In der Geheimschrift, Schlüsselgröße oder Schlüssellänge ist die Größe, die in Bit des Schlüssels gemessen ist, der in einem kryptografischen Algorithmus (wie eine Ziffer) verwendet ist. Eine Schlüssellänge eines Algorithmus ist von seiner kryptografischen Sicherheit verschieden, die ein logarithmisches Maß des schnellsten bekannten rechenbetonten Angriffs auf den Algorithmus ist, der auch in Bit gemessen ist. Die Sicherheit eines Algorithmus kann seine Schlüssellänge nicht überschreiten (da jeder Algorithmus mit roher Gewalt geknackt werden kann), aber es kann kleiner sein. Zum Beispiel hat Dreifacher DES eine Schlüsselgröße von 168 Bit, aber stellt an den meisten 112 Bit der Sicherheit zur Verfügung, da ein Angriff der Kompliziertheit 2 bekannt ist. Dieses Eigentum von Dreifachem DES ist nicht eine Schwäche, vorausgesetzt dass 112 Bit der Sicherheit für eine Anwendung genügend sind. Die meisten Algorithmen des symmetrischen Schlüssels in der üblichen Anwendung werden entworfen, um ihrer Schlüssellänge gleiche Sicherheit zu haben. Keine Algorithmen des asymmetrischen Schlüssels mit diesem Eigentum sind bekannt; elliptische Kurve-Geheimschrift kommt das nächste mit einer wirksamen Sicherheit der grob Hälfte seiner Schlüssellänge.

Bedeutung

Schlüssel werden verwendet, um die Operation einer Ziffer zu kontrollieren, so dass nur der richtige Schlüssel encrypted Text (ciphertext) zu plaintext umwandeln kann. Viele Ziffern basieren auf öffentlich bekannten Algorithmen oder sind offene Quelle, und so ist es nur die Schwierigkeit, den Schlüssel zu erhalten, der Sicherheit des Systems bestimmt, vorausgesetzt, dass es keinen analytischen Angriff (d. h., eine 'Strukturschwäche' in den Algorithmen oder Protokollen verwendet) gibt, und annehmend, dass der Schlüssel (solcher als über den Diebstahl, die Erpressung oder den Kompromiss von Computersystemen) nicht sonst verfügbar ist. Der weit akzeptierte Begriff, dass die Sicherheit des Systems vom Schlüssel allein abhängen sollte, ist von Auguste Kerckhoffs (in den 1880er Jahren) und Claude Shannon (in den 1940er Jahren) ausführlich formuliert worden; die Behauptungen sind als der Grundsatz von Kerckhoffs und das Sprichwort von Shannon beziehungsweise bekannt.

Ein Schlüssel sollte deshalb groß genug sein, dass ein Angriff der rohen Gewalt (möglich gegen jeden Verschlüsselungsalgorithmus) unausführbar ist - d. h., zu lange nehmen würde, um durchzuführen. Die Arbeit von Shannon an der Informationstheorie hat gezeigt, dass, um so genannte vollkommene Geheimhaltung zu erreichen, es für die Schlüssellänge notwendig ist, mindestens so groß zu sein, wie die Nachricht, die zu übersenden und nur einmal zu verwenden ist (dieser Algorithmus wird das Ehemalige Polster genannt). Im Licht davon und der praktischen Schwierigkeit, solche langen Schlüssel zu führen, hat moderne kryptografische Praxis den Begriff der vollkommenen Geheimhaltung als eine Voraussetzung für die Verschlüsselung verworfen, und konzentriert sich stattdessen auf rechenbetonte Sicherheit, unter der die rechenbetonten Voraussetzungen, einen encrypted Text zu brechen, für einen Angreifer unausführbar sein müssen.

Die bevorzugten Zahlen, die allgemein als Schlüsselgrößen (in Bit) verwendet sind, sind Mächte zwei, potenziell multipliziert mit einer kleinen sonderbaren ganzen Zahl.

Schlüsselgröße und Verschlüsselungssystem

Verschlüsselungssysteme werden häufig in Familien gruppiert. Allgemeine Familien schließen symmetrische Systeme ein (z.B. AES) und asymmetrische Systeme (z.B. RSA); sie können gemäß dem Hauptalgorithmus verwendet (z.B elliptische Kurve-Geheimschrift) wechselweise gruppiert werden.

Da jeder von diesen von einem verschiedenen Niveau der kryptografischen Kompliziertheit ist, ist es üblich, verschiedene Schlüsselgrößen für dasselbe Niveau der Sicherheit abhängig von verwendetem Algorithmus zu haben. Zum Beispiel wird die mit einem 1024-Bit-Schlüssel verfügbare Sicherheit mit asymmetrischem RSA ungefähr gleich in der Sicherheit zu einem 80-Bit-Schlüssel in einem symmetrischen Algorithmus betrachtet (Quelle: RSA Sicherheit).

Der wirkliche Grad der Sicherheit erreicht ändert sich mit der Zeit, weil mehr rechenbetonte Macht und stärkere mathematische analytische Methoden verfügbar werden. Aus diesem Grund neigen cryptologists dazu, auf Hinweise zu schauen, die Algorithmus- oder Schlüssellänge Zeichen der potenziellen Verwundbarkeit zeigt, um zu längeren Schlüsselgrößen oder schwierigeren Algorithmen zu bewegen. Zum Beispiel war eine ganze 1039-Bit-Zahl factored mit dem speziellen Sieb des numerischen Feldes mit 400 Computern mehr als 11 Monate. Die factored Zahl war einer speziellen Form; das spezielle Sieb des numerischen Feldes kann auf RSA Schlüsseln nicht verwendet werden. Die Berechnung ist zum Brechen eines RSA 700-Bit-Schlüssels grob gleichwertig. Jedoch könnte das eine fortgeschrittene Warnung sein, dass im sicheren Online-Handel verwendeter 1024-Bit-RSA missbilligt werden sollte, da sie zerbrechlich in der nahen Zukunft werden können. Geheimschrift-Professor Arjen Lenstra hat bemerkt, dass "Letztes Mal man neun Jahre für uns gebraucht hat, um von einem speziellen bis eine nichtspezielle, zum Faktor harte Zahl" und wenn gefragt, zu verallgemeinern, ob RSA 1024-Bit-Schlüssel tot sind, hat gesagt: "Die Antwort auf diese Frage ist ein unqualifizierter ja."

Angriff der rohen Gewalt

Selbst wenn eine symmetrische Ziffer durch die Ausnutzung von Strukturschwächen in seinem Algorithmus zurzeit unzerbrechlich ist, ist es möglich, den kompletten Raum von Schlüsseln darin durchzubohren, was als ein Angriff der rohen Gewalt bekannt ist. Da längere symmetrische Schlüssel exponential mehr Arbeit zur Suche der rohen Gewalt verlangen, macht ein genug langer symmetrischer Schlüssel diese Linie des Angriffs unpraktisch.

Mit einem Schlüssel der Länge n Bit gibt es 2 mögliche Schlüssel. Diese Zahl wächst sehr schnell als n Zunahmen. Das Gesetz von Moore weist darauf hin, dass sich Rechenmacht grob alle 18 bis 24 Monate verdoppelt, aber sogar diese sich verdoppelnde Wirkung reist ab, haben die größeren symmetrischen Schlüssellängen zurzeit als annehmbar gut unerreichbar betrachtet. Wie man weit betrachtet, ist die Vielzahl von Operationen (2) erforderlich, alle möglichen 128-Bit-Schlüssel zu versuchen, für herkömmliche Digitalrechentechniken für die absehbare Zukunft unerreichbar. Jedoch werden alternative Formen der Rechentechnologie vorausgesehen, der höhere in einer Prozession gehende Macht haben kann als klassische Computer. Wenn ein angemessen großer Quant-Computer, der dazu fähig ist, den Algorithmus von Grover zuverlässig zu führen, verfügbar wird, würde es einen 128-Bit-Schlüssel unten zu 64-Bit-Sicherheit, grob einer DES Entsprechung reduzieren. Das ist einer der Gründe, warum AES eine 256-Bit-Schlüssellänge unterstützt. Sieh die Diskussion über die Beziehung zwischen Schlüssellängen und Quant-Rechenangriffen an der Unterseite von dieser Seite für mehr Information.

Symmetrische Algorithmus-Schlüssellängen

US-Regierungsexportpolitik hat lange die 'Kraft' der Geheimschrift eingeschränkt, die aus dem Land gesandt werden kann. Viele Jahre lang war die Grenze 40 Bit. Heute, eine Schlüssellänge von 40-Bit-Angeboten wenig Schutz gegen sogar einen zufälligen Angreifer mit einem einzelnen PC, einer voraussagbaren und unvermeidlichen Folge von Regierungsbeschränkungen, die Schlüssellänge beschränken. Als Antwort, vor dem Jahr 2000, wurden die meisten Haupt-US-Beschränkungen des Gebrauches der starken Verschlüsselung entspannt. Jedoch sind nicht alle Regulierungen entfernt worden, und die Verschlüsselungsregistrierung mit dem amerikanischen Büro von der Industrie und Sicherheit ist noch erforderlich, "Massenmarktverschlüsselungswaren, Software und Bestandteile mit der Verschlüsselung außerordentliche 64 Bit" zu exportieren.

Als die Datenverschlüsselungsstandardziffer 1977 veröffentlicht wurde, wie man dachte, war eine Schlüssellänge von 56 Bit genügend. Es gab Spekulation zurzeit jedoch, dass der NSA die Schlüsselgröße vom ursprünglichen Wert von 112 Bit (in der Ziffer von Luzifer von IBM) oder 64 Bit absichtlich reduziert hat (in einer der Versionen dessen, was als DES angenommen wurde), um die Kraft der für NichtuS-Benutzer verfügbaren Verschlüsselung zu beschränken. Der NSA hat Hauptrechenmittel und ein großes Budget; ein Gedanke, dass 56 Bit gegen Ende der 70er Jahre NSA-zerbrechlich waren. Jedoch, bis zum Ende der 90er Jahre, ist es klar geworden, dass DES in Zeitrahmen von ein paar Tagen mit der einzeln angefertigten Hardware geknackt werden konnte, die von einer großen Vereinigung gekauft werden konnte. Das Buch, das DES (O'Reilly and Associates) Knackt, erzählt vom erfolgreichen Versuch, 56-Bit-DES durch einen Angriff der rohen Gewalt zu brechen, der von einer cyber Gruppe der bürgerlichen Rechte mit beschränkten Mitteln organisiert ist; sieh EFF DES Kräcker. 56 Bit werden jetzt als ungenügende Länge für symmetrische Algorithmus-Schlüssel betrachtet, und können für einige Zeit gewesen sein. Mehr technisch und sind finanziell fähige Organisationen sicher im Stande gewesen dasselbe zu machen, lange bevor die Anstrengung im Buch beschrieben hat. Distributed.net und haben seine Freiwilligen einen RC5 64-Bit-Schlüssel in mehreren Jahren, mit ungefähr siebzigtausend (größtenteils nach Hause) Computer gebrochen.

Der Skipjack in seinem Programm von Fortezza verwendete Algorithmus des NSA verwendet 80-Bit-Schlüssel.

DES ist in vielen Anwendungen durch Dreifachen DES ersetzt worden, der 112 Bit der Sicherheit mit 168-Bit-Schlüsseln hat.

Der Fortgeschrittene 2001 veröffentlichte Verschlüsselungsstandard verwendet eine Schlüsselgröße (am Minimum) 128 Bit. Es kann auch Schlüssel bis zu 256 Bit (eine Spezifizierungsvoraussetzung für Vorlagen zum AES-Streit) verwenden. Wie man zurzeit denkt, sind 128 Bit, von vielen Beobachtern, für die absehbare Zukunft für symmetrische Algorithmen der Qualität von AES genügend. Die amerikanische Regierung verlangt 192 oder 256 Bit AES Schlüssel für hoch empfindliche Daten.

2003 hat das amerikanische Nationale Institut für Standards und Technologie, NIST, vorgeschlagen, dass 80-Bit-Schlüssel vor 2015 stufenweise eingestellt werden sollten. Bezüglich 2005 wurde 80-Bit-Schlüsseln erlaubt, nur bis 2010 verwendet zu werden.

Asymmetrische Algorithmus-Schlüssellängen

Die Wirksamkeit des öffentlichen Schlüssels cryptosystems hängt von der Hartnäckigkeit (rechenbetont und theoretisch) von bestimmten mathematischen Problemen wie ganze Zahl factorization ab. Diese Probleme sind zeitaufwendig, um zu lösen, aber gewöhnlich schneller als das Versuchen aller möglichen Schlüssel mit roher Gewalt. So müssen asymmetrische Algorithmus-Schlüssel für den gleichwertigen Widerstand länger sein, um anzugreifen, als symmetrische Algorithmus-Schlüssel. Bezüglich 2002 wurde eine Schlüssellänge von 1024 Bit allgemein als das für den RSA Verschlüsselungsalgorithmus notwendige Minimum betrachtet.

RSA Sicherheit behauptet, dass RSA 1024-Bit-Schlüssel in der Kraft zu symmetrischen 80-Bit-Schlüsseln, RSA 2048-Bit-Schlüsseln zu symmetrischen 112-Bit-Schlüsseln und RSA 3072-Bit-Schlüsseln zu symmetrischen 128-Bit-Schlüsseln gleichwertig sind. RSA behauptet, dass 1024-Bit-Schlüssel wahrscheinlich crackable eine Zeit zwischen 2006 und 2010 werden werden, und dass 2048-Bit-Schlüssel bis 2030 genügend sind. Eine RSA Schlüssellänge von 3072 Bit sollte verwendet werden, wenn Sicherheit außer 2030 erforderlich ist. NIST Schlüsselverwaltungsrichtlinien weisen weiter darauf hin, dass RSA 15360-Bit-Schlüssel in der Kraft zu symmetrischen 256-Bit-Schlüsseln gleichwertig sind.

Der Begrenzte Algorithmus von Feld Diffie-Hellman hat grob dieselbe Schlüsselkraft wie RSA für dieselben Schlüsselgrößen. Der Arbeitsfaktor, um Diffie-Hellman zu brechen, basiert auf dem getrennten Logarithmus-Problem, das mit der ganzen Zahl factorization Problem verbunden ist, auf dem die Kraft von RSA basiert. So hat ein Diffie-Hellman 3072-Bit-Schlüssel über dieselbe Kraft wie ein RSA 3072-Bit-Schlüssel.

Einer der asymmetrischen Algorithmus-Typen, elliptischer Kurve-Geheimschrift, oder ECC, scheint, mit kürzeren Schlüsseln sicher zu sein, als diejenigen, die durch andere asymmetrische Schlüsselalgorithmen erforderlich sind. NIST Richtlinien stellen fest, dass ECC Schlüssel zweimal die Länge der gleichwertigen Kraft symmetrische Schlüsselalgorithmen sein sollten. Also, zum Beispiel würde ein ECC 224-Bit-Schlüssel grob dieselbe Kraft wie ein symmetrischer 112-Bit-Schlüssel haben. Diese Schätzungen nehmen keine Hauptdurchbrüche im Beheben der zu Grunde liegenden mathematischen Probleme an, auf denen ECC basiert. Eine Nachricht encrypted mit einem elliptischen Schlüsselalgorithmus mit einem 109 Bit langen Schlüssel ist mit roher Gewalt gebrochen worden.

Der NSA gibt an, dass "Elliptische Kurve-Publikum-Schlüsselgeheimschrift mit dem 256-Bit-Hauptmodul elliptische Kurve, wie angegeben, in FIPS-186-2 und SHA-256 dafür passend ist, Verschlusssache bis zum HEIMLICHEN Niveau zu schützen. Der Gebrauch des 384-Bit-Hauptmoduls elliptische Kurve und SHA-384 ist für den Schutz der HEIMLICHEN SPITZEN-Information notwendig."

Die Wirkung der Quant-Computerwissenschaft greift auf der Schlüsselkraft an

Die zwei am besten bekannten Quant-Rechenangriffe basieren auf dem Algorithmus von Shor und dem Algorithmus von Grover. Der zwei, die Angebote von Shor die größere Gefahr zu aktuellen Sicherheitssystemen.

Ableitungen des Algorithmus von Shor werden weit vermutet, um gegen alle Hauptströmungsalgorithmen des öffentlichen Schlüssels einschließlich RSA, Diffie-Hellman und elliptischer Kurve-Geheimschrift wirksam zu sein. Gemäß Professor Gilles Brassard, einem Experten in der Quant-Computerwissenschaft: "Die Zeit, die zum Faktor erforderlich ist, eine RSA ganze Zahl ist dieselbe Ordnung wie die Zeit, musste diese dieselbe ganze Zahl wie Modul für eine einzelne RSA Verschlüsselung verwenden. Mit anderen Worten bringt es keine Zeit mehr, um RSA auf einem Quant-Computer (bis zu einer multiplicative Konstante) zu brechen, als, es legitim auf einem klassischen Computer zu verwenden." Die allgemeine Einigkeit besteht darin, dass diese öffentlichen Schlüsselalgorithmen an jeder Schlüsselgröße unsicher sind, wenn genug große Quant-Computer, die dazu fähig sind, den Algorithmus von Shor zu führen, verfügbar werden. Die Implikation dieses Angriffs ist, dass alle Daten encrypted das Verwenden aktueller Standards Sicherheitssysteme wie der allgegenwärtige SSL gestützt haben, der verwendet ist, um elektronischen Handel und Internetbankwesen zu schützen, und SSH, der verwendet ist, um Zugang zu empfindlichen Rechensystemen zu schützen, gefährdet ist. Daten von Encrypted haben das Verwenden von Algorithmen des öffentlichen Schlüssels geschützt kann archiviert werden und kann in einer späteren Zeit gebrochen werden.

Symmetrische Hauptströmungsziffern (wie AES oder Twofish) und Kollision widerstandsfähige Kuddelmuddel-Funktionen (wie SHA) werden weit vermutet, um größere Sicherheit gegen bekannte Quant-Rechenangriffe anzubieten. Sie werden weit vermutet, um für den Algorithmus von Grover am verwundbarsten zu sein. Bennett, Bernstein, Armbinde und Vazirani haben 1996 bewiesen, dass eine Schlüsselsuche der rohen Gewalt auf einem Quant-Computer nicht schneller sein kann als ungefähr 2 Beschwörungen des zu Grunde liegenden kryptografischen Algorithmus, im Vergleich zu ungefähr 2 im klassischen Fall. So in Gegenwart von großen Quant-Computern kann ein N-Bit-Schlüssel mindestens n/2 Bit der Sicherheit zur Verfügung stellen. Rohe Quant-Gewalt wird durch die Verdoppelung der Schlüssellänge leicht vereitelt, die kleine rechenbetonte Extrakosten im gewöhnlichen Gebrauch hat. Das deutet an, dass mindestens ein symmetrische 160-Bit-Schlüssel erforderlich ist, 80-Bit-Sicherheit zu erreichen, die gegen einen Quant-Computer gilt.

Siehe auch

• Schlüssel, der sich streckt
• Empfehlung für das Schlüsselmanagement - Teil 1: allgemein, NIST Spezielle Veröffentlichung 800-57. März 2007
• Flamme, Matt; Diffie, Whitfield; Rivest, Ronald L.;u. a. "Minimale Schlüssellängen für Symmetrische Ziffern, um Entsprechende Kommerzielle Sicherheit Zur Verfügung zu stellen". Januar 1996
• Arjen K. Lenstra, Eric R. Verheul: Das Auswählen Kryptografischer Schlüsselgrößen. J. Cryptology 14 (4): 255-293 (2001) - verbinden Citeseer

Links

• www.keylength.com: Eine keylength Online-Rechenmaschine
• Eine Diskussion über die Wichtigkeit von der Schlüssellänge (PDF Datei), verfügbar auch in PostScript und anderen Formaten
• Eine Diskussion darüber, wie viel Zeit wir verfügbar haben, bevor wir Schritte unternehmen müssen, um gegen die Quant-Computerwissenschaft zu schützen, greift an
• NIST Geheimwerkzeug
• Befreit die Diskussion des Projektes der Schlüssellänge/blass
• Burt Kaliski: WIRBELN SIE und RSA Schlüsselgrößen (Mai 2003)