Taras_Serevann
@Taras_Serevann
веб-разработчик, автор

Стоит ли использовать RSA?

Стоит ли сейчас использовать RSA для шифрования и расшифровки текста? И с какой длинной ключа?

Если RSA не стоит, то тогда что использовать?
  • Вопрос задан
  • 6356 просмотров
Пригласить эксперта
Ответы на вопрос 4
Deerenaros
@Deerenaros
Программист, математик, задрот и даже чуть инженер
И да и нет одновременно.

(обновлено, ибо внезапно прочитал и половину не понял - видимо писал на "потоке")
RSA стоит использовать лишь для шифрования других ключей - ключей симметричных алгоритмов шифрования. AES, ГОСТ 28147-89, 3DES и другие. Почему? Во-первых, симметричные алгоритмы более устойчивы к взлому при большом известном закрытом тексте, тогда как ассиметричное шифрование потенциально имеет изъяны. В том смысле, что (почти) любое ассиметричное шифрование использует задачу NP-класса (точнее - NP-полную задачу): факторизация числа (RSA), декодирование полных (общих) линейных кодов (McEliece), вычисление дискретного логарифма на элептической кривой (ГОСТ Р 34.10-2012), или в конечном поле (Elgamal). Другое дело, что любая эта задача потенциально - решаемая. В случае с симметричным шифрованием действительно стоит лишь надеяться на чудо (в ГОСТе разрешено выбирать любые s-блоки, так что криптоаналитику ничего не остаётся, как молиться пролетариату в надежде на терморектальный криптоанализ). В случае же с ассиметричным шифром в дело вступают две вещи - высокая сложность реализации действительно стойкого алгоритма (ассиметричные шифры очень сложны и полны нюансов, не учитывая которые можно запросто порушить систему), низкая скорость работы (в силу того, что приходиться использовать очень абстрактные математические функции, сложно реализуемые аппаратно и таящие в себе множество низкоуровневых операций) при требовании к очень длинным ключам заставляют использовать небольшие ключи для того, чтобы не ждать вечность.

Однако. Здесь имеется странный парадокс. Если данные очень важные и на их защиту можно убить несколько миллионов енотов, то надо использовать только ассиметричный шифр. Потому что, он потенциально даёт большую стойкость. Парадокс здесь в том, что если классы P и NP неравны, то мы получаем едва ли не идеальную и приемлемую по стоимости защиту, так как есть возможность сложной организационной защиты.
(здесь было многое отправлено в топку)

Окай, посмотрим на стандартную схему с Алисой, Бобом и Евой:
Алиса -> c = E(m, Eb) -> -------- -> D(c, Db) -> Боб (
                                 |
                                 |
                                 v
                     Ева <- c, E, D, d

здесь m - текст, который надо передать (сообщение)
c - шифротекст
E - функция шифрования (получения из сообщения шифротекста)
D - функция дешифрования, иначе - обратная функция шифрования (получения из шифротекста - сообщения)
Eb, Db - секретный и открытый ключи Боба (в литературе используется различное обозначение, здесь так)
Собственно, Ева знает всё о функциях шифрования и дешифрования, имеет доступ к шифротексту и будем считать, что она получает и открытый ключ.

Теперь, что нам это даёт? А это нам даёт возможность наплодить большое количество ключей и шифровать каждое сообщение отдельным ключём. Потенциально, но если есть $$$, то можно скупить половину серверов страны, если не планеты и радоваться жизни. Хотя ровно так же можно поступить и с симметричным шифрованием, и называется это одноразовым блокнотом, используют и различные режимы шифрования и всё равно выходит профитнее. Где же профит здесь?
Во-первых, если нужно передавать по каналу, а не хранить, то можно генерировать ключи налету и после расшифровки их уничтожать. По сути, получиться что для того, чтобы получить сообщение длины l бобу потребуется передать и ключей в общей сумме длины l. Много? Да. Профитно? Очень - ибо мы реализуем
ассиметричный одноразовый блокнот (упс), который, однако, нет никакого смысла использовать нет - слишком дорого. Да и не всегда возможно - порой обратный канал чрезвычайно узкий.
Во-вторых, есть способ организовать защиту, основанную на иерархии пользователей. То есть майор Алиса написала отчёт, который ей надо отправить подполковнику Бобу. При этом читать этот отчёт должны иметь право все, кто равен или выше подполковника.
В-третьих, как писалось выше, сложность взлома достаточно велика. И не только потому, что P != NP. Даже P довольно большое получается, поэтому и используют асимметричный шифр для передачи ключей симметричных ключей. Но и взлом получается очень не простым из-за тяжёлых математических абстракций. Обычно. Да, RSA можно "взломать" перебрав все возможные делители, но это долго из-за астрономического размера ключа. А способы обхода или упрощения опираются на такой зубодробительный матан, что попытка как-то это реализовать заставит использовать сами по себе очень тяжёлые операции. Так это при работе с банальными числами (и это показывает, насколько плохо развита теория чисел), а что если уйти на эллиптическую кривую - аналитическая геометрия развита может чуть лучше, но абстракции намного тяжелее для компьютеров. И даже использование графических карт не помогает, ведь есть ещё и макэлис. Я к тому, что O(2^32) для симметричного шифра и O(2^32) для асимметричного шифра не очень таки равны. Так же не равны, как не равны день и месяц.

Но самое главное. Сегодня всё что угодно можно взломать. А то, что нельзя взломать - бесполезно (ибо либо уничтожено полностью, либо предоставляет такие же непосильные сложности для расшифровки и получателю). Во-первых, атака может быть не на сами шифры, а на организационные методы (которые, можно улучшить применением асимметричного шифра). Во-вторых, некоторые шифры таки имеют изъяны, просто возможно о них знают ограниченный круг лиц; привет масонам. И, наконец, криптоаналитик может быть просто ну очень удачлив.

Поэтому шифрование надо использовать соразмерно цене риска. Чем выше риск - тем сильнее шифрование, но самое главное - сложнее и дисциплинированнее организационные меры. Согласитесь - бесполезно иметь централизованное хранилище сертификатов с одним сервером в бункере за 200 км под землей и круглосуточной охраной из армии маленькой страны, всего лишь одним портом торчащим во внешний мир с каналом около 200 бит в секунду и постоянным наблюдением за организационными методами (авторизация, доступ и подобной)... Имея пароль на суперюзер - qwerty, и держа на винчестере архив с котиками.
Ответ написан
Комментировать
@BareDreamer
RSA в чистом виде плохо подходит для шифрования данных (как и любой другой алгоритм шифрования в чистом виде). Это не надо понимать так, что зашифрованное сообщение можно легко расшифровать. Но два одинаковых сообщения в зашифрованном виде будут совпадать. Считается, что это плохо.
Все ассиметричные шифры работают очень медленно. Поэтому их применяют только для шифрования ключа симметричного шифра, который используется для шифрования сообщения. (Симметричный шифр тоже не применяется в чистом виде, см. Режим шифрования).
Ответ написан
@derpymarine
Длину ключа использовать не менее 2048 бит.
А для каких целей вам оно потребовалось?
Ответ написан
DarkWolf13
@DarkWolf13
инженер это образ жизни
bugtraq.ru/library/crypto/rsa.html
Вопрос в том , что вы хотите шифровать? если это суперважные данные смотрите на коммерческие СКЗИ. То есть насколько сильным может быть ущерб если информация попадет в третьи руки, если же это что-то вроде записок во время учебы или нюшные фотки подруг то достаточно и запароленного архива с длинным ключом.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы