Interested Article - Уровень криптостойкости

Уровень криптостойкости (англ. security level) — показатель криптостойкости криптографического алгоритма , связанный с вычислительной сложностью выполнения успешной атаки на криптосистему наиболее быстрым из известных алгоритмов . Обычно измеряется в битах . N -битный уровень криптостойкости криптосистемы означает, что для её взлома потребуется выполнить 2 N вычислительных операций. Например, если симметричная криптосистема взламывается не быстрее, чем за полный перебор значений N -битного ключа, то говорят, что уровень криптостойкости равен N . Увеличение же в x раз количества операций, требуемых для взлома, прибавляет к уровню криптостойкости .

Существуют и другие методы, более точно моделирующие требуемое количество операций для взлома, что позволяет удобнее сравнивать криптографические алгоритмы и их гибриды . Например, AES -128 (размер ключа 128 бит) предназначен для обеспечения 128-битного уровня криптостойкости, который считается примерно эквивалентным 3072-битному RSA .

В симметричной криптографии

У симметричных алгоритмов уровень криптостойкости обычно строго определён, но изменится, если появится более успешная криптоатака. Для симметричных шифров он в общем случае равен размеру ключа шифрования , что эквивалентно полному перебору значений ключа. Для криптографических хеш-функций с длиной значений n бит атака "дней рождения" позволяет находить коллизии в среднем за вычислений хеш-функции. Таким образом, уровень криптостойкости при нахождении коллизий равен n/2 , а при нахождении прообраза n . Например, SHA-256 предоставляет 128-битную защиту от коллизий и 256-битную защиту от нахождения прообраза.

Есть и исключения. Например, Phelix и Helix — 256-битные шифры, обеспечивающие 128-битный уровень криптостойкости. SHAKE варианты SHA-3 также различны: для 256-битного размера возвращаемых данных SHAKE-128 обеспечивает 128-битный уровень криптостойкости и при нахождении коллизий, и при нахождении прообраза.

В асимметричной криптографии

В асимметричной криптографии, например, в криптосистемах с открытым ключом , используются односторонние функции , то есть функции, легко вычисляемые по аргументу, но с высокой вычислительной сложностью нахождения аргумента по значению функции, однако атаки на существующие системы с открытым ключом обычно быстрее, чем полный перебор пространства ключей. Уровень криптостойкости таких систем неизвестен во время разработки, но предполагается по самой известной на текущий момент криптоатаке.

Существуют различные рекомендации оценки уровня криптостойкости асимметричных алгоритмов, отличающиеся в силу различных методологий. Например, для криптосистемы RSA на 128-битном уровне криптостойкости NIST и ENISA рекомендуют использовать 3072-битные ключи и IETF 3253. Эллиптическая криптография позволяет использовать более короткие ключи, поэтому рекомендуются 256—383 бит ( NIST ), 256 бит ( ENISA ) и 242 бит ( IETF ).

Эквивалентность уровней криптостойкости

Две криптосистемы обеспечивают одинаковый уровень криптостойкости, если ожидаемые усилия, необходимые для взлома обеих систем, эквивалентны. Поскольку понятие усилия можно интерпретировать несколькими способами, существуют два пути сравнения:

  • Две криптосистемы являются вычислительно эквивалентными, если их взламывание в среднем требует одинаковых вычислительных усилий.
  • Две криптосистемы являются денежно эквивалентными, если приобретение аппаратного обеспечения для их взлома за одинаковое время тождественно по стоимости.

Сравнительный список уровней криптостойкости алгоритмов

В таблице приведены оценки максимальных уровней криптостойкости, которые могут быть предоставлены симметричными и асимметричными криптографическими алгоритмами, с учетом ключей определённой длины на основании рекомендаций NIST .

Уровень криптостойкости Симметричные криптосистемы FFC IFC ECC
2TDEA = 1024, = 160 = 1024 = 160—223
3TDEA = 2048, = 224 = 2048 = 224—255
AES-128 = 3072, = 256 = 3072 = 256—383
AES-192 = 7680, = 384 = 7680 = 384—511
AES-256 = 15360, = 512 = 15360 = 512+

Где — длина открытого ключа , — длина закрытого ключа , — размер модуля n , — размер порядка точки .

См. также

Примечания

  1. Richard Kissel, NIST. (англ.) . 5 декабря 2017 года.
  2. Под редакцией Б. А. Погорелова и В. Н. Сачкова. . 29 марта 2017 года. . Дата обращения: 4 декабря 2017. Архивировано 29 марта 2017 года.
  3. Arjen K. Lenstra. (англ.) . 1 декабря 2017 года.
  4. Daniel J. Bernstein, Tanja Lange,. Non-uniform cracks in the concrete: the power of free precomputation // (англ.) . — 2012. — P. 321–340. — ISBN 9783642420443 . — doi : . 25 августа 2017 года.
  5. Daniel J. Bernstein. (англ.) . — 2005. — 25 April. 25 августа 2017 года.
  6. Arjen K. Lenstra. // Advances in Cryptology — ASIACRYPT 2001 (англ.) . — Springer, Berlin, Heidelberg. — 2001. — P. 67–86. — ISBN 3540456821 . — doi : .
  7. Alfred J. Menezes, Paul C. van Oorschot, Scott A. Vanstone. // (англ.) . — P. 336. 3 февраля 2021 года.
  8. (англ.) . — 2015. — August. — doi : . 27 января 2018 года.
  9. Elaine Barker. (англ.) . — 2016. — January. — P. 53 . — doi : . 10 декабря 2020 года.
  10. (англ.) . — 2014. — P. 37 . — doi : . 17 октября 2015 года.
  11. Orman Hilarie, Paul Hoffman. (англ.) . — 2004. — April. — P. 37 . 15 марта 2018 года.
  12. Damien Giry. (англ.) . 2 сентября 2017 года.
  13. A.K. Lenstra, E.R. Verheul. (англ.) // Journal of Cryptology. — 2001. — 14 August. 9 октября 2017 года.
Источник —

Same as Уровень криптостойкости