Войти
В криптографии размер ключа или длина ключа количество бит в ключе, используемом алгоритмом криптографии (например, шифром ).
Длина ключа определяет верхнюю границу безопасности алгоритма (т. Е. Логарифмическая мера самой быстрой известной атаки на алгоритм), поскольку безопасность всех алгоритмов может быть нарушена Атаки методом перебора. В идеале нижняя граница безопасности алгоритма по замыслу должна быть равна длине ключа (то есть безопасность полностью определяется длиной ключа, или, другими словами, конструкция алгоритма не умаляет степени безопасности, присущей ему. длина ключа). Действительно, большинство алгоритмов с симметричным ключом разработаны так, чтобы обеспечить безопасность, равную длине их ключа. Однако после проектирования может быть обнаружена новая атака. Например, Triple DES был разработан для использования 168-битного ключа, но теперь известна атака сложности 2 (то есть Triple DES теперь имеет только 112 битов безопасности, а из 168 битов в ключе атака сделала 56 «неэффективными» с точки зрения безопасности). Тем не менее, пока безопасность (понимаемая как «количество усилий, которые потребуются для получения доступа») достаточна для конкретного приложения, не имеет значения, совпадают ли длина ключа и безопасность. Это важно для алгоритмов с асимметричным ключом, поскольку известно, что такой алгоритм не удовлетворяет этому свойству; Криптография с эллиптическими кривыми наиболее близка к эффективной безопасности примерно в половину длины ключа.
Ключи используются для управления работой шифра, так что только правильный ключ может преобразовать зашифрованный текст (зашифрованный текст ) в открытый текст. Многие шифры на самом деле основаны на общеизвестных алгоритмах или имеют открытый исходный код, поэтому только сложность получения ключа определяет безопасность системы при условии отсутствия аналитических атак. (т. е. «структурная слабость» используемых алгоритмов или протоколов) и предположение, что ключ недоступен иным образом (например, в результате кражи, вымогательства или взлома компьютерных систем). Широко распространенное представление о том, что безопасность системы должна зависеть только от ключа, было четко сформулировано Огюстом Керкхоффом (в 1880-х годах) и Клодом Шенноном (в 1940-х годах); эти утверждения известны как принцип Керкхоффа и Максим Шеннона соответственно.
Таким образом, ключ должен быть достаточно большим, чтобы атака полным перебором (возможная против любого алгоритма шифрования) была невозможной - т.е. ее выполнение заняло бы слишком много времени. Работа Шеннона по теории информации показала, что для достижения так называемой совершенной секретности длина ключа должна быть не меньше длины сообщения и использоваться только один раз ( этот алгоритм называется одноразовым блокнотом ). В свете этого, а также практической сложности управления такими длинными ключами, современная криптографическая практика отказалась от понятия совершенной секретности как требования для шифрования и вместо этого сосредоточилась на вычислительной безопасности, в соответствии с которой вычислительные требования взлом зашифрованного текста должен быть невозможен для злоумышленника.
Системы шифрования часто группируются в семейства. Общие семейства включают симметричные системы (например, AES ) и асимметричные системы (например, RSA ); в качестве альтернативы они могут быть сгруппированы в соответствии с используемым центральным алгоритмом (например, криптография с эллиптической кривой ).
Поскольку каждый из них имеет различный уровень криптографической сложности, обычно используются разные размеры ключей для одного и того же уровня безопасности, в зависимости от используемого алгоритма. Например, безопасность, доступная с 1024-битным ключом с использованием асимметричного RSA, считается примерно равной по безопасности 80-битному ключу в симметричном алгоритме.
Фактическая достигнутая степень безопасности со временем меняется, поскольку становятся доступными все более мощные вычислительные мощности и более мощные математические аналитические методы. По этой причине криптологи, как правило, обращают внимание на индикаторы того, что алгоритм или длина ключа демонстрируют признаки потенциальной уязвимости, чтобы перейти к более длинным ключам или более сложным алгоритмам. Например, по состоянию на май 2007 года 1039-битное целое число было разложено с помощью специального числового поля сито с использованием 400 компьютеров в течение 11 месяцев. Факторизованное число имело особую форму; сито специального числового поля нельзя использовать на ключах RSA. Вычисление примерно эквивалентно взлому 700-битного ключа RSA. Однако это может быть предварительным предупреждением о том, что 1024-битный RSA, используемый в безопасной онлайн-торговле, должен быть устаревшим, так как в ближайшем будущем они могут выйти из строя. Профессор криптографии Арьен Ленстра заметил, что «в прошлый раз нам потребовалось девять лет, чтобы сделать обобщение от особого к неспециализированному, трудноразмерному числу», и когда его спросили, не работают ли 1024-битные ключи RSA, сказал: «Ответ на этот вопрос - безоговорочный да».
Атака Logjam в 2015 году выявила дополнительные опасности в использовании обмена ключами Диффи-Хелмана, когда только один или несколько общих 1024-битных используются или меньшие простые модули. Эта общепринятая практика позволяет скомпрометировать большое количество коммуникаций за счет атаки небольшого числа простых чисел.
Даже если симметричный шифр в настоящее время невозможно взломать, используя структурные слабости в его алгоритме можно пройти через все пространство ключей в так называемой атаке методом грубой силы. Поскольку более длинные симметричные ключи требуют экспоненциально большей работы для поиска методом грубой силы, достаточно длинный симметричный ключ делает эту линию атаки непрактичной.
Для ключа длиной n бит возможны 2 ключа. Это число очень быстро растет с увеличением n. Большое количество операций (2), необходимых для перебора всех возможных 128-битных ключей, широко считается недосягаемым для традиционных цифровых вычислительных технологий в обозримом будущем. Однако эксперты ожидают альтернативных вычислительных технологий, которые могут иметь вычислительную мощность выше, чем современные компьютерные технологии. Если квантовый компьютер подходящего размера, способный надежно выполнять алгоритм Гровера, станет доступен, он уменьшит 128-битный ключ до 64-битной безопасности, примерно DES эквивалент. Это одна из причин, по которой AES поддерживает длину ключа 256 бит. См. Обсуждение взаимосвязи между длиной ключа и атаками квантовых вычислений внизу этой страницы для получения дополнительной информации.
Экспортная политика правительства США уже давно ограничивает «надежность» криптографии, которая может быть отправлена из страны. В течение многих лет ограничение составляло 40 бит. Сегодня длина ключа в 40 бит не обеспечивает достаточной защиты даже от случайного злоумышленника с одним ПК. В ответ к 2000 году большинство основных ограничений США на использование надежного шифрования были ослаблены. Однако не все правила были отменены, и регистрация шифрования в США Бюро промышленности и безопасности по-прежнему требуется для экспорта «товаров массового потребления, программного обеспечения и компонентов для шифрования с шифрованием, превышающим 64 бит» (75 FR 36494 ).
IBM шифр Люцифера был выбран в 1974 году в качестве основы для того, что впоследствии стало стандартом шифрования данных. Длина ключа Люцифера была уменьшена со 128 бит до 56 бит, чего, по утверждению NSA и NIST, было достаточно. У АНБ есть большие вычислительные ресурсы и большой бюджет; некоторые криптографы, в том числе Уитфилд Диффи и Мартин Хеллман, жаловались, что это сделало шифр настолько слабым, что компьютеры NSA смогли бы взломать ключ DES за день с помощью параллельных вычислений методом грубой силы. АНБ оспорило это, заявив, что на перебор DES у них уйдет примерно 91 год. Однако к концу 90-х стало ясно, что DES можно взломать за несколько дней с помощью специально созданного оборудования, которое может быть куплено крупной корпорацией или государством. В книге Cracking DES (O'Reilly and Associates) рассказывается об успешной попытке в 1998 году взломать 56-битный DES с помощью грубой силы, организованной кибер-группой гражданских прав с ограниченными ресурсами; см. взломщик EFF DES. Даже до этой демонстрации длина 56 бит считалась недостаточной для ключей симметричного алгоритма ; DES был заменен во многих приложениях на Triple DES, который имеет 112 бит безопасности при использовании 168-битных ключей (тройной ключ). В 2002 году Distributed.net и его добровольцы взломали 64-битный ключ RC5 после нескольких лет усилий, используя около семидесяти тысяч (в основном домашних) компьютеров.
В Advanced Encryption Standard, опубликованном в 2001 году, используются ключи размером 128, 192 или 256 бит. Многие наблюдатели считают, что 128 бит достаточно в обозримом будущем для симметричных алгоритмов качества AES, пока не станут доступны квантовые компьютеры. Однако с 2015 года Агентство национальной безопасности США выпустило руководство о том, что оно планирует перейти на алгоритмы, устойчивые к квантовым вычислениям, и теперь требует 256-битных ключей AES для данных , классифицированных до Совершенно секретно.
В 2003 году Национальный институт стандартов и технологий США, NIST предложил поэтапный отказ от 80-битных ключей к 2015 году. В 2005 году 80-битные ключи были разрешены только до 2010 года.
С тех пор 2015 г. в руководстве NIST говорится, что «использование ключей, обеспечивающих уровень безопасности менее 112 бит для согласования ключей, теперь запрещено». Утвержденные NIST алгоритмы симметричного шифрования включают трехключевой Triple DES и AES. Утверждения для двухклавишного Triple DES и Skipjack были отозваны в 2015 году; Алгоритм Skipjack NSA, используемый в его программе Fortezza, использует 80-битные ключи.
Эффективность криптосистемы с открытым ключом зависят от сложности решения (вычислительной и теоретической) определенных математических задач, таких как целочисленная факторизация. На решение этих проблем уходит много времени, но обычно это быстрее, чем перебирать все возможные ключи грубой силой. Таким образом, асимметричные ключи должны быть длиннее для эквивалентной устойчивости к атаке, чем ключи симметричного алгоритма. Предполагается, что наиболее распространенные методы будут слабыми против достаточно мощных квантовых компьютеров в будущем.
С 2015 года NIST рекомендует минимум 2048-битных ключей для RSA, обновление общепринятой рекомендации минимум 1024-битных ключей с 2002 года.
1024-битные ключи RSA эквивалентны по силе 80-битным симметричным ключам, 2048-битные ключи RSA - 112-битным симметричным ключам, 3072-битные ключи RSA - 128-битным симметричным ключам и 15360-битные ключи RSA - 256 -битные симметричные ключи. В 2003 году RSA Security утверждал, что 1024-битные ключи, вероятно, станут поддающимися взлому в период с 2006 по 2010 год, в то время как 2048-битные ключи будут достаточными до 2030 года. cracked - это RSA-250 с 829 битами.
Алгоритм Finite Field Диффи-Хеллмана имеет примерно такую же силу ключа, как RSA, для тех же размеров ключей. Рабочий коэффициент для взлома Диффи-Хеллмана основан на задаче дискретного логарифмирования , которая связана с проблемой целочисленной факторизации, на которой основана сила RSA. Таким образом, 2048-битный ключ Диффи-Хеллмана имеет примерно такую же стойкость, как 2048-битный ключ RSA.
Криптография с эллиптической кривой (ECC) - это альтернативный набор асимметричных алгоритмов, который эквивалентно безопасен с более короткими ключами, требуя только примерно вдвое больше битов, чем эквивалентный симметричный алгоритм. 256-битный ключ ECDH имеет примерно такой же коэффициент безопасности, как 128-битный ключ AES. Сообщение, зашифрованное с помощью алгоритма эллиптического ключа с использованием 109-битного длинного ключа, было взломано в 2004 году.
NSA ранее рекомендовало 256-битный ECC для защиты секретной информации до уровня СЕКРЕТНОСТИ, и 384-битный для СОВЕРШЕННО СЕКРЕТНО; В 2015 году он объявил о планах перехода на квантово-устойчивые алгоритмы к 2024 году, а до тех пор рекомендует 384-битные алгоритмы для всей секретной информации.
Два лучших известные атаки квантовых вычислений основаны на алгоритме Шора и алгоритме Гровера. Из этих двух Shor's представляет больший риск для существующих систем безопасности.
Производные алгоритма Шора широко предполагаются как эффективные против всех распространенных алгоритмов с открытым ключом, включая RSA, Диффи-Хеллмана и криптографию на основе эллиптических кривых. По словам профессора Жиля Брассара, эксперта в области квантовых вычислений: «Время, необходимое для разложения целого числа RSA на множители, совпадает с порядком времени, необходимым для использования того же целого числа в качестве модуля для одного шифрования RSA. Другими словами, для этого не требуется больше время взломать RSA на квантовом компьютере (с точностью до мультипликативной константы), чем законно использовать его на классическом компьютере ». По общему мнению, эти алгоритмы с открытым ключом небезопасны при любом размере ключа, если станут доступны достаточно большие квантовые компьютеры, способные выполнять алгоритм Шора. Последствия этой атаки заключаются в том, что все данные зашифрованы с использованием современных систем безопасности на основе стандартов, таких как повсеместный SSL, используемый для защиты электронной коммерции и интернет-банкинга, и SSH, используемый для защиты доступа к конфиденциальным вычислительные системы находятся под угрозой. Зашифрованные данные, защищенные с помощью алгоритмов с открытым ключом, могут быть заархивированы и впоследствии могут быть взломаны.
Широко распространенные симметричные шифры (такие как AES или Twofish ) и хэш-функции, устойчивые к коллизиям (такие как SHA ), по широко распространенному мнению, предлагают более эффективные защита от известных атак квантовых вычислений. Считается, что они наиболее уязвимы для алгоритма Гровера. Беннетт, Бернштейн, Брассард и Вазирани доказали в 1996 году, что поиск ключа методом грубой силы на квантовом компьютере не может быть быстрее, чем примерно два вызова основного криптографического алгоритма, по сравнению с примерно двумя в классическом случае. Таким образом, при наличии больших квантовых компьютеров n-битный ключ может обеспечить безопасность как минимум n / 2 бит. Квантовая грубая сила легко подавляется удвоением длины ключа, что требует небольших дополнительных вычислительных затрат при обычном использовании. Это означает, что для достижения 128-битного рейтинга безопасности против квантового компьютера требуется как минимум 256-битный симметричный ключ. Как упоминалось выше, в 2015 году АНБ объявило, что оно планирует перейти на квантово-устойчивые алгоритмы.
По данным АНБ:
«Достаточно большой квантовый компьютер, если он будет построен, сможет подорвать все -развернутые алгоритмы с открытым ключом, используемые для создания ключей и цифровых подписей... Принято считать, что методы квантовых вычислений гораздо менее эффективны против симметричных алгоритмов, чем против широко используемых в настоящее время алгоритмов с открытым ключом. В то время как криптография с открытым ключом требует изменений в фундаментальной конструкции Для защиты от потенциального будущего квантового компьютера алгоритмы с симметричным ключом считаются безопасными при условии использования достаточно большого размера ключа... В более долгосрочной перспективе NSA обращается к NIST, чтобы определить широко распространенный, стандартизированный набор коммерческих алгоритмов открытого ключа, которые не уязвимы для квантовых атак ».
По состоянию на 2016 год Коммерческий набор алгоритмов национальной безопасности Агентства национальной безопасности включает:
| Алгоритм | Использование |
|---|---|
| RSA 3072-бит или больше | Создание ключа, цифровая подпись |
| Diffie-Hellman (DH) 3072-бит или больше | Создание ключа |
| ECDH с NIST P-384 | Создание ключа |
| ECDSA с NIST P-384 | Цифровая подпись |
| SHA-384 | Целостность |
| AES-256 | Конфиденциальность |
