En criptografía, el nivel de seguridad es una medida de la robustez que alcanza una primitiva criptográfica , como un cifrado o una función hash . El nivel de seguridad se suele expresar como un número de " bits de seguridad" (también llamado fuerza de seguridad ), [ 1 ] donde la seguridad de n bits significa que el atacante tendría que realizar 2n operaciones para romperla, [ 2 ] pero se han propuesto otros métodos que modelan con mayor precisión los costes para un atacante. [ 3 ] Esto permite una comparación conveniente entre algoritmos y es útil al combinar múltiples primitivas en un criptosistema híbrido , de modo que no haya un eslabón más débil claro. Por ejemplo, AES -128 ( tamaño de clave de 128 bits) está diseñado para ofrecer un nivel de seguridad de 128 bits, que se considera aproximadamente equivalente a un RSA que utiliza una clave de 3072 bits.
En este contexto, la afirmación de seguridad o el nivel de seguridad objetivo es el nivel de seguridad que una primitiva fue diseñada inicialmente para alcanzar, aunque a veces también se utiliza el término "nivel de seguridad" en esos contextos. Cuando se encuentran ataques que tienen un coste menor que la afirmación de seguridad, la primitiva se considera vulnerable . [ 4 ] [ 5 ]
En criptografía simétrica
Los algoritmos simétricos suelen tener una declaración de seguridad estrictamente definida. Para los cifrados simétricos , suele ser igual al tamaño de la clave del cifrado, equivalente a la complejidad de un ataque de fuerza bruta . [ 5 ] [ 6 ] Las funciones hash criptográficas con un tamaño de salida de n bits suelen tener un nivel de seguridad de resistencia a colisiones n /2 y un nivel de resistencia a preimágenes n . Esto se debe a que el ataque general de cumpleaños siempre puede encontrar colisiones en 2 n/2 pasos. [ 7 ] Por ejemplo, SHA-256 ofrece una resistencia a colisiones de 128 bits y una resistencia a preimágenes de 256 bits.
Sin embargo, existen algunas excepciones. Phelix y Helix son cifrados de 256 bits que ofrecen un nivel de seguridad de 128 bits. [ 5 ] [ 8 ] Las variantes SHAKE de SHA-3 también son diferentes: para un tamaño de salida de 256 bits, SHAKE-128 proporciona un nivel de seguridad de 128 bits tanto para la resistencia a colisiones como a preimágenes. [ 9 ]
En criptografía asimétrica
El diseño de la mayoría de los algoritmos asimétricos (es decir, la criptografía de clave pública ) se basa en problemas matemáticos elegantes que son eficientes de calcular en una dirección, pero ineficientes para el atacante en sentido inverso. Sin embargo, los ataques contra los sistemas de clave pública actuales siempre son más rápidos que la búsqueda por fuerza bruta en el espacio de claves. Su nivel de seguridad no se establece en la fase de diseño, sino que representa una suposición de dificultad computacional , que se ajusta para coincidir con el mejor ataque conocido hasta el momento. [ 6 ]
Se han publicado diversas recomendaciones que estiman el nivel de seguridad de los algoritmos asimétricos, las cuales difieren ligeramente debido a las diferentes metodologías empleadas.
- Para el criptosistema RSA con un nivel de seguridad de 128 bits, NIST y ENISA recomiendan usar claves de 3072 bits [ 10 ] [ 11 ] e IETF de 3253 bits. [ 12 ] [ 13 ] La conversión de la longitud de la clave a una estimación del nivel de seguridad se basa en la complejidad del GNFS . [ 14 ] : § 7.5
- El intercambio de claves Diffie-Hellman y DSA son similares a RSA en términos de la conversión de la longitud de la clave a una estimación del nivel de seguridad. [ 14 ] : § 7.5
- La criptografía de curva elíptica requiere claves más cortas, por lo que las recomendaciones para 128 bits son 256-383 (NIST), 256 (ENISA) y 242 bits (IETF). La conversión del tamaño de clave f al nivel de seguridad es aproximadamente f / 2: esto se debe a que el método para resolver el problema del logaritmo discreto de curva elíptica , el método rho, termina en 0,886 sqrt(2 f ) sumas. [ 15 ]
Niveles típicos
La siguiente tabla muestra ejemplos de niveles de seguridad típicos para los tipos de algoritmos que se encuentran en la sección 5.6.1.1 de la Recomendación SP-800-57 del NIST de EE. UU. para la gestión de claves . [ 16 ] : Tabla 2
Según la recomendación del NIST, una clave de un nivel de seguridad determinado solo debe transportarse bajo protección mediante un algoritmo de nivel de seguridad equivalente o superior. [ 14 ]
El nivel de seguridad se indica para el coste de descifrar un objetivo, no para el coste amortizado de un grupo de objetivos. Se necesitan 2¹²⁸ operaciones para encontrar una clave AES-128, pero se requiere el mismo número de operaciones amortizadas para cualquier número m de claves. Por otro lado, descifrar m claves ECC utilizando el método rho requiere √m veces el coste base. [ 15 ] [ 17 ]
Significado de "roto"
Se considera que una primitiva criptográfica está rota cuando se descubre que un ataque tiene un nivel de seguridad inferior al anunciado. Sin embargo, no todos estos ataques son prácticos: la mayoría de los ataques demostrados hasta la fecha requieren menos de 2⁴⁰ operaciones , lo que equivale a unas pocas horas en un PC promedio. El ataque más costoso demostrado contra las funciones hash es el ataque 2⁶¹ ,² contra SHA-1 , que tardó 2 meses en 900 GPU GTX 1060 y costó 75 000 dólares estadounidenses (aunque los investigadores estiman que solo se necesitaron 11 000 dólares para encontrar una colisión). [ 18 ]
Aumasson traza la línea divisoria entre ataques prácticos e imprácticos en 2 80 operaciones. Propone una nueva terminología: [ 19 ]
- Un primitivo defectuoso tiene un ataque que requiere ≤ 280 operaciones. Un ataque puede llevarse a cabo de manera plausible.
- Un primitivo herido requiere entre 280 y 2100 operaciones para atacar . Actualmente no es posible realizar un ataque, pero es probable que futuras mejoras lo hagan posible.
- Una primitiva atacada tiene un ataque que es más barato que la afirmación de seguridad, pero mucho más costoso que 2 100. Un ataque de este tipo está muy lejos de ser práctico.
- Finalmente, una primitiva analizada es aquella cuyos ataques no son más baratos que su afirmación de seguridad.
Ataques cuánticos
El campo de la criptografía postcuántica considera el nivel de seguridad de los algoritmos criptográficos frente a un hipotético atacante que posee una computadora cuántica .
- La mayoría de los ataques cuánticos a cifrados simétricos proporcionan una aceleración de raíz cuadrada respecto a su contraparte clásica, reduciendo así a la mitad el nivel de seguridad proporcionado. (La excepción es el ataque de deslizamiento con el algoritmo de Simon , aunque no ha demostrado ser útil para atacar AES). Por ejemplo, AES-256 proporcionaría 128 bits de seguridad cuántica, lo que aún se considera suficiente. [ 20 ] [ 21 ]
- El algoritmo de Shor promete una aceleración masiva en la resolución del problema de factorización, el problema del logaritmo discreto y el problema de la determinación del período, siempre que se disponga de una computadora cuántica suficientemente grande, del orden de millones de cúbits. Esto supondría el fin de RSA, DSA, DH, MQV, ECDSA, EdDSA, ECDH y ECMQV en sus formas actuales. [ 22 ]
Aunque aún no han aparecido ordenadores cuánticos capaces de realizar estas operaciones, los adversarios actuales podrían optar por « recolectar ahora, descifrar después »: almacenar los textos cifrados interceptados para poder descifrarlos cuando dispongan de ordenadores cuánticos suficientemente potentes. Como resultado, gobiernos y empresas ya han comenzado a trabajar en la transición a algoritmos resistentes a la computación cuántica. Ejemplos de estos esfuerzos incluyen las pruebas de Google y Cloudflare de TLS híbrido post-cuántico en Internet y [ 23 ] el lanzamiento por parte de la NSA de Commercial National Security Algorithm Suite 2.0 en 2022.
Referencias
- ↑ Publicación especial NIST 800-57 Parte 1, Revisión 5. Recomendación para la gestión de claves: Parte 1 – General , pág. 17.
- ↑ Lenstra, Arjen K. "Longitudes de clave: Contribución al Manual de Seguridad de la Información" (PDF) .
- ↑ Bernstein, Daniel J.; Lange , Tanja (4 de junio de 2012). «Grietas no uniformes en el hormigón: el poder de la precomputación gratuita» (PDF) . Avances en criptología - ASIACRYPT 2013. Notas de clase en informática. págs. 321–340 . doi : 10.1007/978-3-642-42045-0_17 . ISBN 978-3-642-42044-3.
- ↑ Aumasson, Jean-Philippe (2011). Criptoanálisis vs. Realidad (PDF) . Black Hat Abu Dhabi.
- 1 2 3 Bernstein, Daniel J. (25 de abril de 2005). Entendiendo la fuerza bruta (PDF) . Taller ECRYPT STVL sobre cifrado de clave simétrica.
- 1 2 Lenstra, Arjen K. (9 de diciembre de 2001). "Seguridad increíble: igualando la seguridad de AES mediante sistemas de clave pública" (PDF) . Avances en criptología — ASIACRYPT 2001. Notas de clase en informática. Vol. 2248. Springer, Berlín, Heidelberg. págs. 67–86 . doi : 10.1007/3-540-45682-1_5 . ISBN 978-3-540-45682-7.
- ↑ Alfred J. Menezes ; Paul C. van Oorschot ; Scott A. Vanstone . "Capítulo 9 - Funciones hash e integridad de datos" (PDF) . Manual de criptografía aplicada . pág. 336.
- ↑ Ferguson, Niels; Whiting, Doug; Schneier, Bruce; Kelsey, John; Lucks, Stefan; Kohno, Tadayoshi (24 de febrero de 2003). «Helix: Cifrado y autenticación rápidos en una única primitiva criptográfica» (PDF) . Cifrado rápido de software . Notas de clase en informática. Vol. 2887. Springer, Berlín, Heidelberg. págs. 330–346 . doi : 10.1007/978-3-540-39887-5_24 . ISBN 978-3-540-20449-7.
- ↑ Dworkin, Morris J. (agosto de 2015). Estándar SHA-3: Hash basado en permutaciones y funciones de salida extensibles (PDF) (Informe). NIST. pág. 23. doi : 10.6028/nist.fips.202 .
- ↑ Barker, Elaine (2020). Recomendación para la gestión de claves, parte 1 - General (PDF) (Informe). NIST. NIST. págs. 54–55 . doi : 10.6028/NIST.SP.800-57pt1r5 .
- ↑ Informe sobre algoritmos, tamaño de clave y parámetros – 2014. ENISA. Oficina de Publicaciones. 2013. pág. 37. doi : 10.2824/36822 . ISBN 978-92-9204-102-1Archivado del original el 17 de octubre de 2015. Consultado el 2 de enero de 2017 .
{{cite book}}: CS1 mantenimiento: otros ( enlace ) - ↑ Orman, Hilarie; Hoffman, Paul (abril de 2004). Determinación de la seguridad de las claves públicas utilizadas para el intercambio de claves simétricas . RFC. IETF. doi : 10.17487/RFC3766 .
- ↑ Giry, Damien. "Longitud de clave: comparación de todos los métodos" . keylength.com . Consultado el 2 de enero de 2017 .
- 1 2 3 "Guía de implementación para FIPS 140-2 y el Programa de validación de módulos criptográficos" (PDF) .
- 1 2 "El método rho" . Consultado el 21 de febrero de 2024 .
- ↑ Barker, Elaine (mayo de 2020). Recomendación para la gestión de claves, parte 1: general (PDF) (Informe). NIST. NIST. pág. 158. CiteSeerX 10.1.1.106.307 . doi : 10.6028/nist.sp.800-57pt1r5 .
- ↑ "Después de ECDH con Curve25519, ¿es inútil usar algo más fuerte que AES-128?" . Cryptography Stack Exchange .
- ↑ Gaëtan Leurent; Thomas Peyrin (8 de enero de 2020). SHA-1 es un desastre: primera colisión de prefijos elegidos en SHA-1 y su aplicación a la red de confianza PGP (PDF) (Informe). Archivo de preimpresiones de criptología de la IACR.
- ↑ Aumasson, Jean-Philippe (2020). Demasiadas criptomonedas (PDF) . Simposio de Criptomonedas del Mundo Real.
- ^ Bonnetain, Xavier; Naya-Plasencia, María; Schrottenloher, André (11 de junio de 2019). "Análisis de seguridad cuántica de AES" . Transacciones IACR sobre criptología simétrica . 2019 (2): 55– 93. doi : 10.13154/tosc.v2019.i2.55-93 .
- ↑ O'Shea, Dan (26 de abril de 2022). "AES-256 se une a la resistencia cuántica" . Fierce Electronics . Consultado el 26 de septiembre de 2023 .
- ↑ WOHLWEND, JEREMY (2016). "CRIPTOGRAFÍA DE CURVA ELÍPTICA: PRE Y POST CUÁNTICA" (PDF) .
- ↑ Bernstein, Daniel J. (2024-01-02). "Doble cifrado: Análisis de los argumentos de la NSA/GCHQ contra los sistemas híbridos. #nsa #cuantificación #riesgos #complejidad #costos" .
Lecturas adicionales
- Aumasson, Jean-Philippe (2020). Demasiadas criptomonedas (PDF) . Simposio sobre criptomonedas en el mundo real.
Véase también
- Criptografía
- Suposiciones de dificultad computacional