Jump to content

Уровень безопасности

В криптографии уровень безопасности — это мера стойкости, которой достигает криптографический примитив , такой как шифр или хеш-функция . Уровень безопасности обычно выражается как количество « битов безопасности» (также уровень безопасности ), [ 1 ] где n -битная безопасность означает, что злоумышленнику придется выполнить 2 н операции по его разрушению, [ 2 ] но были предложены другие методы, которые более точно моделируют затраты злоумышленника. [ 3 ] Это позволяет удобно сравнивать алгоритмы и полезно при объединении нескольких примитивов в гибридной криптосистеме , поэтому нет четкого самого слабого звена. Например, AES -128 ( размер ключа 128 бит) разработан для обеспечения 128-битного уровня безопасности, который считается примерно эквивалентным RSA с использованием 3072-битного ключа.

В этом контексте утверждение безопасности или целевой уровень безопасности — это уровень безопасности, для достижения которого изначально был разработан примитив, хотя в этих контекстах также иногда используется «уровень безопасности». Когда обнаруживаются атаки, стоимость которых ниже стоимости требования безопасности, примитив считается нарушенным . [ 4 ] [ 5 ]

В симметричной криптографии

[ редактировать ]

Симметричные алгоритмы обычно имеют строго определенные требования безопасности. Для симметричных шифров он обычно равен размеру ключа шифра, что эквивалентно сложности перебора атаки методом . [ 5 ] [ 6 ] Криптографические хеш-функции с выходным размером n бит обычно имеют устойчивости к коллизиям уровень безопасности n /2 и устойчивости к прообразу уровень n . Это связано с тем, что общая атака на день рождения всегда может найти коллизии в 2 н/2 шаги. [ 7 ] Например, SHA-256 обеспечивает 128-битную устойчивость к коллизиям и 256-битную устойчивость к прообразам.

Однако из этого есть некоторые исключения. Phelix и Helix — это 256-битные шифры , обеспечивающие 128-битный уровень безопасности. [ 5 ] [ 8 ] Варианты SHA-3 для SHAKE также различаются: для выходного размера 256 бит SHAKE-128 обеспечивает 128-битный уровень безопасности как для сопротивления коллизиям, так и для сопротивления прообразу. [ 9 ]

В асимметричной криптографии

[ редактировать ]

Разработка большинства асимметричных алгоритмов (т. е. криптографии с открытым ключом ) основана на изящных математических задачах , которые эффективны для вычислений в одном направлении, но неэффективны для обратного злоумышленником. Однако атаки на современные системы с открытыми ключами всегда происходят быстрее, чем перебор ключевого пространства. Их уровень безопасности не устанавливается во время разработки, а представляет собой предположение о вычислительной стойкости , которое корректируется в соответствии с лучшими известными на данный момент атаками. [ 6 ]

Опубликованы различные рекомендации, оценивающие уровень безопасности асимметричных алгоритмов, которые незначительно различаются из-за разных методологий.

  • Для криптосистемы RSA с 128-битным уровнем безопасности NIST и ENISA рекомендуют использовать 3072-битные ключи. [ 10 ] [ 11 ] и IETF 3253 бита. [ 12 ] [ 13 ] Преобразование длины ключа в оценку уровня безопасности основано на сложности GNFS . [ 14 ] : §7.5 
  • Обмен ключами Диффи-Хеллмана и DSA аналогичны RSA с точки зрения преобразования длины ключа в оценку уровня безопасности. [ 14 ] : §7.5 
  • Криптография с эллиптической кривой требует более коротких ключей, поэтому рекомендации для 128-битных ключей: 256–383 (NIST), 256 (ENISA) и 242 бита (IETF). Преобразование размера ключа f в уровень безопасности составляет примерно f /2: это связано с тем, что метод решения задачи дискретного логарифмирования эллиптической кривой, метод rho, завершается за 0,886 sqrt(2). ж ) дополнения. [ 15 ]

Типичные уровни

[ редактировать ]

В следующей таблице приведены примеры типичных уровней безопасности для типов алгоритмов, указанных в разделе 5.6.1.1 Рекомендации NIST SP-800-57 США по управлению ключами. [ 16 ] : Таблица 2

Сопоставимые сильные стороны алгоритмов
Биты безопасности Симметричный ключ Конечное поле/дискретный логарифм
(DSA, DH, MQV)
Целочисленная факторизация
(ЮАР)
Эллиптическая кривая
(ECDSA, EdDSA, ECDH, ECMQV)
80 2ТДЕА [ а ] Л = 1024, Н = 160 к = 1024 160 ≤ ж ≤ 223
112 3ТДЕА [ а ] Л =2048, Н =224 к = 2048 224 ≤ ж ≤ 255
128 АЭС-128 Л = 3072, Н = 256 к = 3072 256 ≤ ж ≤ 383
192 АЭС-192 Л = 7680, Н = 384 к = 7680 384 ≤ ж ≤ 511
256 АЭС-256 Л = 15360, Н = 511 к = 15360 ж ≥ 512
  1. ^ Перейти обратно: а б DEA (DES) был признан устаревшим в 2003 году в контексте рекомендаций NIST.

Согласно рекомендациям NIST, ключ определенного уровня безопасности следует транспортировать только под защитой с использованием алгоритма эквивалентного или более высокого уровня безопасности. [ 14 ]

Уровень безопасности определяется по стоимости разрушения одной цели, а не по амортизированной стоимости группы целей. Это занимает 2 128 требуется одинаковое количество амортизированных операций операций для поиска ключа AES-128, однако для любого количества m ключей . С другой стороны, взлом m ключей ECC с использованием метода rho требует в sqrt( m ) умноженной на базовую стоимость. [ 15 ] [ 17 ]

Значение слова «сломанный»

[ редактировать ]

Криптографический примитив считается сломанным, если обнаруживается, что уровень безопасности атаки ниже заявленного. Однако не все такие атаки практичны: для большинства продемонстрированных в настоящее время атак требуется менее 2 40 операций, что на среднем ПК составляет несколько часов. Самая дорогостоящая продемонстрированная атака на хэш-функции — это 2 61.2 атака на SHA-1, которая заняла 2 месяца на 900 графических процессорах GTX 970 и стоила 75 000 долларов США (хотя, по оценкам исследователей, для обнаружения коллизии потребовалось всего 11 000 долларов США). [ 18 ]

Аумассон проводит грань между практическими и непрактичными атаками на уровне 2. 80 операции. Он предлагает новую терминологию: [ 19 ]

  • Сломанный . примитив имеет атаку с вероятностью ≤ 2 80 операции. Атака вполне может быть осуществлена.
  • Раненый 2 примитив имеет атаку, продолжающуюся от 80 и около 2 100 операции. На данный момент атака невозможна, но будущие улучшения, вероятно, сделают ее возможной.
  • Атакованный . примитив имеет атаку, которая дешевле, чем требование безопасности, но намного дороже, чем 2 100 . Такая атака слишком далека от практической.
  • Наконец, анализируемый примитив — это примитив, на который нет атак дешевле, чем его утверждение безопасности.
  1. ^ Специальная публикация NIST 800-57, часть 1, редакция 5. Рекомендации по управлению ключами: часть 1 – Общие положения , стр. 17.
  2. ^ Ленстра, Арьен К. «Длина ключей: вклад в справочник по информационной безопасности» (PDF) .
  3. ^ Бернштейн, Дэниел Дж .; Ланге, Таня (4 июня 2012 г.). «Неоднородные трещины в бетоне: сила свободных предварительных вычислений» (PDF) . Достижения в криптологии — ASIACRYPT 2013 . Конспекты лекций по информатике. стр. 321–340. дои : 10.1007/978-3-642-42045-0_17 . ISBN  978-3-642-42044-3 .
  4. ^ Омассон, Жан-Филипп (2011). Криптоанализ против реальности (PDF) . Черная шляпа Абу-Даби.
  5. ^ Перейти обратно: а б с Бернштейн, Дэниел Дж. (25 апреля 2005 г.). Понимание грубой силы (PDF) . ECRYPT STVL Семинар по шифрованию с симметричным ключом.
  6. ^ Перейти обратно: а б Ленстра, Арьен К. (9 декабря 2001 г.). «Невероятная безопасность: обеспечение безопасности AES с использованием систем открытых ключей» (PDF) . Достижения в криптологии — ASIACRYPT 2001 . Конспекты лекций по информатике. Том. 2248. Шпрингер, Берлин, Гейдельберг. стр. 67–86. дои : 10.1007/3-540-45682-1_5 . ISBN  978-3-540-45682-7 .
  7. ^ Альфред Дж. Менезес ; Пол К. ван Оршот ; Скотт А. Ванстон . «Глава 9. Хэш-функции и целостность данных» (PDF) . Справочник по прикладной криптографии . п. 336.
  8. ^ Фергюсон, Нильс; Уайтинг, Дуг; Шнайер, Брюс; Келси, Джон; Удачи, Стефан; Коно, Тадаёси (24 февраля 2003 г.). «Helix: быстрое шифрование и аутентификация в одном криптографическом примитиве» (PDF) . Быстрое программное шифрование . Конспекты лекций по информатике. Том. 2887. Шпрингер, Берлин, Гейдельберг. стр. 330–346. дои : 10.1007/978-3-540-39887-5_24 . ISBN  978-3-540-20449-7 .
  9. ^ Дворкин, Моррис Дж. (август 2015 г.). «Стандарт SHA-3: хеширование на основе перестановок и функции расширяемого вывода» (PDF) : 23. doi : 10.6028/nist.fips.202 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  10. ^ Баркер, Элейн (январь 2016 г.). «Рекомендации по управлению ключами, Часть 1: Общие сведения» (PDF) . НИСТ: 53. CiteSeerX   10.1.1.106.307 . дои : 10.6028/nist.sp.800-57pt1r4 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  11. ^ Отчет «Алгоритмы, размер ключей и параметры» — 2014 . ЭНИСА. Офис публикаций. 2013. с. 37. дои : 10.2824/36822 . ISBN  978-92-9204-102-1 . {{cite book}}: CS1 maint: другие ( ссылка )
  12. ^ Хилари, Орман; Пол, Хоффман (апрель 2004 г.). «Определение стойкости открытых ключей, используемых для обмена симметричными ключами» . RFC 3766 (IETF). дои : 10.17487/RFC3766 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  13. ^ Жири, Дэмиен. «Длина ключа — сравнение всех методов» . keylength.com . Проверено 2 января 2017 г.
  14. ^ Перейти обратно: а б с «Руководство по внедрению FIPS 140-2 и программы проверки криптографических модулей» (PDF) .
  15. ^ Перейти обратно: а б «Метод Ро» . Проверено 21 февраля 2024 г.
  16. ^ Баркер, Элейн (май 2020 г.). «Рекомендации по управлению ключами, Часть 1: Общие сведения» (PDF) . НИСТ: 158. CiteSeerX   10.1.1.106.307 . дои : 10.6028/nist.sp.800-57pt1r5 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  17. ^ «После ECDH с Curve25519 бессмысленно ли использовать что-то более мощное, чем AES-128?» . Обмен стеками криптографии .
  18. ^ Гаэтан Леран; Томас Пейрин (08 января 2020 г.). «SHA-1 - это хаос: первый конфликт выбранных префиксов в SHA-1 и приложение к сети доверия PGP» (PDF) . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  19. ^ Омассон, Жан-Филипп (2020). Слишком много криптовалют (PDF) . Крипто-симпозиум реального мира.

Дальнейшее чтение

[ редактировать ]

См. также

[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: dbc5cdf69189bae1e8abdeda8af7fb07__1715305080
URL1:https://arc.ask3.ru/arc/aa/db/07/dbc5cdf69189bae1e8abdeda8af7fb07.html
Заголовок, (Title) документа по адресу, URL1:
Security level - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)