News Chrome: Google schützt TLS-Verbindungen schon jetzt vor Quantencomputern

[dev/random]

@Gnarfoz Ich weiss nur dass Cloudflare das nutzt, bzw. gemeinsam mit Google daran experimentiert.
Für andere Anwendungen ist es eher die Frage, ob eine entsprechende crypto library verlinkt wird.
Da der Google und Cloudflare genutzte Kyber768 draft in BoringSSL veröffentlicht ist, könnte man damit auch in anderen webservern, usw. experimentieren

 

[ripa]

Wie bitte? Ich schaue mir mal kurz meine aktuelle Verbindung zu Computerbase an...
TLS 1.3 mit TLS_AES_128_GCM_SHA256
Schlüsselaustausch über die elliptische Kurve x25519
Zertifikat des Servers ist mittels ECDSA über Kurve P-256 erstellt, sie Signatur mittels SHA-256 mit RSA Encryption

Da sind sehr viele elliptische Kurven im Spiel, RSA nur für eine Signatur, aber AES für die komplette Verschlüsselung.

Gut, das Serverzertifikat ist signiert von Let's Encrypts R3 Zertifikat, dass halt ein RSA2048 Zertifikat ist, aber irgendwann(tm) sollte auch LE das EC-Zwischenzertifikat für alle freigeben.
Und ja, computerbase nutzt auch ein RSA Zertifikat, das sollte aber nur bei sehr alten Geräten (so Android 5, falls es da nicht eh ein Problem mit LE gibt) genutzt werden.

Um AES kommt man in TLS 1.3 aber nur mit ChaCHa20 drum herum, aber warum sollte man das machen?

Ist ja ganz toll was du alles weißt. Trotzdem bringt die dickste Panzertür (AES) nichts, wenn "jeder" den Schlüssel (RSA) für die Tür kennt - ganz einfach ausgedrückt. Es wird schon einen guten Grund haben warum sehr viele schlaue Köpfe seit sehr langer Zeit daran arbeiten, dass wir auch in einer Zukunft mit großen Quantencomputern sichere Verschlüsselungen nutzen können.
TLS 1.0 und 1.1 galten auch mal als sicher

 

[input_iterator]

Was bringt mir der stärkste Tresor (AES 256), wenn der Schlüssel dazu (Passwort) irgendwann einfach erstellt/erraten/ausgerechnet werden kann?

Dazu müsste erst mal jemand auf der Bühne erscheinen, der überhaupt in der Lage ist eine quadratische Gleichung, die so dermaßen komplex ist, im besten Fall zu vereinfachen, oder falls er einen Heiligenschein trägt diese zu lösen.

Mehre Forscher meinten das bei der Lösung der Gleichung dermaßen viel Data Output generiert werden würde, was alles an Festspeicher sprengen würde, was man für die Speicherung der betreffenden Daten benötigt werden würde.

 

[Stimpanse]

Wie bitte? Ich schaue mir mal kurz meine aktuelle Verbindung zu Computerbase an...
TLS 1.3 mit TLS_AES_128_GCM_SHA256
Schlüsselaustausch über die elliptische Kurve x25519
Zertifikat des Servers ist mittels ECDSA über Kurve P-256 erstellt, sie Signatur mittels SHA-256 mit RSA Encryption

Da sind sehr viele elliptische Kurven im Spiel, RSA nur für eine Signatur, aber AES für die komplette Verschlüsselung.

Gut, das Serverzertifikat ist signiert von Let's Encrypts R3 Zertifikat, dass halt ein RSA2048 Zertifikat ist, aber irgendwann(tm) sollte auch LE das EC-Zwischenzertifikat für alle freigeben.
Und ja, computerbase nutzt auch ein RSA Zertifikat, das sollte aber nur bei sehr alten Geräten (so Android 5, falls es da nicht eh ein Problem mit LE gibt) genutzt werden.

Um AES kommt man in TLS 1.3 aber nur mit ChaCHa20 drum herum, aber warum sollte man das machen?

Holy Moly, ich gestehe: ich verstehe nichts!

 

[Der-Orden-Xar]

Die Kurzform ist: Doch, man brauchst auch für TLS AES.
Der Schachpunkt wird das aber nicht sein, wenn es Quantencomputer gibt, die groß genug(*) sind, sondern die Angriffe auf elliptische Kurven, die mit Quantencomputern möglich sind. genauer Angriffe auf den Schlüsselaustausch. Wenn dir die Mathematik hinter Diffie-Hellman nicht zusagt, dann gibt es dafür sogar Erklärungen, die das so weit vereinfachen, dass etwas Kunstunterricht aus der Schule ausreicht um es zu verstehen - ich finde nur meine Standardquelle für diese einfach Erklärung gerade nicht, im Grunde aber die Veranschaulichung anhand gemischter farben in dem Wikiartikel

 

[shortex]

Vorsicht ist besser als Nachsicht, finde ich schon gut das jetzt schon zu machen.

 

[DevPandi]

@Novasun ich kenne die Texte. Die Vereinfachung der Komplexität der Verschlüsselung durch Quantencomputer ist gegeben. Nur - und dass ist der entscheidende Punkt - wird in der Regel nicht AES direkt angegriffen oder SHA192/256/384/512, weil es selbst die Vereinfachung der Halbierung der Komplexität immer noch massive Rechenzeit bedeutet.

Es hat einen Grund, warum man sich eher auf den Schlüsseltausch konzentriert, der mit einem asymmetrischen Verfahren getauscht wird. Hier hat man in der Regel zwei Bekannte: Öffentlicher Schlüssel und den verschlüsselten Inhalt. Über einen weiteren Faktor kann man dann den Schlüssel herleiten.

Gerade was Primzahlen und Co angeht, kann ein Qauntencomputer seine Stärke ausspielen.

"Significantly impact" bedeutet aber nicht "unsicher". Der Impact wäre hier eine Reduzierung um 50%, auf AES-128-Niveau. AES-128 ist aber immer noch alles andere als unsicher.

Genau das ist der Punkt. Man halbiert den Schlüssel, man knackt ihn aber nicht. Für einen Angriff benötigt man immer noch massive klassische Rechenkraft.

Für AES-128 geht man selbst jetzt noch davon aus, das es ca. 1.000.000.000 Jahre Brute-Force-Angriff benötigt um das zu knacken. AES-128 wird durch den Quantencomputer angreifbar in einer realistischen Zeit - nur noch Tag - aber bereits die Erhöhung auf 256 Bit macht da wieder die Milliarde draus. Dazu kommt dann aber auch das wir aktuell von solchen Quantencomputern „weit“ entfernt sind.

Und das ist auch der entscheidende Faktor, warum AES als sicher ansehen wird: Es reicht einfach, wenn man dienKomplexität der Schlüssel erhöht.

 

[Novasun]

Genau das ist der Punkt. Man halbiert den Schlüssel, man knackt ihn aber nicht. Für einen Angriff benötigt man immer noch massive klassische Rechenkraft.

Für AES-128 geht man selbst jetzt noch davon aus, das es ca. 1.000.000.000 Jahre Brute-Force-Angriff benötigt um das zu knacken. AES-128 wird durch den Quantencomputer angreifbar in einer realistischen Zeit - nur noch Tag - aber bereits die Erhöhung auf 256 Bit macht da wieder die Milliarde draus. Dazu kommt dann aber auch das wir aktuell von solchen Quantencomputern „weit“ entfernt sind.

Und das ist auch der entscheidende Faktor, warum AES als sicher ansehen wird: Es reicht einfach, wenn man die Komplexität der Schlüssel erhöht.

Wie weit was entfernt ist - wissen wir nicht. Vor Snowden wurde der Mann der damals behauptet hatte das die NSA den Datenverkehr eines ganzen Landes abhören zu können. Als Alu-Hut Bedenkenträger in die Ecke gestellt.
Snowden lieferte dann den Beweis. Gut es war "nur" Österreich - aber sie waren durchaus technisch in der Lage dazu. Thats it. Wie weit die US Geheimdienste heute sind wissen wir nicht und in Zukunft wird es noch schlimmer. Denn auch China wird technologisch in der Lage sein da ein Wort mit zu reden...

Im übrigen ich sehe das rein sportlich. Glaube nicht das die NSA was von mir will. Will nur sagen - es ist gut das sich da entsprechende Stellen heute schon Gedanken machen.