Не передавайте малые блочные шифры

Малые блочные шифры — это алгоритмы симметричного шифрования, которые работают с блоками данных длиной 64 бита или меньше, и понимание их сильных сторон и ограничений имеет важное значение для любого бизнеса, работающего с конфиденциальными данными. Хотя устаревшие системы по-прежнему полагаются на них, современные стандарты безопасности все чаще требуют стратегического подхода к выбору шифров, который балансирует совместимость, производительность и подверженность рискам.

Что такое малоблочные шифры и почему это должно волновать бизнес?

Блочный шифр шифрует фрагменты открытого текста фиксированного размера в зашифрованный текст. Маленькие блочные шифры, использующие размеры блоков от 32 до 64 бит, были доминирующим стандартом на протяжении десятилетий. DES, Blowfish, CAST-5 и 3DES попадают в эту категорию. Они были разработаны в эпоху, когда вычислительные ресурсы были ограничены, и их компактные размеры блоков отражали эти ограничения.

Сегодня для бизнеса актуальность малых блочных шифров не является академической. Корпоративные системы, встроенные устройства, устаревшая банковская инфраструктура и промышленные системы управления часто используют такие шифры, как 3DES или Blowfish. Если ваша организация использует любую из этих сред или интегрируется с партнерами, которые это делают, вы уже находитесь в экосистеме малых блочных шифров, осознаете вы это или нет.

Основная проблема заключается в том, что криптографы называют привязкой к дню рождения. При использовании 64-битного блочного шифра после примерно 32 гигабайт данных, зашифрованных одним и тем же ключом, вероятность коллизии возрастает до опасного уровня. В современных средах обработки данных, где ежедневно через системы проходят терабайты данных, этот порог быстро преодолевается.

Каковы реальные риски безопасности, связанные с малоблочными шифрами?

Уязвимости, связанные с малоблочными шифрами, хорошо документированы и активно эксплуатируются. Самым известным классом атак является атака SWEET32, раскрытая исследователями в 2016 году. SWEET32 продемонстрировал, что злоумышленник, который может отслеживать достаточный объем трафика, зашифрованного с помощью 64-битного блочного шифра (например, 3DES в TLS), может восстановить открытый текст посредством коллизий, связанных с днем ​​рождения.

«Безопасность заключается не в том, чтобы избежать всех рисков, а в том, чтобы понять, какие риски вы принимаете, и принять обоснованные решения по ним. Игнорирование дня рождения, связанного с шифрами малых блоков, не является рассчитанным риском; это упущение».

Помимо SWEET32, малые блочные шифры сталкиваются со следующими документально подтвержденными рисками:

Атаки на столкновение блоков: когда два блока открытого текста создают идентичные блоки зашифрованного текста, злоумышленники получают представление о взаимосвязи между сегментами данных, потенциально раскрывая токены аутентификации или ключи сеанса.

Воздействие устаревшего протокола. Малые блочные шифры часто встречаются в устаревших конфигурациях TLS (TLS 1.0/1.1), увеличивая риск «человек посередине» в старых корпоративных развертываниях.

Уязвимости повторного использования ключей. Системы, которые не меняют ключи шифрования достаточно часто, усугубляют проблему, связанную с днем ​​рождения, особенно в длительных сеансах или при массовой передаче данных.

Нарушения требований: нормативно-правовая база, включая PCI-DSS 4.0, HIPAA и GDPR, теперь либо явно не поощряет, либо полностью запрещает 3DES в определенных контекстах, подвергая бизнес риску аудита.

Воздействие на цепочку поставок: сторонние библиотеки и API-интерфейсы поставщиков, которые не были обновлены, могут молча согласовывать наборы небольших блочных шифров, создавая уязвимости вне вашего прямого контроля.

Чем малые блочные шифры отличаются от современных альтернатив шифрования?

AES-128 и AES-256 работают с 128-битными блоками, что в четыре раза увеличивает дату рождения по сравнению с 64-битными шифрами. На практике AES может зашифровать примерно 340 ундециллионов байтов, прежде чем риск, связанный с днем ​​рождения, станет значительным, что эффективно устраняет проблему коллизий для любой реальной рабочей нагрузки.

ChaCha20, еще одна современная альтернатива, представляет собой поточный шифр, который полностью позволяет избежать проблем с размером блока и обеспечивает исключительную производительность на оборудовании без ускорения AES, что делает его идеальным для мобильных сред и развертываний Интернета вещей. TLS 1.3, текущий золотой стандарт транспортной безопасности, поддерживает исключительно наборы шифров на основе AES-GCM и ChaCha20-Poly.

Related Posts

• Малоизвестный инструмент песочницы командной строки macOS (2025 г.)
• CXMT предлагает чипы DDR4 примерно за половину рыночной цены.
• Мы больше не привлекаем лучших специалистов: утечка мозгов, убивающая американскую науку
• Терминальное приложение погоды с ASCII-анимациями на основе данных о погоде в реальном времени