По предварительным прогнозам, стандартные на сегодняшний день 2048-битные ключи шифрования, в 2015 году рекомендованные к использованию NIST, Национальным институтом стандартов и технологий, все еще будут достаточно безопасны вплоть до 2030 года. Тем не менее в целом ряде систем безопасности уже сейчас можно встретить новые 4096-битные ключи. С чем связано их «преждевременное» появление, поговорим под катом.
Как мы уже написали выше, предполагается, что RSA-ключи длиной 2048 бит должны продержаться еще приблизительно 8-10 лет. Этот прогноз основан на статистике увеличения вычислительных мощностей и развития методов математического анализа. Грубо говоря, чем мощнее компьютер и сложнее алгоритм вычисления зашифрованных данных, тем более уязвимы ключи малого размера. К примеру, в 2010 году, когда в ходу были используемые с 2007 года 1024-битные ключи, группе ученых успешно удалось вычислить данные, зашифрованные 768-битным ключом. Следовательно, вероятность уязвимости 1024-битных ключей существенно возросла.
На самом деле, одним эмпирическим подходом дело не ограничивается: у криптологов есть целый набор индикаторов потенциальной уязвимости ключей.
Итак, в ближайшем будущем ожидается переход на новые 4096-битные ключи. Значит ли это, что 2048-битные ключи уязвимы прямо сейчас?
В двух словах – нет, всё в порядке. Обратимся к специальной публикации NIST 800-57, часть 1. Это уже 5 ревизия этого документа, датированная маем 2020 года. В таблице 2 упомянутого выше раздела приводится информация о стойкости ключей, измеренной в единицах уровня криптостойкости ("bits of security"). Вот как документ расшифровывается этот показатель:
Это число, связанное с объемом работы (то есть количеством операций), которая требуется для взлома криптографического алгоритма или системы.
В данной Рекомендации степень безопасности определена в битах и является определённым значением из множества {80, 112, 128, 192, 256}. Отметим, что уровень безопасности в 80 бит более не считается приемлемым.
А вот и сама таблица:
Обратите внимание на любопытную сноску: система оценки уровня криптостойкости будет существенно пересмотрена после начала практического использования квантовых компьютеров.
Здесь стоит сделать некоторую оговорку. NIST утверждает, что для сбора данных они используют «известные на сегодняшний день способы взлома шифрованных данных», но кое-кто на Crypto Stack Exchange выяснил, что NIST использует для вычисления сложности факторизационной атаки, алгоритм, предложенный голландским ученым Ардженом К. Ленстрой под названием «метод решета числового поля». Это весьма удобно, поскольку в рекомендациях NIST указаны далеко не все варианты размеров ключей. Если вам захочется поупражняться в прикладной криптологии, запустите программу Mathematica. С ее помощью можно вычислить уровень безопасности ключа любого размера. Вот, например, формула для 2048-битного:
> N[Log2[Exp[(64/9Log[2^2048])^(1/3)(Log[Log[2^2048]])^(2/3)]]]
В результате получится число 116.884. Таким образом, 2048-битный RSA-ключ эквивалентен 116 «битам» при условии округления в меньшую сторону. Отметим, что NIST также округляет результат сложности GNFS до 112 бит, некоего общего значения для симметричных алгоритмов шифрования, чтобы позволить людям применять те же политики, которые они применяли бы, если бы рассматривали симметричные алгоритмы. Наш JS и приведенный выше код Mathematica дают необработанную сложность GNFS.
Но вернемся к отчету NIST. Как следует из таблицы, уровень менее 80 (ему соответствуют максимум 1024-битные ключи) не считается приемлемым. 2048-битные ключи имеют уровень безопасности 112 и разрешены к использованию.
Еще один важный момент: в сноске к строке 3TDEA говорится о том, что согласно документу SP 800-131A этот алгоритм шифрования, несмотря на обеспечиваемый им уровень безопаности, можно использовать лишь до 2023 года, после чего его применение будет запрещено для криптографической защиты данных, исключая частные случаи, когда риск является оправданным.
Чуть ниже в том же документе есть еще одна таблица, описывающая примерные временные ограничения по использованию методов шифрования в зависимости от их уровня безопасности.
Как видно, уровень 112 остается приемлемым вплоть до 2030 года.
Итак, выходит, что 2048-битные ключи, обеспечивающий уровень безопасности 112, можно без проблем использовать еще 8 лет. К 2030 году продуктивные среды должны полностью адаптировать и принять новый, более безопасный стандарт без каких-либо проблем. А пока что в 4096-битных ключах толком нет смысла. Но так ли это?
Многие приложения и системы безопасности уже предлагают пользователям сгенерировать новые 4096-битные ключи.
4096-битный ключ предлагается в качестве опции при генерации ключа сервера на JSCAPE MFT Server v10.2
На то есть сразу несколько причин. Во-первых, это так называемая работа на опережение. Производители софта предпочитают заранее подготовиться к переходу и обеспечить своим пользователям поддержку средств повышения киберустойчивости «завтрашнего дня». Никто не даст вам гарантии, что где-то в глубоком подполье ученый-злоумышленник не запускает квантовый суперкомпьютер, чтобы добраться до ваших данных. Это, конечно, шутка. Но важно помнить: никто, включая специалистов NIST не знает, насколько верны временные прогнозы. Соответственно, нет 100% уверенности в том, что до 2030 года никому не удастся взломать 2048-битный ключ, поэтому лучше перестраховаться и оказаться на шаг впереди злоумышленников.
Казалось бы, на этом моменте можно закрыть статью и пойти сгенерировать для себя новенький 4096-битный ключ. Но не спешите: помимо безопасности существует еще и производительность. Чем длиннее ключ, тем больше процессорного времени уходит на его генерацию и последующие операции шифрования и расшифровки. Поэтому если ваш физический сервер находится на грани оптимальной производительности, стоит ли его дополнительно нагружать применением ключей чрезмерного (во всяком случае, пока что) размера? Давайте копнем чуть глубже.
В реальном мире безопасные протоколы передачи файлов, такие как HTTPS, FTPS или SFTP, как правило используют ключи RSA только в самом начале соединения, для шифрования симметричных ключей. Как только начинается непосредственно передача данных, все дальнейшие процессы шифрования будут опираться непосредственно на симметричные ключи.
Таким образом, падение производительности вследствие применения 4096-битного ключа будет ощущаться лишь в течение малой части сеанса передачи файлов. Конечно, если ваш сервер должен обслуживать множество одновременных операций передачи файлов, это может существенно сказаться на производительности. Без знания четких цифр и некоторых вводных данных (обычная/пиковая нагрузка на сервер, CPU, пропускная способность сети и т.п.) сложно просчитать, насколько критичным станет применение 4096-битных ключей.
Поэтому прежде, чем вы внедрите 4096-битные ключи в «боевую» среду, имеет смысл всё грамотно проверить на тестовом стенде, чтобы исключить неожиданности. Например, IBM заявляет следующее:
Если 4096-битные криптографические операции полностью рассчитываются программно, все имеющиеся ресурсы ЦП достаточно быстро истощаются.
Один из технических блогеров, «ранний последователь» технологии в 2015 году приводил следующие данные:
Как следует из представленных результатов, для подписания 4096-битных RSA-ключей требуется более чем в 7 раз больше процессорного времени, чем для 2048-битных.
Проверить свой сервер на «совместимость» с 4096-битными ключами можно с помощью OpenSSL.
Еще один немаловажный момент – прямо сейчас вряд ли имеет смысл переходить на 4096-битные ключи, если у вас нет на то значительных и серьезных причин, так как не все вендоры готовы их поддерживать. Так, Amazon CloudFront, Cisco IOS XE версий ниже 2.4, а также Cisco IOS Release 15.1(1)T до сих пор не поддерживают 4096-битные ключи.
В заключение скажем: всему свое время. Вряд ли в ближайшие 2-4 года имеет смысл всерьез говорить о 4096-битных ключах. Вполне достаточно будет держать руку на пульсе и не спеша перевести инфраструктуру на новые ключи, когда это станет действительно важно и нужно.
