web-dev-qa-db-fra.com

Dans quelle mesure le cryptage 256 bits est-il utilisé dans les transactions bancaires?

La plupart des banques utilisent un cryptage 128 bits ou 256 bits. Qu'est-ce que ça veut dire? Est-ce à dire que les clés utilisées en SSL sont longues de 128 bits ou quoi?

S'il s'agit des longueurs de clé SSL, les clés RSA 128 bits sont faciles à déchiffrer. Le site rsa lui-même recommande des clés d'une longueur de 1024 bits ou plus.

14
Ashwin

Vous pouvez à peu près ignorer les déclarations concernant 128 et 256 bits. C'est une déclaration marketing destinée à sembler impressionnante, mais cela signifie vraiment qu'ils utilisent SSL d'une manière pas totalement stupide.

(Cela signifie que le chiffrement à clé symétrique utilise une clé de 128 ou 256 bits. Cela garantit que le chiffrement symétrique n'est pas le maillon le plus faible de la chaîne. Cependant, puisque le chiffrement symétrique n'est pas le maillon le plus faible de la chaîne, le les risques seront principalement ailleurs, vous ne devriez donc pas vous laisser trop prendre au sens de la force de 128 ou 256 bits. Cela signifie simplement qu'ils n'ont pas choisi une configuration stupide qui rend la clé symétrique facilement cassable. signifie que la clé RSA est de 128 bits ou 256 bits; comme vous le dites, une clé RSA 128 bits ou 256 bits serait totalement non sécurisée.)

Il y a beaucoup écrit sur ce sujet sur ce site. Je vous suggère de lire La visite des sites Web HTTPS sur un hotspot public est-elle sécurisée? . Voir également l'entrée de blog QotW # 3: Une connexion SSL établie signifie-t-elle qu'une ligne est vraiment sécurisée? . Et lisez L'accès au compte bancaire sur Internet est-il vraiment sécurisé? et ne connexion SSL établie signifie-t-elle qu'une ligne est vraiment sécurisée . Faire une recherche sur ce site trouvera beaucoup d'informations - essayez-le!

23
D.W.

La longueur de clé asymétrique (comme dans RSA) et la longueur de clé de chiffrement (comme dans AES, RC4) sont très différentes. Les clés RSA utilisées dans la cryptographie asymétrique public-privé doivent être 1024 bits ou plus. AES, RC4 et autres clés de chiffrement doivent être de 128 bits ou plus. Quelle est la différence? RSA permet à tous de connaître la clé publique N et e, où N est le produit de deux grands nombres premiers. Si vous pouvez factoriser le nombre composé N, vous pouvez dériver la clé privée et déchiffrer tout message chiffré avec la clé publique.

L'affacturage est un problème difficile qui ne peut pas être fait en temps polynomial sur un ordinateur non quantique, mais il existe des astuces de la théorie des nombres pour factoriser les nombres mieux que la force brute naïve. Trivialement lorsque vous recherchez des facteurs de N, plutôt que d'essayer tous les nombres entiers entre 1 et N, vous pouvez ignorer tous les nombres pairs sauf 2, ou essayer de diviser par seulement des facteurs premiers ou de vous arrêter lorsque vous atteignez sqrt (N), plutôt que d'essayer de diviser par chaque facteur compris entre 1 et N. Dans le monde réel, des techniques telles que méthode de la courbe elliptique peuvent factoriser ~ 260 nombres composites de 260 bits en quelques minutes sur un processeur.

AES et RC4 d'autre part sont des chiffres symétriques. Ils ont juste besoin d'une clé numérique aléatoire pour déchiffrer un message. Donc, pour forcer une clé de chiffrement de 128 bits, vous devez essayer la plupart des 2128 ~ 1038 différentes clés jusqu'à ce que vous trouviez celle qui fonctionnait. Donc, si vous pouvez vérifier un trillion (10 ^ 12) clés par seconde, cela prendrait ~ 10 ^ 19 ans avant d'avoir vérifié la plupart des clés. Notez qu'une clé de 256 bits serait 2 ^ 128 fois plus difficile à utiliser par force brute (cela prend 10 ^ 57 ans).

Ainsi, lorsque je me connecte à un site bancaire et que je clique sur les informations https dans google-chrome, je vois:

Votre connexion à home.ingdirect.com est cryptée avec un cryptage 128 bits.

La connexion utilise TLS 1.0.

La connexion est chiffrée à l'aide de RC4_128, avec MD5 pour l'authentification des messages et RSA comme mécanisme d'échange de clés.

Si je clique ensuite sur les informations détaillées du certificat et que je vais dans le champ du certificat "Subject's Public Key", je vois qu'ils utilisent un module de 2048 bits (N le module de deux grands nombres premiers).

9
dr jimbob

Ce n'est pas seulement la sécurité du cryptage qui devrait vous préoccuper, mais aussi sa mise en œuvre. Il existe des attaques qui contournent complètement la sécurité SSL.

Présentation Blackhat sur la défaite de SSL

logiciel SSLStrip

6
woozle

Ce sont les clés symétriques AES/RC4 qui ont une longueur de 256 bits.

La cryptographie asymétrique comme RSA est très lente et nécessite de très grandes clés basées sur des produits de très grands nombres premiers en tant que telle, elle n'est utilisée que pour l'échange initial de clés de chiffrement symétriques et pour convenir de l'algorithme à utiliser, etc.

Après l'échange de clés initial, la connexion utilise tous les algorithmes de chiffrement symétriques avec ces tailles de clé plus petites (qui peuvent être plus petites, comme n'importe quelle chaîne/nombre de bits aléatoires, aucune de ces grandes exigences principales).

5
ewanm89

Il s'agit en fait d'un schéma de cryptage hybride. Les 128 et 256 bits font référence à un chiffrement à clé symétrique tel que AES. La clé RSA qui est un chiffrement à clé asymétrique ou publique utilise comme 2048 bits.

Le schéma utilise donc: RSA-2048-with-AES-256-CTR La clé RSA-2048 est utilisée pour crypter la clé AES-256. Mais les données de transaction réelles sont cryptées avec la clé AES-256.

0
WAR10CK