LINEBURG


<< Пред. стр.

страница 2
(всего 2)

ОГЛАВЛЕНИЕ

could recover DES keys in an average of 6 minutes, вскрыть DES ключ приблизительно за 6 минут,
for the same $38 per key. при той же цене 38 долл. за ключ.
At the very high end, an organization - presumably На самом верхнем конце, организации -
a government intelligence agency - willing to spend преимущественно правительственные
$300,000,000 could recover DES keys in 12 разведываетельные агентства - способные
seconds each! The investment required is large but вложить 300 млн. долл. могут взломать DES за
not unheard of in the intelligence community. It is 12 секунд. Затраты огромные, но не запредельные
less than the cost of the Glomar Explorer, built to для разведывательного сообщества. Это меньше,
salvage a single Russian submarine, and far less чем стоит построенный специально для поднятия
than the cost of many spy satellites. Such an одной руской подводной лодки «подводный
expense might be hard to justify in attacking a исследователь», и намного меньше, чем цена
single target, but seems entirely appropriate against разведывательных спутников. Такие деньги
a cryptographic algorithm, like DES, enjoying трудно оправдать атакой на одну цель, но, по-
extensive popularity around the world. видимому, приемлемо против алгоримов типа
DES, широко применяемых во всем мире.
There is ample evidence of the danger presented by Это достаточное доказательство опасности
government intelligence agencies seeking to obtain представляемой таким агентствами в поисках
information not only for military purposes but for получения информации не только для военных
commercial advantage. Congressional hearings in целей но для коммерческий целей. Слушания в
1993 highlighted instances in which the French and Конгрессе в 1993 высветили пример, в котором
Japanese governments spied on behalf of their правительства Франции и Японии следили за
countries' own businesses. Thus, having to protect бизнесом в своих собственных странах. Т.о.
commercial information against such threats is not a защита коммерческой информации от таких угроз
hypothetical proposition. это не гипотетическое предположение.

4.3 The analysis for other algorithms is roughly 4.3 Анализ для других алгоритмов примерно

comparable. одинаковых
The above analysis has focused on the time and Предыдущий анализ был сфокусирован на
money required to find a key to decrypt information времени и деньгах, необходимых для
using the RC4 algorithm with a 40-bit key or the дешифрования информации используя алгоритм
DES algorithm with its 56-bit key, but the results RC4 с 40-битовым ключом или DES с 56-
are not peculiar to these ciphers. Although each битовым ключом, но но результаты не были
algorithm has its own particular characteristics, the специфичными для каждого шифра. Хотя каждый
effort required to find the keys of other ciphers is алгоритм имеет свои особенности, усилия
comparable. There may be some differences as the требуемые для нахождения ключа - сопоставимы.
result of implementation procedures, but these do Возможны некоторые различия, но они не окажут
not materially affect the brute-force breakability of значительный эффект на силовой взлом
algorithms with roughly comparable key lengths алгоритмов с примерно одинаковой длиной
ключа.
Specifically, it has been suggested at times that Особенно это касается времени процедур
differences in set-up procedures, such as the long установки, такие, как длительная установка
key-setup process in RC4, result in some algorithms ключа в RC4, результат в некоторых алгоритмах,
having effectively longer keys than others. For the имеющих существенно более длинный ключ, чем
purpose of our analysis, such factors appear to vary другие. Для целей нашего анализа такие факторы
the effective key length by no more than about eight длина ключа изменяется не более, чем на 8 битов.
bits.

5. Appropriate Key Lengths for the 5. Соответствующая длина ключа на

Future --- A Proposal будущее - Предположения
Table I summarizes the costs of carrying out brute- Таблица 1 отражает стоимость силовой атаки
force attacks against symmetric cryptosystems with против симметричной криптосистемы с 40-
40-bit and 56-bit keys using networks of general битовыми и 56-битовыми ключами, используя
purpose computers, Field Programmable Gate сети неспециализированных компьютеров, НПЧ и
Arrays, and special-purpose chips. СИС технологии.
It shows that 56 bits provides a level of protection - Она показывает, что 56 бит обеспечивают
about a year and a half - that would be adequate for степень защиты около 1,5 года - которая должна
many commercial purposes against an opponent быть подходящим для многих коммерческих
prepared to invest $10,000. Against an opponent целей при оппоненте способнов вложить 10 000
prepared to invest $300,000, the period of долл. От оппонента, способного вложить 300 000
protection has dropped to the barest minimum of 19 долл.период защиты сократится до малейшего
days. Above this, the protection quickly declines to минимума в 19 дней. Учитывая вышеизложенное,
negligible. A very large, but easily imaginable, стойкость быстро падает до минимума. Очень
investment by an intelligence agency would clearly большие, но близкие к реальным, инвестиции в
allow it to recover keys in real time. соответствующие спецслужбы могут легко
позволить ломать ключи в реальном времени.
What workfactor would be required for security Какая длина ключа требуется на сегодняшний
today? For an opponent whose budget lay in the $10 день? Для инвестора, чей бюджет лежит в
to 300 million range, the time required to search out диапазоне от 10 до 300 млн. время требуемое для
keys in a 75-bit keyspace would be between 6 years перебора ключей соответствующих 75 битам
and 70 days. Although the latter figure may seem лежит между 6 годами и 70 днями. Хотя
comparable to the `barest minimum' 19 days последняя цифра очень похожа на наименьший
mentioned earlier, it represents - under our минимум в 19 дней, она соответствует цене в 19
amortization assumptions - a cost of $19 million млн. долл. и уровню взлома 5 ключей в год.
and a recovery rate of only five keys a year. The Жертва такой атаки должна представлять собой
victims of such an attack would have to be fat лакомый кусочек.
targets indeed.
Because many kinds of information must be kept Поскольку многие виды инфомации должны
confidential for long periods of time, assessment находиться в секрете долгий период времени,
cannot be limited to the protection required today. оценка не может быть ограничена защитой,
Equally important, cryptosystems - especially if требуемой сегодня. Также важно, что
they are standards - often remain in use for years or криптосистемы (особенно стандарты) часто
even decades. DES, for example, has been in use for предполагается использовать годы и даже
more than 20 years and will probably continue to be десятилетия. DES, к примеру, использовался
employed for several more. In particular, the более 20 лет, и, возможно, будет использоваться
lifetime of a cryptosystem is likely to exceed the еще. В частности, время жизни криптосистемы
lifetime of any individual product embodying it. часто равно времени существования некоторого
продукта, воплощающего ее.
A rough estimate of the minimum strength required Грубая прикидка минимальной стойкости, как
as a function of time can be obtained by applying an функции времени, может быть получена
empirical rule, popularly called `Moore's Law,' эмпирическим путем, часто называемым
which holds that the computing power available for «законом Мура», который гласит, что
a given cost doubles every 18 months. Taking into вычислительные мощности при одной и той же
account both the lifetime of cryptographic стоимости удваиваются каждые 18 месяцев.
equipment and the lifetime of the secrets it protects, Возьмите вместе время жизни
we believe it is prudent to require that encrypted криптографического оборудования, время жизни
data should still be secure in 20 years. Moore's Law секретов и, как мы полагаем благоразумно
thus predicts that the keys should be approximately потребовать, что шифрованные данные должны
14 bits longer than required to protect against an быть в безопасности еще 20 лет. В этом случае
attack today. закон Мура означает, что ключи должны быть
приблизительно на 14 битов длинее, чем
требуется для предотвращения атаки сегодня.
Bearing in mind that the additional computational Необходимо помнить, что дополнительные
costs of stronger encryption are modest, we strongly вычислительные цены сильного шифрования
recommend a minimum key-length of 90 bits for скромные, поэтому мы очень рекомендуем
symmetric cryptosystems. минимальную длину ключа в 90 битов для
симметричных систем.
It is instructive to compare this recommendation Поучительно сравнить эти рекомендации с
with both Federal Information Processing Standard Федеральным стандартом обработки информации
46, The Data Encryption Standard (DES), and 46, DES, Федеральным стандартом обработки
Federal Information Processing Standard 185, The информации 185, Стандартом шифрования ЕЕS.
Escrowed Encryption Standard (EES). DES was DES был предложен 21 год назад и использует
proposed 21 years ago and used a 56-bit key. 56-битовый ключ. Применяя закон Мура и
Applying Moore's Law and adding 14 bits, we see добавляя 14 битов получаем, что стойкость DES в
that the strength of DES when it was proposed in том году, когда он был принят (1975 г.),
1975 was comparable to that of a 70-bit system сопоставима с 70-битовой системой сегодня.
today. Furthermore, it was estimated at the time that Подсчитано, что время в течение которого и что
DES was not strong enough and that keys could be ключи могут быть перебраны в один день
recovered at a rate of one per day for an investment соответствуют инвестициям в 20 млн. долл. Наш
of about twenty-million dollars. Our 75-bit estimate 75-битовый расчет сегодня соответствует 61 биту
today corresponds to 61 bits in 1975, enough to в 1975 г., достаточно, чтобы вывести цену
have moved the cost of key recovery just out of перебора ключей за достижимые пределы. EES
reach. The Escrowed Encryption Standard, while пока неприемлем для многих потенциальных
unacceptable to many potential users for other пользователей по многи причинам, воплощает
reasons, embodies a notion of appropriate key понятие о соответствующей длине ключа, что
length that is similar to our own. It uses 80-bit keys, похоже на наши. Он использует 80-битовые
a number that lies between our figures of 75 and 90 ключи, количество которых лежит между нашими
bits. значениями 75 и 90 битов.


About the Authors Об авторах

Matt Blaze is a senior research scientist at Матт Блейз - старший исследователь в AT&T.
AT&amp;T Research in the area of computer Исследования в области компьютерной
security and cryptography. Recently Blaze безопасности и криптографии. Недавно Блейз
demonstrated weaknesses in the U.S. government's продемонстрировал слабость американской
`Clipper Chip' key escrow encryption system. His правительственной системы шифрования
current interests include large-scale trust «Клиппер». В настоящее время он работает в
management and the applications of smartcards. области крупномасштабного управления
mab@research.att.com доверием и приложений смарт-карт.

Whitfield Diffie is a distinguished Engineer at Sun Уитфилд Диффи - заслуженный инженер в Sun
Microsystems specializing in security. In 1976 Microsystems в области безопасности. В 1976 г.
Diffie and Martin Hellman created public key Диффи и Мартин Хеллман разработали
cryptography, which solved the problem of sending криптографию с открытым ключом, которая
coded information between individuals with no решила проблемы обмена ключами по открытым
prior relationship and is the basis for widespread каналам, создали базис для широкого применения
encryption in the digital information age. шифрования в эпоху цифровой информации.
diffie@eng.sun.com

Ronald L. Rivest is a professor of computer science Рональд Райвест - профессор компьютерных наук
at the Massachusetts Institute of Technology, and is Массачусетского Технологического института
Associate Director of MIT's Laboratory for (МТИ) и заместитель директора Лаборатории
Computer Science. Rivest, together with Leonard Компьютерных наук МТИ. Райвест, совместно с
Adleman and Adi Shamir, invented the RSA Леонардом Эйдельманом и Эди Шамиром
public-key cryptosystem that is used widely предложили криптосистему с открытым ключом,
throughout industry. Ron Rivest is one of the которая широко используется в индустрии. Рон
founders of RSA Data Security Inc. and is the Райвест - один из основателей компании RSA
creator of variable key length symmetric key Data Security Inc. и разработчик серии алгоритмов
ciphers (e.g., RC4). шифрования с симметричным ключом различной
rivest@lcs.mit.edu длины (например RC4).

Bruce Schneier is president of Counterpane Брюс Шнейер - президент «Counterpane Systems» -
Systems, a consulting firm specializing in консультационной фирмы специализирующейся в
cryptography and computer security. Schneier области криптографии и компьютерной
writes and speaks frequently on computer security безопасности. Шнейер много пишет и говорит о
and privacy and is the author of a leading компьютерной защите и безопасности, он автор
cryptography textbook, Applied Cryptography, and популярной книги «Прикладная криптография» и
is the creator of the symmetric key cipher Blowfish. создатель симметричного алгоритма шифрования
schneier@counterpane.com «Blowfish».

Tsutomu Shimomura is a computational physicist Цутоми Шимомура - специалист в
employed by the San Diego Supercomputer Center вычислительной физике, работает в
who is an expert in designing software security Суперкомпьютерном центре в Сан-Диего в
tools. Last year, Shimomura was responsible for качестве эксперта по созданию программных
tracking down the computer outlaw Kevin Mitnick, средств защиты. В прошлом году Шимомура
who организовывал операцию по поимке
electronically stole and altered valuable electronic компьютерного нарушителя Кевина Митника,
information around the country. который воровал различную электронную
tsutomu@sdsc.edu информацию по всей стране.


Eric Thompson heads AccessData Corporation's Эрик Томсон - возглавляет криптоаналитическую
cryptanalytic team and is a frequent lecturer on команду корпорации «AccessData» («Доступ к
applied crytography. AccessData specializes in data данным») и популярный лектор по прикладной
recovery and decrypting information utilizing brute криптографии. Компания AccessData
force as well as `smarter' attacks. Regular clients специализируется в области взлома данных и
include the FBI and other law enforcement agencies дешифрования информации методом «силовой
as well as corporations. атаки». Постоянными клиентами компании
eric@accessdata.com являются ФБР и другие правоохранительные
органы и компании.

Michael Wiener is a cryptographic advisor at Bell- Майкл Винер - криптографический советник
Northern Research where he focuses on компании Bell-Northern Research, где он
cryptanalysis, security architectures, and public-key занимается криптоанализом, архитектурой
infrastructures. His influential 1993 paper, Efficient безопасности и открытыми ключами. Под его
DES Key Search, describes in detail how to cons- влиянием 1993 газеты, эффективный поиск
truct a machine to brute force crack DES coded ключей DES, детальное описание машины для
information (and provides cost estimates as well). силовой атаки на DES-шифрованную
wiener@bnr.ca информацию.

ACKNOWLEDGEMENT БЛАГОДАРНОСТИ

The authors would like to thank the Business Авторы выражают свою признательность
Software Alliance, which provided support for a Ассоциации производителей программного
one-day meeting, held in Chicago on 20 November обеспечения Business Software Alliance за ее
1995 поддержку в подготовке однодневного семинара
прошедшего в Чикаго 20 ноября 1995 г.
Таблица 1
Тип Время и цена Длина
нападающего Бюджет Инструмент за взломанный ключ необходимая для
защиты
40 бит 56 бит
малый мусорное 1 неделя невозможно 45
машинное
время
Пеший хакер
400 долл. FPGA 5 часов 38 лет 50
($0.08) ($5,000)
10 тыс. FPGA 12 минут 556 дней 55
Малый бизнесс
долл. ($0.08) ($5,000)
300 тыс. FPGA or 24 секунды 19 дней 60
долл ($0.08) ($5,000)
Средний бизнес
ASIC .18 секунд 3 часа
($0.001) ($38)
10 млн. FPGA .7 секунд 13 часов 70
Крупная долл. или ($0.08) ($5,000)
ASIC 0,005 секунд .6 минут
компания ($0.001) ($38)
Спецслужбы 300 млн. ASIC .0002 seconds 12 seconds 75
долл. ($0.001) ($38)

<< Пред. стр.

страница 2
(всего 2)

ОГЛАВЛЕНИЕ

Copyright © Design by: Sunlight webdesign