Центр сертифікації ключів з розробкою станції генерації ключів, страница 30

Для загального випадку стійкість криптографічного алгоритму для заданого розміру ключа перш за все будемо оцінювати складність, яку необхідно реалізувати застосовуючи метод грубої сили (іспит всіх ключів для симетричного алгоритму з заданим ключем "Kx"). Це справедливо, якщо не існує ніяких спрощених атак (тобто коли найефективнішою атакою є іспит усіх можливих ключів). Якраз у цьому випадку найкращою вважається атака, що здійснюється шляхом вичерпного пошуку (грубої сили). Алгоритм, що використовує Ly бітовий ключ,  стійкість якого порівнянна з Lx бітовим ключем такого симетричного алгоритму, вважається алгоритмом, що має L-бітову стійкість проти криптоаналізу. Будемо та кож вважати, що одна групова операція при криптоаналізі  вимагає складності Iго або часу Тго.

Класи розмірів ключів, що розглядаються та рекомендуються, базуються на оцінках з використанням сучасних відомих методів криптоаналізу. З часом досягнення в області методів факторизації, а також вирішення дискретного логарифма і дискретного логарифма в групі точок еліптичної кривої, а також квантових обчислень можуть у майбутньому змінити в сторону погіршення отримані сьогодні результати. Можуть бути розроблені нові або поліпшені існуючі атаки або технології, що зроблять деякі із сучасних алгоритмів цілком не стійкими. Якщо атаки, що грунтуються на квантових обчисленнях, стануть практично здійсненними, то ряд асиметричних криптоперетворень, що мають субекспоненційну складність криптоаналізу, можуть стати не стійкими. Для цього необхідно періодично проводити відповідну експертизу та здійснювати перегляд внаслідок яких  розміри ключа повинні бути збільшені або алгоритми вважатимуться не захищеними. В цілому, більш довгі ключі можуть зменшити імовірність того, що ключі будуть компрометовані.

При порівнянні та виборі алгоритму криптографічного перетворення, наприклад, FIPS-197 або ГОСТ 28147-89, розмір блоку також може впливати на стійкість.

У Таблиці 5.3 наведено результати порівнянні стійкості для визнаних національних, регіональних та міжнародних стандартів. У стовпці 1 вказується  число бітів ключа для симетричного перетворення. У стовпці 2 представлені алгоритми симетричних криптографічних перетворень. У стовпці 3 представлений мінімальний розмір параметрів для  стандартів що ґрунтуються на перетвореннях в кінцевих полях. Прикладами таких алгоритмів можуть бути FІPS186-3 та ГОСТ 34.310-95 – для цифрових підписів, а також алгоритм Діфі-Геллмана (DH) і алгоритм узгодження ключів MQV. де Lв – розмір відкритого ключа, а Lо – розмір особистого ключа.У стовпці 4 представлене значення k (розмір модуля перентворення) для криптографічних перетворень що ґрунтуються на складності вирішення задач факторизації, наприклад  RSA алгоритм  ANSX9.31 і PKCS#1. Посилання на ці специфікації дані в FІPS186-3 для цифрових підписів. Значенням k звичайно використовують для того щоби вказати розмір ключа. У  стовпці 5 вказується порядок базової точки для криптографічних перетворень в групі точок еліптичних кривих. Значенням f, позначає розмір ключа(порядок базової точки n=2).

Таблиця 5.3 – Порівнянні стійкості стандартизованих криптоперетворень

Довжина симетричного ключа

Симетричні крипто-перетворення

Перетворення в полі (напр., ГОСТ 34.310, DSA, D-H)

Перетворення в кільці (напр., RSA)

Перетворення  EC (напр., ДСТУ 4145,ECDSA)

80

2TDEA 19

L = 1024, N = 160

k  = 1024

f =160-223

112

3TDEA

L = 2048, N = 224

k = 2048

f  = 224-255

128

AES-128

L = 3072, N = 256

k  = 3072

f  = 256-383

192

AES-192

L = 7680, N = 384

k  = 7680

f = 384-511

 256

ГОСТ 28147

L=15360, N=512

k=15360

f=512+

256

AES-256

L = 15360, N = 512

k   = 15360

F = 512+