Уровень безопасности - Security level

В криптографии уровень безопасности это мера силы, которую криптографический примитив - например, шифр или же хэш-функция - добивается. Уровень безопасности обычно выражается в "биты ", куда п-битовая безопасность означает, что злоумышленнику придется выполнить 2п операции по его разрушению,[1] но были предложены другие методы, которые более точно моделируют затраты злоумышленника.[2] Это позволяет удобно сравнивать алгоритмы и полезно при объединении нескольких примитивов в гибридная криптосистема, поэтому нет явного слабого звена. Например, AES -128 (размер ключа 128 бит) предназначен для обеспечения 128-битного уровня безопасности, который считается примерно эквивалентным 3072-битному ЮАР.

В контексте, требование безопасности или же целевой уровень безопасности - это уровень безопасности, для достижения которого изначально был разработан примитив, хотя «уровень безопасности» также иногда используется в этих контекстах. Когда обнаруживаются атаки, стоимость которых ниже, чем заявленная безопасность, примитив считается сломанный.[3][4]

В симметричной криптографии

Симметричные алгоритмы обычно имеют строго определенное требование безопасности. За симметричные шифры, обычно он равен размер ключа шифра - эквивалент сложность из атака грубой силой.[4][5] Криптографические хеш-функции с размером вывода п биты обычно имеют сопротивление столкновению уровень безопасности п/ 2 и a сопротивление прообразу уровень п. Это потому, что генерал атака на день рождения всегда можно найти коллизии в 2п / 2 шаги.[6] Например, SHA-256 обеспечивает 128-битное сопротивление столкновению и 256-битное сопротивление прообразу.

Однако из этого есть некоторые исключения. В Феликс и Helix - это 256-битные шифры, обеспечивающие 128-битный уровень безопасности.[4][7] Варианты SHAKE SHA-3 также различаются: для 256-битного размера вывода SHAKE-128 обеспечивает 128-битный уровень безопасности как для защиты от столкновений, так и для сопротивления прообразу.[8]

В асимметричной криптографии

Дизайн большинства асимметричных алгоритмов (т.е. криптография с открытым ключом ) полагается на аккуратный математические задачи которые эффективны для вычисления в одном направлении, но неэффективны для обратного действия злоумышленником. Однако атаки на существующие системы с открытым ключом всегда быстрее, чем перебор ключевого пространства. Их уровень безопасности не устанавливается во время разработки, но представляет собой предположение о вычислительной сложности, который настроен для соответствия наиболее известной на данный момент атаке.[5]

Были опубликованы различные рекомендации, оценивающие уровень безопасности асимметричных алгоритмов, которые незначительно различаются из-за разных методологий. Для Криптосистема RSA на уровне безопасности 128 бит, NIST и ENISA рекомендую использовать 3072-битные ключи[9][10] и IETF 3253 бит.[11][12] Криптография на эллиптических кривых требует более коротких ключей, поэтому рекомендуются 256–383 (NIST), 256 (ENISA) и 242 бита (IETF).

Рекомендации

  1. ^ Ленстра, Арьен К. «Основные длины: вклад в справочник по информационной безопасности» (PDF).
  2. ^ Бернштейн, Дэниел Дж.; Ланге, Таня (4 июня 2012 г.). «Неравномерные трещины в бетоне: возможности бесплатного предварительного расчета» (PDF). Достижения в криптологии - ASIACRYPT 2013. Конспект лекций по информатике. С. 321–340. Дои:10.1007/978-3-642-42045-0_17. ISBN  9783642420443.
  3. ^ Оумассон, Жан-Филипп (2011). Криптоанализ против реальности (PDF). Черная шляпа Абу Даби.
  4. ^ а б c Бернштейн, Дэниел Дж. (25 апреля 2005 г.). «Понимание грубой силы» (PDF). Самостоятельно опубликовано.
  5. ^ а б Ленстра, Арьен К. (9 декабря 2001 г.). «Невероятная безопасность: соответствие безопасности AES с использованием систем с открытым ключом» (PDF). Достижения в криптологии - ASIACRYPT 2001. Конспект лекций по информатике. 2248. Шпрингер, Берлин, Гейдельберг. С. 67–86. Дои:10.1007/3-540-45682-1_5. ISBN  978-3540456827.
  6. ^ Альфред Дж. Менезес, Пол К. ван Оршот, Скотт А. Ванстон. «Глава 9 - Хеш-функции и целостность данных» (PDF). Справочник по прикладной криптографии. п. 336.CS1 maint: использует параметр авторов (связь)
  7. ^ Фергюсон, Нильс; Уайтинг, Дуг; Шнайер, Брюс; Келси, Джон; Удача, Стефан; Коно, Тадаёши (24 февраля 2003 г.). «Helix: быстрое шифрование и аутентификация в едином криптографическом примитиве» (PDF). Быстрое программное шифрование. Конспект лекций по информатике. 2887. Шпрингер, Берлин, Гейдельберг. С. 330–346. Дои:10.1007/978-3-540-39887-5_24. ISBN  978-3-540-20449-7.
  8. ^ Дворкин, Моррис Дж. (Август 2015 г.). «Стандарт SHA-3: хеширование на основе перестановок и функции расширяемого вывода» (PDF): 23. Дои:10.6028 / nist.fips.202. Цитировать журнал требует | журнал = (помощь)
  9. ^ Баркер, Элейн (январь 2016 г.). «Рекомендации по управлению ключами, часть 1: Общие» (PDF). NIST: 53. CiteSeerX  10.1.1.106.307. Дои:10.6028 / нист.сп.800-57пт1р4. Цитировать журнал требует | журнал = (помощь)
  10. ^ «Отчет об алгоритмах, размерах ключей и параметрах - 2014». ENISA. Офис публикаций. 2013: 37. Дои:10.2824/36822. Цитировать журнал требует | журнал = (помощь)CS1 maint: другие (связь)
  11. ^ Хилари, Орман; Пол, Хоффман (апрель 2004 г.). «Определение сильных сторон открытых ключей, используемых для обмена симметричными ключами». RFC 3766 (IETF).
  12. ^ Жири, Дэмиен. «Keylength - Сравните все методы». keylength.com. Получено 2017-01-02.

Смотрите также