stringtranslate.com

Уровень безопасности

В криптографии уровень безопасности — это мера стойкости, которой достигает криптографический примитив , такой как шифр или хеш-функция . Уровень безопасности обычно выражается как количество « битов безопасности» (также уровень безопасности ), [1] где n -битная безопасность означает, что злоумышленнику придется выполнить 2n операций , чтобы взломать ее, [2] но другие методы имеют Было предложено более точно смоделировать затраты злоумышленника. [3] Это позволяет удобно сравнивать алгоритмы и полезно при объединении нескольких примитивов в гибридной криптосистеме , поэтому нет четкого самого слабого звена. Например, AES -128 ( размер ключа 128 бит) предназначен для обеспечения 128-битного уровня безопасности, который считается примерно эквивалентным RSA с использованием 3072-битного ключа.

В этом контексте утверждение безопасности или целевой уровень безопасности — это уровень безопасности, для достижения которого изначально был разработан примитив, хотя в этих контекстах также иногда используется «уровень безопасности». Когда обнаруживаются атаки, стоимость которых ниже стоимости требования безопасности, примитив считается нарушенным . [4] [5]

В симметричной криптографии

Симметричные алгоритмы обычно имеют строго определенные требования безопасности. Для симметричных шифров он обычно равен размеру ключа шифра, что эквивалентно сложности атаки методом перебора . [5] [6] Криптографические хэш-функции с выходным размером n бит обычно имеют уровень безопасности устойчивости к коллизиям n / 2 и уровень устойчивости к прообразу n . Это связано с тем, что общая атака на день рождения всегда может найти коллизии за 2 n/2 шагов. [7] Например, SHA-256 обеспечивает 128-битную устойчивость к коллизиям и 256-битную устойчивость к прообразам.

Однако из этого есть некоторые исключения. Phelix и Helix — это 256-битные шифры , обеспечивающие 128-битный уровень безопасности. [5] [8] Варианты SHA-3 для SHAKE также отличаются: для выходного размера 256 бит SHAKE-128 обеспечивает 128-битный уровень безопасности как для сопротивления коллизиям, так и для сопротивления прообразам. [9]

В асимметричной криптографии

Разработка большинства асимметричных алгоритмов (т. е . криптографии с открытым ключом ) основана на изящных математических задачах , которые эффективны для вычислений в одном направлении, но неэффективны для обратного злоумышленником. Однако атаки на современные системы с открытыми ключами всегда происходят быстрее, чем перебор ключевого пространства. Их уровень безопасности не устанавливается во время разработки, а представляет собой предположение о вычислительной стойкости , которое корректируется в соответствии с лучшими известными на данный момент атаками. [6]

Опубликованы различные рекомендации, оценивающие уровень безопасности асимметричных алгоритмов, которые незначительно различаются из-за разных методологий.

Типичные уровни

В следующей таблице приведены примеры типичных уровней безопасности для типов алгоритмов, указанных в разделе 5.6.1.1 Рекомендации NIST SP-800-57 США по управлению ключами. [16] : Таблица 2. 

  1. ^ ab DEA (DES) был признан устаревшим в 2003 году в контексте рекомендаций NIST.

Согласно рекомендациям NIST, ключ определенного уровня безопасности следует транспортировать только под защитой с использованием алгоритма эквивалентного или более высокого уровня безопасности. [14]

Уровень безопасности определяется по стоимости разрушения одной цели, а не по амортизированной стоимости группы целей. Для поиска ключа AES-128 требуется 2128 операций , однако такое же количество амортизированных операций требуется для любого количества m ключей. С другой стороны, взлом m ключей ECC с использованием метода rho требует в sqrt( m ) умноженной на базовую стоимость. [15] [17]

Значение слова «сломанный»

Криптографический примитив считается сломанным, если обнаруживается, что уровень безопасности атаки ниже заявленного. Однако не все такие атаки практичны: большинство продемонстрированных в настоящее время атак требуют менее 240 операций , что на среднем ПК составляет несколько часов. Самой дорогостоящей продемонстрированной атакой на хеш-функции является атака 2 61.2 на SHA-1, которая заняла 2 месяца на 900 графических процессорах GTX 970 и стоила 75 000 долларов США (хотя, по оценкам исследователей, для обнаружения коллизии потребовалось всего 11 000 долларов США). [18]

Аумассон проводит грань между практическими и непрактичными атаками в 280 операциях . Он предлагает новую терминологию: [19]

Рекомендации

  1. ^ Специальная публикация NIST 800-57, Часть 1, Редакция 5. Рекомендации по управлению ключами: Часть 1 – Общие сведения, стр. 17.
  2. ^ Ленстра, Арьен К. «Длина ключей: вклад в Справочник по информационной безопасности» (PDF) .
  3. ^ Бернштейн, Дэниел Дж .; Ланге, Таня (4 июня 2012 г.). «Неоднородные трещины в бетоне: сила свободных предварительных вычислений» (PDF) . Достижения в криптологии — ASIACRYPT 2013 . Конспекты лекций по информатике. стр. 321–340. дои : 10.1007/978-3-642-42045-0_17. ISBN 978-3-642-42044-3.
  4. ^ Омассон, Жан-Филипп (2011). Криптоанализ против реальности (PDF) . Черная шляпа Абу-Даби.
  5. ^ abc Бернштейн, Дэниел Дж. (25 апреля 2005 г.). Понимание грубой силы (PDF) . ECRYPT STVL Семинар по шифрованию с симметричным ключом.
  6. ^ аб Ленстра, Арьен К. (9 декабря 2001 г.). «Невероятная безопасность: обеспечение безопасности AES с использованием систем открытых ключей» (PDF) . Достижения в криптологии — ASIACRYPT 2001 . Конспекты лекций по информатике. Том. 2248. Шпрингер, Берлин, Гейдельберг. стр. 67–86. дои : 10.1007/3-540-45682-1_5. ISBN 978-3-540-45682-7.
  7. ^ Альфред Дж. Менезес ; Пол К. ван Оршот ; Скотт А. Ванстон . «Глава 9. Хэш-функции и целостность данных» (PDF) . Справочник по прикладной криптографии. п. 336.
  8. ^ Фергюсон, Нильс; Уайтинг, Дуг; Шнайер, Брюс; Келси, Джон; Удачи, Стефан; Коно, Тадаёси (24 февраля 2003 г.). «Helix: быстрое шифрование и аутентификация в одном криптографическом примитиве» (PDF) . Быстрое программное шифрование . Конспекты лекций по информатике. Том. 2887. Шпрингер, Берлин, Гейдельберг. стр. 330–346. дои : 10.1007/978-3-540-39887-5_24. ISBN 978-3-540-20449-7.
  9. ^ Дворкин, Моррис Дж. (август 2015 г.). «Стандарт SHA-3: хеширование на основе перестановок и функции расширяемого вывода» (PDF) : 23. doi : 10.6028/nist.fips.202. {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
  10. ^ Баркер, Элейн (январь 2016 г.). «Рекомендации по управлению ключами, Часть 1: Общие сведения» (PDF) . НИСТ: 53. CiteSeerX 10.1.1.106.307 . дои : 10.6028/nist.sp.800-57pt1r4.  {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
  11. ^ Отчет об алгоритмах, размере ключей и параметрах – 2014. ENISA. Офис публикаций. 2013. с. 37. дои : 10.2824/36822. ISBN 978-92-9204-102-1.{{cite book}}: CS1 maint: другие ( ссылка )
  12. ^ Хилари, Орман; Пол, Хоффман (апрель 2004 г.). «Определение стойкости открытых ключей, используемых для обмена симметричными ключами». RFC 3766 (IETF). doi : 10.17487/RFC3766. {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
  13. ^ Жири, Дэмиен. «Длина ключа — сравнить все методы». keylength.com . Проверено 2 января 2017 г.
  14. ^ abc «Руководство по внедрению FIPS 140-2 и программы проверки криптографических модулей» (PDF) .
  15. ^ ab "Метод Ро" . Проверено 21 февраля 2024 г.
  16. ^ Баркер, Элейн (май 2020 г.). «Рекомендации по управлению ключами, Часть 1: Общие сведения» (PDF) . НИСТ: 158. CiteSeerX 10.1.1.106.307 . дои : 10.6028/nist.sp.800-57pt1r5.  {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
  17. ^ «После ECDH с Curve25519 бессмысленно ли использовать что-то более мощное, чем AES-128?». Обмен стеками криптографии .
  18. ^ Гаэтан Леран; Томас Пейрин (08 января 2020 г.). «SHA-1 - это хаос: первый конфликт выбранного префикса в SHA-1 и приложение к сети доверия PGP» (PDF) . {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
  19. ^ Омассон, Жан-Филипп (2020). Слишком много криптовалют (PDF) . Крипто-симпозиум реального мира.

дальнейшее чтение

Смотрите также