В криптографии уровень безопасности — это мера стойкости, которой достигает криптографический примитив , такой как шифр или хеш-функция . Уровень безопасности обычно выражается как количество « битов безопасности» (также уровень безопасности ), [1] где n -битная безопасность означает, что злоумышленнику придется выполнить 2n операций , чтобы взломать ее, [2] но другие методы имеют Было предложено более точно смоделировать затраты злоумышленника. [3] Это позволяет удобно сравнивать алгоритмы и полезно при объединении нескольких примитивов в гибридной криптосистеме , поэтому нет четкого самого слабого звена. Например, AES -128 ( размер ключа 128 бит) разработан для обеспечения 128-битного уровня безопасности, который считается примерно эквивалентным RSA с использованием 3072-битного ключа.
В этом контексте утверждение безопасности или целевой уровень безопасности — это уровень безопасности, для достижения которого изначально был разработан примитив, хотя в этих контекстах также иногда используется «уровень безопасности». Когда обнаруживаются атаки, стоимость которых ниже стоимости требования безопасности, примитив считается нарушенным . [4] [5]
Симметричные алгоритмы обычно имеют строго определенные требования безопасности. Для симметричных шифров он обычно равен размеру ключа шифра, что эквивалентно сложности атаки методом перебора . [5] [6] Криптографические хэш-функции с выходным размером n бит обычно имеют уровень безопасности устойчивости к коллизиям n / 2 и уровень устойчивости к прообразу n . Это связано с тем, что общая атака на день рождения всегда может найти коллизии за 2 n/2 шагов. [7] Например, SHA-256 обеспечивает 128-битную устойчивость к коллизиям и 256-битную устойчивость к прообразам.
Однако из этого есть некоторые исключения. Phelix и Helix — это 256-битные шифры , обеспечивающие 128-битный уровень безопасности. [5] [8] Варианты SHA-3 для SHAKE также различаются: для выходного размера 256 бит SHAKE-128 обеспечивает 128-битный уровень безопасности как для сопротивления коллизиям, так и для сопротивления прообразам. [9]
Разработка большинства асимметричных алгоритмов (т. е. криптографии с открытым ключом ) основана на изящных математических задачах , которые эффективны для вычислений в одном направлении, но неэффективны для обратного злоумышленником. Однако атаки на современные системы открытых ключей всегда происходят быстрее, чем перебор пространства ключей. Их уровень безопасности не устанавливается во время разработки, а представляет собой предположение о вычислительной стойкости , которое корректируется в соответствии с лучшими известными на данный момент атаками. [6]
Опубликованы различные рекомендации, оценивающие уровень безопасности асимметричных алгоритмов, которые незначительно различаются из-за разных методологий.
В следующей таблице приведены примеры типичных уровней безопасности для типов алгоритмов, указанных в разделе 5.6.1.1 Рекомендации NIST SP-800-57 США по управлению ключами. [16] : Таблица 2.
Согласно рекомендациям NIST, ключ определенного уровня безопасности следует транспортировать только под защитой с использованием алгоритма эквивалентного или более высокого уровня безопасности. [14]
Уровень безопасности определяется по стоимости разрушения одной цели, а не по амортизированной стоимости группы целей. Для поиска ключа AES-128 требуется 2128 операций, однако такое же количество амортизированных операций требуется для любого количества m ключей. С другой стороны, взлом m ключей ECC с использованием метода rho требует sqrt( m ) умноженной на базовую стоимость. [15] [17]
Криптографический примитив считается сломанным, если обнаруживается, что уровень безопасности атаки ниже заявленного. Однако не все такие атаки практичны: большинство продемонстрированных в настоящее время атак требуют менее 240 операций , что на среднем ПК составляет несколько часов. Самой дорогостоящей продемонстрированной атакой на хеш-функции является атака 2 61.2 на SHA-1, которая заняла 2 месяца на 900 графических процессорах GTX 970 и стоила 75 000 долларов США (хотя, по оценкам исследователей, для обнаружения коллизии потребовалось всего 11 000 долларов США). [18]
Аумассон проводит грань между практическими и непрактичными атаками в 280 операциях . Он предлагает новую терминологию: [19]
{{cite journal}}
: Требуется цитировать журнал |journal=
( помощь ){{cite journal}}
: Требуется цитировать журнал |journal=
( помощь ){{cite book}}
: CS1 maint: другие ( ссылка ){{cite journal}}
: Требуется цитировать журнал |journal=
( помощь ){{cite journal}}
: Требуется цитировать журнал |journal=
( помощь ){{cite journal}}
: Требуется цитировать журнал |journal=
( помощь )