这个问题假设任何数据一旦加密,可能(最终)通过
我参与的大多数威胁模型、程序和业务交互都侧重于当前或未来数据的保护和安全,但并没有过多关注维护先前加密数据的安全所需的内容。
“先前加密的数据”可能不仅包括加密的消息或文件,还可能包括对先前 SSH 或 VPN 会话的捕获。
IT 安全社区中是否有任何关于在给定日期加密的数据与摩尔定律、云计算和时间相关的讨论,这些都是可能解密先前加密信息的因素?
是否讨论过会导致先前数据面临风险的私钥被盗?
业务和法律部门的许多人认为加密是一个永远不会破坏的万无一失的密码箱,并且不认为它是一个加密的 blob,其安全性会随着时间的推移而衰减,需要持续保持警惕。(例如,不要对这些 blob 粗心,不要将它们留在公共服务器上进行分析,因为人们可能会尝试对其进行解密)
我对周围的任何想法感兴趣
一种概念称为完美前向保密。这适用于您几乎同时加密和解密数据的情况,但您担心攻击者稍后会获得解密密钥的副本。这是一个限制性模型,但它适用于 SSL 连接:服务器私钥是长期存在的(通常,它存储在本地文件中),因此很容易被盗;而没有合法需要在将来的日期解密交换的数据。
在 SSL 的情况下,该解决方案依赖于“DHE”(Diffie-Hellman Ephemeral)密码套件。粗略地说,客户端和服务器使用 Diffie-Hellman 密钥协议和新的私有指数来建立会话密钥。服务器私钥(对应于服务器证书中的公钥)仅用于签名(以便服务器得到客户端的正式认证)。因此,不可告人的服务器私钥的盗窃不允许攻击者解密事先交换的数据。Diffie-Hellman 私有指数和会话密钥是瞬态的(仅链接到该会话),永远不会存储在物理介质上,一旦会话关闭,它们就会被遗忘;因此,他们不太容易受到不可告人的盗窃。
摩尔定律和可用计算能力的整体增长并不是一个大问题,因为它是可以预测的:这样的计算能力每年增长不到2 倍。因此,为了考虑这个因素,很容易将密钥过大一点:在对称加密的情况下,每年只需添加一个密钥位。这意味着具有 192 位密钥的 AES 至少可以使用一个世纪,至少就此类技术进步而言。对于 RSA、Diffie-Hellman、Rabin-Williams 或 El-Gamal,针对相同保护级别的 8192 位密钥(椭圆曲线的 384 位密钥)。
更令人担忧的是科学进步,即可能发现用于例如整数分解的更快算法。与技术进步相比,这些进步更难预测;然而,它们似乎也很少发生(因式分解的最后一次重大进步是数域筛的发明,那是 20 年前)。量子计算机在这里是一个不为人知的笑话:如果它能够被建造出来,那么它将彻底摧毁非对称密码学(嗯,至少,基于因式分解和基于离散对数的算法,包括椭圆曲线变体;可能,McElliece 加密可能抵抗)。
一般来说,加密数据长期保密的最大威胁是私钥被盗。在适用的情况下,PFS 确实可以相当大地改进事情。担心摩尔定律或量子计算确实是个好消息:这意味着你已经挫败了所有更简单的攻击向量,这是不小的成就。认为“加密是万无一失的密码箱”并不是完全荒谬的:如果处理得当,加密部分本身会给您在存储私钥并保持其安全而不完全丢失时必须面临的风险增加微不足道的风险。
这样做的实际结果是,与我一起工作的几乎所有安全部门都将加密视为他们希望在一段时间内保护的东西,他们决定使用哪种加密是基于他们需要多长时间来保证数据的“安全性”
诚然,造成这种情况的因素很模糊,并且随着有人发现新的理论攻击而容易改变,但总的来说我赞成这种方法。
我认为我认识的全球组织中处理加密的任何人都不会这样看待它。他们根据一半(或更少)密钥空间的预期蛮力更改密钥,并在政府推荐新算法时更改算法。
一些更新:
我的客户使用的很多加密连接仅在当时很重要——如果它们在一个月后被破坏,那也没关系。这些类型的连接通常使用高性能加密,而不是持续数年的加密。
另一方面,用于保护私人医疗数据的加密必须至少对患者的生命安全,并且性能不太重要,因此使用了更强大的加密。
这都是关于适当性的。