디피 - 헬만 키 교환

Question

나는 현재 RFC 2631 및 RFC 3526.

는 RFC 3526에서 볼 수 있듯이에 따라 디피 - 헬만 키 교환을 구현하는 코드를 작성하고 구현을위한 주요을 선택하는 방법, 여러가 이러한 // 2048 비트 그룹 MODP // 3072 비트 그룹 MODP // 4096 비트 그룹 MODP // 6144 비트 그룹 MODP // 8192 비트 그룹 MODP

1,536 비트의 그룹으로 그룹 MODP

해당 그룹에서 하나의 그룹을 선택할 때 어떤 기반이되어야합니까 ??

Diffie-Hellman 키 교환과 이유 때문에 그룹에서 한 그룹을 선택하는 방법을 말해 줄 수 있습니까?

Answer 1

먼저주의해야 할 점은 표준 carries some risk에서 오는 고정 소수를 사용하는 것입니다. 그런데 NSA가 이들 중 어떤 것도 해독 할 수 없다는 것은 상당히 확신 할 만하다. 그렇다고해서 지금부터 최소 1 년 이내에 도달 할 수는 없다는 것을 의미하지는 않는다.

귀하가 선택하는 키 크기는 모두 필요한 보안 수준에 달려 있습니다. Diffie Hellman을 없애기 위해 우리가 알고있는 최고의 알고리즘은 우리가 분해 할 수있는 최상의 알고리즘과 크게 다르지 않습니다. 간단히 말해서, 1024 비트 이하는 아니요, 2048 비트 이상은 언제든지 빠지기가 쉽지 않습니다 (수학적 돌파구가 없거나 양자 컴퓨터가 실용화되지 않는 한 후자가 발생하면 DH는 모두 운명에 처한다).

그래서 우리는 무엇이 crackable인지 알 수 있습니까?

2010 년에는 768-bit number was factored입니다. 저자는 "우리의 작업에서 또 다른 결론은 오픈 커뮤니티, 학문적 노력을 우리 자신으로 제한하고 인수 분해에서 어떤 것이 극적으로 일어나지 않는 한 우리는 1024 비트 RSA 계수를 고려하지 못할 것이라고 자신있게 말 할 수 있다는 결론을 내렸다. 향후 5 년 안에 (cf. [30]) 그 이후에는 모든 배팅이 해제됩니다. "

올해는 768-bit prime discrete logarithm was computed (768 비트 DH가 손상 될 수 있음을 증명 함). 저자는 또한 다음과 같이 썼습니다. "3 절에서 1024 비트의 소수 필드 ElGamal 또는 DSA 키를 계속 사용하는 것이 1024 비트 RSA보다 훨씬 위험하다는 것을 분명하게 설명합니다. 모두가 여전히 일반적으로 사용됩니다. 하나의 잘 선택된 프라임 필드에 대해 공격이 수행되었으므로 그 총리 필드의 모든 사용자가 추가로 적은 노력으로 영향을받을 수 있습니다. "

1536 비트가 공격받는 것과 비슷하다는 표시가 없으므로 키 크기가 괜찮을 수도 있습니다. 그러나 하드 코딩 된 소수를 사용하는 위험에 대해 알고있는 것을 감안할 때 안전 측면을 잘못 판단하고 적어도 2048 비트를 사용하는 것이 좋습니다.

솔직히 말해서, 나는 그 이상으로 나아가는 것에 대해 공황하지 않을 것입니다. 네, 적어도 4096 비트 이상을 사용해야한다고 생각하는 사람들이 많이 있습니다. 그러나, 나는 그 사람들이이 알고리즘을 깨뜨리는 수학을 이해하는 것을 보지 못했습니다. 가장 큰 아이러니는 사람들이 4096 비트 RSA 또는 DH를 사용하여 256 비트 AES 키를 교환 할 것을 권장 할 때 AES 키의 보안을 다운 그레이드한다는 것을 인식하지 못한다는 것입니다. Unbelievable Security Matching AES security using public key systems에서 언급했듯이 "공개 키 시스템과 AES-192 또는 AES-256 보안 수준을 맞추려면 오늘날 일반 사용 범위를 훨씬 초과하는 공개 키 크기가 필요합니다." 즉 192 비트 AES 키는 7000 비트 RSA/DH에 해당하고 256 비트 AES는 16000 비트 RSA/DH에 해당합니다.

결론 : 2048 비트 MODP 그룹으로 이동하고 당황하지 마십시오.당신은 누군가가 그 크기에 따라 번호를 해독해야하는 것보다 암호를 깨는 것보다 훨씬 더 많은 수의 implementation problems을 가질 것입니다.