Рівень криптостійкості англ security level показник криптостійкості криптографічного алгоритму пов язаний з обчислювальн

Рівень криптостійкості (англ. security level) — показник криптостійкості криптографічного алгоритму, пов'язаний з обчислювальною складністю виконання успішної атаки на криптосистему найшвидшим із відомих алгоритмів. Зазвичай вимірюється в бітах. $N$ -бітовий рівень криптостійкості криптосистеми означає, що для її злому потрібно виконати $2^{N}$ обчислювальних операцій. Наприклад, якщо симетрична криптосистема зламується не швидше, ніж за повний перебір значень $N$ -бітового ключа, то кажуть, що рівень криптостійкості дорівнює $N$ . Збільшення ж у $x$ разів кількості операцій, необхідних для злому, додає $\log _{2}x$ до рівня криптостійкості.

Існують й інші методи, які точніше моделюють необхідну для злому кількість операцій, що дозволяє зручніше порівнювати криптографічні алгоритми та їх . Наприклад, AES -128 (розмір ключа 128 біт) призначений для забезпечення 128-бітового рівня криптостійкості, який вважають приблизно еквівалентним 3072-бітовому RSA.

У симетричній криптографії

У симетричних алгоритмів рівень криптостійкості зазвичай строго визначений, але зміниться, якщо з'явиться успішніша криптоатака. Для симетричних шифрів він, загалом, дорівнює розміру ключа шифрування, що еквівалентно повному перебору значень ключа. Для криптографічних геш-функцій із довжиною значень $n$ біт атака «днів народження» дозволяє знаходити колізії в середньому за $2^{n/2}$ обчислень геш-функції. Таким чином, рівень криптостійкості при знаходженні колізій дорівнює $n/2$ , а при знаходженні прообразу — $n$ . Наприклад, SHA-256 надає 128-бітовий захист від колізій та 256-бітовий захист від знаходження прообразу.

Є й винятки. Наприклад, і — 256-бітові шифри, що забезпечують 128-бітовий рівень криптостійкості. SHAKE варіанти SHA-3 також різні: для 256-бітового розміру даних, що повертаються, SHAKE-128 забезпечує 128-бітовий рівень криптостійкості і при знаходженні колізій, і при знаходженні прообразу.

В асиметричній криптографії

В асиметричній криптографії, наприклад, у криптосистемах з відкритим ключем, використовують односторонні функції, тобто функції, що легко обчислюються за аргументом, але з високою обчислювальною складністю знаходження аргументу за значенням функції, проте атаки на наявні системи з відкритим ключем зазвичай швидші, ніж повний перебір простору ключів. Рівень криптостійкості таких систем невідомий під час розробки, але припускається за найвідомішою на даний момент криптоатакою.

Існують різні рекомендації щодо оцінення рівня криптостійкості асиметричних алгоритмів, що відрізняються в силу різних методологій. Наприклад, для криптосистеми RSA на 128-бітовому рівні криптостійкості NIST і ENISA рекомендують використовувати 3072-бітові ключі та IETF 3253. Еліптична криптографія дозволяє використовувати коротші ключі, тому рекомендуються 256—383 біт (NIST), 256 біт (ENISA) та 242 біт (IETF).

Еквівалентність рівнів криптостійкості

Дві криптосистеми забезпечують однаковий рівень криптостійкості, якщо очікувані зусилля, необхідні для злому обох систем, еквівалентні. Оскільки поняття зусилля можна інтерпретувати кількома способами, є два шляхи для порівняння:

дві криптосистеми є обчислювально еквівалентними, якщо їх зламування в середньому потребує однакових обчислювальних зусиль;
дві криптосистеми є грошово еквівалентними, якщо апаратне забезпечення для їхнього злому за однаковий час тотожне за вартістю.

Порівняльний список рівнів криптостійкості алгоритмів

У таблиці наведено оцінки максимальних рівнів криптостійкості, які можуть надати симетричні та асиметричні криптографічні алгоритми, з урахуванням ключів певної довжини на підставі рекомендацій NIST.

Рівень криптостійкості	Симетричні криптосистеми	FFC	IFC	ECC
≤ $80$	2TDEA	$L$ = 1024, $N$ = 160	$k$ = 1024	$f$ = 160—223
$112$	3TDEA	$L$ = 2048, $N$ = 224	$k$ = 2048	$f$ = 224—255
$128$	AES-128	$L$ = 3072, $N$ = 256	$k$ = 3072	$f$ = 256—383
$192$	AES-192	$L$ = 7680, $N$ = 384	$k$ = 7680	$f$ = 384—511
$256$	AES-256	$L$ = 15360, $N$ = 512	$k$ = 15360	$f$ = 512+

Тут $L$ — довжина відкритого ключа, $N$ — довжина закритого ключа, $k$ — розмір модуля n, $f$ — розмір порядку $q$ точки $G$ .

FFC (Finite-Field Cryptography) — алгоритми, засновані на операціях у скінченних полях. Наприклад, DSA, Diffie-Hellman.
IFC (Integer-Factorization Cryptography) — алгоритми, стійкість яких ґрунтується на складності задачі факторизації чисел за модулем. Наприклад, RSA.
ECC (Elliptic-Curve Cryptography) — алгоритми в групах точок еліптичних кривих. Наприклад, ECDSA.

Див. також

Примітки

Richard Kissel, NIST. Glossary of Key Information Security Terms. з джерела 5 грудня 2017.
Arjen K. Lenstra. Key Lengths: Contribution to The Handbook of Information Security. з джерела 1 грудня 2017.
Daniel J. Bernstein. Understanding brute force. — 2005. — . — 4. з джерела 25 серпня 2017.
Arjen K. Lenstra. Unbelievable Security: Matching AES Security Using Public Key Systems // Advances in Cryptology — ASIACRYPT 2001. — Springer, Berlin, Heidelberg. — 2001. — С. 67–86. — . — DOI:10.1007/3-540-45682-1_5.
SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions. — 2015. — 8. — DOI:10.6028/nist.fips.202. з джерела 27 січня 2018.
Elaine Barker. Recommendation for Key Management, Part 1: General. — 2016. — 1. — P. 53. — DOI:10.6028/nist.sp.800-57pt1r4. з джерела 10 грудня 2020.
Algorithms, key size and parameters report – 2014. — 2014. — 16 June. — P. 37. — DOI:10.2824/36822. з джерела 17 жовтня 2015.
Orman Hilarie, Paul Hoffman. Determining Strengths For Public Keys Used For Exchanging Symmetric Keys. — 2004. — 4. — P. 37. з джерела 15 березня 2018.
Damien Giry. Keylength - Compare all Methods. з джерела 2 вересня 2017.
A.K. Lenstra, E.R. Verheul. Selecting cryptographic key sizes // Journal of Cryptology. — 2001. — . — 8. з джерела 9 жовтня 2017.

[1] Richard Kissel, NIST. Glossary of Key Information Security Terms. з джерела 5 грудня 2017.

[2] Arjen K. Lenstra. Key Lengths: Contribution to The Handbook of Information Security. з джерела 1 грудня 2017.

[:0-3] Daniel J. Bernstein. Understanding brute force. — 2005. — . — 4. з джерела 25 серпня 2017.

[:1-4] Arjen K. Lenstra. Unbelievable Security: Matching AES Security Using Public Key Systems // Advances in Cryptology — ASIACRYPT 2001. — Springer, Berlin, Heidelberg. — 2001. — С. 67–86. — . — DOI:10.1007/3-540-45682-1_5.

[5] SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions. — 2015. — 8. — DOI:10.6028/nist.fips.202. з джерела 27 січня 2018.

[:2-6] Elaine Barker. Recommendation for Key Management, Part 1: General. — 2016. — 1. — P. 53. — DOI:10.6028/nist.sp.800-57pt1r4. з джерела 10 грудня 2020.

[7] Algorithms, key size and parameters report – 2014. — 2014. — 16 June. — P. 37. — DOI:10.2824/36822. з джерела 17 жовтня 2015.

[8] Orman Hilarie, Paul Hoffman. Determining Strengths For Public Keys Used For Exchanging Symmetric Keys. — 2004. — 4. — P. 37. з джерела 15 березня 2018.

[9] Damien Giry. Keylength - Compare all Methods. з джерела 2 вересня 2017.

[10] A.K. Lenstra, E.R. Verheul. Selecting cryptographic key sizes // Journal of Cryptology. — 2001. — . — 8. з джерела 9 жовтня 2017.