Уровень криптостойкости

Уровень криптостойкости (англ. security level) — показатель криптостойкости криптографического алгоритма, связанный с вычислительной сложностью выполнения успешной атаки на криптосистему наиболее быстрым из известных алгоритмов^[1][2]. Обычно измеряется в битах. N-битный уровень криптостойкости криптосистемы означает, что для её взлома потребуется выполнить 2^N вычислительных операций. Например, если симметричная криптосистема взламывается не быстрее, чем за полный перебор значений N-битного ключа, то говорят, что уровень криптостойкости равен N. Увеличение же в x раз количества операций, требуемых для взлома, прибавляет ${\displaystyle \log _{2}x}$ к уровню криптостойкости^[3].

Существуют и другие методы, более точно моделирующие требуемое количество операций для взлома, что позволяет удобнее сравнивать криптографические алгоритмы и их гибриды.^[4] Например, AES-128 (размер ключа 128 бит) предназначен для обеспечения 128-битного уровня криптостойкости, который считается примерно эквивалентным 3072-битному RSA.

В симметричной криптографии

У симметричных алгоритмов уровень криптостойкости обычно строго определён, но изменится, если появится более успешная криптоатака. Для симметричных шифров он в общем случае равен размеру ключа шифрования, что эквивалентно полному перебору значений ключа.^[5][6] Для криптографических хеш-функций с длиной значений n бит атака «дней рождения» позволяет находить коллизии в среднем за ${\displaystyle 2^{n/2}}$ вычислений хеш-функции. Таким образом, уровень криптостойкости при нахождении коллизий равен n/2, а при нахождении прообраза — n.^[7] Например, SHA-256 предоставляет 128-битную защиту от коллизий и 256-битную защиту от нахождения прообраза.

Есть и исключения. Например, Phelix и Helix — 256-битные шифры, обеспечивающие 128-битный уровень криптостойкости.^[5] SHAKE варианты SHA-3 также различны: для 256-битного размера возвращаемых данных SHAKE-128 обеспечивает 128-битный уровень криптостойкости и при нахождении коллизий, и при нахождении прообраза.^[8]

В асимметричной криптографии

В асимметричной криптографии, например, в криптосистемах с открытым ключом, используются односторонние функции, то есть функции, легко вычисляемые по аргументу, но с высокой вычислительной сложностью нахождения аргумента по значению функции, однако атаки на существующие системы с открытым ключом обычно быстрее, чем полный перебор пространства ключей. Уровень криптостойкости таких систем неизвестен во время разработки, но предполагается по самой известной на текущий момент криптоатаке.^[6]

Существуют различные рекомендации оценки уровня криптостойкости асимметричных алгоритмов, отличающиеся в силу различных методологий. Например, для криптосистемы RSA на 128-битном уровне криптостойкости NIST и ENISA рекомендуют использовать 3072-битные ключи^[9][10] и IETF 3253.^[11][12] Эллиптическая криптография позволяет использовать более короткие ключи, поэтому рекомендуются 256—383 бит (NIST), 256 бит (ENISA) и 242 бит (IETF).

Эквивалентность уровней криптостойкости

Две криптосистемы обеспечивают одинаковый уровень криптостойкости, если ожидаемые усилия, необходимые для взлома обеих систем, эквивалентны.^[6] Поскольку понятие усилия можно интерпретировать несколькими способами, существуют два пути сравнения:^[13]

• Две криптосистемы являются вычислительно эквивалентными, если их взламывание в среднем требует одинаковых вычислительных усилий.
• Две криптосистемы являются денежно эквивалентными, если приобретение аппаратного обеспечения для их взлома за одинаковое время тождественно по стоимости.

Сравнительный список уровней криптостойкости алгоритмов

В таблице приведены оценки максимальных уровней криптостойкости, которые могут быть предоставлены симметричными и асимметричными криптографическими алгоритмами, с учетом ключей определённой длины на основании рекомендаций NIST.^[9]

Уровень криптостойкости	Симметричные криптосистемы	FFC	IFC	ECC
≤ ${\displaystyle 80}$	2TDEA	${\displaystyle L}$ = 1024, ${\displaystyle N}$ = 160	${\displaystyle k}$ = 1024	${\displaystyle f}$ = 160—223
${\displaystyle 112}$	3TDEA	${\displaystyle L}$ = 2048, ${\displaystyle N}$ = 224	${\displaystyle k}$ = 2048	${\displaystyle f}$ = 224—255
${\displaystyle 128}$	AES-128	${\displaystyle L}$ = 3072, ${\displaystyle N}$ = 256	${\displaystyle k}$ = 3072	${\displaystyle f}$ = 256—383
${\displaystyle 192}$	AES-192	${\displaystyle L}$ = 7680, ${\displaystyle N}$ = 384	${\displaystyle k}$ = 7680	${\displaystyle f}$ = 384—511
${\displaystyle 256}$	AES-256	${\displaystyle L}$ = 15360, ${\displaystyle N}$ = 512	${\displaystyle k}$ = 15360	${\displaystyle f}$ = 512+

Где ${\displaystyle L}$ — длина открытого ключа, ${\displaystyle N}$ — длина закрытого ключа, ${\displaystyle k}$ — размер модуля n, ${\displaystyle f}$ — размер порядка ${\displaystyle q}$ точки ${\displaystyle G}$.

• FFC (Finite-Field Cryptography) — алгоритмы, основанные на операциях в конечных полях. Например, DSA, Diffie-Hellman.
• IFC (Integer-Factorization Cryptography) — алгоритмы, стойкость которых основывается на сложности задачи факторизации чисел по модулю. Например, RSA.
• ECC (Elliptic-Curve Cryptography) — алгоритмы в группах точек эллиптических кривых. Например, ECDSA.

См. также

• Криптографическая стойкость
• Полный перебор
• Атака «дней рождения»
• Атака нахождения прообраза
• Коллизионная атака