisa od
RSA, jako zařízení s 1 GB operační paměti.
Čipy budou levnější
Pár číselných příkladů: Prolomení jednoho 512bitového RSA klíče vyžaduje podle
zmíněného vzorce asi 800 MIPS-roků a operační paměť o velikosti 2,3 GB. V
souladu s tím by vydalo 300 počítačů s taktovací frekvencí 400 MHz a 64 MB RAM
výsledek po dvou měsících. Cray C90 s 2,3 GB paměti by to samé dokázal za deset
dní. Při vypočítání 768bitového klíče se naproti tomu zvýší náklady
koeficientem 6 000 a vzrostou sedmi milionkrát pro klíče délky 1 024 bitů.
Současně vzroste potřeba paměti na 177 GB, respektive 6 TB.
Pokud se týká ceny za vybavení, je třeba vzít v úvahu čas jeho pořízení,
protože cena průběžně klesá. Hardware, který je dnes dokonce i pro velké
podniky nezaplatitelný, bude v několika letech patrně patřit ke standardnímu
vybavení domácích uživatelů. Jak rychle bude pokračovat zlevňování, závisí na
rychlosti technického vývoje a na výrobních nákladech. Tak se vydávají
výzkumníci laboratoří RSA na nepříliš pevnou půdu předpovědí, protože otázka je
nasnadě: Kdy budou procesory a operační paměti tak levné, že dosud nedobytný 1
024bitový klíč shoří v ohni internetových lupičů?
Kdy přijdou na trh 6Tbajtové stroje, je lépe se zeptat křišťálové koule, říkají
specialisté od RSA. Aby se přesto došlo k nějakému výsledku, opírají se o
jednoduchý zákon. Gordon Moore, spoluzakladatel firmy Intel, stanovil v roce
1965, že od vynálezu integrovaných obvodů se počet tranzistorů na čtvereční
centimetr každý rok zvyšuje na dvojnásobek. Potom vyjádřil své pozorování v
zákoně, který je znám pod jménem Mooreův zákon (Moores Law). Ve skutečnosti
dochází k ročnímu nárůstu ne o 100, ale pouze o přibližně 59 procent. Paměťový
prostor se zdvojnásobí za celých 18 měsíců. Při zachování ceny.
1 024bitové klíče vydrží ještě 20 let
Za podmínky, že bude Mooreův zákon nadále platit a tím se dostáváme k výsledku
studie RSA měl by být 1 024bitový klíč ohrožován teprve za 27 let. Přitom se
vychází z toho, že dnes je délka kolem 600 bitů považována za "ještě přímo
prolomitelnou". Kalkulace je snadná: náklady na 1 024bitová čísla jsou 300 000
krát větší než pro 600bitové tajné kódy. Na druhou stranu bude hardware
potřebný k jeho prolomení podle Moora levnější než ten dnešní za méně než 27
let. A tak, abychom zůstali s jistotou zabezpečeni, předpověď se zkracuje z 27
na 20 let.
"Že při luštění může pracovat paralelně více počítačů, aniž by ztrácely čas
kvůli výměně dat, a že Moorovo pravidlo zůstává neporušené, jsou zjednodušení,
která výsledek neomezují," uvádí se ve výzkumu. Takže bez nich, tedy s
komplexními a realistickými modely, by se 1 024bitové klíče podle názoru autorů
hodily ještě déle.
Je jisté, že v praxi jsou spojení procesorů pomalejší než jednotlivé, stejně
výkonné CPU. Naproti tomu je tvrzení, že technický pokrok probíhá pravděpodobně
pomaleji než podle Mooreova zákona, čistě věc názoru. Lze s tím souhlasit,
pokud se přísně podle definice zákona zůstane jen na půdě tranzistorů. Pak se
vývoj integrovaných obvodů dostane do potíží nejpozději tehdy, když budou
spínací obvody přibližně tak malé jako atomy. Tehdy přijde na řadu otázka
alternativních technologií, například optických počítačů nebo kvantových
počítačů.
Potom samozřejmě může být Moorův zákon smeten se stolu. Lze však jen těžko
odhadnout, kdy se tak stane. Třeba už za deset let?
0 2221 / pen

předpovědi bezpečnosti
Čím více bitů má elektronický klíč, tím hlouběji do kapsy musí hacker sáhnout,
aby ho prolomil. Za bezpečný platí tehdy, kdy se útočníkům jeví příliš drahý.
Analýzy délky klíčů používají tento předpoklad a ptají se, kdy cena tak klesne,
že dnes nedobytné zdi 1 024bitové metody RSA dostanou trhliny.
Studie "A Cost-Based Security Analysis of Symmetric and Asymmetric Key Lengths"
(Nákladová bezpečnostní analýza délky symetrických a asymetrických klíčů) od
Roberta D. Silvermana z laboratoří RSA je založena na dvou hypotézách, z nichž
vyvozuje poměrně optimistický závěr:
Ceny hardwaru spadnou podle Moorova zákona každých 18 měsíců na polovinu.
Dnes lze ještě rozluštit klíče délky 600 bitů.
Výsledek analýzy zní: 1 024bitová metoda RSA bude po následujících 20 let
dostačující.
Zcela jiné měřítko nastoluje výzkum "Selecting Cryptographic Key Sizes" (Výběr
velikostí šifrovacích klíčů), jehož autory jsou Arjen Lenstra, hlavní technik
Citybank a E. Verheul, poradce Pricewaterhouse Coopers. Také oni počítají s
Mooreovým zákonem. Neptají se ale na to, kdy bude metoda nespolehlivá, nýbrž na
to, kdy přestane být dost bezpečná. Podle Lenstry a Verheula bude 1 024bitový
RSA algoritmus napadnutelný již za dva roky.

Rovnocenné klíče
SymetrickéAlgoritmy s eliptickýmiRSATrvání Náklady na útok
metodykřivkami útokuv korunách
Ę56 b112 bĘ 430 b5 minut400 milionů
Ę80 b160 bĘ 760 b600 měsíců400 milionů
Ę98 b192 b1 020 b3 miliony let400 milionů
128 b256 b1 620 b1016 let400 milionů
Zdroj: RSA Laboratories









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.