Sikkerhedsniveau

Niveauet af kryptografisk styrke (engelsk sikkerhedsniveau) er en indikator for den kryptografiske styrke af en kryptografisk algoritme , forbundet med den beregningsmæssige kompleksitet ved at udføre et vellykket angreb på et kryptosystem med den hurtigste kendte algoritme [1] [2] . Normalt målt i bits . N -bit niveauet af kryptografisk styrke af et kryptosystem betyder, at det vil tage 2 N beregningsoperationer at bryde det. For eksempel, hvis et symmetrisk kryptosystem ikke brydes hurtigere end den udtømmende søgning af værdierne af N -bit nøglen, så siger vi, at det kryptografiske styrkeniveau er N . En stigning i x gange antallet af operationer, der kræves til hacking, øger niveauet af kryptografisk styrke [3] . $\log _{2}x$

Der er andre metoder, der mere præcist modellerer det nødvendige antal operationer for at bryde, hvilket gør det lettere at sammenligne kryptografiske algoritmer og deres hybrider . [4] For eksempel er AES - 128 (nøglestørrelse 128 bit) designet til at give et 128-bit sikkerhedsniveau, som anses for nogenlunde at svare til 3072-bit RSA .

I symmetrisk kryptografi

For symmetriske algoritmer er niveauet af kryptografisk styrke normalt strengt defineret, men vil ændre sig, hvis et mere vellykket kryptoangreb dukker op. For symmetriske cifre er det generelt lig med størrelsen af krypteringsnøglen , hvilket svarer til en fuld opregning af nøgleværdier. [5] [6] For kryptografiske hash-funktioner med værdier af længden n bits , tillader "fødselsdags" -angrebet at finde kollisioner i gennemsnit over beregningen af hash-funktionen. Således er niveauet af kryptografisk styrke ved at finde kollisioner n/2 , og når man finder præbilledet -n . [7] For eksempel giver SHA-256 128-bit kollisionsbeskyttelse og 256-bit preimage-beskyttelse. $2^{{n/2}}$

Der er også undtagelser. For eksempel er Phelix og Helix 256-bit ciphers, der giver et 128-bit sikkerhedsniveau. [5] SHAKE-versionerne af SHA-3 er også forskellige: For en 256-bit returstørrelse giver SHAKE-128 et 128-bit sikkerhedsniveau for både kollisions- og preimage-detektering. [otte]

I asymmetrisk kryptografi

Asymmetrisk kryptografi, såsom offentlige nøglekryptosystemer , bruger envejsfunktioner , dvs. funktioner, der let beregnes ud fra argumentet, men med høj beregningsmæssig kompleksitet til at finde argumentet ud fra værdien af funktionen, men angreb på eksisterende offentlige nøglesystemer er normalt hurtigere end brute tvinge nøglerum. Niveauet af kryptografisk styrke af sådanne systemer er ukendt på udviklingstidspunktet, men det antages fra det mest berømte kryptoangreb i øjeblikket. [6]

Der er forskellige anbefalinger til vurdering af niveauet af kryptografisk styrke af asymmetriske algoritmer, som adskiller sig på grund af forskellige metoder. For eksempel til RSA-kryptosystemet på 128-bit sikkerhedsniveau anbefaler NIST og ENISA at bruge 3072-bit nøgler [9] [10] og IETF 3253. [11] [12] Elliptisk kryptografi tillader brug af kortere nøgler, så Der anbefales 256-383 bit ( NIST ), 256 bit ( ENISA ) og 242 bit ( IETF ).

Ækvivalens af kryptografiske styrkeniveauer

To kryptosystemer giver det samme niveau af kryptografisk styrke, hvis den forventede indsats, der kræves for at bryde begge systemer, er ækvivalent. [6] Da begrebet indsats kan fortolkes på flere måder, er der to måder at sammenligne på: [13]

To kryptosystemer er beregningsmæssigt ækvivalente, hvis de i gennemsnit kræver den samme beregningsmæssige indsats for at bryde.
To kryptosystemer er pengemæssigt ækvivalente, hvis omkostningerne ved at anskaffe hardwaren for at bryde dem på samme tid er de samme.

Sammenlignende liste over kryptografiske styrkeniveauer for algoritmer

Tabellen viser estimater af de maksimale niveauer af kryptografisk styrke, der kan leveres af symmetriske og asymmetriske kryptografiske algoritmer, givet nøgler af en vis længde, baseret på NIST- anbefalinger . [9]

Sikkerhedsniveau	Symmetriske kryptosystemer	FFC	IFC	ECC
≤ $80$	2TDEA	$L$ = 1024, = 160 $N$	$k$ = 1024	$f$ = 160-223
$112$	3TDEA	$L$ = 2048, = 224 $N$	$k$ = 2048	$f$ = 224-255
$128$	AES-128	$L$ = 3072, = 256 $N$	$k$ = 3072	$f$ = 256-383
$192$	AES-192	$L$ = 7680, = 384 $N$	$k$ = 7680	$f$ = 384-511
$256$	AES-256	$L$ = 15360, = 512 $N$	$k$ = 15360	$f$ = 512+

Hvor er længden af den offentlige nøgle , er længden af den private nøgle , er størrelsen af modulet n , er størrelsen af punktets rækkefølge . $L$ $N$ $k$ $f$ $q$ $G$

FFC (Finite-Field Cryptography) - Algoritmer baseret på operationer i endelige felter . For eksempel DSA , Diffie-Hellman .
IFC (Integer-Factorization Cryptography) - algoritmer, hvis styrke er baseret på kompleksiteten af problemet med faktorisering af tal modulo . For eksempel RSA .
ECC (Elliptic-Curve Cryptography) - algoritmer i grupper af punkter af elliptiske kurver . For eksempel ECDSA .

Se også

Noter

↑ Richard Kissel, NIST. Ordliste over vilkår for nøgleinformationssikkerhed . Arkiveret fra originalen den 5. december 2017.
↑ Redigeret af B. A. Pogorelov og V. N. Sachkov. Ordbog over kryptografiske termer . (Russisk) Arkiveret 29. marts 2017 på Wayback Machine Arkiveret kopi (link utilgængeligt) . Hentet 4. december 2017. Arkiveret fra originalen 29. marts 2017. (ubestemt)
↑ Arjen K. Lenstra. Nøglelængder: Bidrag til håndbogen om informationssikkerhed . Arkiveret fra originalen den 1. december 2017.
↑ Daniel J. Bernstein, Tanja Lange,. Uensartede revner i betonen: kraften ved fri forudberegning // Advances in Cryptology - ASIACRYPT 2013 (eng.) . - 2012. - S. 321–340. — ISBN 9783642420443 . - doi : 10.1007/978-3-642-42045-0_17 . Arkiveret 25. august 2017 på Wayback Machine
↑ 1 2 Daniel J. Bernstein. Forstå brute force . - 2005. - 25. april. Arkiveret fra originalen den 25. august 2017.
↑ 1 2 3 Arjen K. Lenstra. Utrolig sikkerhed : Matchende AES-sikkerhed ved hjælp af offentlige nøglesystemer // Fremskridt inden for kryptologi - ASIACRYPT 2001 . — Springer, Berlin, Heidelberg. - 2001. - S. 67–86. — ISBN 3540456821 . - doi : 10.1007/3-540-45682-1_5 .
↑ Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone. Kapitel 9 - Hash-funktioner og dataintegritet // Håndbog i anvendt kryptografi . — S. 336. Arkiveret 3. februar 2021 på Wayback Machine
↑ SHA-3-standard : Permutationsbaserede Hash- og Extendable-Output-funktioner . - 2015. - August. - doi : 10.6028/nist.fips.202 . Arkiveret fra originalen den 27. januar 2018.
↑ 12 Elaine Barker. Anbefaling for nøgleledelse, del 1 : Generelt . - 2016. - Januar. — S. 53 . - doi : 10.6028/nist.sp.800-57pt1r4 . Arkiveret fra originalen den 10. december 2020.
↑ Rapport om algoritmer, nøglestørrelser og parametre - 2014 (eng.) . - 2014. - S. 37 . - doi : 10.2824/36822 . Arkiveret fra originalen den 17. oktober 2015.
↑ Orman Hilarie, Paul Hoffman. Bestemmelse af styrker for offentlige nøgler, der bruges til at udveksle symmetriske nøgler . - 2004. - April. — S. 37 . Arkiveret fra originalen den 15. marts 2018.
↑ Damien Giry. Keylength - Sammenlign alle metoder . Arkiveret fra originalen den 2. september 2017.
↑ AK Lenstra, ER Verheul. Valg af kryptografiske nøglestørrelser (engelsk) // Journal of Cryptology. - 2001. - 14. august. Arkiveret fra originalen den 9. oktober 2017.