用chaining链接rsa

Question

在对前一个问题的回答中，有人建议保护非对称加密的AES-256密钥的一种方法，从一种解决方案到素数分解，就是连锁非对称算法。在读过关于中间相遇攻击的文章之后，我有点担心，如果我用ECIES链接RSA (为什么不添加ElGamal呢？)，我会不知何故地破坏我自己的努力，或者只是做一个徒劳无功的练习。从长远来看(即30年)，这样的系统会比只使用一个非对称加密方案更安全吗？

Answer 1

您可以使用DLIES的超加密来保护ECIES密文，除非您错误地重复使用密钥或使用相关密钥，否则不会削弱您的安全性。这意味着每一步都应该仔细和深思熟虑，就好像这是你将要采取的唯一的保护步骤。例如，当生成密码随机值作为保护数据的会话密钥时，现在不是使用SHA-1散列"password1“的时候。不要使用一个算法同时保护下一个算法的密钥和数据。不要使用欧洲央行模式加密。简单但重要的步骤。

选择的密钥保护算法不一定都是不对称的，除非这最好地满足了您的业务需求。你想要防范的威胁是一种算法的突破，所以你的建筑的防御应该包括从不同的算法家族中选择每一种算法。第一种保护数据的算法应该是值得尊敬和信任的，例如TDEA (3 3DES)。TDEA被IBM大型机和密码协处理器用来加密他们的密钥数据库--如果这对IBM和他们的大公司客户来说足够好的话，这是一个好迹象。若要将TDEA密钥作为会话密钥进行保护，请选择非Feistel算法(如AES )对其进行超加密。然后，选择非对称算法(如RSA或ECC )对AES超加密数据进行加密。

这么多的安全需要维持30年吗？我们的想法是，如果一类算法遭受了巨大的失败，那么其他的算法也没有被保留下来。假设有人想出了一个即时保理算法，突然使每个RSA加密无效。如果RSA是保护AES密钥的唯一算法，那么您将面临风险。使用RSA加密AES加密的TDEA密钥意味着，在攻击者访问您的数据之前，RSA和AES都必须失败。

考虑到你说的是30年的寿命，这听起来像一个应用程序将不会看到日常使用，所以我假设性能不是一个问题。更值得关注的是，你或你的继承人将拥有软件、计算设备、未损坏的媒体，以及30年后可用于解密的知识(或者至少有足够的钱聘请一位古代密码数据恢复专家)。媒体很重要。如果你把它烧成DVD，你知道DVD的墨水会持续30年吗？如果你把它打印在条形码上，他们还会有条形码扫描器来读取那些陈旧的QR码吗？这些都是真正的问题:如果我父亲的遗嘱被加密并存储在他的保险箱里的96列穿孔卡上，或者放在一个ZIP驱动器上，或者一个旧的9磁带带上，或者一个8-1/4“的软盘上，或者甚至印在便宜的褪色的greenbar上，我知道我今天不会有任何一个阅读器。这意味着您创建了一个可以定期执行的测试计划，以确保将来的解密成功。这个测试不需要解密实际的敏感数据，但是它必须证明解密所需的硬件和软件仍然有效，而且媒体仍然是可行的。

关于软件，你也有选择的余地。您需要相信，如果您在.Net中编写了一个复杂的解链解密应用程序，那么Windows15.1上将有一个.Net运行时环境可用。除了手机CPU之外，64位微型CPU还会在地球上出现吗？微软会存在吗？如果你沿着这条路走了15年，.Net已经从地球表面蒸发了，你会怎么做？

你打算把30年的钥匙存放在哪里？你要把它们分开，把RSA私钥放在一个地方，在另一个地方保留AES密钥吗？你要把一张写在记忆里吗？如果是的话，你会在30年后出现吗?或者如果数据永远丢失，你还好吗？

最后，我回到您应该做的第一步:再次检查您的业务需求，并确定您是否真的需要这种过度的保护，特别是考虑到开发和维护一些非标准加密形式的成本。攻击者是谁?他们的动机是什么？你所保护的数据的价值是什么？30年后，一个人到底有多需要它呢？这种长期储存非常非常昂贵。你愿意让一个人承担30年的照看这些秘密吗？比方说，秘密是在海外银行保守一个帐号。如果你的继承人不能剥开这个洋葱，受保护的资产会怎么样？