Уровень безопасности
В криптографии уровень безопасности — это мера стойкости, которой достигает криптографический примитив , такой как шифр или хеш-функция . Уровень безопасности обычно выражается как количество « битов безопасности» (также уровень безопасности ), [ 1 ] где n -битная безопасность означает, что злоумышленнику придется выполнить 2 н операции по его разрушению, [ 2 ] но были предложены другие методы, которые более точно моделируют затраты злоумышленника. [ 3 ] Это позволяет удобно сравнивать алгоритмы и полезно при объединении нескольких примитивов в гибридной криптосистеме , поэтому нет четкого самого слабого звена. Например, AES -128 ( размер ключа 128 бит) разработан для обеспечения 128-битного уровня безопасности, который считается примерно эквивалентным RSA с использованием 3072-битного ключа.
В этом контексте утверждение безопасности или целевой уровень безопасности — это уровень безопасности, для достижения которого изначально был разработан примитив, хотя в этих контекстах также иногда используется «уровень безопасности». Когда обнаруживаются атаки, стоимость которых ниже стоимости требования безопасности, примитив считается нарушенным . [ 4 ] [ 5 ]
В симметричной криптографии
[ редактировать ]Симметричные алгоритмы обычно имеют строго определенные требования безопасности. Для симметричных шифров он обычно равен размеру ключа шифра, что эквивалентно сложности перебора атаки методом . [ 5 ] [ 6 ] Криптографические хеш-функции с выходным размером n бит обычно имеют устойчивости к коллизиям уровень безопасности n /2 и устойчивости к прообразу уровень n . Это связано с тем, что общая атака на день рождения всегда может найти коллизии в 2 н/2 шаги. [ 7 ] Например, SHA-256 обеспечивает 128-битную устойчивость к коллизиям и 256-битную устойчивость к прообразам.
Однако из этого есть некоторые исключения. Phelix и Helix — это 256-битные шифры , обеспечивающие 128-битный уровень безопасности. [ 5 ] [ 8 ] Варианты SHA-3 для SHAKE также различаются: для выходного размера 256 бит SHAKE-128 обеспечивает 128-битный уровень безопасности как для сопротивления коллизиям, так и для сопротивления прообразу. [ 9 ]
В асимметричной криптографии
[ редактировать ]Разработка большинства асимметричных алгоритмов (т. е. криптографии с открытым ключом ) основана на изящных математических задачах , которые эффективны для вычислений в одном направлении, но неэффективны для обратного злоумышленником. Однако атаки на современные системы с открытыми ключами всегда происходят быстрее, чем перебор ключевого пространства. Их уровень безопасности не устанавливается во время разработки, а представляет собой предположение о вычислительной стойкости , которое корректируется в соответствии с лучшими известными на данный момент атаками. [ 6 ]
Опубликованы различные рекомендации, оценивающие уровень безопасности асимметричных алгоритмов, которые незначительно различаются из-за разных методологий.
- Для криптосистемы RSA с 128-битным уровнем безопасности NIST и ENISA рекомендуют использовать 3072-битные ключи. [ 10 ] [ 11 ] и IETF 3253 бита. [ 12 ] [ 13 ] Преобразование длины ключа в оценку уровня безопасности основано на сложности GNFS . [ 14 ] : §7.5
- Обмен ключами Диффи-Хеллмана и DSA аналогичны RSA с точки зрения преобразования длины ключа в оценку уровня безопасности. [ 14 ] : §7.5
- Криптография с эллиптической кривой требует более коротких ключей, поэтому рекомендации для 128-битных ключей: 256–383 (NIST), 256 (ENISA) и 242 бита (IETF). Преобразование размера ключа f в уровень безопасности составляет примерно f /2: это связано с тем, что метод решения задачи дискретного логарифмирования эллиптической кривой, метод rho, завершается за 0,886 sqrt(2). ж ) дополнения. [ 15 ]
Типичные уровни
[ редактировать ]В следующей таблице приведены примеры типичных уровней безопасности для типов алгоритмов, указанных в разделе 5.6.1.1 Рекомендации NIST SP-800-57 США по управлению ключами. [ 16 ] : Таблица 2
Биты безопасности | Симметричный ключ | Конечное поле/дискретный логарифм (DSA, DH, MQV) |
Целочисленная факторизация (ЮАР) |
Эллиптическая кривая (ECDSA, EdDSA, ECDH, ECMQV) |
---|---|---|---|---|
80 | 2ТДЕА [ а ] | Л = 1024, Н = 160 | к = 1024 | 160 ≤ ж ≤ 223 |
112 | 3ТДЕА [ а ] | Л =2048, Н =224 | к = 2048 | 224 ≤ ж ≤ 255 |
128 | АЭС-128 | Л = 3072, Н = 256 | к = 3072 | 256 ≤ ж ≤ 383 |
192 | АЭС-192 | Л = 7680, Н = 384 | к = 7680 | 384 ≤ ж ≤ 511 |
256 | АЭС-256 | Л = 15360, Н = 511 | к = 15360 | ж ≥ 512 |
- ^ Перейти обратно: а б DEA (DES) был признан устаревшим в 2003 году в контексте рекомендаций NIST.
Согласно рекомендациям NIST, ключ определенного уровня безопасности следует транспортировать только под защитой с использованием алгоритма эквивалентного или более высокого уровня безопасности. [ 14 ]
Уровень безопасности определяется по стоимости разрушения одной цели, а не по амортизированной стоимости группы целей. Это занимает 2 128 требуется одинаковое количество амортизированных операций операций для поиска ключа AES-128, однако для любого количества m ключей . С другой стороны, взлом m ключей ECC с использованием метода rho требует в sqrt( m ) умноженной на базовую стоимость. [ 15 ] [ 17 ]
Значение слова «сломанный»
[ редактировать ]Криптографический примитив считается сломанным, если обнаруживается, что уровень безопасности атаки ниже заявленного. Однако не все такие атаки практичны: для большинства продемонстрированных в настоящее время атак требуется менее 2 40 операций, что на среднем ПК составляет несколько часов. Самая дорогостоящая продемонстрированная атака на хэш-функции — это 2 61.2 атака на SHA-1, которая заняла 2 месяца на 900 графических процессорах GTX 970 и стоила 75 000 долларов США (хотя, по оценкам исследователей, для обнаружения коллизии потребовалось всего 11 000 долларов США). [ 18 ]
Аумассон проводит грань между практическими и непрактичными атаками на уровне 2. 80 операции. Он предлагает новую терминологию: [ 19 ]
- Сломанный . примитив имеет атаку с вероятностью ≤ 2 80 операции. Атака вполне может быть осуществлена.
- Раненый 2 примитив имеет атаку, продолжающуюся от 80 и около 2 100 операции. На данный момент атака невозможна, но будущие улучшения, вероятно, сделают ее возможной.
- Атакованный . примитив имеет атаку, которая дешевле, чем требование безопасности, но намного дороже, чем 2 100 . Такая атака слишком далека от практической.
- Наконец, анализируемый примитив — это примитив, на который нет атак дешевле, чем его утверждение безопасности.
Ссылки
[ редактировать ]- ^ Специальная публикация NIST 800-57, часть 1, редакция 5. Рекомендации по управлению ключами: часть 1 – Общие положения , стр. 17.
- ^ Ленстра, Арьен К. «Длина ключей: вклад в справочник по информационной безопасности» (PDF) .
- ^ Бернштейн, Дэниел Дж .; Ланге, Таня (4 июня 2012 г.). «Неоднородные трещины в бетоне: сила свободных предварительных вычислений» (PDF) . Достижения в криптологии — ASIACRYPT 2013 . Конспекты лекций по информатике. стр. 321–340. дои : 10.1007/978-3-642-42045-0_17 . ISBN 978-3-642-42044-3 .
- ^ Омассон, Жан-Филипп (2011). Криптоанализ против реальности (PDF) . Черная шляпа Абу-Даби.
- ^ Перейти обратно: а б с Бернштейн, Дэниел Дж. (25 апреля 2005 г.). Понимание грубой силы (PDF) . ECRYPT STVL Семинар по шифрованию с симметричным ключом.
- ^ Перейти обратно: а б Ленстра, Арьен К. (9 декабря 2001 г.). «Невероятная безопасность: обеспечение безопасности AES с использованием систем открытых ключей» (PDF) . Достижения в криптологии — ASIACRYPT 2001 . Конспекты лекций по информатике. Том. 2248. Шпрингер, Берлин, Гейдельберг. стр. 67–86. дои : 10.1007/3-540-45682-1_5 . ISBN 978-3-540-45682-7 .
- ^ Альфред Дж. Менезес ; Пол К. ван Оршот ; Скотт А. Ванстон . «Глава 9. Хэш-функции и целостность данных» (PDF) . Справочник по прикладной криптографии . п. 336.
- ^ Фергюсон, Нильс; Уайтинг, Дуг; Шнайер, Брюс; Келси, Джон; Удачи, Стефан; Коно, Тадаёси (24 февраля 2003 г.). «Helix: быстрое шифрование и аутентификация в одном криптографическом примитиве» (PDF) . Быстрое программное шифрование . Конспекты лекций по информатике. Том. 2887. Шпрингер, Берлин, Гейдельберг. стр. 330–346. дои : 10.1007/978-3-540-39887-5_24 . ISBN 978-3-540-20449-7 .
- ^ Дворкин, Моррис Дж. (август 2015 г.). «Стандарт SHA-3: хеширование на основе перестановок и функции расширяемого вывода» (PDF) : 23. doi : 10.6028/nist.fips.202 .
{{cite journal}}
: Для цитирования журнала требуется|journal=
( помощь ) - ^ Баркер, Элейн (январь 2016 г.). «Рекомендации по управлению ключами, Часть 1: Общие сведения» (PDF) . НИСТ: 53. CiteSeerX 10.1.1.106.307 . дои : 10.6028/nist.sp.800-57pt1r4 .
{{cite journal}}
: Для цитирования журнала требуется|journal=
( помощь ) - ^ Отчет «Алгоритмы, размер ключей и параметры» — 2014 . ЭНИСА. Офис публикаций. 2013. с. 37. дои : 10.2824/36822 . ISBN 978-92-9204-102-1 .
{{cite book}}
: CS1 maint: другие ( ссылка ) - ^ Хилари, Орман; Пол, Хоффман (апрель 2004 г.). «Определение стойкости открытых ключей, используемых для обмена симметричными ключами» . RFC 3766 (IETF). дои : 10.17487/RFC3766 .
{{cite journal}}
: Для цитирования журнала требуется|journal=
( помощь ) - ^ Жири, Дэмиен. «Длина ключа — сравнение всех методов» . keylength.com . Проверено 2 января 2017 г.
- ^ Перейти обратно: а б с «Руководство по внедрению FIPS 140-2 и программы проверки криптографических модулей» (PDF) .
- ^ Перейти обратно: а б «Метод Ро» . Проверено 21 февраля 2024 г.
- ^ Баркер, Элейн (май 2020 г.). «Рекомендации по управлению ключами, Часть 1: Общие сведения» (PDF) . НИСТ: 158. CiteSeerX 10.1.1.106.307 . дои : 10.6028/nist.sp.800-57pt1r5 .
{{cite journal}}
: Для цитирования журнала требуется|journal=
( помощь ) - ^ «После ECDH с Curve25519 бессмысленно ли использовать что-то более мощное, чем AES-128?» . Обмен стеками криптографии .
- ^ Гаэтан Леран; Томас Пейрин (08 января 2020 г.). «SHA-1 - это хаос: первый конфликт выбранных префиксов в SHA-1 и приложение к сети доверия PGP» (PDF) .
{{cite journal}}
: Для цитирования журнала требуется|journal=
( помощь ) - ^ Омассон, Жан-Филипп (2020). Слишком много криптовалют (PDF) . Крипто-симпозиум реального мира.
Дальнейшее чтение
[ редактировать ]- Омассон, Жан-Филипп (2020). Слишком много криптовалют (PDF) . Крипто-симпозиум реального мира.