image

Schneier: 256-bit sleutel is voldoende

donderdag 1 oktober 2009, 11:23 door Redactie, 10 reacties

Een encryptie-aanbieder die met een 49.152-bit symmetrische sleutel beweert een doorbraak te hebben, kan niet op de goedkeuring van beveiligingsgoeroe Bruce Schneier rekenen, die stelt dat 256-bit nog altijd meer dan voldoende is. De nieuwe sleutel is afkomstig van Crypteto, die stelt dat elke bit extra de sterkte van het algoritme verdubbelt. Volgens Schneier is dit alleen in het geval van brute-force aanvallen zo en heeft een sleutel van zoveel bit weinig echte betekenis.

Verder stelt de aanbieder dat de snelheid ondanks de afmeting van de sleutel niet in gevaar komt. Elke extra bit zou de encryptie-snelheid halveren. "Dat is niet eens een beetje waar. Het is helemaal niet zo duidelijk hoe sleutellengte met encryptie-snelheid verband houdt." Blowfish behoudt bijvoorbeeld dezelfde snelheid, ongeacht de sleutellengte. AES-192 is 20% langzamer dan AES-128 en AES-256 is ongeveer 40% trager. Het is zeker niet zo dat de encryptie-snelheid met elke toegevoegde bit halveert.

Snake oil
Normaliter zegt Schneier niet op dit soort dingen te reageren, maar in dit geval daagt de aanbieder hem uit. Die krijgt van de beveiligingsgoeroe dan ook de volle laag. Het product zou namelijk het kenmerk van "snake oil" cryptografie hebben, nep-producten die niet waar maken wat ze beloven. In dit geval verraadt het product zich door de absurd lange sleutellengte. "Langere sleutellengtes zijn tot op zekere hoogte beter. AES heeft 128-bit, 192-bit en 256-bit sleutellengtes.

Dit is langer dan voor de afzienbare toekomst benodigd is. Sterker nog, we kunnen niet eens een wereld voorstellen waar 256-bit brute force zoekmogelijkheden mogelijk zijn." Schneier wijst ook naar het vierde kenmerk van zijn snake oil test. "Als het bedrijf sleutels niet begrijpt, wil je dan dat ze je beveiligingsproduct ontwerpen?"

Reacties (10)
01-10-2009, 15:30 door Anoniem
Bij security kan er in principe onderscheid gemaakt worden tussen rekenkundige en informatie-theoretische securiy. Voor informatie-theoretische security is inderdaad 256 bits voldoende. Echter bij rekenkundige veiligheid lekt er steeds meer informatie van de key weg naarmate er meer redundante source informatie encrypt wordt. De hoeveelheid encrypte data welke nodig is om de key uniek te kunnen uitrekenen wordt de "Unicity Distance" genoemd. Attack technieken welke hier gebruik van maken zijn bijvoorbeeld "automatic deterministic program inversion" methoden, welke toegepast kunnen worden op elke rekenkundige beveiligingsmethode, zie bijvoorbeeld http://www.ecrypt.eu.org/stream/phorum/read.php?1,1208 voor wat aanvullende informatie. Een systeem dat rekenkundige en informatie-theoretische security methoden combineerd is de Freemove Quantum Exchange. Voor authenticatie en het opzetten van het secured private network wordt rekenkundige veiligheid gebruikt. Voor de beveiliging van de files en documenten wordt informatie-theoretische veiligheid gebruikt. Deze combinatie werkt in de praktijk uitstekend. Gratis software kan gedownload worden op de link http://www.wuala.com/FreemoveQuantumExchange/Downloads/install.exe/ Optioneel wordt er in de software gebruik gemaakt van de Quantum Random Generatoren in VIA-Processoren, welke INTEL compatible zijn. In deze software welke gedownload kan worden zijn de informatie-theoretische security functies niet opgenomen, echter als voorbeeld is het uitstekend geschikt. Een goed boek over informatie-theoretisch ontwerpen is "Modern Coding Theory" van Rudiger Urbanke, zie http://people.epfl.ch/rudiger.urbanke. Een tool dat hierbij bijvoorbeeld gebruikt kan worden is XITIP, te downloaden van http://xitip.epfl.ch
01-10-2009, 22:27 door Anoniem
Wat is de bovenstaande reactie voor spam?
02-10-2009, 10:31 door Anoniem
Hieronder een voorbeeld Informatie-Theoretisch bewijs van een van de security functies uit de hierboven aangehaalde Freemove Quantum Exchange.

1. Bewijsbaar veilige uitwisseling van Keys

1a) Randvoorwaarden

De source S moet deterministisch encrypt kunnen worden tot E met de Key K: H(E|KS)=0
De encrypte tekst E moet deterministisch gedecrypt kunnen worden to de Sourse S met key K: H(S|EK)=0
De source mag onafhankelijk gekozen worden van de encrypte tekst: I(S;E)=0

1b) Te bewijzen

Er lekt niets uit van de gebruikte Key K, gegeven de encrypte tekst E: I(K;E)=0

a3. Bewijs

>> ITIP('I(K;E)=0','H(E|KS)=0','H(S|EK)=0','I(S;E)=0','H(S)=H(K)');
True

Dit bewijs geeft aan dat als de entropie van de Key K en de Source S even groot zijn er niets uitlekt van de Key K, gegeven de encrypte tekst E.

2. Key uitwisseling blijft veilig na uitwisseling van meerdere Keys.

b1. Gegeven

Een Key uitwisselings functie met:

a) Keys K en L welke gedeeld moeten worden tussen zender en ontvanger.
b) Een vooraf gedeelde Identifier S tussen de Zender en Ontvanger.
c) Beveiligde berichten E en F welke de Keys K en L bevatten.

b2. Randvoorwaarden

Voor een uitleg van de systematiek in de randvoorwaarden zie het 1e bewijs.

Encryptie: H(E|KS)=0, H(F|LS)=0
Decryptie: H(K|SE)=0, H(L|SF)=0
Gedeelde Identifier S is onafhankelijk van de encrypte Keys: I(S;EF)=0
Keys zijn onafhankelijk van de beveiligde berichten: I(K;E)=0, I(L;F)=0

b3. Te bewijzen

Er lekt niets van de keys uit, gegeven de encrypte berichten: I(K;EF)=0, I(L;EF)=0

b4. Bewijs

ITIP('I(L;EF)=0','H(F|LS)=0','H(E|KS)=0','I(K;E)=0','I(L;F)=0','H(K|SE)=0','H(L|SF)=0','I(S;EF)=0');
True
ITIP('I(K;EF)=0','H(F|LS)=0','H(E|KS)=0','I(K;E)=0','I(L;F)=0','H(K|SE)=0','H(L|SF)=0','I(S;EF)=0');
True

Deze bewijzen zijn automatisch gecontroleerd met de Information Theoretic Inequality Prover ITIP, zie http://user-www.ie.cuhk.edu.hk/~ITIP/ Deze bewijzen kunnen ook gecontroleerd worden met XITIP, zie http://xitip.epfl.ch
03-10-2009, 10:37 door [Account Verwijderd]
[Verwijderd]
03-10-2009, 12:50 door Anoniem
We hebben een nieuwe "Bruce" in ons midden........bewaar ons alsjeblieft....
03-10-2009, 13:06 door Anoniem
Door Jos Visser: Proof by intimidation?
De bewijzen welke hierboven gegeven zijn kunnen geautomatiseerd gecontroleerd worden. Het wiskundig rekenen met informatie middels entropie is de standaard manier om de bewijzen te leveren. Het zijn dus geen "proofs by intimidation" maar "proofs by mathematics". Als deze wertenschappelijke manier van bewijzen intimiderend overkomt, bijvoorbeeld door onbekendheid met dit soort methoden, dan is het wellicht informatief een inleidend boek over Informatie Theorie te lezen waar deze concepten op een introductie niveau worden uitgelegd. Zo'n introductie in de Informatie-Theorie is bijvoorbeeld te downloaden van de homepage van Raymond Yeung, welke ook de Information Theretic Ineqiality Prover bedacht heeft. Dit boek is een uitstekende inleiding voor het boek "Modern Coding Theory" dat hierboven gegeven is.
04-10-2009, 11:01 door [Account Verwijderd]
[Verwijderd]
04-10-2009, 12:48 door Anoniem
Door Jos Visser: Proof by intimidation?
Wanneer je geen of weinig kennis hebt van Informatie-Theorie, dan kunnen dit soort wetenschappelijke bewijzen wellicht "intimiderend" overkomen. Een goede introductie tot Informatie-Theorie is te downloaden op de link
http://iest2.ie.cuhk.edu.hk/~whyeung/post/draft2.pdf Dit boek is een goede introductie voor het boek "Modern Coding Theory" dat hierboven gegeven is. Het hierboven gegeven informatie-theoretische bewijs geeft echter exact weer wat het probleem is dat Bruce Schneier hier bespreekt. In de deze bewijzen worden de randvoorwaarden gegeven waaronder de bewering van Bruce Schneier correct is. Bruce Schneier heeft het over rekenkundige veiligheid. Als met rekenkundige security algorithmen source informatie met redundantie erin wordt beveiligd dan is dit per definitie te kraken, bijvoorbeeld met de hierboven aangehaalde "automated deterministic program inversion methoden". Bovenstaande informatie-theoretische bewijzen geven aan onder welke informatie-theoretische randvoorwaarden dit soort attacks onmogelijk zijn. Als dat het geval is dan pas is een sleutellengte van 256 bits voldoende.
06-10-2009, 11:12 door Anoniem
Wachten op de kwantumcomputers...........
06-10-2009, 11:47 door Anoniem
Door Anoniem: Wachten op de kwantumcomputers...........
Met kwantumcomputers kunnen rekenkundige algorithmen zoals RSA gekraakt worden. Echter Informatie-Theoretisch veilige securityfuncties zoals de File/Document Security Functie in het Freemove Quantum Exchange systeem is ook bewijsbaar onkraakbaar voor potentiele toekomstige Kwantumcomputers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.