Question:
Pourquoi la plupart des gens utilisent le cryptage 256 bits au lieu de 128 bits?
H M
2012-04-23 10:16:56 UTC
view on stackexchange narkive permalink

La sécurité 128 bits n'est-elle pas suffisante pour la plupart des applications pratiques?

Parce qu'il est plus grand et sonne donc mieux.
Je pense que le minimum de 128 bits est décidé avec une grande marge de sécurité à l'esprit. peut-être que beaucoup de gens ne le savent pas et pensent donc que la différence entre 128 et 256 peut avoir une importance pour leurs besoins. s'il faut 500 ans avec une clé de 128 bits pour casser un texte chiffré et 1000000000 ans avec une clé de 256 bits, est-ce important?
http://www.daemonology.net/blog/2009-07-31-thoughts-on-AES.html
Je me souviens peut-être de cela incorrectement ... Si vous cryptez beaucoup de données, vous pouvez vous retrouver avec des sous-clés en double (la sous-clé est probablement le terme incorrect) s'il y a suffisamment de données. Ceci est fonctionnellement équivalent à la réutilisation d'un chiffrement à un pavé. Je crois que la taille de la clé, la taille du bloc et le mode de chiffrement étaient ce qui déterminait la quantité de données en trop.
plus complexe === plus sécurisé
Les progrès de l'informatique quantique réduiront de moitié la taille de clé effective des cryptosystèmes à clé symétrique dans un avenir prévisible. `2 ^ (128/2) = 2 ^ 64 =` peut être forcé brutalement sur un ordinateur quantique. `2 ^ (256/2) = 2 ^ 128 =` toujours sécurisé.
Veuillez me laisser un peu de temps pour répondre. 500 ans devraient suffire.
Il y a un article presque en double sur http://crypto.stackexchange.com/q/20/2373
Je me demande en ce qui concerne l'estimation de 500 ans, les progrès technologiques supposés en matière de vitesse de calcul sont-ils pris en considération?
@recursion.ninja avez-vous un chapitre et un verset que vous pouvez citer sur la réduction de moitié efficace de la taille de clé?
Je suppose que vous parlez de la taille de la clé.** Notez ** que la taille de clé requise dépend également de l'algorithme: pour un algorithme asymétrique comme RSA, vous aurez besoin de 2048 ou 4096 bits, 128 bits seraient beaucoup trop faibles.
@recursion.ninja Cela suppose qu'une opération quantique élémentaire peut être effectuée à la même vitesse qu'une opération classique élémentaire.Il est très possible qu'un ordinateur quantique ne fonctionnera jamais plus vite que l'équivalent de 0,7 MHz, auquel cas il serait impossible de casser une clé de 128 bits, même avec l'algorithme de grover la réduisant à la force effective d'une clé de 64 bits,mais casser une clé RSA de 4096 bits serait facile.Pouvez-vous imaginer rechercher un espace de clés 2 ^ 64 avec un ancien Intel 4004?
@forest Je ne comprends pas votre point.En ne tenant compte que de la fréquence, 0,7 MHz n'est que 5700 fois plus lent qu'un processeur récent de 4 GHz.Faites-en 1 000 000 si vous le souhaitez, en tenant compte des différentes différences d'architecture.Cependant, un espace de clés de 64 bits est 18446744073709551616 fois plus petit qu'un espace de clés de 128 bits.Cela ne signifie pas qu'il peut être cassé, mais cela donne certainement un avantage aux ordinateurs quantiques.
@youen Mon point est qu'un ordinateur quantique peut être _significativement_ plus lent qu'un ordinateur moderne en termes de cycles par seconde.Alors que 2 ^ 64 opérations classiques (un espace de clés de 64 bits) pour un ordinateur classique ne sont pas d'une difficulté irréaliste, 2 ^ 64 opérations quantiques (un espace de clés de 128 bits) pour un ordinateur quantique peuvent être bien au-delà de ce dont nous serons capables.De plus, la vitesse de l'algorithme de grover n'est accélérée que par la racine carrée du nombre d'ordinateurs discrets exécutant l'algorithme.
@forest était d'accord, si le (groupe de) ordinateurs quantiques est plus lent d'un facteur de 10 ^ 19, cela n'aidera pas à casser une clé de 128 bits.
Et même si je conviens qu'un QC a toujours un énorme avantage, je dirais qu'une amélioration de 5 700 est de plusieurs ordres de grandeur.Un 4004 est probablement des centaines de millions, voire des milliards de fois plus lent qu'un processeur moderne, multicœur, compatible SIMD, fortement pipeliné et de mise en cache.Il y a des choses qu'il peut faire en quelques cycles qui prendraient 4004 secondes de temps.Si un QC était aussi limité qu'un 4004 (hypothétiquement), alors un espace de clés de 64 bits serait absolument hors de portée.Pour être tout à fait honnête, je serais surpris si la première génération de QC cryptoanalytiques n'était _pas_ plus de 2 ^ 19 plus lente.
Oui ... AES128 restera incassable jusqu'à au moins 2030, donc la seule chose que l'on fait en utilisant AES256 est de taxer inutilement le processeur.Si AES256 est utilisé sur AES128 dans OpenVPN par exemple, il réduit considérablement le débit sans aucun avantage de sécurité supplémentaire.
Sept réponses:
Thomas Pornin
2012-09-05 03:20:36 UTC
view on stackexchange narkive permalink

Pourquoi les gens achètent-ils des voitures de sport rouges ? Ils ne vont pas plus vite que les voitures de sport de toute autre couleur ...

AES est livré avec trois tailles de clé standard (128, 192 et 256 bits). Beaucoup de gens le voient et pensent que s'il y a trois tailles distinctes au lieu d'une seule, il doit y avoir une différence, et comme la version 256 bits est un peu plus lente que la version 128 bits (d'environ 40%), elle doit être "plus sécurisé". Ils optent donc pour "la plus sécurisée" et choisissent des clés de 256 bits.

En réalité, l'AES a trois tailles de clé distinctes car il a été choisi comme algorithme fédéral américain apte à être utilisé dans divers domaines sous le contrôle du gouvernement fédéral américain, et cela inclut l'armée américaine. L'armée américaine a une tradition de longue date dans l'utilisation de la cryptographie, et cette tradition s'est cristallisée dans un règlement interne avec toute la flexibilité et la subtilité que les armées du monde entier démontrent constamment (écoutez simplement de la «musique militaire» et vous comprendrez ce que je veux dire) . Malheureusement, cela s'est produit il y a un certain temps, avant l'invention de l'ordinateur, et à cette époque, la plupart des systèmes de chiffrement pouvaient être endommagés, et les plus robustes étaient également très difficiles et lents à utiliser. Ainsi, les grands cerveaux militaires ont eu l'idée qu'il devrait y avoir trois "niveaux de sécurité", de sorte que les secrets les plus importants soient cryptés avec les méthodes lourdes qu'ils méritaient, mais les données de moindre valeur tactique pourrait être chiffré avec des algorithmes plus pratiques, bien que plus faibles.

Ces réglementations prévoyaient donc trois niveaux distincts. Leurs concepteurs ont simplement supposé que le niveau inférieur était nécessairement faible d’une certaine manière, mais que la faiblesse n’était pas obligatoire . Le NIST a donc décidé de suivre formellement les règlements (demander trois tailles de clé) mais aussi de faire la chose intelligente (le niveau le plus bas devait être incassable avec une technologie prévisible). 128 bits sont tout à fait suffisants pour la sécurité (voir cette réponse pour plus de détails). Par conséquent, AES accepte les clés 256 bits en raison de la lassitude bureaucratique: il était plus facile d'exiger quelque chose d'un peu absurde (une taille de clé excessive) que de modifier les réglementations militaires.

La plupart des gens ne savent pas ou s'en moquent à propos de l’histoire, et ils sont simplement convaincus qu’ils le méritent.

Pouvez-vous fournir des sources indiquant que les trois niveaux sont en réalité uniquement destinés à satisfaire les (anciennes) réglementations militaires? Cela n'a pas beaucoup de sens pour moi, si 128 bits étaient suffisamment sécurisés, ils auraient tout aussi bien pu utiliser 128, 136 et 156 pour cette question. Le temps d'en / décryptage aurait été plus court mais toujours sécurisé selon vous.
@Luc: les 128/192/256 bits sont pour l'esthétique: les puissances de 2 sont toujours meilleures (et 3DES utilisait déjà, formellement, une clé de 192 bits - dont 24 sont ignorés, mais c'est une autre histoire). Pour la source, c'est ce que quelqu'un m'a dit directement à ce moment-là (je pense que c'était Schneier) donc je n'ai pas de source écrite. Quant au temps de décryptage, il est spécifique à Rijndael; certains autres candidats ont offert la même performance pour toutes les longueurs clés.
Les clés de 256 bits ne sont pas complètement inutiles. Ils fournissent une défense contre la possibilité des ordinateurs quantiques, en particulier l'algorithme de Grovers, qui peut réduire de moitié l'espace de recherche. Nous n'avons toujours pas de vrais ordinateurs quantiques, et personne ne sait quand nous le ferons. Le fait est que si vous vouliez protéger vos secrets pendant plus de 50 ans, vous pourriez choisir le double de la taille de clé actuellement acceptée. https://en.wikipedia.org/wiki/Post-quantum_cryptography
@SteveSether: c'est l'occasion de souligner que la limite "128 bits" n'est en aucun cas universelle; nous utilisons des clés de 128 bits parce que c'est bien au-delà de ce qui peut être craqué _avec l'informatique classique_. L'algorithme de Grover transforme théoriquement la recherche en un effort de 2 ^ 64, mais ce sont 2 ^ 64 opérations _quantum_. Reste à savoir si les opérations de contrôle qualité individuelles sont similaires en termes de coût aux opérations classiques individuelles. À l'heure actuelle, 2 ^ 64 opérations QC sont bien plus difficiles que 2 ^ 64 opérations classiques, notamment parce que les ordinateurs QC n'existent pas encore.
@ThomasPornin Je pense que le fait est que 256 bits offre un certain niveau de sécurité supplémentaire, même marginal. Il reste encore beaucoup à voir. Pour certaines personnes, même la possibilité théorique que le message soit fissuré suffit à invoquer le coût de 40% des cycles CPU supplémentaires. Le est en grande partie relégué à la NSA, ou CIA, etc. Je ferais les mêmes recommandations à quiconque prétend avoir besoin de protéger un secret pendant plus de 50 ans. Le processeur est bon marché.
@ThomasPornin Y a-t-il une différence dans la probabilité de trouver la clé plus tôt avec 128 contre 256? Surtout ignorant de tout le domaine, mais pourquoi la chance statistique de trouver une clé plus tôt que le temps maximum ou moyen ne semble pas jouer dans la plupart des discussions de force brute?
@Dave: il y a une différence mathématique dans les probabilités, mais le fait est que la différence n'a pas d'importance en pratique: si une probabilité est si petite que vous pouvez planifier votre entreprise ou même votre vie sur l'idée que cela n'arrivera pas, alors faire la probabilité encore plus faible n'aura aucune conséquence pratique.
@ThomasPornin, Le premier paragraphe de cette réponse est inexact.Il y a des décisions et des messages dont la violation du secret peut affecter plus d'une vie ou même la vie d'un pays tout entier.Les 256 bits servent à se prémunir contre les [inconnues inconnues] (https://en.wikipedia.org/wiki/There_are_known_knowns) et les inconnues connues, par exemplela possibilité que les crackers russes / chinois / etc aient * [cont] ... *
* ... [suite] * plus de connaissances que leurs homologues américains.(Et les États-Unis eux-mêmes semblent être comme 2 pays différents composés des États-Unis, les citoyens et des États-Unis, de la cia.) D'ailleurs, personne ne saura ce qui se passera dans les 80 prochaines années.Les messages peuvent ne pas nécessiter de secret pendant des milliers d'années, mais ils peuvent en avoir besoin pendant quelques centaines.
La NSA est depuis [passée à l'utilisation de 256 clés pour AES] (https://www.iad.gov/iad/customcf/openAttachment.cfm?FilePath=/iad/library/ia-guidance/ia-solutions-for-classified/algorithm-guidance/assets/public/upload/Commercial-National-Security-Algorithm-CNSA-Suite-Factsheet.pdf&WpKes=aF6woL7fQp3dJi2Ag8xy3LrS8UQmzM92ApVEmU) par souci d'attaques quantiques.La réponse doit être modifiée pour inclure l'analyse @SteveSether's:)
La question est pourquoi cette réponse a ** 128 ** likes?
rook
2012-04-23 10:49:09 UTC
view on stackexchange narkive permalink

Lorsque vous créez un système de sécurité, vous devez prévoir une panne. C'est l'idée derrière une stratégie de défense en profondeur.

Les primitives cryptographiques s'affaiblissent avec le temps. Bien qu'une primitive de 128 bits soit suffisante, une faille pourrait être découverte dans le chiffrement, ce qui réduit ce niveau de sécurité. Vous devez donc ajouter une marge de sécurité lorsque la primitive de soulignement échoue.

Par exemple, md5 produit un hachage de 128 bits, mais en utilisant une attaque avec préfixe choisi, un attaquant peut produire une collision d'une complexité de seulement 2 ^ 39.

Il s'agit essentiellement de marge de sécurité. Plus la clé est longue, plus la sécurité effective est élevée. S'il y a jamais une interruption dans AES qui réduit le nombre effectif d'opérations nécessaires pour le casser, une clé plus grande vous donne une meilleure chance de rester en sécurité. En outre, avec le matériel standard disponible aujourd'hui, la différence de performances entre AES 256 bits et AES 128 bits est assez faible. Cela et, comme CodeInChaos l'a mentionné, de plus grands nombres sonnent mieux et plus sûrs.
Ok pas une mauvaise logique. mais quelqu'un peut-il dire exactement à quel point un chiffrement de 128 bits est puissant à l'heure actuelle, en supposant qu'aucune faille considérable n'y soit trouvée et que de grands ordinateurs quantiques ne soient pas réalisés?
@HM, http://crypto.stackexchange.com/a/753/706
En ce qui concerne l'histoire de md5, j'ai entendu dire que les algorithmes de hachage cryptographique sont généralement considérés comme moins fiables que les algorithmes de chiffrement, car ils n'ont pas une preuve de sécurité aussi forte que les algorithmes de chiffrement. Je ne connais pas les détails, et désolé pour aucune référence, mais j'ai lu de tels mots plusieurs fois à plusieurs endroits, et je pense donc qu'une différence existe vraiment entre les algorithmes de hachage et les algorithmes de chiffrement à cet égard. De plus, aucune faille pratiquement dangereuse dans les algorithmes de chiffrement modernes et standard comme AES n'est découverte depuis des années.
@Polynomial Ouais margin, c'est le mot que j'aurais dû utiliser.
La comparaison avec MD5 est un peu trompeuse. La résistance aux collisions du MD5 n'a jamais été meilleure que 2 ^ 64 en raison du paradoxe de l'anniversaire.
@HM Je pense que le contraire est vrai.Les fonctions de hachage nécessitent souvent des propriétés de sécurité plus difficiles à obtenir, telles que la résistance aux collisions.Il est vrai que les hachages sont plus fragiles en ce qui concerne cette propriété, mais pour la résistance à la pré-image, ils sont généralement assez sécurisés.En fait, même quelque chose d'aussi faible que MD5 (l'enfer, même MD4 ou MD2!) Pourrait être utilisé pour construire un chiffrement de flux _extrêmement_ sécurisé, beaucoup plus sûr que n'importe lequel des nombreux chiffrements cassés qui jonchent l'histoire (DES, RC4, E0, A5/ 1, etc.).
bangdang
2012-05-03 05:04:08 UTC
view on stackexchange narkive permalink

Je n'ai pas vu cela mentionné dans les réponses ou les commentaires, j'ai donc pensé à ajouter ceci comme réponse. La taille de la clé ne correspond pas toujours directement à la complexité d'un algorithme. Une erreur courante consiste à supposer qu'un message chiffré à l'aide d'AES256 est plus difficile à déchiffrer (un adversaire obtenant toute sorte d'informations de signification étant donné uniquement le texte chiffré) que les mêmes informations protégées à l'aide d'AES128. Il est logique qu'une plus grande taille de clé fournisse une plus grande complexité, mais comme avec tout système, les implémentations sont sujettes à des faiblesses.

En supposant que vous parlez d'AES 128 par rapport à AES 256, il existe une faiblesse connue dans la fonction d'extension des touches qui affecte AES256. Fondamentalement, la faiblesse réduit la complexité d'AES256 à une complexité inférieure à AES128. Il existe également une attaque similaire pour AES192, bien que dans ce cas, la complexité d'AES192 reste supérieure à AES128.

Morale de l'histoire, les gens ne comprennent pas la crypto ... j / k (je ne suis pas mathématicien). La réalité est que les gens supposent «grand» avec «sécurisé». Une grosse arme vaut mieux qu'une petite arme. Des tailles de clé plus grandes sont plus sûres que des tailles de clé plus petites.

En réalité, la mise en œuvre de la cryptographie est plus importante que la seule taille de la clé.

Si je me souviens bien, cette faiblesse n'est pertinente que lorsque vous utilisez AES dans des modes assez inhabituels, et non dans un mode de cryptage typique où des clés aléatoires sont utilisées. Je suis sûr que l'AES-256 est plus puissant pour une utilisation normale (CBC, CTR, ...)
"Une grosse arme vaut mieux que d'avoir une petite arme" Et faire exploser la Tsar Bomba au visage de quelqu'un est plus meurtrier que faire exploser le petit garçon au visage, mais ils sont morts de toute façon.
@CodesInChaos De plus, les touches plus grandes ne nécessitent-elles pas plus de tours pour obtenir une diffusion complète (si je me souviens bien, le nombre de tours supplémentaires donnés à AES256 était basé sur une intuition, pas sur des tests empiriques ou des preuves)?Ou est-ce seulement un problème si la clé elle-même n'est pas uniforme?
@forest J'espère que cela n'aura d'importance que si vous voulez soit atteindre le niveau de sécurité plus élevé attendu d'une clé de 256 bits ou si la clé n'est pas uniforme (par exemple, la seconde moitié est constante).Il y a aussi la question de savoir ce que vous entendez par diffusion, le nombre de tours qu'il faut un petit changement dans l'entrée pour diffuser ou le nombre de tours qu'il faut un petit changement dans la clé pour diffuser.
@CodesInChaos Depuis que j'ai fait référence à la différence de taux de diffusion lorsqu'une taille de clé plus grande est utilisée (plutôt qu'une taille de bloc plus grande), je voulais dire le nombre de tours nécessaire pour obtenir une diffusion complète lorsqu'un peu de la clé change.
Il est déroutant que la conclusion des sources ne soutienne pas la recommandation contre AES256: «Bien que ces complexités soient beaucoup plus rapides qu'une recherche exhaustive, elles ne sont absolument pas pratiques et ne semblent pas constituer une menace réelle pour la sécurité des systèmes basés sur AESsystems ", sur http://eprint.iacr.org/2009/374
Blaze
2016-05-30 07:24:56 UTC
view on stackexchange narkive permalink

FWIW, le projet du NIST sur la cryptographie post-quantique recommande 256.

http://csrc.nist.gov/publications/drafts/nistir-8105/nistir_8105_draft.pdf

Bien qu'ils disent que cela pourrait être "trop conservateur" et ne tient pas compte de "la possibilité d'attaques quantiques plus sophistiquées", ils disent en effet: "Pour les systèmes de clés symétriques, une heuristique simple consiste à doubler les longueurs de clé pour compenser l'accélération quadratiqueréalisé par l'algorithme de Grover. "Cela semble être une approche raisonnable à adopter dès maintenant, sachant que de nombreux progrès ont été réalisés dans les ordinateurs quantiques et que l'intérêt pour la technologie augmente.Les messages envoyés aujourd'hui pourraient être déchiffrés dans quelques années, s'ils utilisent des techniques de cryptographie qui ne sont pas «quantiques».
`la possibilité d'attaques quantiques plus sophistiquées` N'y a-t-il pas une preuve que l'algorithme de grover est le moyen le plus efficace possible de traverser un espace de clés fini?C'est à dire.l'espace de clés équivalent ne peut jamais être réduit à moins de 2 ^ (n / 2) / √k où _n_ est la longueur en bits et _k_ est le nombre d'instances parallèles de l'algorithme de grover.Je me souviens peut-être mal cependant.
D.W.
2012-04-23 10:46:20 UTC
view on stackexchange narkive permalink

Votre prémisse me semble fausse. Je n'ai connaissance d'aucune preuve que «la plupart des gens utilisent un cryptage 256 bits au lieu de 128 bits». En effet, si je devais deviner, je suppose que l’inverse est le cas.

Je pense que vous avez raison de dire que la plupart des configurations SSL sont, par défaut, définies pour préférer 128 bits. Cependant, je pense que le point de la question est "pourquoi utiliser une clé plus longue si 128 bits est de toute façon sécurisé?".
Par exemple, Firefox et Opera préfèrent les suites de chiffrement AES-256. Ils préfèrent même les suites DHE non (EC) avec AES-256 aux suites (EC) DHE avec AES-128, ce que l'OMI est insensé.
freeman
2020-06-23 05:59:45 UTC
view on stackexchange narkive permalink

Finalement, vous rencontrez un problème similaire au logiciel de compression, trop de compression peut entraîner une perte de données. Bien qu'il n'y ait pas de nombre fini pour la force du cryptage «théoriquement», cela ne signifie pas que vous devez crypter vos données à plus de 256 bits. Vous pourriez techniquement être en mesure de le faire, mais au risque de savoir quelle machine prend un mois ou des années pour démarrer et charger votre système d'exploitation?

https://medium.com/@ drgutteridge / quel-est-le-problème-avec-la-force-de-cryptage-est-assez-de-cryptage-128-bit-ou-avez-vous-besoin-de-plus-3338b53f1e3d

user1301428
2012-04-23 10:56:54 UTC
view on stackexchange narkive permalink

Je suppose que vous parlez de cryptographie symétrique. La réponse est qu'elle n'est jamais assez sécurisée (même si je soupçonne que l'utilisation de clés 256 bits contre 128 bits est une stratégie marketing pour que le client se sente plus en sécurité).

Et n'oubliez pas la montée en puissance de l'informatique quantique, ce qui réduit considérablement le temps nécessaire à une attaque par force brute.

oui c'est symétrique. à propos des ordinateurs quantiques wikipedia dit: "Bennett, Bernstein, Brassard et Vazirani ont prouvé en 1996 qu'une recherche par clé par force brute sur un ordinateur quantique ne peut pas être plus rapide qu'environ 2n / 2 invocations de l'algorithme cryptographique sous-jacent, contre environ 2n dans le cas classique. Ainsi, en présence de gros ordinateurs quantiques, une clé de n bits peut fournir au moins n / 2 bits de sécurité. La force brute quantique est facilement vaincue en doublant la longueur de la clé. "
Mais il me semble que pour que de telles attaques deviennent pratiques, de très gros ordinateurs quantiques à part entière sont nécessaires et je ne pense pas que cela puisse être réalisé très bientôt. de toute façon, il semble une bonne idée d'utiliser 256 bits si une protection à relativement long terme est nécessaire (et changer les clés / longueur de clé au besoin n'est pas pratique), bien que 256 bits deviendront 128 bits à l'ère des ordinateurs quantiques, alors pourquoi ne pas utiliser 512 bit? mais personnellement, je ne me souviens d'aucun chiffrement de 512 bits supporté !!
@HM "La force brute quantique est facilement vaincue en doublant la longueur de la clé". Je ne sais pas à ce sujet donc je n'entrerai pas dans les détails, mais c'est vrai, là vous comprenez pourquoi vous utilisez 256 bits au lieu de 128 :) en tout cas, comme vous le dites, des clés plus longues vous donnent du long terme protection, qui est probablement suffisamment importante pour justifier leur utilisation.
Il serait de toute façon plus facile d'exécuter simplement l'algorithme de Schors sur la cryptographie publique de l'échange de clés dans de nombreux cas.
@HM "AES a une taille de bloc fixe de 128 bits et une taille de clé de 128, 192 ou 256 bits, tandis que Rijndael peut être spécifié avec des tailles de bloc et de clé dans n'importe quel multiple de 32 bits, avec un minimum de 128 bits. La taille de bloc a un maximum de 256 bits, mais la taille de clé n'a pas de maximum théorique. " (de wikipedia)
Et qu'en est-il des jetons de sécurité? J'avais déjà posé des questions à ce sujet mais [cette question] (http://security.stackexchange.com/questions/13140/secure-key-lengths-in-web-sites-apps) était fermée! Je veux dire que lorsque nous utilisons une chaîne aléatoire comme jeton, cela signifie qu'elle n'est utilisée par aucune primitive cryptographique (chiffrements, hachages, etc.), tout comme elle-même en tant que jeton de sécurité, un jeton de 128 bits suffit-il? L'informatique quantique est-elle également une préoccupation dans ce domaine?
@HM voulez-vous dire quelque chose comme les identifiants de session?
L'identifiant de session est probablement un exemple trompeur car les identifiants de session afaik ne sont pas générés complètement au hasard (par exemple, certains paramètres client sont utilisés pour les générer). restreindre également la question aux scénarios Web semble une autre mauvaise idée qui a le potentiel de mal diriger la discussion, car les attaques à distance par force brute sont presque toujours sévèrement limitées en vitesse (en particulier sur le Web). Les attaques locales par force brute peuvent s'exécuter à des vitesses beaucoup plus élevées.
Supposons qu'un jeton de sécurité soit une chaîne aléatoire secrète partagée entre 2 machines et utilisée directement pour l'authentification. n'importe qui peut essayer un nombre illimité de permutations pour se faire passer pour l'autre côté (de confiance). mais si le nombre de permutations est assez grand, il n'y a pratiquement aucune chance pour les étrangers de réussir.
@HM Je ne veux pas vous donner de réponses incorrectes, je m'abstiendrai donc de répondre. Je ne suis pas un expert en informatique quantique, je sais seulement qu'il peut être utilisé pour casser des clés cryptographiques plus rapidement. Je vais certainement m'intéresser davantage au sujet.
Il peut facilement être suffisamment sécurisé.[2 ^ 128 est sacrément difficile mais un peu théoriquement plausible, et 2 ^ 256 est bien hors de portée de ce pour quoi nous avons la moindre idée de construire une machine.] (Https://security.stackexchange.com/q/6141/ 2138) Cependant, avec un ordinateur "parfaitement efficace" (dont je suis à peu près sûr qu'il ne peut exister dans la mesure où nous le savons), [ces limites deviennent effectivement sans signification] (https://physics.stackexchange.com/q/257323/14091).Cela revient vraiment à: * théoriquement * difficile, ou simplement difficile * étant donné ce que nous avons une idée de comment faire *?Je soupçonne que la plupart des gens sont plus concernés par ce dernier.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...