Tamaño de clave

Número de bits en una clave utilizada por un algoritmo criptográfico

En criptografía , el tamaño de la clave o la longitud de la clave se refiere al número de bits de una clave utilizada por un algoritmo criptográfico (como un cifrado ).

La longitud de la clave define el límite superior de la seguridad de un algoritmo (es decir, una medida logarítmica del ataque más rápido conocido contra un algoritmo), porque la seguridad de todos los algoritmos puede ser violada por ataques de fuerza bruta . Idealmente, el límite inferior de la seguridad de un algoritmo es, por diseño, igual a la longitud de la clave (es decir, el diseño del algoritmo no resta valor al grado de seguridad inherente a la longitud de la clave).

La mayoría de los algoritmos de clave simétrica están diseñados para tener una seguridad igual a la longitud de su clave. Sin embargo, después del diseño, podría descubrirse un nuevo ataque. Por ejemplo, Triple DES fue diseñado para tener una clave de 168 bits, pero ahora se conoce un ataque de complejidad 2 ¹¹² (es decir, Triple DES ahora sólo tiene 112 bits de seguridad, y de los 168 bits de la clave, el ataque ha generado 56 "ineficaz" para la seguridad). Sin embargo, siempre que la seguridad (entendida como "la cantidad de esfuerzo que se necesitaría para obtener acceso") sea suficiente para una aplicación concreta, no importa si la longitud de la clave y la seguridad coinciden. Esto es importante para los algoritmos de clave asimétrica , porque no se conoce ningún algoritmo que satisfaga esta propiedad; La criptografía de curva elíptica es la que más se acerca, con una seguridad efectiva de aproximadamente la mitad de la longitud de su clave.

Significado

Las claves se utilizan para controlar el funcionamiento de un cifrado, de modo que sólo la clave correcta pueda convertir texto cifrado ( texto cifrado ) en texto sin formato . Todos los cifrados comúnmente utilizados se basan en algoritmos conocidos públicamente o son de código abierto , por lo que sólo la dificultad de obtener la clave determina la seguridad del sistema, siempre que no haya un ataque analítico (es decir, una "debilidad estructural" en los algoritmos). o protocolos utilizados), y suponiendo que la clave no esté disponible de otro modo (por ejemplo, mediante robo, extorsión o compromiso de los sistemas informáticos). La noción ampliamente aceptada de que la seguridad del sistema debería depender únicamente de la clave ha sido formulada explícitamente por Auguste Kerckhoffs (en la década de 1880) y Claude Shannon (en la década de 1940); los enunciados se conocen como principio de Kerckhoffs y máxima de Shannon, respectivamente.

Por lo tanto, una clave debe ser lo suficientemente grande como para que un ataque de fuerza bruta (posible contra cualquier algoritmo de cifrado) sea inviable; es decir, llevaría demasiado tiempo y/o demasiada memoria para ejecutarse. El trabajo de Shannon sobre la teoría de la información demostró que para lograr el llamado " secreto perfecto ", la longitud de la clave debe ser al menos tan grande como el mensaje y usarse solo una vez (este algoritmo se llama bloc de un solo uso ). A la luz de esto, y de la dificultad práctica de gestionar claves tan largas, la práctica criptográfica moderna ha descartado la noción de secreto perfecto como requisito para el cifrado y, en cambio, se centra en la seguridad computacional , según la cual los requisitos computacionales para descifrar un texto cifrado deben ser inviable para un atacante.

Tamaño de clave y sistema de cifrado

Los sistemas de cifrado suelen agruparse en familias. Las familias comunes incluyen sistemas simétricos (por ejemplo, AES ) y sistemas asimétricos (por ejemplo, RSA y criptografía de curva elíptica [ECC]). Pueden agruparse según el algoritmo central utilizado (por ejemplo, cifrados ECC y Feistel ). Debido a que cada una de ellas tiene un nivel diferente de complejidad criptográfica, es habitual tener diferentes tamaños de clave para el mismo nivel de seguridad , dependiendo del algoritmo utilizado. Por ejemplo, la seguridad disponible con una clave de 1024 bits que utiliza RSA asimétrico se considera aproximadamente igual en seguridad a una clave de 80 bits en un algoritmo simétrico. ^[1]

El grado real de seguridad alcanzado con el tiempo varía a medida que se dispone de más potencia computacional y métodos de análisis matemático más potentes. Por esta razón, los criptólogos tienden a observar los indicadores de que un algoritmo o la longitud de una clave muestran signos de vulnerabilidad potencial, para pasar a tamaños de clave más largos o algoritmos más difíciles. Por ejemplo, en mayo de 2007 ^[actualizar], se factorizó un número entero de 1039 bits con el tamiz de campo numérico especial utilizando 400 computadoras durante 11 meses. ^[2] El número factorizado tenía una forma especial; el tamiz de campo numérico especial no se puede utilizar en claves RSA. El cálculo equivale aproximadamente a romper una clave RSA de 700 bits. Sin embargo, esto podría ser una advertencia anticipada de que las claves RSA de 1024 bits utilizadas en el comercio en línea seguro deberían quedar obsoletas , ya que pueden volverse frágiles en un futuro previsible. El profesor de criptografía Arjen Lenstra observó que "la última vez, nos tomó nueve años generalizar de un número especial a uno no especial, difícil de factorizar" y cuando se le preguntó si las claves RSA de 1024 bits están muertas, dijo: "La respuesta a Esa pregunta es un sí rotundo". ^[3]

El ataque Logjam de 2015 reveló peligros adicionales al utilizar el intercambio de claves Diffie-Hellman cuando solo se utilizan uno o unos pocos módulos principales comunes de 1024 bits o más pequeños. Esta práctica, algo común en la época, permite comprometer grandes cantidades de comunicaciones a costa de atacar a un pequeño número de números primos. ^{[4] [5]}

Ataque de fuerza bruta

Incluso si un cifrado simétrico es actualmente irrompible al explotar las debilidades estructurales de su algoritmo, puede ser posible recorrer todo el espacio de claves en lo que se conoce como un ataque de fuerza bruta. Debido a que las claves simétricas más largas requieren exponencialmente más trabajo para la búsqueda de fuerza bruta, una clave simétrica suficientemente larga hace que esta línea de ataque no sea práctica.

Con una clave de longitud n bits, hay 2 ⁿ claves posibles. Este número crece muy rápidamente a medida que n aumenta. El gran número de operaciones (2 ¹²⁸ ) necesarias para probar todas las claves posibles de 128 bits se considera ampliamente fuera del alcance de las técnicas informáticas digitales convencionales en el futuro previsible. ^[6] Sin embargo, una computadora cuántica capaz de ejecutar el algoritmo de Grover podría buscar las posibles claves de manera más eficiente. Si una computadora cuántica de tamaño adecuado redujera una clave de 128 bits a una seguridad de 64 bits, aproximadamente un equivalente DES . Esta es una de las razones por las que AES admite longitudes de clave de 256 bits o más. ^[a]

Longitudes de clave de algoritmo simétrico

El cifrado Lucifer de IBM fue seleccionado en 1974 como base para lo que se convertiría en el Estándar de cifrado de datos . La longitud de la clave de Lucifer se redujo de 128 bits a 56 bits , lo que según la NSA y el NIST era suficiente para la protección no gubernamental en ese momento. La NSA dispone de importantes recursos informáticos y de un gran presupuesto; Algunos criptógrafos, incluidos Whitfield Diffie y Martin Hellman, se quejaron de que esto hacía que el cifrado fuera tan débil que las computadoras de la NSA podrían descifrar una clave DES en un día mediante computación paralela de fuerza bruta . La NSA lo cuestionó, afirmando que la fuerza bruta del DES les llevaría "algo así como 91 años". ^[7]

Sin embargo, a finales de los años 90, quedó claro que DES podía descifrarse en unos pocos días con hardware personalizado, como el que podría adquirir una gran corporación o un gobierno. ^{[8] [9]} El libro Cracking DES (O'Reilly and Associates) habla de la exitosa capacidad en 1998 de romper DES de 56 bits mediante un ataque de fuerza bruta montado por un grupo cibernético de derechos civiles con recursos limitados; ver galleta EFF DES . Incluso antes de esa demostración, 56 bits se consideraban de longitud insuficiente para claves de algoritmos simétricos de uso general. Debido a esto, DES fue reemplazado en la mayoría de las aplicaciones de seguridad por Triple DES , que tiene 112 bits de seguridad cuando se utilizan claves de 168 bits (clave triple). ^[1]

El Estándar de cifrado avanzado publicado en 2001 utiliza tamaños de clave de 128, 192 o 256 bits. Muchos observadores consideran que 128 bits son suficientes en el futuro previsible para algoritmos simétricos de la calidad de AES hasta que estén disponibles los ordenadores cuánticos . ^{[ cita necesaria ]} Sin embargo, a partir de 2015, la Agencia de Seguridad Nacional de EE. UU. ha emitido una guía de que planea cambiar a algoritmos resistentes a la computación cuántica y ahora requiere claves AES de 256 bits para datos clasificados hasta Top Secret . ^[10]

En 2003, el Instituto Nacional de Estándares y Tecnología de EE. UU., NIST , propuso eliminar gradualmente las claves de 80 bits para 2015. En 2005, las claves de 80 bits solo se permitían hasta 2010. ^[11]

Desde 2015, la guía del NIST dice que " ahora no se permite el uso de claves que proporcionen menos de 112 bits de seguridad para el acuerdo de claves". Los algoritmos de cifrado simétrico aprobados por el NIST incluyen Triple DES y AES de tres claves . Las aprobaciones para Triple DES y Skipjack de dos llaves se retiraron en 2015; El algoritmo Skipjack de la NSA utilizado en su programa Fortezza emplea claves de 80 bits. ^[1]

Longitudes de claves de algoritmos asimétricos

La efectividad de los criptosistemas de clave pública depende de la intratabilidad (computacional y teórica) de ciertos problemas matemáticos como la factorización de números enteros . Resolver estos problemas lleva mucho tiempo, pero normalmente es más rápido que probar todas las claves posibles por fuerza bruta. Por lo tanto, las claves asimétricas deben ser más largas para lograr una resistencia equivalente al ataque que las claves de algoritmos simétricos. Se supone que los métodos más comunes serán débiles frente a ordenadores cuánticos suficientemente potentes en el futuro.

Desde 2015, NIST recomienda un mínimo de claves de 2048 bits para RSA , ^[12] una actualización de la recomendación ampliamente aceptada de un mínimo de 1024 bits desde al menos 2002. ^[13]

Las claves RSA de 1024 bits son equivalentes en potencia a las claves simétricas de 80 bits, las claves RSA de 2048 bits a claves simétricas de 112 bits, las claves RSA de 3072 bits a claves simétricas de 128 bits y las claves RSA de 15360 bits a 256 bits. claves simétricas. ^[14] En 2003, RSA Security afirmó que era probable que las claves de 1024 bits se pudieran descifrar en algún momento entre 2006 y 2010, mientras que las claves de 2048 bits son suficientes hasta 2030. ^[15] A partir de 2020, ^[actualizar]la clave RSA más grande que se sabe públicamente ha sido descifrada Es RSA-250 con 829 bits. ^[dieciséis]

El algoritmo de campo finito Diffie-Hellman tiene aproximadamente la misma fuerza de clave que RSA para los mismos tamaños de clave. El factor de trabajo para romper Diffie-Hellman se basa en el problema del logaritmo discreto , que está relacionado con el problema de factorización de enteros en el que se basa la fuerza de RSA. Por lo tanto, una clave Diffie-Hellman de 2048 bits tiene aproximadamente la misma solidez que una clave RSA de 2048 bits.

La criptografía de curva elíptica (ECC) es un conjunto alternativo de algoritmos asimétricos que es equivalentemente seguro con claves más cortas y requiere solo aproximadamente el doble de bits que el algoritmo simétrico equivalente. Una clave Diffie-Hellman (ECDH) de curva elíptica de 256 bits tiene aproximadamente el mismo factor de seguridad que una clave AES de 128 bits . ^[12] En 2004 se rompió un mensaje cifrado con un algoritmo de clave elíptica que utilizaba una clave de 109 bits de longitud. ^[17]

La NSA recomendaba anteriormente ECC de 256 bits para proteger información clasificada hasta el nivel SECRETO y 384 bits para TOP SECRET; ^[10] En 2015 anunció planes para la transición a algoritmos resistentes a los cuánticos para 2024, y hasta entonces recomienda 384 bits para toda la información clasificada. ^[18]

Efecto de los ataques de computación cuántica sobre la fuerza clave

Los dos ataques de computación cuántica más conocidos se basan en el algoritmo de Shor y el algoritmo de Grover . De los dos, el de Shor ofrece el mayor riesgo para los sistemas de seguridad actuales.

Se conjetura ampliamente que los derivados del algoritmo de Shor son efectivos contra todos los algoritmos de clave pública convencionales, incluidos RSA , Diffie-Hellman y la criptografía de curva elíptica . Según el profesor Gilles Brassard , experto en computación cuántica: "El tiempo necesario para factorizar un entero RSA es del mismo orden que el tiempo necesario para utilizar ese mismo entero como módulo para un único cifrado RSA. En otras palabras, no se necesita más "Es mejor descifrar RSA en una computadora cuántica (hasta una constante multiplicativa) que usarlo legítimamente en una computadora clásica". El consenso general es que estos algoritmos de clave pública son inseguros en cualquier tamaño de clave si se dispone de computadoras cuánticas suficientemente grandes capaces de ejecutar el algoritmo de Shor. La implicación de este ataque es que todos los datos cifrados utilizando sistemas de seguridad basados ​​en estándares actuales, como el omnipresente SSL utilizado para proteger el comercio electrónico y la banca por Internet y SSH utilizado para proteger el acceso a sistemas informáticos sensibles, están en riesgo. Los datos cifrados protegidos mediante algoritmos de clave pública se pueden archivar y descifrar más adelante, lo que comúnmente se conoce como descifrado retroactivo/retrospectivo o " cosechar ahora, descifrar más tarde ".

Se cree ampliamente que los cifrados simétricos convencionales (como AES o Twofish ) y las funciones hash resistentes a colisiones (como SHA ) ofrecen mayor seguridad contra ataques conocidos de computación cuántica. Se cree que son los más vulnerables al algoritmo de Grover . Bennett, Bernstein, Brassard y Vazirani demostraron en 1996 que una búsqueda de claves por fuerza bruta en una computadora cuántica no puede ser más rápida que aproximadamente 2 ^{n /2} invocaciones del algoritmo criptográfico subyacente, en comparación con aproximadamente 2 ⁿ en el caso clásico. ^[19] Así, en presencia de grandes ordenadores cuánticos, una clave de n bits puede proporcionar al menos n /2 bits de seguridad. La fuerza bruta cuántica se vence fácilmente duplicando la longitud de la clave, lo que tiene poco costo computacional adicional en el uso normal. Esto implica que se requiere al menos una clave simétrica de 256 bits para lograr una clasificación de seguridad de 128 bits frente a una computadora cuántica. Como se mencionó anteriormente, la NSA anunció en 2015 que planea hacer la transición a algoritmos resistentes a los cuánticos. ^[10]

En una pregunta frecuente sobre computación cuántica de 2016, la NSA afirmó:

"Si se construyera una computadora cuántica lo suficientemente grande, sería capaz de socavar todos los algoritmos de clave pública ampliamente utilizados para el establecimiento de claves y las firmas digitales. [...] Generalmente se acepta que las técnicas de computación cuántica son mucho menos efectivas contra los algoritmos simétricos. que contra los actuales algoritmos de clave pública ampliamente utilizados. Si bien la criptografía de clave pública requiere cambios en el diseño fundamental para protegerse contra una posible futura computadora cuántica, se cree que los algoritmos de clave simétrica son seguros siempre que se utilice un tamaño de clave suficientemente grande. Los algoritmos de clave pública ( RSA , Diffie-Hellman , [Elliptic-curve Diffie-Hellman] ECDH y [Elliptic Curve Digital Signature Algorithm] ECDSA ) son todos vulnerables al ataque de una computadora cuántica suficientemente grande. Se han propuesto varios algoritmos de clave pública de resistencia cuántica interesantes externos a la NSA, el NIST no ha estandarizado nada y la NSA no especifica ningún estándar comercial de resistencia cuántica en este momento. La NSA espera que el NIST desempeñe un papel de liderazgo en el esfuerzo por desarrollar un conjunto estandarizado y ampliamente aceptado de algoritmos de resistencia cuántica. [...] Dado el nivel de interés en la comunidad criptográfica, esperamos que haya algoritmos resistentes a los cuánticos ampliamente disponibles en la próxima década. [...] Los algoritmos AES-256 y SHA-384 son simétricos y se cree que están a salvo del ataque de una gran computadora cuántica". ^[20]

En un comunicado de prensa de 2022, la NSA notificó:

"Una computadora cuántica criptoanalíticamente relevante (CRQC) tendría el potencial de romper los sistemas de clave pública (a veces denominados criptografía asimétrica) que se utilizan hoy en día. Dadas las actividades extranjeras en la computación cuántica, ahora es el momento de planificar, preparar y presupuestar para una transición a algoritmos QR [resistentes a los cuánticos] para garantizar una protección sostenida de los [Sistemas Nacionales de Seguridad] NSS y los activos relacionados en caso de que un CRQC se convierta en una realidad alcanzable". ^[21]

Desde septiembre de 2022, la NSA ha estado realizando la transición del Conjunto de Algoritmos de Seguridad Nacional Comercial (ahora denominado CNSA 1.0), lanzado originalmente en enero de 2016, al Conjunto de Algoritmos de Seguridad Nacional Comercial 2.0 (CNSA 2.0), ambos resumidos a continuación: ^{[22 ] [b]}

CNSA 2.0

CNSA 1.0

Ver también

• Estiramiento clave

Notas

1. Consulte la discusión sobre la relación entre la longitud de las claves y los ataques de computación cuántica al final de esta página para obtener más información.
2. Consulte las tablas completas y el cronograma de transición en el artículo de Commercial National Security Algorithm Suite .

Referencias

1. Barker, Elaine; Roginsky, Allen (marzo de 2019). "Transiciones: recomendación para la transición del uso de algoritmos criptográficos y longitudes de clave, NIST SP-800-131A Rev 2" (PDF) . Nvlpubs.nist.gov . Consultado el 11 de febrero de 2023 .
2. "Investigador: el cifrado RSA de 1024 bits no es suficiente". Mundo PC . 2007-05-23 . Consultado el 24 de septiembre de 2016 .
3. Cheng, Jacqui (23 de mayo de 2007). "Investigadores: el descifrado de claves de 307 dígitos pone en peligro el RSA de 1024 bits". Ars Técnica . Consultado el 24 de septiembre de 2016 .
4. "El débil Diffie-Hellman y el ataque Logjam". débildh.org . 2015-05-20.
5. Adrián, David; Bhargavan, Karthikeyan; Durumérico, Zakir; Gaudry, Pierrick; Verde, Mateo; Halderman, J. Alex; Heninger, Nadia; Springall, dibujó; Thomé, Emmanuel; Valenta, Lucas; VanderSloot, Benjamín; Wustrow, Eric; Zanella-Béguelin, Santiago; Zimmermann, Paul (octubre de 2015). Secreto directo imperfecto: cómo falla Diffie-Hellman en la práctica (PDF) . 22ª Conferencia ACM sobre Seguridad Informática y de las Comunicaciones (CCS '15). Denver, CO. Archivado (PDF) desde el original el 10 de octubre de 2022.
6. "¿Qué tan seguro es AES contra ataques de fuerza bruta?". Tiempos EE.UU. Consultado el 24 de septiembre de 2016 .
7. "Grabación y transcripción de la reunión DES Stanford-NBS-NSA". Toad.com . Archivado desde el original el 3 de mayo de 2012 . Consultado el 24 de septiembre de 2016 .
8. Resplandor, Matt ; Diffie, Whitefield ; Rivest, Ronald L .; Schneier, Bruce ; Shimomura, Tsutomu ; Thompson, Eric; Wiener, Michael (enero de 1996). "Longitudes mínimas de clave para cifrados simétricos para proporcionar una seguridad comercial adecuada". Fortificar . Consultado el 14 de octubre de 2011 .
9. Criptografía fuerte: la marea global del cambio, documento informativo del Instituto Cato núm. 51, Arnold G. Reinhold, 1999
10. "Criptografía NSA Suite B". Agencia de Seguridad Nacional . 2009-01-15. Archivado desde el original el 7 de febrero de 2009 . Consultado el 24 de septiembre de 2016 .
11. Ladrador, Elaine; Barker, William; Rebabas, William; Polk, Guillermo; Smid, millas (1 de agosto de 2005). "Recomendación para la gestión de claves - Parte 1: General" (PDF) . Publicación especial del NIST . Instituto Nacional de Estándares y Tecnología . Tabla 4, pág. 66. doi :10.6028/NIST.SP.800-57p1. Archivado (PDF) desde el original el 13 de diciembre de 2016 . Consultado el 8 de enero de 2019 .
12. Barker, Elaine; Dang, Quynh (22 de enero de 2015). "Recomendación para la gestión de claves; Parte 3: Guía de gestión de claves para aplicaciones específicas" (PDF) . Publicación especial del NIST . Instituto Nacional de Estándares y Tecnología : 12. doi :10.6028/NIST.SP.800-57pt3r1. Archivado (PDF) desde el original el 26 de febrero de 2015 . Consultado el 24 de noviembre de 2017 .
13. "Un análisis de seguridad basado en costos de longitudes de clave simétricas y asimétricas". Laboratorios RSA . Archivado desde el original el 13 de enero de 2017 . Consultado el 24 de septiembre de 2016 .
14. Barker, Elaine (mayo de 2020). "Recomendación para la gestión de claves: Parte 1 - General" (PDF) . Publicación especial del NIST . Instituto Nacional de Estándares y Tecnología : 53. doi :10.6028/NIST.SP.800-57pt1r5. S2CID  243189598. Archivado (PDF) desde el original el 9 de mayo de 2020.
15. Kaliski, Burt (6 de mayo de 2003). "Tamaño de clave TWIRL y RSA". Laboratorios RSA . Archivado desde el original el 17 de abril de 2017 . Consultado el 24 de noviembre de 2017 .
16. Zimmermann, Paul (28 de febrero de 2020). "Factorización de RSA-250". Cado-nfs-discutir. Archivado desde el original el 28 de febrero de 2020 . Consultado el 12 de julio de 2020 .
17. "Certicom anuncia el ganador del desafío de criptografía de curva elíptica". BlackBerry limitada . 2004-04-27. Archivado desde el original el 27 de septiembre de 2016 . Consultado el 24 de septiembre de 2016 .
18. "Suite de algoritmos de seguridad nacional comercial". Agencia de Seguridad Nacional . 2015-08-09. Archivado desde el original el 18 de febrero de 2022 . Consultado el 12 de julio de 2020 .
19. Bennett CH, Bernstein E., Brassard G., Vazirani U., Las fortalezas y debilidades de la computación cuántica . Revista SIAM de Computación 26(5): 1510-1523 (1997).
20. "Preguntas frecuentes sobre el conjunto de algoritmos de seguridad nacional comercial y la computación cuántica" (PDF) . Agencia de Seguridad Nacional . 2016-01-01. pag. 6-8 . Consultado el 21 de abril de 2024 .
21. "La NSA publica futuros requisitos de algoritmos resistentes a cuánticos (QR) para sistemas de seguridad nacionales". Agencia de Seguridad Nacional . 2022-09-07 . Consultado el 14 de abril de 2024 .
22. "Anuncio del paquete de algoritmos de seguridad nacional comercial 2.0, U/OO/194427-22, PP-22-1338, Ver. 1.0" (PDF) . media.defense.gov . Agencia de Seguridad Nacional . Septiembre de 2022. Tabla IV: Algoritmos CNSA 2.0, p. 9.; Tabla V: Algoritmos CNSA 1.0, pág. 10 . Consultado el 14 de abril de 2024 .

Otras lecturas

• Recomendación para la gestión de claves: Parte 1: general, publicación especial NIST 800-57. marzo de 2007
• Resplandor, Matt; Diffie, Whitfield; Rivest, Ronald L.; et al. "Longitudes mínimas de clave para cifrados simétricos para proporcionar una seguridad comercial adecuada". enero de 1996
• Arjen K. Lenstra, Eric R. Verheul: Selección de tamaños de clave criptográfica. J. Cryptology 14(4): 255-293 (2001) - Enlace de Citeseer

enlaces externos

• www.keylength.com: una calculadora de longitud de clave en línea
• Artículos que discuten las implicaciones de la computación cuántica.
• Kit de herramientas criptográficas del NIST
• Burt Kaliski : tamaños de claves TWIRL y RSA (mayo de 2003)