Nivel de seguridad

Medida de fuerza criptográfica

En criptografía, el nivel de seguridad es una medida de la solidez que alcanza una primitiva criptográfica , como un cifrado o una función hash . El nivel de seguridad generalmente se expresa como una cantidad de " bits de seguridad" (también fuerza de seguridad ), ^[1] donde la seguridad de n bits significa que el atacante tendría que realizar 2 ⁿ operaciones para romperla, ^[2] pero otros métodos tienen Se han propuesto modelos que modelan más de cerca los costos para un atacante. ^[3] Esto permite una comparación conveniente entre algoritmos y es útil cuando se combinan múltiples primitivas en un criptosistema híbrido , por lo que no existe un eslabón más débil claro. Por ejemplo, AES -128 ( tamaño de clave de 128 bits) está diseñado para ofrecer un nivel de seguridad de 128 bits, que se considera aproximadamente equivalente a un RSA que utiliza una clave de 3072 bits.

En este contexto, el reclamo de seguridad o el nivel de seguridad objetivo es el nivel de seguridad para el cual se diseñó inicialmente una primitiva, aunque a veces también se usa "nivel de seguridad" en esos contextos. Cuando se encuentran ataques que tienen un costo menor que el reclamo de seguridad, la primitiva se considera rota . ^{[4] [5]}

En criptografía simétrica

Los algoritmos simétricos suelen tener un reclamo de seguridad estrictamente definido. Para los cifrados simétricos , normalmente es igual al tamaño de la clave del cifrado, equivalente a la complejidad de un ataque de fuerza bruta . ^{[5] [6]} Las funciones hash criptográficas con un tamaño de salida de n bits generalmente tienen un nivel de seguridad de resistencia a colisiones n /2 y un nivel de resistencia de preimagen n . Esto se debe a que el ataque general de cumpleaños siempre puede encontrar colisiones en 2 ^n/2 pasos. ^[7] Por ejemplo, SHA-256 ofrece resistencia a colisiones de 128 bits y resistencia a preimagen de 256 bits.

Sin embargo, existen algunas excepciones a esto. Phelix y Helix son cifrados de 256 bits que ofrecen un nivel de seguridad de 128 bits. ^{[5] [8]} Las variantes SHAKE de SHA-3 también son diferentes: para un tamaño de salida de 256 bits, SHAKE-128 proporciona un nivel de seguridad de 128 bits para resistencia a colisiones y preimagen. ^[9]

En criptografía asimétrica

El diseño de la mayoría de los algoritmos asimétricos (es decir, la criptografía de clave pública ) se basa en problemas matemáticos claros que son eficientes para calcular en una dirección, pero ineficientes para que el atacante los invierta. Sin embargo, los ataques contra los sistemas actuales de clave pública son siempre más rápidos que la búsqueda por fuerza bruta del espacio de claves. Su nivel de seguridad no se establece en el momento del diseño, pero representa una suposición de dureza computacional , que se ajusta para que coincida con el ataque más conocido actualmente. ^[6]

Se han publicado varias recomendaciones que estiman el nivel de seguridad de los algoritmos asimétricos, que difieren ligeramente debido a las diferentes metodologías.

• Para el criptosistema RSA en un nivel de seguridad de 128 bits, NIST y ENISA recomiendan utilizar claves de 3072 bits ^{[10] [11]} e IETF de 3253 bits. ^{[12] [13]} La conversión de la longitud de la clave a una estimación del nivel de seguridad se basa en la complejidad del GNFS . ^{[14] : §7.5}
• El intercambio de claves Diffie-Hellman y DSA son similares a RSA en términos de la conversión de la longitud de la clave a una estimación del nivel de seguridad. ^{[14] : §7.5}
• La criptografía de curva elíptica requiere claves más cortas, por lo que las recomendaciones para 128 bits son 256-383 (NIST), 256 (ENISA) y 242 bits (IETF). La conversión del tamaño de clave f al nivel de seguridad es aproximadamente f / 2: esto se debe a que el método para resolver el problema del logaritmo discreto de curva elíptica, el método rho, termina en sumas de 0,886 sqrt(2 ^f ). ^[15]

Niveles típicos

La siguiente tabla son ejemplos de niveles de seguridad típicos para tipos de algoritmos que se encuentran en s5.6.1.1 de la Recomendación US NIST SP-800-57 para la administración de claves. ^{[16] : Tabla 2}

1. DEA (DES) quedó obsoleto en 2003 en el contexto de las recomendaciones del NIST.

Según la recomendación del NIST, una clave de un nivel de seguridad determinado solo debe transportarse bajo protección utilizando un algoritmo de nivel de seguridad equivalente o superior. ^[14]

El nivel de seguridad se da por el costo de romper un objetivo, no por el costo amortizado por un grupo de objetivos. Se necesitan 2 ¹²⁸ operaciones para encontrar una clave AES-128, pero se requiere el mismo número de operaciones amortizadas para cualquier número m de claves. Por otro lado, descifrar m claves ECC utilizando el método rho requiere sqrt( m ) multiplicado por el costo base. ^{[15] [17]}

Significado de "roto":

Una primitiva criptográfica se considera rota cuando se descubre que un ataque tiene un nivel de seguridad inferior al anunciado. Sin embargo, no todos estos ataques son prácticos: la mayoría de los ataques demostrados actualmente requieren menos de 240 ^operaciones , lo que se traduce en unas pocas horas en una PC promedio. El ataque demostrado más costoso a las funciones hash es el ataque 2 ^61.2 a SHA-1, que duró 2 meses en 900 GPU GTX 970 y costó 75.000 dólares (aunque los investigadores estiman que solo se necesitaron 11.000 dólares para encontrar una colisión). ^[18]

Aumasson traza la línea entre ataques prácticos y no prácticos en 2.80 ^operaciones . Propone una nueva terminología: ^[19]

• Una primitiva rota tiene un ataque que requiere ≤ 280 ^operaciones . Es posible que se lleve a cabo un ataque.
• Un ataque primitivo herido requiere entre 2.80 ^y aproximadamente 2.100 ^operaciones . Un ataque no es posible en este momento, pero es probable que futuras mejoras lo hagan posible.
• Una primitiva atacada tiene un ataque que es más barato que la afirmación de seguridad, pero mucho más costoso que ²¹⁰⁰ . Un ataque así está muy lejos de ser práctico.
• Finalmente, una primitiva analizada es aquella que no tiene ataques más baratos que su afirmación de seguridad.

Referencias

1. Publicación especial del NIST 800-57 Parte 1, Revisión 5. Recomendación para la gestión de claves: Parte 1 - General, p. 17.
2. Lenstra, Arjen K. "Longitudes de las claves: contribución al manual de seguridad de la información" (PDF) .
3. Bernstein, Daniel J .; Lange, Tanja (4 de junio de 2012). "Grietas no uniformes en el hormigón: el poder del precálculo libre" (PDF) . Avances en Criptología - ASIACRYPT 2013 . Apuntes de conferencias sobre informática. págs. 321–340. doi :10.1007/978-3-642-42045-0_17. ISBN 978-3-642-42044-3.
4. Aumasson, Jean-Philippe (2011). Criptoanálisis versus realidad (PDF) . Sombrero negro Abu Dabi.
5. Bernstein, Daniel J. (25 de abril de 2005). Comprender la fuerza bruta (PDF) . Taller ECRYPT STVL sobre cifrado de claves simétricas.
6. Lenstra, Arjen K. (9 de diciembre de 2001). "Seguridad increíble: combinación de seguridad AES mediante sistemas de clave pública" (PDF) . Avances en criptología - ASIACRYPT 2001 . Apuntes de conferencias sobre informática. vol. 2248. Springer, Berlín, Heidelberg. págs. 67–86. doi :10.1007/3-540-45682-1_5. ISBN 978-3-540-45682-7.
7. Alfred J. Menezes ; Paul C. van Oorschot ; Scott A. Vanstone . "Capítulo 9: Funciones Hash e integridad de los datos" (PDF) . Manual de criptografía aplicada. pag. 336.
8. Ferguson, Niels; Merlán, Doug; Schneier, Bruce; Kelsey, Juan; Suerte, Stefan; Kohno, Tadayoshi (24 de febrero de 2003). "Helix: cifrado y autenticación rápidos en una única primitiva criptográfica" (PDF) . Cifrado de software rápido . Apuntes de conferencias sobre informática. vol. 2887. Springer, Berlín, Heidelberg. págs. 330–346. doi :10.1007/978-3-540-39887-5_24. ISBN 978-3-540-20449-7.
9. Dworkin, Morris J. (agosto de 2015). "Estándar SHA-3: hash basado en permutaciones y funciones de salida extensibles" (PDF) : 23. doi :10.6028/nist.fips.202. {{cite journal}}: Citar diario requiere |journal=( ayuda )
10. Barker, Elaine (enero de 2016). "Recomendación para la gestión de claves, parte 1: general" (PDF) . NIST: 53. CiteSeerX 10.1.1.106.307 . doi :10.6028/nist.sp.800-57pt1r4.  {{cite journal}}: Citar diario requiere |journal=( ayuda )
11. Informe de algoritmos, tamaño de clave y parámetros - 2014. ENISA. Oficina de Publicaciones. 2013. pág. 37. doi : 10.2824/36822. ISBN 978-92-9204-102-1.{{cite book}}: Mantenimiento CS1: otros ( enlace )
12. Hilarie, Orman; Paul, Hoffman (abril de 2004). "Determinación de los puntos fuertes de las claves públicas utilizadas para el intercambio de claves simétricas". RFC 3766 (IETF). doi :10.17487/RFC3766. {{cite journal}}: Citar diario requiere |journal=( ayuda )
13. Giry, Damián. "Longitud de clave: comparar todos los métodos". longitud clave.com . Consultado el 2 de enero de 2017 .
14. "Guía de implementación para FIPS 140-2 y el programa de validación del módulo criptográfico" (PDF) .
15. "El método rho" . Consultado el 21 de febrero de 2024 .
16. Barker, Elaine (mayo de 2020). "Recomendación para la gestión de claves, Parte 1: General" (PDF) . NIST: 158. CiteSeerX 10.1.1.106.307 . doi :10.6028/nist.sp.800-57pt1r5.  {{cite journal}}: Citar diario requiere |journal=( ayuda )
17. "Después de ECDH con Curve25519, ¿no tiene sentido usar algo más fuerte que AES-128?". Intercambio de pila de criptografía .
18. Gaëtan Leurent; Thomas Peyrin (8 de enero de 2020). "SHA-1 es un desastre: primera colisión de prefijo elegido en SHA-1 y aplicación a PGP Web of Trust" (PDF) . {{cite journal}}: Citar diario requiere |journal=( ayuda )
19. Aumasson, Jean-Philippe (2020). Demasiadas criptomonedas (PDF) . Simposio criptográfico del mundo real.

Otras lecturas

• Aumasson, Jean-Philippe (2020). Demasiadas criptomonedas (PDF) . Simposio criptográfico del mundo real.

Ver también

• Supuesto de dureza computacional
• cifrado de 40 bits
• Resumen de seguridad de cifrado
• Resumen de seguridad de la función hash