Est-ce que 1024 bits Diffie Hellman Key Exchange Secure?

La comparaison de la force clé entre le cryptage symétrique et l'échange de clé asymétrique est comme la comparaison des pommes avec des oranges: il est faisable (ils sont à la fois des fruits savoureux) mais difficiles et pleins de détails subtils. Briser DH, la méthode la mieux connue tente de résoudre le problème logarithme discret , pour lequel l'algorithme le plus connu est une variante de calculateur d'index qui contient des parties de la Numéro général Tamis de champ ALGORITHM (GNFS est destiné à la factorisation, mais le logarithme discrète MODULO A Premier, et la factorisation d'un grand nombre d'entiers non-premiers, sont des problèmes mathématiquement liés). De tels algorithmes d'attaque nécessitent beaucoup de puissance, en particulier beaucoup de bélier très rapide; D'autre part, briser une clé symétrique à travers une recherche exhaustive (c'est ce que nous entendons par " n Les bits de sécurité") ne nécessite que la CPU, mais pas de RAM et est beaucoup plus facilement distribué sur de nombreux nœuds. Les pommes sont donc cpu et les oranges sont de la RAM. La seule mesure commune que pour les deux est le dollar; mais demandant le coût financier de casser une clé DH de 1024 bits, ou le coût financier de la rupture d'une clé symétrique 80 bits, a un peu de sens, car cela passe en quantité dans laquelle le dollar cesse d'être bien défini (comme ordonnance De grandement, des dollars peuvent être utilisés pour mesurer des quantités jusqu'à la dette nationale américaine, mais pas beaucoup plus élevée).

Ces mises en garde n'ont pas empêché divers chercheurs et organismes de normalisation de la fabrication de comparaisons pomme/orange. Ce site fait un bon travail pour énumérer ces estimations de sécurité, avec des calculatrices en ligne pratiques. En tant que base, ils sont sur tous d'accord que 1024 bits DH sont proches, en sécurité, à quelles offres de clé symétrique de 77 à 80 bits. Notez qu'une clé symétrique de 64 bits était cassé en 2002 et 77 bits est "seulement" 8192 fois plus difficile.

Puisque l'attaque de logarithme discrète la mieux connue (IC avec GNFS) a de nombreuses parties communes avec l'algorithme de factorisation le plus connu (GNFS), DH avec un K - un peu Le module doit être approximativement équivalent à une clé RSA avec un k - Modulus de bits. Vous devez donc utiliser 2048 bits pour DH aussi.

Dans votre liste, "AES-256" est surchargé (AES-128 serait toujours "plus sécurisé" que 2048-bits RSA ou DH), mais surtout une surpoque sans danger (AES-256 n'est que de 40% plus lente que l'AES-128).