Een encryptie-aanbieder die met een 49.152-bit symmetrische sleutel beweert een doorbraak te hebben, kan niet op de goedkeuring van beveiligingsgoeroe Bruce Schneier rekenen, die stelt dat 256-bit nog altijd meer dan voldoende is. De nieuwe sleutel is afkomstig van Crypteto, die stelt dat elke bit extra de sterkte van het algoritme verdubbelt. Volgens Schneier is dit alleen in het geval van brute-force aanvallen zo en heeft een sleutel van zoveel bit weinig echte betekenis.
Verder stelt de aanbieder dat de snelheid ondanks de afmeting van de sleutel niet in gevaar komt. Elke extra bit zou de encryptie-snelheid halveren. "Dat is niet eens een beetje waar. Het is helemaal niet zo duidelijk hoe sleutellengte met encryptie-snelheid verband houdt." Blowfish behoudt bijvoorbeeld dezelfde snelheid, ongeacht de sleutellengte. AES-192 is 20% langzamer dan AES-128 en AES-256 is ongeveer 40% trager. Het is zeker niet zo dat de encryptie-snelheid met elke toegevoegde bit halveert.
Snake oil
Normaliter zegt Schneier niet op dit soort dingen te reageren, maar in dit geval daagt de aanbieder hem uit. Die krijgt van de beveiligingsgoeroe dan ook de volle laag. Het product zou namelijk het kenmerk van "snake oil" cryptografie hebben, nep-producten die niet waar maken wat ze beloven. In dit geval verraadt het product zich door de absurd lange sleutellengte. "Langere sleutellengtes zijn tot op zekere hoogte beter. AES heeft 128-bit, 192-bit en 256-bit sleutellengtes.
Dit is langer dan voor de afzienbare toekomst benodigd is. Sterker nog, we kunnen niet eens een wereld voorstellen waar 256-bit brute force zoekmogelijkheden mogelijk zijn." Schneier wijst ook naar het vierde kenmerk van zijn snake oil test. "Als het bedrijf sleutels niet begrijpt, wil je dan dat ze je beveiligingsproduct ontwerpen?"
Deze posting is gelocked. Reageren is niet meer mogelijk.