Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Эта статья о силе криптографии. Информацию о политике безопасности бизнеса см. В разделе Управление уровнем безопасности .

В криптографии уровень безопасности - это мера силы, которую обеспечивает криптографический примитив, такой как шифр или хеш-функция . Уровень безопасности обычно выражается в « битах », где n -битная безопасность означает, что злоумышленнику придется выполнить 2 n операций, чтобы взломать его [1], но были предложены другие методы, которые более точно моделируют затраты для атакующего. [2] Это позволяет удобно сравнивать алгоритмы и полезно при объединении нескольких примитивов в гибридной криптосистеме , поэтому нет явного слабого звена. Например, AES-128 ( размер ключа 128 бит) предназначен для обеспечения 128-битного уровня безопасности, который считается примерно эквивалентным 3072-битному RSA .

В этом контексте требование безопасности или целевой уровень безопасности - это уровень безопасности, для достижения которого изначально был разработан примитив, хотя в этих контекстах также иногда используется «уровень безопасности». Когда обнаруживаются атаки, стоимость которых ниже, чем заявленная безопасность, примитив считается сломанным . [3] [4]

В симметричной криптографии [ править ]

Симметричные алгоритмы обычно имеют строго определенное требование безопасности. Для симметричных шифров , это , как правило , равно размера ключа шифра - эквивалентной сложности в виде грубой силы атаки . [4] [5] хэш - функция Криптографической с выходными размером п бит , как правило , имеет столкновение сопротивление уровня безопасности п / 2 и сопротивление прообраза уровень н . Это связано с тем, что обычная атака по случаю дня рождения всегда может найти коллизии за 2 n / 2 шагов. [6] Например, SHA-256. предлагает 128-битное сопротивление столкновению и 256-битное сопротивление прообразу.

Однако из этого есть некоторые исключения. Phelix и Helix являются 256-разрядными шифрами предлагает уровень безопасности 128-битной. [4] [7] SHAKE-варианты SHA-3 также различаются: для 256-битного выходного размера SHAKE-128 обеспечивает 128-битный уровень безопасности как для защиты от столкновений, так и для сопротивления прообразу. [8]

В асимметричной криптографии [ править ]

См. Также: Размер ключа § Длина ключа асимметричного алгоритма

Дизайн большинства асимметричных алгоритмов (то есть криптографии с открытым ключом ) основан на аккуратных математических задачах , которые эффективны для вычисления в одном направлении, но неэффективны для обратного действия злоумышленником. Однако атаки на существующие системы с открытым ключом всегда быстрее, чем перебор ключевого пространства. Их уровень безопасности не устанавливается во время разработки, но представляет собой предположение о вычислительной надежности , которое корректируется в соответствии с наиболее известной на данный момент атакой. [5]

Были опубликованы различные рекомендации, оценивающие уровень безопасности асимметричных алгоритмов, которые незначительно различаются из-за разных методологий. Для криптосистемы RSA со 128-битным уровнем безопасности NIST и ENISA рекомендуют использовать 3072-битные ключи [9] [10] и 3253 бит IETF . [11] [12] Криптография с эллиптической кривой требует более коротких ключей, поэтому рекомендуются 256–383 (NIST), 256 (ENISA) и 242 бита (IETF).

Типовые уровни [ править ]

Значение слова «сломанный» [ править ]

Криптографический примитив считается сломанным, если обнаруживается, что уровень безопасности атаки ниже заявленного. Однако не все такие атаки практичны: для большинства продемонстрированных в настоящее время атак требуется менее 2 40 операций, что соответствует нескольким часам на среднем ПК. Самая дорогостоящая из продемонстрированных атак на хэш-функции - это атака 2 61.2 на SHA-1, которая заняла 2 месяца на 900 графических процессорах GTX 970 или 1100 долларов США. [13]

Аумассон проводит грань между практическими и непрактичными атаками на 2 80 операциях. Он предлагает новую терминологию: [14]

  • Сломан примитивные имеют атаки , принимая ≤- 80 операций. Атака может быть проведена правдоподобно.
  • У раненого примитива есть атака, требующая от 2 80 до примерно 2 100 операций. В настоящий момент атака невозможна, но, скорее всего, в будущем она станет возможной.
  • Атакованы примитивным имеет нападение, которое дешевле , чем требования безопасности, но гораздо дороже , чем 2 100 . Такая атака слишком далека от практической.
  • Наконец, анализируемый примитив - это примитив без атак дешевле, чем его заявленная безопасность.

Ссылки [ править ]

  1. ^ Ленстра, Арьен К. «Ключевые длины: вклад в справочник по информационной безопасности» (PDF) .
  2. ^ Бернштейн, Дэниел Дж .; Ланге, Таня (4 июня 2012 г.). «Неравномерные трещины в бетоне: возможности бесплатного предварительного расчета» (PDF) . Достижения в криптологии - ASIACRYPT 2013 . Конспект лекций по информатике. С. 321–340. DOI : 10.1007 / 978-3-642-42045-0_17 . ISBN  9783642420443.
  3. ^ Aumasson, Жан-Филипп (2011). Криптоанализ против реальности (PDF) . Черная шляпа Абу-Даби.
  4. ^ a b c Бернштейн, Дэниел Дж. (25 апреля 2005 г.). Понимание грубой силы (PDF) . ECRYPT STVL Семинар по симметричному шифрованию ключей.
  5. ^ a b Ленстра, Арьен К. (9 декабря 2001 г.). «Невероятная безопасность: соответствие безопасности AES с использованием систем с открытым ключом» (PDF) . Достижения в криптологии - ASIACRYPT 2001 . Конспект лекций по информатике. 2248 . Шпрингер, Берлин, Гейдельберг. С. 67–86. DOI : 10.1007 / 3-540-45682-1_5 . ISBN  978-3540456827.
  6. ^ Альфред Дж. Менезес , Пол К. ван Оршот , Скотт А. Ванстон . «Глава 9 - Хеш-функции и целостность данных» (PDF) . Справочник по прикладной криптографии . п. 336. CS1 maint: использует параметр авторов ( ссылка )
  7. ^ Фергюсон, Нильс; Уайтинг, Дуг; Шнайер, Брюс; Келси, Джон; Удача, Стефан; Коно, Тадаёши (24 февраля 2003 г.). «Helix: быстрое шифрование и аутентификация в едином криптографическом примитиве» (PDF) . Быстрое программное шифрование . Конспект лекций по информатике. 2887 . Шпрингер, Берлин, Гейдельберг. С. 330–346. DOI : 10.1007 / 978-3-540-39887-5_24 . ISBN  978-3-540-20449-7.
  8. ^ Дворкин, Моррис Дж. (Август 2015 г.). «Стандарт SHA-3: хеширование на основе перестановок и функции расширяемого вывода» (PDF) : 23. doi : 10.6028 / nist.fips.202 . Цитировать журнал требует |journal=( помощь )
  9. Баркер, Элейн (январь 2016 г.). «Рекомендации по управлению ключами, часть 1: Общие» (PDF) . NIST: 53. CiteSeerX 10.1.1.106.307 . DOI : 10.6028 / nist.sp.800-57pt1r4 .   Цитировать журнал требует |journal=( помощь )
  10. ^ «Отчет об алгоритмах, размерах ключей и параметрах - 2014» . ENISA. Офис публикаций. 2013: 37. DOI : 10,2824 / 36822 . Цитировать журнал требует |journal=( помощь )CS1 maint: others (link)
  11. ^ Хилари, Орман; Пол, Хоффман (апрель 2004 г.). «Определение сильных сторон открытых ключей, используемых для обмена симметричными ключами» . RFC 3766 (IETF).
  12. ^ Гири, Дэмиен. «Keylength - Сравните все методы» . keylength.com . Проверено 2 января 2017 .
  13. ^ Гаэтан Леурент; Томас Пейрин (2020-01-08). «SHA-1 - это беспорядок: конфликт первого выбранного префикса на SHA-1 и приложение к сети доверия PGP» (PDF) . Cite journal requires |journal= (help)
  14. ^ Aumasson, Жан-Филипп (2020). Слишком много криптографии (PDF) . Симпозиум по криптографии в реальном мире.

Дальнейшее чтение [ править ]

  • Оумассон, Жан-Филипп (2020). Слишком много криптографии (PDF) . Симпозиум по криптографии в реальном мире.

См. Также [ править ]

  • Предположение о вычислительной сложности
  • 40-битное шифрование
  • Сводка по безопасности шифрования
  • Сводка по безопасности хеш-функции