in

Seguridad del uso compartido de parámetros clave de DSA

Estoy buscando una solución para usar en un contexto en el que necesito poder generar nuevos pares de claves asimétricas rápidamente (usando un algoritmo ampliamente reconocido y EC-DSA no es aplicable). Parece que DSA sería la solución adecuada.

De acuerdo con la documentación, solo generar parámetros DSA una vez permite generar una gran cantidad de pares de claves separadas que solo requieren el paso de seleccionar una clave privada aleatoria ‘x’ para cada uno de ellos. FIPS 186-3 dice:

el signatario previsto primero obtendrá los parámetros de dominio apropiados, ya sea generando los parámetros de dominio por sí mismo, o mediante la obtención de parámetros de dominio que otra entidad ha generado

¿Hay algún problema de seguridad que me falte antes de reutilizar los mismos parámetros de dominio para una gran cantidad de claves? ¿Con qué frecuencia se deben cambiar los parámetros del dominio? (Hay alguna referencia a la posibilidad de que una CA use los mismos parámetros de dominio para todos los certificados que emite)

3 respuestas
3

Entonces, en realidad hice la versión teórica de esta pregunta hace un tiempo: ¿qué sucede si elige varias claves del mismo grupo?

En DSA (y ECDSA), es posible y común compartir los mismos parámetros de dominio entre múltiples usuarios. AFAIK (y de acuerdo con la sabiduría común, incluidas las recomendaciones de FIPS), esto no presenta ninguna debilidad de seguridad conocida. Las únicas razones comunes para cambiar los parámetros del dominio son aumentar el tamaño de la clave o introducir deliberadamente una barrera de interoperabilidad (por ejemplo, para forzar una actualización).

Una ventaja de los parámetros de dominio fijos $(p,q,g)$ en DSA es que simplifica la elección de la clave de un usuario: básicamente, uno selecciona una $x\in privada aleatoria[1, q–1]$ y calcula el público $y=g^x\bmod p$.

Como se señaló en esta otra respuesta, compartir parámetros de dominio aumenta las probabilidades de que varios usuarios compartan la misma clave. Sin embargo, para un buen RNG, $2^n$ usuarios y el nivel de seguridad más bajo en FIPS 186, las probabilidades de que suceda son menos de $2^{160-2⋅n}$; eso es insignificante incluso para una llave por día por humano en nuestro planeta durante un siglo. Y si el RNG tiene fallas, todas las apuestas están canceladas de todos modos.

Seleccionar parámetros de dominio para esquemas asimétricos como DSA o ECDSA es una tarea complicada (implica una buena generación de números primos, un algoritmo de conteo de puntos, etc.). Eso significa que la mayoría de las personas no pueden elegir la suya. Sabiendo ese hecho, la mayoría de los estándares publican, para cada nivel de seguridad, un pequeño conjunto de parámetros que todos pueden usar. En general, la seguridad de su esquema depende de la confidencialidad de su clave privada, no de los parámetros de dominio en sí (siempre que sean válidos). Dicho esto, algunos trabajos recientes demostraron que, dado que usamos un pequeño conjunto de parámetros de dominio, toneladas de usuarios en dominios muy diferentes pueden terminar compartiendo una clave pública sin saberlo, lo que significa que también comparten la clave privada correspondiente. En su caso, significa que si existe una autoridad que generó una gran cantidad de pares de claves (y conservó la clave privada correspondiente), es probable que pueda encontrar una colisión entre los pares que usted y ella generaron. En pocas palabras, aparte del pequeño hecho que señalé anteriormente, cambiar los parámetros del dominio con frecuencia y hacerlo bien es más difícil que elegir DP de un buen estándar y solo debe cambiar cuando crea que su margen de seguridad se ha reducido.

¿Te ayudó la respuesta?

Subscribirse
Notificar por
guest
0 Comentarios
Inline Feedbacks
Ver todas las Respuestas

Propagación de la incertidumbre cuando se trata del símbolo de suma

Cuando traté de ingresar una nueva clave de producto para mi MS Office 2016, me equivoqué en algo y el valor predeterminado era MS 365.