Úroveň kryptografické síly (anglicky security level) je indikátorem kryptografické síly kryptografického algoritmu , která je spojena s výpočetní složitostí provedení úspěšného útoku na kryptosystém pomocí nejrychlejšího známého algoritmu [1] [2] . Obvykle se měří v bitech . N -bitová úroveň kryptografické síly kryptosystému znamená, že k jeho prolomení bude zapotřebí 2 N výpočetních operací. Pokud je například symetrický kryptosystém rozbit rychleji než vyčerpávající hledání hodnot N - bitového klíče, říkáme, že úroveň kryptografické síly je N . Nárůst vx -násobek počtu operací nutných k prolomení zvyšujeúroveň kryptografické síly [3] .
Existují další metody, které přesněji modelují požadovaný počet operací pro rozbití, což usnadňuje porovnání kryptografických algoritmů a jejich hybridů . [4] Například AES - 128 (velikost klíče 128 bitů) je navržen tak, aby poskytoval 128bitovou úroveň zabezpečení, která je považována za zhruba ekvivalentní 3072bitové RSA .
U symetrických algoritmů je úroveň kryptografické síly obvykle přísně definována, ale změní se, pokud se objeví úspěšnější kryptografický útok. U symetrických šifer se obecně rovná velikosti šifrovacího klíče , což je ekvivalentní úplnému výčtu hodnot klíče. [5] [6] U kryptografických hašovacích funkcí s hodnotami délky n bitů umožňuje útok „narozeniny“ nalézt kolize v průměru při výpočtu hašovací funkce. Úroveň kryptografické síly při hledání kolizí je tedy n/2 a při hledání předobrazu - n . [7] Například SHA-256 poskytuje 128bitovou ochranu proti kolizi a 256bitovou ochranu před obrazem.
Existují i výjimky. Například Phelix a Helix jsou 256bitové šifry, které poskytují 128bitovou úroveň zabezpečení. [5] Verze SHAKE SHA-3 se také liší: pro 256bitovou návratovou velikost poskytuje SHAKE-128 128bitovou úroveň zabezpečení pro detekci kolizí i předobrazu. [osm]
Asymetrická kryptografie, jako jsou kryptosystémy s veřejným klíčem , používá jednosměrné funkce , tj. funkce snadno vypočítatelné z argumentu, ale s vysokou výpočetní složitostí hledání argumentu z hodnoty funkce, nicméně útoky na existující systémy veřejného klíče jsou obvykle rychlejší než brutální . vynutit klíčové mezery. Úroveň kryptografické síly takových systémů je v době vývoje neznámá, ale předpokládá se z nejslavnějšího kryptografického útoku současnosti. [6]
Existují různá doporučení pro hodnocení úrovně kryptografické síly asymetrických algoritmů, která se liší v důsledku různých metodologií. Například pro kryptosystém RSA na 128bitové úrovni zabezpečení NIST a ENISA doporučují používat 3072bitové klíče [9] [10] a IETF 3253. [11] [12] Eliptická kryptografie umožňuje použití kratších klíčů, tzv. Doporučuje se 256-383 bitů ( NIST ), 256 bitů ( ENISA ) a 242 bitů ( IETF ).
Dva kryptosystémy poskytují stejnou úroveň kryptografické síly, pokud je očekávané úsilí potřebné k prolomení obou systémů ekvivalentní. [6] Protože pojem úsilí lze interpretovat několika způsoby, existují dva způsoby srovnání: [13]
Tabulka ukazuje odhady maximálních úrovní kryptografické síly, kterou mohou poskytnout symetrické a asymetrické kryptografické algoritmy, dané klíče určité délky, na základě doporučení NIST . [9]
Úroveň zabezpečení | Symetrické kryptosystémy | FFC | IFC | ECC |
---|---|---|---|---|
≤ | 2TDEA | = 1024, = 160 | = 1024 | = 160-223 |
3TDEA | = 2048, = 224 | = 2048 | = 224-255 | |
AES-128 | = 3072, = 256 | = 3072 | = 256-383 | |
AES-192 | = 7680, = 384 | = 7680 | = 384-511 | |
AES-256 | = 15360, = 512 | = 15360 | = 512+ |
Kde je délka veřejného klíče , je délka soukromého klíče , je velikost modulu n , je velikost řádu bodu .