Säkerhetsnivå

Nivån på kryptografisk styrka (engelsk säkerhetsnivå) är en indikator på den kryptografiska styrkan hos en kryptografisk algoritm , associerad med beräkningskomplexiteten i att utföra en framgångsrik attack på ett kryptosystem med den snabbaste kända algoritmen [1] [2] . Vanligtvis mätt i bitar . N -bitars nivå av kryptografisk styrka hos ett kryptosystem innebär att det kommer att ta 2 N beräkningsoperationer för att bryta det. Till exempel, om ett symmetriskt kryptosystem bryts inte snabbare än den uttömmande sökningen av värdena på N -bitars nyckel, då säger vi att den kryptografiska styrkanivån är N . En ökning med x gånger antalet operationer som krävs för hackning ökar nivån på kryptografisk styrka [3] . $\log _{2}x$

Det finns andra metoder som mer exakt modellerar det antal operationer som krävs för att bryta, vilket gör det lättare att jämföra kryptografiska algoritmer och deras hybrider . [4] Till exempel är AES - 128 (nyckelstorlek 128 bitar) utformad för att tillhandahålla en 128-bitars säkerhetsnivå, vilket anses vara ungefär lika med 3072-bitars RSA .

I symmetrisk kryptografi

För symmetriska algoritmer är nivån på kryptografisk styrka vanligtvis strikt definierad, men kommer att förändras om en mer framgångsrik kryptoattack dyker upp. För symmetriska chiffer är det i allmänhet lika med storleken på krypteringsnyckeln , vilket motsvarar en fullständig uppräkning av nyckelvärden. [5] [6] För kryptografiska hashfunktioner med värden av längd n bitar , tillåter "födelsedag" -attacken kollisioner att hittas i genomsnitt över beräkningen av hashfunktionen. Således är nivån av kryptografisk styrka när kollisioner hittas n/2 och när förbilden hittas -n . [7] Till exempel ger SHA-256 128-bitars kollisionsskydd och 256-bitars förbildsskydd. $2^{{n/2}}$

Det finns också undantag. Till exempel är Phelix och Helix 256-bitars chiffer som ger en 128-bitars säkerhetsnivå. [5] SHAKE-versionerna av SHA-3 är också olika: för en 256-bitars returstorlek ger SHAKE-128 en 128-bitars säkerhetsnivå för både kollisions- och förbildsdetektering. [åtta]

I asymmetrisk kryptografi

Asymmetrisk kryptografi, såsom publika nyckelkryptosystem , använder envägsfunktioner , dvs funktioner som är lätta att beräkna från argumentet men med hög beräkningskomplexitet för att hitta argumentet från värdet av funktionen, men attacker på befintliga offentliga nyckelsystem är vanligtvis snabbare än brute tvinga fram nyckelmellanslag. Nivån på kryptografisk styrka hos sådana system är okänd vid utvecklingstillfället, men det antas från den mest kända kryptoattacken för tillfället. [6]

Det finns olika rekommendationer för att bedöma nivån på kryptografisk styrka hos asymmetriska algoritmer, som skiljer sig åt på grund av olika metoder. Till exempel, för RSA-kryptosystemet på 128-bitars säkerhetsnivå, rekommenderar NIST och ENISA att du använder 3072-bitars nycklar [9] [10] och IETF 3253. [11] [12] Elliptisk kryptografi tillåter användning av kortare nycklar, så 256-383 bitar rekommenderas ( NIST ), 256 bitar ( ENISA ) och 242 bitar ( IETF ).

Ekvivalens av kryptografiska styrkanivåer

Två kryptosystem ger samma nivå av kryptografisk styrka om den förväntade ansträngningen som krävs för att bryta båda systemen är likvärdig. [6] Eftersom begreppet ansträngning kan tolkas på flera sätt finns det två sätt att jämföra: [13]

Två kryptosystem är beräkningsmässigt likvärdiga om de i genomsnitt kräver samma beräkningsansträngning för att bryta.
Två kryptosystem är monetärt likvärdiga om kostnaden för att skaffa hårdvaran för att bryta dem på samma tid är densamma.

Jämförande lista över kryptografiska styrkanivåer för algoritmer

Tabellen visar uppskattningar av de maximala nivåerna av kryptografisk styrka som kan tillhandahållas av symmetriska och asymmetriska kryptografiska algoritmer, givet nycklar av en viss längd, baserat på NIST- rekommendationer . [9]

Säkerhetsnivå	Symmetriska kryptosystem	FFC	IFC	ECC
≤ $80$	2TDEA	$L$ = 1024, = 160 $N$	$k$ = 1024	$f$ = 160-223
$112$	3TDEA	$L$ = 2048, = 224 $N$	$k$ = 2048	$f$ = 224-255
$128$	AES-128	$L$ = 3072, = 256 $N$	$k$ = 3072	$f$ = 256-383
$192$	AES-192	$L$ = 7680, = 384 $N$	$k$ = 7680	$f$ = 384-511
$256$	AES-256	$L$ = 15360, = 512 $N$	$k$ = 15360	$f$ = 512+

Var är längden på den publika nyckeln , är längden på den privata nyckeln , är storleken på modulen n , är storleken på punktens ordning . $L$ $N$ $k$ $f$ $q$ $G$

FFC (Finite-Field Cryptography) - Algoritmer baserade på operationer i ändliga fält . Till exempel DSA , Diffie-Hellman .
IFC (Integer-Factorization Cryptography) - algoritmer vars styrka är baserad på komplexiteten i problemet med att faktorisera tal modulo . Till exempel RSA .
ECC (Elliptic-Curve Cryptography) - algoritmer i grupper av punkter av elliptiska kurvor . Till exempel ECDSA .

Se även

Anteckningar

↑ Richard Kissel, NIST. Ordlista med säkerhetsvillkor för nyckelinformation . Arkiverad från originalet den 5 december 2017.
↑ Redigerad av B. A. Pogorelov och V. N. Sachkov. Ordbok över kryptografiska termer . (ryska) Arkiverad 29 mars 2017 på Wayback Machine Arkiverad kopia (länk ej tillgänglig) . Hämtad 4 december 2017. Arkiverad från originalet 29 mars 2017. (obestämd)
↑ Arjen K. Lenstra. Nyckellängder: Bidrag till The Handbook of Information Security . Arkiverad från originalet den 1 december 2017.
↑ Daniel J. Bernstein, Tanja Lange,. Olikformiga sprickor i betongen: kraften i fri förberäkning // Advances in Cryptology - ASIACRYPT 2013 (eng.) . - 2012. - S. 321–340. — ISBN 9783642420443 . - doi : 10.1007/978-3-642-42045-0_17 . Arkiverad 25 augusti 2017 på Wayback Machine
↑ 1 2 Daniel J. Bernstein. Förstå brute force . - 2005. - 25 april. Arkiverad från originalet den 25 augusti 2017.
↑ 1 2 3 Arjen K. Lenstra. Otrolig säkerhet : Matchande AES-säkerhet med hjälp av offentliga nyckelsystem // Framsteg inom kryptologi - ASIACRYPT 2001 . — Springer, Berlin, Heidelberg. - 2001. - S. 67-86. — ISBN 3540456821 . - doi : 10.1007/3-540-45682-1_5 .
↑ Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone. Kapitel 9 - Hashfunktioner och dataintegritet // Handbook of Applied Cryptography . — S. 336. Arkiverad 3 februari 2021 på Wayback Machine
↑ SHA-3-standard : Permutationsbaserade hash- och förlängningsbara utdatafunktioner . - 2015. - Augusti. - doi : 10.6028/nist.fips.202 . Arkiverad från originalet den 27 januari 2018.
↑ 12 Elaine Barker. Rekommendation för nyckelhantering, del 1 : Allmänt . - 2016. - Januari. — S. 53 . - doi : 10.6028/nist.sp.800-57pt1r4 . Arkiverad från originalet den 10 december 2020.
↑ Rapport om algoritmer, nyckelstorlek och parametrar - 2014 (eng.) . - 2014. - S. 37 . - doi : 10.2824/36822 . Arkiverad från originalet den 17 oktober 2015.
↑ Orman Hilarie, Paul Hoffman. Bestämma styrkor för offentliga nycklar som används för att utbyta symmetriska nycklar . - 2004. - April. — S. 37 . Arkiverad från originalet den 15 mars 2018.
↑ Damien Giry. Keylength - Jämför alla metoder . Arkiverad från originalet den 2 september 2017.
↑ AK Lenstra, ER Verheul. Välja kryptografiska nyckelstorlekar (engelska) // Journal of Cryptology. - 2001. - 14 augusti. Arkiverad från originalet den 9 oktober 2017.