7

暗号化では、キーサイズが同等である場合、2つの対称アルゴリズムはセキュリティの観点から同等であると見なされますか?(つまり、64ビットRC2アルゴリズムは、64ビットAESアルゴリズムとまったく同じセキュリティを提供しますか?)

64ビットRC2アルゴリズムを使用することはどれほど安全(または安全でない)でしょうか?

ブルートフォース攻撃がこの種の暗号化を解読するのにどれくらいの時間がかかると予想できますか?

このアルゴリズムで保護できるのはどのような種類のデータですか?(たとえば、アルゴリズムが十分に安全ではないため、クレジットカード情報をこのアルゴリズムで暗号化することはできません)。

4

2 に答える 2

12

一般に、さまざまな理由から、同等のキーサイズは同等のセキュリティを意味しません。

まず、一部のアルゴリズムには既知の攻撃があり、他のアルゴリズムにはない場合があります。キーのサイズは、暗号を破るのにかかる労力の上限にすぎません。最悪の場合、可能なすべてのキーをいつでも試し、キースペースの半分をチェックした後に(平均して)成功することができます。これが最善の攻撃であるという意味ではありません。次に例を示します。128ビットキーのAESは10ラウンドを使用します。128ビットキーでAESを使用したが、ラウンドが1つしかない場合、キーが同じサイズであっても、簡単に壊れることがあります。多くのアルゴリズムでは、キースペース全体の検索をはるかに高速にアルゴリズムを破ることができる既知の攻撃があります。

ブロック暗号の場合、他の考慮事項もあります。これは、ブロック暗号がデータをビットのチャンクで処理するためです。大量のデータの暗号化を開始した後に機能するさまざまな組み合わせプロパティがあります。たとえば、一般的なCBCモードを使用すると、約2 ^(n / 2)ブロックを暗号化した後に問題が発生し始めます(この問題はCBCに固有のものです)。RC2のような64ビット暗号の場合、これは2 ^ 32 64ビットブロック、つまり32 GiBを意味します。これは、大きいものの想像しやすいものです(たとえば、ディスクイメージを暗号化する場合)。AESのような128ビット暗号の場合、問題は約2 ^ 64 128ビットブロック、つまり約295エクサバイトの後でのみ発生し始めます。このようなシナリオでは、64ビットキーを使用するAESは、実際には64ビットキーを使用するRC2よりもはるかに安全です。

ここで、答えの認識論の部分に行き着きます。既知の攻撃がなくても、攻撃が可能でないという意味ではありません。RC2はかなり古く、ほとんど使用されていません。それがかなり最新の暗号であったとしても、たとえばDESよりも分析が少なかった。過去5年間、最新の攻撃手法を使用してRC2を破壊する方法をわざわざ調べた人はいない可能性があります。これは、現代の公開暗号研究が実施されている比較的学術的な公開または消滅モデルには、得るべき利益が少ない; RC2を完全に破壊するよりも、AESの攻撃に関するごくわずかな改善でさえ公開するために、在職期間を求めている(または評判を高めてコンサルティング作業を増やすことを検討している)場合は、RC2を使用する人がいないため、はるかに優れています。

また、64ビットキーを使用すると、すぐにその上限に制限され、2^64の労力は非常に少なくなります。おそらく、諜報機関だけでなく、適度な規模の企業(またはボットネットの遊牧民)にとっても手の届く範囲にあります。

最後に、RC2は286/386時代のプロセッサで高速になるように設計されていることを指摘しておきます。最新のマシンでは、過去10年間に設計されたAESまたは同様の暗号よりも大幅に(約4〜6倍)低速です。

RC2を何かに使用することの利点は実際にはわかりません。私が想像できる唯一の使用法は、古い(コンピューター時代の)システムとの互換性です。AES(または必要に応じて他の4つのAESファイナリストの1つ)を使用します。

于 2010-09-08T18:00:57.790 に答える
2

これは、 http://en.wikipedia.org/wiki/Block_cipher_security_summaryのページにある「pラウンドのうちn回の攻撃」という表現についての私の個人的な説明です。しかし、注意してください。私は実際にこれを回答として投稿しているので、私が間違っているかどうかを人々が教えてくれます。誰も私にこれを説明したことはなく、私は専門家ではありません。これは私が理解できる唯一の説明です。

暗号学者は、ブルートフォース未満の操作を必要とするアルゴリズムを攻撃の成功と見なします。暗号が「pラウンドのうちnラウンド」に対して攻撃を行うと言われる場合、それは、暗号が基本関数のnラウンドとして定義された場合、実際にはpラウンドとして定義されることを意味すると思います。それのための。おそらく、アルゴリズムは実際にはnラウンドを超えて機能し続けますが、ブルートフォースよりも高価になるカットオフポイントはnです。言い換えれば、これは壊れていないアルゴリズムの非常に細かい区別であり、それが実装する数学関数を抽象的に理解するのにどれだけ近いかを教えてくれます。これは、この式が使用されるときに「n」の値として発生するよりも一見任意の数を説明します。

繰り返しになりますが、pラウンドのうちnラウンドを攻撃する暗号は、破られていない暗号です。

また、128ビットキーに対して2 100回の操作で攻撃が発生するために「壊れた」アルゴリズムは、引き続き有用です。この場合、心配なのは、それを解読するために必要な操作の数で、さらなる数学的発見が食い続ける可能性があるということです。しかし、 2100は2128と同じくらい実用的ではありません。

于 2010-09-08T17:36:41.000 に答える