Архивы: по дате | по разделам | по авторам

У кого ключ длиннее

Архив

автор : Максим Отставнов 08.08.2000

В криптологии опаснее всего то, что на ее "измерение" очень легко купиться...

В криптологии опаснее всего то, что на ее "измерение" очень легко купиться. Знание длины ключей и криптоаналитических приемов позволяет оценить "трудозатраты" на взлом определенного шифра. И возникает слишком сильный соблазн интерпретации этих цифр так, как если бы они были подлинной мерой безопасности системы.

Мэтт Блэйз. Послесловие к книге [1]

Не знаю, насколько в переводе текста, поставленного в эпиграф, мне удалось передать тонкую иронию известного криптографа Мэтта Блэйза (Matt Blaze), но суть его замечания - в том, что подавляющее большинство реальных атак предпринимается не против криптографического алгоритма как такового, а против недочетов в протоколе, его реализации, либо с использованием "человеческого фактора".

Из этого, несомненно, справедливого наблюдения иногда делается весьма странный вывод: раз доски сарая гниловаты, замок вешать не обязательно (вместо того, чтобы заняться досками). Конечно, если речь идет о защите собственной (личной, корпоративной) приватности, это остается личным делом. Когда же защите подлежит чужая информация - долг оператора каждой системы обеспечить максимальную возможную степень защиты.

Проектирование надежных систем - нетривиальная задача, и установка криптомодулей с адекватной длиной ключа, пожалуй, самый простой его элемент. Это не является достаточной мерой предосторожности, но сам факт того, что она не предпринята, однозначно свидетельствует о некомпетентности и/или безответственности оператора.

В ноябре 1995 года, собравшись на однодневный митинг в Чикаго, семь видных специалистов в области криптографии и компьютерной инженерии составили ad hoc-доклад "Минимальная длина ключа симметричного шифрования, достаточная для коммерческой безопасности" [2].

В нем, в частности, с опорой на эмпирические оценки утверждалось: "сегодня 40-битные ключи практически не предоставляют никакой защиты против "лобовой" атаки. Даже DES с 56-битными ключами становится все менее адекватным". В то же время, "к счастью, издержки стойкого шифрования лишь незначительно превышают стоимость шифрования слабого". Авторы рекомендовали в качестве адекватной защиты от атак со стороны серьезных оппонентов, как минимум, 75 бит ключа, а в двадцатилетней перспективе - минимум 90 бит.

Отчет 1995 года стал первым в ряду согласованных публичных оценок адекватной длины ключа для гражданских криптографических применений. Полученные тогда оценки не подвергались сколько-нибудь значительному пересмотру. Приведенная эффективная длина 90 бит соответствует приблизительно килобитному ключу в асимметричных алгоритмах шифрования и цифровой подписи.

Исходя из этого и определены базовые криптофункции для массовых применений: они предусматривают реализацию асимметричных алгоритмов (RSA, ElGamal, DSA) с ключом от 1024 бит и симметричных с ключом 112 (3DES) или 128 (RC5, Blowfish и т. п.) бит.

Можно ли считать эти оценки справедливыми? Довольно интересные результаты получил старший научный сотрудник RSA Labs. Роберт Силверман, проанализировавший в недавнем отчете оценки и эмпирические данные по стойкости симметричных и асимметричных алгоритмов в компактном исследовании [3].

Несмотря на то что оценка стоимости "взломов" включает в себя крайне нелинейные компоненты (связанные как со стоимостью оборудования, так и с организационными моментами и мотивацией участников), исторические результаты демонстрационных "взломов" показывают потрясающе линейный рост во времени. Так, академические опыты по факторизации (разложению на множители) больших чисел [1] за тридцатилетний период (1970-99 гг.) ложатся на график эмпирической формулы длина = 4,23(год - 1970) + 23 с коэффициентом корреляции 0,955.

Силверман предлагает достаточно сложное (и не менее эмпирическое, чем сам результат) объяснение этого феномена, но более важным кажется то, что, несмотря на развитие методов факторизации, расширение сообщества числовых теоретиков и академических криптоаналитиков и повышение мотивации его участников, за тридцать лет серьезных сюрпризов не было [2].

В таблице приведены оценки стойкости популярных криптоалгоритмов в предположении, что оппонент распоряжается бюджетом в 10 млн. долларов.

Длина ключа, бит			Время на взлом	Количество машин	Необходимая память
симметричного криптоалгоритма	эллиптического криптоалгоритма	алгоритма RSA	Время на взлом	Количество машин	Необходимая память
56	112	430	< 5 мин.	10⁵	пренебрежимо мала
80	160	760	600 мес.	4300	4 Гбайт
96	192	1020	3 млн. лет	114	170 Гбайт
128	256	1620	10¹⁶ лет	16	120 Тбайт

В Заключении к отчету Силверман приводит интересные соображения касательно мотиваций к атаке. По Силверману, атака может мотивироваться экономически, "зловредно", академически и политически. Относительно четвертого мотива автор замечает: "Гражданам не стоит бояться того, что правительство предпримет атаку из соображений экономической выгоды, поскольку стоимость атаки превысит любую такую выгоду. Чего стоит опасаться, так это вторжения в частную жизнь [под предлогом охраны правопорядка и защиты национальной безопасности]. Ответить на вопрос о том, сколько ресурсов правительство может потратить на атаку в этих целях, не представляется возможным".

Одним из важных инструментов оценки затрат на практический криптоанализ и стимулирования академического криптоанализа в целом являются конкурсы, проводимые различными корпорациями, в частности, RSA Security. Скажем, последние успехи в факторизации больших чисел были достигнуты именно в ходе таких конкурсов, причем уже более десяти лет побеждают операторы систем, распределяющих вычисления посредством локальных сетей и Internet. RSA также проводит конкурсы на "взлом" симметричных шифров; о текущем конкурсе, его российских участниках и команде, собранной в прошлом году под флагом "Компьютерры", см. материал во врезке.

Под флагом "Компьютерры"

Cемен Cавинов <sam@myportal.ru>

В 1996 году компания distributed.net организовала систему параллельных вычислений по заданиям, распределяемым через Internet. Основным потребителем этого сервиса выступила компания RSA Labs. (www.rsa.com) - один из лидеров криптографической отрасли, постоянно проводящая конкурсы на "взлом" систем шифрования информации.

Для того чтобы продемонстрировать верность оценки стойкости современных криптоалгоритмов даже с самыми короткими из реально используемых ключей, обычному домашнему компьютеру потребовались бы десятки тысяч лет. Альтернативами являются приобретение суперкомпьютера последней модели (что под силу далеко не каждому государству) или установка на стадионе типа "Лужников" распределенной системы из обычных компьютеров в несколько этажей, что тоже весьма накладно.

Или же - что и предложила distributed.net - объединение домашних компьютеров пользователей Internet (которых на сегодняшний день великое множество), что само по себе практически ничего не стоит, но позволяет мобилизовать огромный вычислительный потенциал.

Помимо официальных взломов криптографических алгоритмов, подобная концепция распределенных вычислений используется и в других задачах, требующих массивных вычислений, в частности, в весьма романтическом проекте SETI@HOME (поиск внеземного разума путем расшифровки космических сигналов), о котором неоднократно писала "Компьютерра".

А недавно ряд компаний по инициативе Distributed Science, Inc. (www.distributedscience.com), созданной одним из организаторов проекта SETI@HOME, предложил коммерциализовать эту концепцию и просто скупать idle cycles пользователей во вполне промышленном масштабе (см. "КТ" #354, сс. 8-9), - организаторы надеются мобилизовать вычислительную мощность, по меньшей мере вдвое превышающую возможности ASCI White от IBM - самого мощного на сегодня суперкомпьютера в мире.

Cегодня на distributed.net полным ходом идет атака разработанного RSA Labs. алгоритма RC5 с 64-битным ключом (RC5 64), в которой принимает участие около десяти тысяч команд и целая армия отдельных участников. Между командами, как и между участниками, происходит постоянное соперничество. Команда или участник, перебравшие в ходе атаки наибольшее количество вариантов, занимают более высокое положение в таблице рейтингов. Компанией RSA установлен призовой фонд в размере 10 тыс. долларов, из которых 2 тысячи забирает компания distributed.net (в качестве вознаграждения за программирование клиентов), 1 тысячу получает участник, нашедший верную комбинацию, еще тысячу - его команда и 6 тысяч - команда, занявшая первое место в проекте.

Для участия в конкурсе нужно зарегистрироваться в качестве участника (или войти в одну из команд), загрузить и установить на своей машине "корову" - программу-клиент (которая может запускаться в нерабочее время). Криптографический ключ разбит на блоки, которые передаются на так называемые key-серверы. "Корова" забирает с key-сервера необходимое ей количество блоков (зависит от быстродействия компьютера) и начинает их "пережевывать". После чего отсылает результат обратно на distributed.net, где эти блоки отправляются к числу "просчитанных" и результат фиксируется сервером статистики.

Команда "Компьютерра" (RussianTeamComputerraRu, www.myportal.ru) была создана 9 января 2000 года под официальный взлом ключа RC5 64, и ее костяк составляют члены клуба читателей "Терры" и постоянные посетители сайта www.computerra.ru. На сегодняшний день в ней более тридцати человек, и ее можно назвать сильнейшей в своей "весовой категории" среди российских команд.

Возглавляют же рейтинг команды, насчитывающие тысячи членов и участвующие в проекте с 1997 года, причем две российские команды - Russian Team и HackZone Team. Combined power of Russia and exUSSR countries - входят в первую десятку общего рейтинга, занимая четвертое и шестое места соответственно. Россия же в целом (команды и индивидуальные участники) занимает в списке национальной статистики четвертое место (около 500 млн. обработанных блоков), уступая лишь ушедшим в отрыв США (3 млрд. блоков), Японии (650 млн. блоков) и Германии (560 млн.).

От редакции

28 июля команда RussianTeamComputerraRu отметила двухсотдневный "юбилей", подарив себе первый миллион обработанных блоков и пятое место среди российских команд. Поздравляем!

При вашем активном участии, уважаемые читатели, команда "Компьютерры" вполне может подняться выше, так что присоединяйтесь. Подробная информация - на сайте команды www.myportal.ru/team.

Об авторе: Семен Савинов - капитан команды "Компьютерра". В подготовке материала также принял участие член команды Антон Горяинов (real_one@mail.ru).

Литература

[1] Bruce Schneier. Applied Cryptography, 2nd Ed. - N.Y.: 1996.

[2] Matt Blaze, Whitfield Diffie, Ronald L. Rivest, Bruce Schneier, Tsutomu Shimomura, Eric Thompson, and Michael Wiener. Minimal Key Lengths for Symmetric Ciphers to Provide Adequate Commercial Security. January 1996 (www.counterpane.com/keylength.html).

[3] Robert D. Silverman. A Cost-Based Security Analysis of Symmetric and Asymmetric Key Lengths // RSA Laboratories Bulletin, No. 13, April 2000.

1 (обратно к тексту) - Это самый "трудоемкий" элемент в атаке на шифрование и цифровую подпись по алгоритму RSA.

2 (обратно к тексту) - Некая смута среди "слышавших звон" периодически возникает по поводу так называемых ДНК-вычислений. ДНК-вычисления реализованы достаточно давно, а в 1994 году Леонард Адлеман продемонстрировал пригодность ДНК-компьютера для решения теоретико-числовых задач, эквивалентных задачам криптоанализа. Существенное обстоятельство, однако, заключается в том, что даже универсальный ДНК-компьютер, будучи построен, останется "классическим" компьютером (хотя реализованным не в электромагнитных полях, а в биологической материи), и, следовательно, его производительность будет ограничена теми же фундаментальными физическими принципами, что и производительность электронного оборудования.

Квантовые вычисления, будучи реализованы, напротив, заставили бы произвести самую серьезную "переоценку ценностей" в криптологии. Реализуемость квантовых вычислений для практических применений, впрочем, представляет собой открытую исследовательскую проблему. Очень важно проведение достаточного количества открытых исследований. "Компьютерра" регулярно освещает эту тематику и старается рецензировать- пока еще редкую - новую русскую литературу по квантовым вычислениям.