OK, comencemos desde abajo. Ignoraré los ataques específicos de la implementación, como canales secundarios, ataques de fallas, etc. La mayor parte de esta información proviene de Wikipedia.
AES
No se conoce una forma significativamente más rápida que la fuerza bruta de romper el AES si se usa correctamente. Por lo tanto, la mejor medida es, ¿cuántas rondas se pueden romper más rápido que la fuerza bruta? Esto es 7/10 para AES-128, 8/12 para AES-192 y 9/14 para AES-256, según Wikipedia. La razón por la que se pueden romper más rondas para claves más fuertes es que esto es en comparación con la fuerza bruta, y la fuerza bruta demora más para claves más fuertes.
Si usa teclas relacionadas de cierta manera, entonces hay ataques que rompen AES-256 más rápido que la fuerza bruta, tal vez en tan solo 2 ^ 128 veces.
- ¿Es seguro cada software de reclutamiento?
- En la era de la guerra electrónica como EMP y ataques cibernéticos, ¿tiene más sentido tener especialistas en esta área para combatir estas amenazas en lugar de toneladas de equipos de guerra y un gran ejército?
- ¿Cómo se asegura Slack / Hipchat de que los mensajes del usuario son secretos, incluso de sus empleados que tienen acceso a la base de datos?
- ¿Por qué no debería un usuario conectarse a IRC con la cuenta raíz en una máquina Linux?
- Mis datos de virus U-disk se perdieron después de una infección por un virus informático. ¿Cómo puedo dejar que mi recuperación de datos USB sea gratuita?
También hay “ataques bicliques”, pero probablemente estos se consideren mejor como una forma optimizada de realizar un ataque de fuerza bruta, y reducen un poco el tiempo requerido.
ECC
Para el ECC de vainilla, si la curva se elige con cuidado, por ejemplo, las curvas NIST, las curvas Brainpool y la Curva25519, entonces no hay un ataque conocido que sea más rápido que la fuerza bruta, que requiere operaciones de curva O (2 ^ (n / 2)). Sin embargo, los emparejamientos en curvas sobre campos de características pequeñas (por ejemplo, GF (2 ^ n) y GF (3 ^ n)) se rompen por nuevos algoritmos de logaritmo discreto acelerado. Esto no se aplica a todas las curvas binarias, solo a las especiales que admiten emparejamientos.
El mayor ataque de fuerza bruta de ECC llevado a cabo hasta ahora fue en un prime de 112 bits, dice Wikipedia.
RSA
No está claro qué “fuerza bruta” hay aquí. El factoring tiende a ser la mejor manera de romper el modo RSA bien diseñado. El mejor algoritmo de factorización para tales números es el Tamiz de campo de número general, y se usó para factorizar el desafío RSA de 768 bits en 2009.
Registro discreto
Para logaritmos discretos módulo un primo seguro, el registro es de 530 bits en 2007 utilizando el Tamiz de campo numérico. En un campo 2 ^ prime, el registro es de 613 bits. Pero otros campos de características bajas y medias son peores: un ataque este año resolvió un logaritmo en un campo de características medias de 1425 bits, y otro resolvió un logaritmo en un campo binario de 6168 bits. Esto representa un nuevo progreso significativo en los últimos años contra los campos de características pequeñas y medianas.
Cifras rotas primitivas
MD5 está completamente roto para colisiones, incluidas las colisiones de prefijo elegido.
SHA-0 también se ha roto, con una complejidad de alrededor de 2 ^ 51. SHA-1 está teóricamente roto para colisiones, pero el ataque requiere aproximadamente 2 ^ 63 operaciones y, que yo sepa, no se ha realizado.
RC4 está algo roto y los ataques parecen mejorar ligeramente con el tiempo. En particular, está completamente roto en WEP, y algo roto en SSL / TLS.
Los ataques de relleno CBC contra algunos otros modos SSL / TLS también son problemáticos.
