のDiffie-Hellman鍵交換を

Question

私は現在、RFC 2631およびRFC 3526.

あなたはRFC 3526で見ることができるように基づいたDiffie-Hellman鍵交換を実装するコードを書いていますを実装するための素数を選択する方法を、多くのがありますこうした// 2048ビットMODPグループ// 3072ビットMODPグループ// 4096ビットMODPグループ// 6144ビットMODPグループ// 8192ビットMODPグループ

1536ビットMODPグループとしてグループ

これらのグループから1つのグループを選択する際には、どのような基準にする必要がありますか？

Diffie-Hellman鍵交換のために、これらのグループから1つのグループを選択する方法を教えてください。

Answer 1

最初に知っておくべきことは、標準carries some riskに由来する固定プライムを使用することです。そうだとしたら、NSAがこれを打ち破ることはできないと確信していますが、それは今から最小のものに到達することができないということを意味するものではありません。

あなたが選ぶキーのサイズは、必要なセキュリティになります。 Diffie Hellmanを壊すために我々が知っている最良のアルゴリズムは、我々が分解するための最良のアルゴリズムとあまり変わらない。一言で言えば、1024ビット以下は、いいえ、まだ2048ビット以上であり、数学的なブレークスルーや量子コンピュータが実用的にならない限り、すぐにはいつでも下がることはないでしょう。 DHは結局運命づけられる）。

だから、私たちは何が壊れやすいのか分かっていますか？

• 2010年には、768-bit number was factoredです。著者らは、「私たちの仕事からのもう一つの結論は、自分たちがオープンコミュニティに学問的な努力を払っていて、何か劇的なものが発生しない限り、1024ビットのRSAモジュラス（[30]参照）。その後、すべての賭けはオフになります。
• 今年は768-bit prime discrete logarithm was computed（768ビットDHが破損していることを証明しています）。著者は次のように書いています。「第3章では、1024ビットのプライマリフィールドElGamalまたはDSAキーの継続使用が1024ビットRSAよりもずっと危険です（すべてがまだ一般的に使用されています）。 1つの適切に選択されたプライムフィールドに対して攻撃が実行された場合、そのプライムフィールドのすべてのユーザーはわずかな追加作業で影響を受ける可能性があります。

ご覧のとおり、1536ビットが攻撃されているという兆候はありません。これは、どのキーサイズでも問題ありません。しかし、ハードコーディングされた素数を使用することの危険性について知っていることを考えれば、安全面で誤りを起こし、少なくとも2048ビットを使用することをお勧めします。

すべての正直なところ、私はそれを超えてパニックにはなりません。はい、4096ビット以上を使うべきだと思う人がたくさんいます。しかし、私はこれらの人々がこれらのアルゴリズムを壊す数学を理解するのを見ていません。最も大きな皮肉なのは、4096ビットのRSAまたはDHを使用して256ビットのAESキーを交換することを推奨し、AESキーのセキュリティをダウングレードしたことを認識していない場合です。 Unbelievable Security Matching AES security using public key systemsに記載されているように、「AES-192またはAES-256のセキュリティレベルと公開鍵システムとの照合には、今日の通常の利用範囲をはるかに超える公開鍵サイズが必要です。すなわち192ビットのAESキーは7000ビットのRSA/DHに対応し、256ビットのAESは16000ビットのRSA/DHに対応する。

ボトムライン：2048ビットのMODPグループを使用してください。パニックにはなりません。は、そのサイズに基づいて誰かに番号を割り込ませるよりも、あなたの暗号を壊す可能性が非常に高いです。