Уровень безопасности

Мера криптографической стойкости

В криптографии уровень безопасности — это мера прочности, которую достигает криптографический примитив — такой как шифр или хэш-функция . Уровень безопасности обычно выражается как число « бит безопасности» (также прочность безопасности ), ^[1] где n -битная безопасность означает, что злоумышленнику придется выполнить 2 ⁿ операций, чтобы взломать ее, ^[2] но были предложены другие методы, которые более точно моделируют затраты для злоумышленника. ^[3] Это позволяет удобно сравнивать алгоритмы и полезно при объединении нескольких примитивов в гибридной криптосистеме , поэтому нет четкого самого слабого звена. Например, AES -128 ( размер ключа 128 бит) разработан для обеспечения 128-битного уровня безопасности, который считается примерно эквивалентным RSA, использующему 3072-битный ключ.

В этом контексте требование безопасности или целевой уровень безопасности — это уровень безопасности, для достижения которого был изначально разработан примитив, хотя в этих контекстах иногда используется и «уровень безопасности». Когда обнаруживаются атаки, имеющие меньшую стоимость, чем требование безопасности, примитив считается сломанным . ^{[4] [5]}

В симметричной криптографии

Симметричные алгоритмы обычно имеют строго определенное требование безопасности. Для симметричных шифров оно обычно равно размеру ключа шифра — эквивалентно сложности атаки методом перебора . [ ^{5] [6]} Криптографические хэш-функции с выходным размером n бит обычно имеют уровень безопасности устойчивости к коллизиям n /2 и уровень устойчивости к прообразу n . Это связано с тем, что общая атака дня рождения всегда может найти коллизии за 2 ^{n / 2} шагов. ^[7] Например, SHA-256 предлагает 128-битную устойчивость к коллизиям и 256-битную устойчивость к прообразу.

Однако есть некоторые исключения. Phelix и Helix — это 256-битные шифры, предлагающие 128-битный уровень безопасности. ^{[5] [8]} Варианты SHA-3 SHAKE также отличаются: для выходного размера 256 бит SHAKE-128 обеспечивает 128-битный уровень безопасности как для коллизий, так и для устойчивости к прообразам. ^[9]

В асимметричной криптографии

Проектирование большинства асимметричных алгоритмов (т. е. криптографии с открытым ключом ) основано на аккуратных математических задачах , которые эффективны для вычисления в одном направлении, но неэффективны для обратного выполнения злоумышленником. Однако атаки на текущие системы с открытым ключом всегда быстрее, чем поиск методом перебора пространства ключей. Их уровень безопасности не устанавливается во время проектирования, а представляет собой предположение о вычислительной сложности , которое корректируется для соответствия лучшей известной на данный момент атаке. ^[6]

Были опубликованы различные рекомендации, оценивающие уровень безопасности асимметричных алгоритмов, которые немного различаются из-за разных методологий.

• Для криптосистемы RSA с уровнем безопасности 128 бит NIST и ENISA рекомендуют использовать ключи длиной 3072 бита ^{[10] [11]} и ключи IETF длиной 3253 бита. ^{[12] [13]} Преобразование длины ключа в оценку уровня безопасности основано на сложности GNFS . [ ^{14] : §7.5}
• Обмен ключами Диффи-Хеллмана и DSA аналогичны RSA с точки зрения преобразования длины ключа в оценку уровня безопасности. ^{[14] : §7.5}
• Криптография на основе эллиптических кривых требует более коротких ключей, поэтому рекомендации для 128-битных составляют 256-383 (NIST), 256 (ENISA) и 242 бита (IETF). Преобразование из размера ключа f в уровень безопасности составляет приблизительно f / 2: это связано с тем, что метод взлома задачи дискретного логарифма эллиптической кривой, метод rho, завершается в 0,886 sqrt(2 ^f ) дополнений. ^[15]

Типичные уровни

В следующей таблице приведены примеры типичных уровней безопасности для типов алгоритмов, которые указаны в s5.6.1.1 Рекомендаций US NIST SP-800-57 по управлению ключами. ^{[16] : Таблица 2}

1. DEA (DES) был устарел в 2003 году в контексте рекомендаций NIST.

Согласно рекомендациям NIST, ключ определенного уровня безопасности должен передаваться только под защитой, использующей алгоритм эквивалентного или более высокого уровня безопасности. ^[14]

Уровень безопасности указан для стоимости взлома одной цели, а не амортизированной стоимости для группы целей. Требуется 2 ¹²⁸ операций, чтобы найти ключ AES-128, но то же самое количество амортизированных операций требуется для любого количества m ключей. С другой стороны, для взлома m ключей ECC с использованием метода rho требуется sqrt( m ) раз больше базовой стоимости. ^{[15] [17]}

Значение слова «сломанный»

Криптографический примитив считается сломанным, когда обнаруживается, что атака имеет уровень безопасности ниже заявленного. Однако не все такие атаки практичны: большинство продемонстрированных в настоящее время атак занимают менее 2 ⁴⁰ операций, что соответствует нескольким часам на среднем ПК. Самой дорогостоящей продемонстрированной атакой на хэш-функции является атака 2 ^61.2 на SHA-1, которая заняла 2 месяца на 900 GTX 970 GPU и стоила 75 000 долларов США (хотя исследователи подсчитали, что для обнаружения коллизии потребовалось всего 11 000 долларов США). ^[18]

Омассон проводит границу между практическими и непрактичными атаками в 2 ⁸⁰ операциях. Он предлагает новую терминологию: ^[19]

• Сломанный примитив имеет атаку, требующую ≤ 2 80 ^{операций} . Атака может быть осуществлена ​​правдоподобно.
• Раненый примитив имеет атаку, требующую от 2 ⁸⁰ до около 2 ¹⁰⁰ операций. Нападение невозможно прямо сейчас, но будущие улучшения, вероятно, сделают это возможным .
• Атакуемый примитив имеет атаку, которая дешевле, чем требование безопасности, но намного дороже, чем 2 100. ^Такая атака слишком далека от практической реализации.
• Наконец, проанализированный примитив — это тот, у которого нет атак, дешевле, чем заявленная им безопасность.

Ссылки

1. Специальная публикация NIST 800-57 Часть 1, Редакция 5. Рекомендации по управлению ключами: Часть 1 – Общие положения, стр. 17.
2. Ленстра, Арьен К. «Длина ключей: вклад в Справочник по информационной безопасности» (PDF) .
3. Бернстайн, Дэниел Дж .; Ланге, Таня (4 июня 2012 г.). «Неоднородные трещины в бетоне: сила свободных предварительных вычислений» (PDF) . Достижения в криптологии — ASIACRYPT 2013. Конспект лекций по информатике. стр. 321–340. doi :10.1007/978-3-642-42045-0_17. ISBN 978-3-642-42044-3.
4. Омассон, Жан-Филипп (2011). Криптоанализ против реальности (PDF) . Black Hat Abu Dhabi.
5. Бернстайн, Дэниел Дж. (25 апреля 2005 г.). Понимание грубой силы (PDF) . Семинар ECRYPT STVL по симметричному ключевому шифрованию.
6. Lenstra, Arjen K. (9 декабря 2001 г.). "Невероятная безопасность: соответствие безопасности AES с использованием систем открытого ключа" (PDF) . Достижения в криптологии — ASIACRYPT 2001 . Конспект лекций по информатике. Том 2248. Springer, Берлин, Гейдельберг. стр. 67–86. doi :10.1007/3-540-45682-1_5. ISBN 978-3-540-45682-7.
7. Альфред Дж. Менезес ; Пол К. ван Ооршот ; Скотт А. Ванстоун . "Глава 9 - Хэш-функции и целостность данных" (PDF) . Справочник по прикладной криптографии. стр. 336.
8. Фергюсон, Нильс; Уайтинг, Дуг; Шнайер, Брюс; Келси, Джон; Лакс, Стефан; Коно, Тадаёси (24 февраля 2003 г.). "Helix: быстрое шифрование и аутентификация в одном криптографическом примитиве" (PDF) . Быстрое программное шифрование . Конспект лекций по информатике. Том 2887. Springer, Берлин, Гейдельберг. стр. 330–346. doi :10.1007/978-3-540-39887-5_24. ISBN 978-3-540-20449-7.
9. Дворкин, Моррис Дж. (август 2015 г.). «Стандарт SHA-3: хэш на основе перестановок и расширяемые функции вывода» (PDF) : 23. doi :10.6028/nist.fips.202. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
10. Баркер, Элейн (январь 2016 г.). «Рекомендации по управлению ключами, часть 1: общие положения» (PDF) . NIST: 53. CiteSeerX 10.1.1.106.307 . doi :10.6028/nist.sp.800-57pt1r4.  {{cite journal}}: Цитировать журнал требует |journal=( помощь )
11. Отчет об алгоритмах, размере ключа и параметрах – 2014. ENISA. Publications Office. 2013. стр. 37. doi :10.2824/36822. ISBN 978-92-9204-102-1.{{cite book}}: CS1 maint: другие ( ссылка )
12. Хилари, Орман; Пол, Хоффман (апрель 2004 г.). «Определение стойкости открытых ключей, используемых для обмена симметричными ключами». RFC 3766 (IETF). doi :10.17487/RFC3766. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
13. Жири, Дэмиен. "Длина ключа - Сравнение всех методов". keylength.com . Получено 2017-01-02 .
14. «Руководство по внедрению FIPS 140-2 и программы проверки криптографических модулей» (PDF) .
15. "The rho method" . Получено 21 февраля 2024 г. .
16. Баркер, Элейн (май 2020 г.). «Рекомендации по управлению ключами, часть 1: общие положения» (PDF) . NIST: 158. CiteSeerX 10.1.1.106.307 . doi :10.6028/nist.sp.800-57pt1r5.  {{cite journal}}: Цитировать журнал требует |journal=( помощь )
17. "После ECDH с Curve25519 бессмысленно ли использовать что-либо сильнее AES-128?". Cryptography Stack Exchange .
18. Гаэтан Лёрент; Томас Пейрен (08.01.2020). «SHA-1 — это хаос: столкновение первого выбранного префикса в SHA-1 и его применение в сети доверия PGP» (PDF) . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
19. Омассон, Жан-Филипп (2020). Слишком много криптографии (PDF) . Симпозиум Real World Crypto.

Дальнейшее чтение

• Омассон, Жан-Филипп (2020). Слишком много криптографии (PDF) . Симпозиум Real World Crypto.

Смотрите также

• Предположение о вычислительной сложности
• 40-битное шифрование
• Резюме по безопасности шифра
• Резюме безопасности хэш-функции