Ho tirato fuori la mia copia di Crittografia applicata per rispondere a questa domanda riguardante la crittografia simmetrica, 256 è abbondante e probabilmente lo sarà per molto tempo. Schneier spiega;

Lunghezze di chiave più lunghe sono migliori, ma solo fino a un certo punto. AES avrà lunghezze di chiave di 128 bit, 192 bit e 256 bit. Questo è molto più lungo del necessario per il prossimo futuro. In effetti, non possiamo nemmeno immaginare un mondo in cui siano possibili ricerche di forza bruta a 256 bit. Richiede alcune scoperte fondamentali in fisica e la nostra comprensione dell'universo.

Una delle conseguenze della seconda legge della termodinamica è che una certa quantità di energia è necessaria per rappresentare le informazioni. Per registrare un singolo bit modificando lo stato di un sistema è necessaria una quantità di energia non inferiore a kT , dove T è la temperatura assoluta del sistema e k è la costante di Boltzman. (Rimani con me; la lezione di fisica è quasi finita.)

Dato che k = 1,38 × 10 ⁻¹⁶ erg / K, e che il la temperatura ambiente dell'universo è di 3,2 Kelvin, un computer ideale che funziona a 3,2 K consumerebbe 4,4 × 10 ⁻¹⁶ erg ogni volta che si imposta o si cancella un po '. Far funzionare un computer più freddo della radiazione cosmica di fondo richiederebbe energia extra per far funzionare una pompa di calore.

Ora, la produzione annuale di energia del nostro sole è di circa 1,21 × 10 ⁴¹ erg. Questo è sufficiente per alimentare circa 2,7 × 10 ⁵⁶ modifiche a bit singolo sul nostro computer ideale; abbastanza cambiamenti di stato per mettere un contatore a 187 bit attraverso tutti i suoi valori. Se costruissimo una sfera di Dyson attorno al sole e catturassimo tutta la sua energia per 32 anni, senza alcuna perdita, potremmo alimentare un computer per contare fino a 2 ¹⁹² . Ovviamente, non avrebbe l'energia residua per eseguire calcoli utili con questo contatore.

Ma questa è solo una stella, e anche misera. Una tipica supernova rilascia qualcosa come 10 ⁵¹ erg. (Circa cento volte più energia verrebbe rilasciata sotto forma di neutrini, ma lasciateli andare per ora.) Se tutta questa energia potesse essere incanalata in una singola orgia di calcolo, un contatore da 219 bit potrebbe essere ciclato attraverso tutto dei suoi stati.

Questi numeri non hanno nulla a che fare con la tecnologia dei dispositivi; sono i massimi consentiti dalla termodinamica. E implicano fortemente che attacchi di forza bruta contro chiavi a 256 bit non saranno fattibili finché i computer non saranno costruiti da qualcosa di diverso dalla materia e occuperanno qualcosa di diverso dallo spazio.

L'audacia è una mia aggiunta.

Nota: si noti che questo esempio presuppone che esista un algoritmo di crittografia "perfetto". Se riesci a sfruttare i punti deboli dell'algoritmo, lo spazio della chiave potrebbe ridursi e ti ritroveresti con effettivamente meno bit della tua chiave.

Si presume anche che la generazione della chiave sia perfetta, producendo 1 bit di entropia per bit di chiave. Questo è spesso difficile da ottenere in un ambiente computazionale. Un meccanismo di generazione imperfetto potrebbe produrre 170 bit di entropia per una chiave a 256 bit. In questo caso, se il meccanismo di generazione della chiave è noto, la dimensione dello spazio di forza bruta è ridotta a 170 bit.

Supponendo che i computer quantistici siano fattibili, tuttavia, qualsiasi chiave RSA verrà rotta utilizzando l'algoritmo di Shor . (Vedi https://security.stackexchange.com/a/37638/18064)

Il motivo per cui le chiavi RSA sono così piccole è che:

Con ogni raddoppio della lunghezza della chiave RSA, la decrittografia è 6-7 volte più lenta.

Quindi questo è solo un altro dei compromessi tra sicurezza e comodità. Ecco un grafico:

Fonte: http://www.javamex.com/tutorials/cryptography/rsa_key_length. shtml

Per prima cosa AES è costruito per tre dimensioni di chiave 128, 192 o 256 bit .

Attualmente, la forzatura bruta di 128 bit non è neanche lontanamente fattibile. Ipoteticamente, se una chiave AES avesse 129 bit, sarebbe necessario il doppio del tempo per forzare una chiave a 129 bit rispetto a una chiave a 128 bit. Ciò significa che chiavi più grandi di 192 bit e 256 bit impiegherebbero molto più tempo per attaccare. Ci vorrebbe così tanto tempo per forzare una di queste chiavi che il sole smetterà di bruciare prima che la chiave fosse realizzata.

2 ^ 256 = 115792089237316195423570985008687907853269984665640564039457584007913129639936

Questo è un numero enorme. Ecco quante chiavi ci sono. Supponendo che la chiave sia casuale, se la dividi per 2 allora hai quante chiavi ci vorranno in media per la forza bruta AES-256

In un certo senso abbiamo le chiavi di cifratura veramente grandi che sei parlando di. Il punto centrale di una chiave simmetrica è renderla irrealizzabile con la forza bruta. In futuro, se l'attacco a una chiave a 256 bit diventa possibile, le dimensioni della chiave aumenteranno sicuramente, ma è abbastanza lungo la strada.

Il motivo per cui le chiavi RSA sono molto più grandi delle chiavi AES è perché sono due tipi di crittografia completamente diversi. Ciò significa che una persona non attaccherebbe una chiave RSA nello stesso modo in cui attaccherebbe una chiave AES.

Attaccare le chiavi simmetriche è facile.

1. Inizia con una stringa di bit 000...
2. Decifra il testo cifrato con quella stringa di bit.
3. Se riesci a leggerlo , ci sei riuscito.
4. Se non riesci a leggerlo, incrementa la stringa di bit

Attaccare una chiave RSA è diverso ... perché la crittografia / decrittografia RSA funziona con grandi semi- numeri primi ... il processo è mathy . Con RSA, non devi provare ogni possibile stringa di bit. Provi molte meno stringhe di bit di 2 ^ 1024 o 2 ^ 2048 ... ma non è ancora possibile eseguire la forza brute. Questo è il motivo per cui le chiavi RSA e AES differiscono per dimensioni. [ 1]

Per riassumere tutto e rispondere alla tua domanda in 1 frase. Non abbiamo bisogno di chiavi simmetriche ridicolmente grandi perché abbiamo già chiavi simmetriche ridicolmente grandi. La crittografia a 256 bit suona debole rispetto a qualcosa come una chiave RSA a 2048 bit, ma gli algoritmi sono diversi e non possono essere paragonati "bit a bit" in questo modo. In futuro, se saranno necessarie chiavi più lunghe, saranno sviluppati nuovi algoritmi per gestire chiavi più grandi. E se mai volessimo diventare più grandi sull'hardware attuale, è semplicemente un compromesso temporale. Una chiave più grande significa un tempo di decrittazione più lungo significa una comunicazione più lenta. Questo è particolarmente importante per un cifrario poiché il tuo browser Internet stabilirà e quindi utilizzerà una chiave simmetrica per inviare le informazioni.

Tempo di elaborazione, puro e semplice. Tutto nella sicurezza è un atto di bilanciamento tra la necessità di sicurezza (tenere fuori le persone cattive) e l'usabilità (far entrare le persone buone). La crittografia è un'operazione costosa di elaborazione anche con hardware dedicato per eseguire i calcoli.

Semplicemente non vale la pena andare oltre un certo livello di sicurezza per la maggior parte degli scopi perché i compromessi diventano esponenzialmente più difficili da usare pur offrendo quasi nessun vantaggio tangibile (poiché la differenza tra un miliardo di anni e cento miliardi anni non è così significativo in termini pratici).

Inoltre, come per RSA vs AES, questa è la natura della crittografia simmetrica rispetto a quella asimmetrica. In parole povere, con la crittografia simmetrica (dove c'è una chiave condivisa), non c'è nulla da cui iniziare a indovinare, quindi è molto difficile. Per la crittografia asimmetrica come RSA, stai divulgando un'informazione (la chiave pubblica) correlata alla chiave di decrittografia (la chiave privata). Mentre la relazione è "molto difficile" da calcolare, è molto più debole che non avere informazioni su cui lavorare. Per questo motivo, sono necessarie chiavi di dimensioni maggiori per rendere più difficile il problema di ottenere una chiave privata da una chiave pubblica mentre si cerca di limitare quanto più difficili siano i problemi di matematica per la crittografia e la decrittografia.

In un certo senso, esistono già algoritmi che utilizzano chiavi "follemente grandi". Si chiama one-time pad . Nessuno li usa davvero nella pratica, tuttavia, poiché richiedono una chiave della lunghezza del messaggio che desideri crittografare e il materiale della chiave non può mai essere riutilizzato (a meno che tu non voglia che il testo cifrato diventi banalmente frangibile). Dato che lo scopo della crittografia è convertire un grande segreto (il testo in chiaro) in un piccolo segreto (la chiave), le OTP sono utili solo in scenari molto specifici e altamente specializzati. Potresti anche trasmettere il testo in chiaro in modo sicuro, perché avrai bisogno di un canale di trasmissione altrettanto sicuro per il materiale della chiave.

In tutta franchezza, le OTP hanno un caso d'uso specifico. Cioè, quando hai bisogno di sicurezza dimostrabile in un ambiente in cui hai accesso a un canale di comunicazione sicuro a un certo punto ma devi trasmettere un messaggio in modo sicuro in un secondo momento.

L'OTP è dimostrato sicuro perché utilizzato correttamente e con materiale chiave generato correttamente, qualsiasi testo in chiaro decrittografato è altrettanto probabile, e nulla su una parte del materiale chiave (si suppone che) fornisca informazioni su altre parti del materiale chiave o su come decrittografare altre parti del messaggio. È facile in teoria, ma terribilmente difficile da realizzare in pratica. Stai cercando segreti militari brevi, di alto livello o forse diplomatici, al massimo.

Per la maggior parte delle persone, simmetrici da 128 a 256 bit o da 2048 a 4096 bit (assumendo qualcosa come RSA) le chiavi asimmetriche sono sufficienti, per ragioni già descritte da Rell3oT, Alexander Shcheblikin, lynks e altri. Chiunque voglia attaccare una chiave equivalente a 256 bit attaccherà il sistema crittografico, non la crittografia, comunque. ( Collegamento XKCD obbligatorio.) Gli attacchi PRNG hanno già infranto sistemi crittografici altrimenti correttamente implementati e teoricamente sicuri, e sarebbe uno sciocco pensare che sia successo per l'ultima volta.

Aggiungendo più prove alle risposte "perché rallenta le cose inutilmente", sembra che il tempo di esecuzione di AES non cresca alla stessa velocità di RSA quando la lunghezza della chiave aumenta (e RC6 cresce ancora più lentamente), ma è comunque Il tempo di esecuzione aumenta del 16% fino a raddoppiare la lunghezza della chiave, secondo http://www.ibimapublishing.com/journals/CIBIMA/volume8/v8n8.html.

Il tempo di elaborazione è già stato menzionato. Anche sotto questo aspetto il tempo necessario per generare una chiave RSA dovrebbe essere menzionato separatamente, poiché è MOLTO più costoso per chiavi più lunghe, poiché è necessario trovare numeri primi di circa la metà della dimensione della chiave RSA desiderata.

Un altro argomento è lo spazio, i. e. la quantità di dati generati. I cifrari asimmetrici e simmetrici operano su blocchi. Anche una firma su un byte richiede il numero di bit della chiave RSA, i. e. 256 byte per una chiave a 2048 bit. Stessa situazione con le dimensioni dei blocchi degli algoritmi simmetrici, che crescono anche con la lunghezza della chiave. Anche se questo non sembra un argomento a prima vista, alcuni dispositivi severamente limitati come le smart card dovrebbero gestirlo (ancora il contenitore più sicuro per la chiave privata) e ci sono molte applicazioni che devono memorizzare molte firme, certificati, crittogrammi ecc. In realtà questo è uno dei motivi per la crittografia a curva ellittica, poiché sta mettendo più sicurezza in meno bit.

L'OP ha chiesto: " Quindi, in altre parole, quali sono le conseguenze della scelta di una chiave di cifratura troppo grande ...? " Una chiave a 256 bit è molto forte, come dimostrato dal commenti qui; tuttavia, una chiave molto sicura (che è una buona cosa) farà semplicemente sì che una persona malintenzionata trovi un punto debole in altre parti del sistema.