Криптография АНБ Suite B

Криптография NSA Suite B — это набор криптографических алгоритмов, обнародованный Агентством национальной безопасности в рамках его программы модернизации криптографии . Он должен был служить совместимой криптографической базой как для несекретной, так и для наиболее секретной информации .

О пакете B было объявлено 16 февраля 2005 года. Соответствующий набор неопубликованных алгоритмов, Suite A , «используется в приложениях, где Suite B может быть неуместен. И Suite A, и Suite B могут использоваться для защиты информации, подлежащей разглашению за рубежом, только для США». информация и конфиденциальная разделенная информация (SCI)». ^[1]

В 2018 году АНБ заменило пакет B пакетом коммерческих алгоритмов национальной безопасности (CNSA). ^[2]

Компонентами Suite B были:

Расширенный стандарт шифрования (AES) с размерами ключей 128 и 256 бит. Для потока трафика следует использовать AES либо с режимом счетчика (CTR) для трафика с низкой пропускной способностью, либо с режимом работы Галуа/режимом счетчика (GCM) для трафика с высокой пропускной способностью (см. Режимы работы блочного шифрования ) – симметричное шифрование.
Алгоритм цифровой подписи на основе эллиптической кривой (ECDSA) – цифровые подписи
Эллиптическая кривая Диффи-Хеллмана (ECDH) – ключевое соглашение
Алгоритм безопасного хеширования 2 (SHA-256 и SHA-384) – дайджест сообщения

Общая информация

NIST, Рекомендации по схемам установления парных ключей с использованием криптографии дискретного логарифма, специальная публикация 800-56A
Стандарты криптографии Suite B
RFC 5759, сертификат Suite B и профиль списка отзыва сертификатов (CRL)
RFC 6239, Криптографические пакеты Suite B для Secure Shell (SSH)
RFC 6379, Криптографические пакеты Suite B для IPsec
RFC 6460, Профиль Suite B для безопасности транспортного уровня (TLS)

Эти RFC были понижены до исторических ссылок согласно RFC 8423.

История

В декабре 2006 года АНБ представило Интернет-проект по внедрению Suite B как части IPsec . Этот проект был принят к публикации IETF как RFC 4869, который позже стал устаревшим благодаря RFC 6379.

Корпорация Certicom из Онтарио , Канада, которая была приобретена BlackBerry Limited в 2009 году, ^[3] владеет некоторыми патентами на эллиптические кривые , которые были лицензированы АНБ для использования правительством США. К ним относятся патенты на ECMQV , но ECMQV исключен из пакета B. AES и SHA были выпущены ранее и не имеют патентных ограничений. См. также RFC 6090.

По состоянию на октябрь 2012 года CNSSP-15 ^[4] заявил, что 256-битная эллиптическая кривая (указанная в FIPS 186-2), SHA-256 и AES со 128-битными ключами достаточны для защиты секретной информации до уровня секретности . , а 384-битная эллиптическая кривая (указанная в FIPS 186-2), SHA-384 и AES с 256-битными ключами необходимы для защиты совершенно секретной информации.

Однако по состоянию на август 2015 года АНБ указало, что для защиты всех уровней секретной информации следует использовать только сильные стороны алгоритма «Совершенно секретно». ^[1]

В 2018 году АНБ отказалось от Suite B в пользу CNSA.

Квантовостойкий набор

В августе 2015 года АНБ объявило, что планирует перейти «в не столь отдаленном будущем» на новый набор шифров, устойчивый к квантовым атакам . «К сожалению, рост использования эллиптических кривых натолкнулся на продолжающийся прогресс в исследованиях квантовых вычислений, что требует переоценки нашей криптографической стратегии». АНБ сообщило: «Тем партнерам и поставщикам, которые еще не перешли на алгоритмы Suite B, мы рекомендуем не делать для этого значительных расходов на данном этапе, а вместо этого подготовиться к предстоящему переходу на квантовостойкие алгоритмы». ^[1] Предполагается, что новые стандарты будут опубликованы примерно в 2024 году. ^[5]

Реализация алгоритма

Использование алгоритма, подходящего для шифрования информации, не обязательно достаточно для надлежащей защиты информации. Если алгоритм не выполняется на защищенном устройстве, ключи шифрования уязвимы для раскрытия. По этой причине федеральное правительство США требует не только использования алгоритмов шифрования, проверенных NIST, но и того, чтобы они выполнялись в проверенном аппаратном модуле безопасности (HSM), который обеспечивает физическую защиту ключей и, в зависимости от уровня проверки, меры противодействия электронным атакам, такие как дифференциальный анализ мощности и другие атаки по побочным каналам. Например, использования AES-256 в проверенном модуле FIPS 140-2 достаточно для шифрования только конфиденциальных, несекретных данных правительства США. То же самое относится и к другим алгоритмам.

Коммерческий пакет алгоритмов национальной безопасности

Алгоритмы Suite B были заменены алгоритмами Commercial National Security Algorithm (CNSA): ^[6]

Расширенный стандарт шифрования (AES) согласно FIPS 197 с использованием 256-битных ключей для защиты до уровня СОВЕРШЕННО СЕКРЕТНО.
Обмен ключами Диффи-Хеллмана с эллиптической кривой (ECDH) в соответствии со стандартом FIPS SP 800-56A с использованием кривой P-384 для защиты до уровня СОВЕРШЕННО СЕКРЕТНО.
Алгоритм цифровой подписи на основе эллиптической кривой (ECDSA), согласно FIPS 186-4
Алгоритм безопасного хэширования (SHA) в соответствии со стандартом FIPS 180-4 с использованием SHA-384 для защиты до уровня СОВЕРШЕННО СЕКРЕТНО.
Обмен ключами Диффи-Хеллмана (DH), согласно RFC 3526, минимальный модуль 3072-бит для защиты уровня СОВЕРШЕННО СЕКРЕТНО.
RSA для создания ключей (NIST SP 800-56B, ред. 1) и цифровых подписей (FIPS 186-4), минимум 3072-битный модуль для защиты до уровня СОВЕРШЕННО СЕКРЕТНО.

Смотрите также

криптография АНБ