Recommandation sur la Longueur des Clefs Cryptographiques

Dans la plupart des fonctions cryptographiques, la longueur des clefs est un paramètre sécuritaire important. Un certain nombre de publications académiques et gouvernementales fournissent des recommandations et des techniques mathématiques pour estimer la taille minimale sécuritaire des clefs cryptographiques. Malgré la disponibilité de ces publications, choisir une taille de clef appropriée reste complexe, la lecture et la compréhension de tous ces documents étant nécessaires.

Ce site internet vous permet d’évaluer une longueur de clef appropriée garantissant un niveau de sécurité minimal en implémentant les formules mathématiques et en résumant les informations disponibles dans toutes ces publications. Vous pouvez également comparer ces méthodes facilement. Les longueurs fournies ici sont conçues pour résister aux attaques mathématiques, elles ne prennent pas en considération les attaques algorithmiques, le matériel déficient, etc.
Choix de la méthode
NIST est une agence du Département du Commerce des États-Unis. Les résultats de ce rapport [4] peuvent servir aux agences fédérales. La première table contient les cryptopériodes de 19 types de clef. Une cryptopériode est la période déterminée au cours de laquelle un ensemble de clés de chiffrement peut être utilisé. La deuxième table contient les recommandations sur les tailles de clef.
Type de clef
Déplacer le curseur sur un type pour avoir sa description
Cryptopériode
Période pour l'usage de l'initiateur (OUP) Période pour l'usage du récepteur
Clef privée de signature
1-3 années -
Clef publique de signature Plusieurs années (dépendant de la taille de la clef)
Clef symétrique d'authentification
≤ 2 années ≤ OUP + 3 années
Clef privée d'authentification 1-2 années
Clef publique d'authentification 1-2 années
Clef symétrique de chiffrement de données
≤ 2 années ≤ OUP + 3 années
Clef symétrique d'encapsulation de clef
≤ 2 années ≤ OUP + 3 années
Clefs symétriques pour RBG
Voir SP 800-90 -
Clef maître symétrique
Environ 1 an -
Clef privée pour le transport de clef ≤ 2 années (1)
Clef publique pour le transport de clef 1-2 années
Clef symétrique pour l'échange de clef 1-2 années (2)
Clef privée statique pour l'échange de clef 1-2 années (3)
Clef publique statique pour l'échange de clef 1-2 années
Clef privée unique pour l'échange de clef Une clef unique par transaction
Clef publique unique pour l'échange de clef Une clef unique par transaction
Clef symétrique d'autorisation ≤ 2 années
Clef privée d'autorisation ≤ 2 années
Clef publique d'autorisation ≤ 2 années
Dans certains cas, des facteurs de risque affectent la sélection de la cryptopériode (cf. section 5.3.1 du rapport [4]).
(1) Dans certains clients de courriel, les messages reçus sont stockés et déchiffrés plus tard. La cryptopériode de la clef privée servant à transporter la clef privée de déchiffrement peut alors être supérieure à la cryptopériode de la clef publique de transport.
(2) Dans certains clients de courriel, les messages reçus sont stockés et déchiffrés plus tard. La cryptopériode de la clef du récepteur peut alors être supérieure à la cryptopériode de la clef de l'initiateur (OUP).
(3) Dans certains clients de courriel, les messages reçus sont stockés et déchiffrés plus tard. La cryptopériode de la clef privée servant à échanger la clef privée de déchiffrement peut alors être supérieure à la cryptopériode de la clef publique d'échange correspondante.
TDEA (Triple Data Encryption Algorithm) et AES sont spécifiés dans [10].
Hash (A): Signatures digitales et autres utilisations nécessitant une résistance à la collision.
Hash (B): HMAC, KMAC, fonctions de dérivation de clef et génération de bit aléatoire.
Date Niveau de Sécurité Algorithme symétrique Factorisation
Module
Logarithme discret
Clef Groupe
Courbe elliptique Hash (A) Hash (B)
Legacy (1) 80 2TDEA 1024
160 1024
160 SHA-1 (2)
2019 - 2030 112 (3TDEA) (3)
AES-128		 2048
224 2048
224 SHA-224
SHA-512/224
SHA3-224
2019 - 2030
et au-delà		 128 AES-128 3072
256 3072
256 SHA-256
SHA-512/256
SHA3-256		 SHA-1
KMAC128
2019 - 2030
et au-delà		 192 AES-192 7680
384 7680
384 SHA-384
SHA3-384		 SHA-224
SHA-512/224
SHA3-224
2019 - 2030
et au-delà		 256 AES-256 15360
512 15360
512 SHA-512
SHA3-512		 SHA-256
SHA-512/256
SHA-384
SHA-512
SHA3-256
SHA3-384
SHA3-512
KMAC256
Les tailles de clef sont exprimées en bit. Ces résultats garantissent une sécurité minimale.
Cliquer sur une valeur pour la comparer avec les autres méthodes.
(1) Les algorithmes et les longueurs de clefs ayant un niveau de sécurité de 80 bits peuvent être utilisés en raison de leurs présences dans d’anciennes applications (c'est-à-dire qu'ils peuvent être utilisés pour traiter d’anciennes données protégées par cryptographie). Ils ne doivent pas être utilisés pour appliquer une protection cryptographique (par exemple, un chiffrement).
(2) Il a été démontré que SHA-1 fournit une sécurité inférieure à 80 bits pour les signatures numériques qui requiert une résistance à la collision. En 2020, la résistance aux collisions reste un sujet spéculatif.
(3) Bien que 3TDEA soit répertorié comme fournissant 112 bits de sécurité, son utilisation a été déconseillée (voir SP 800-131A) jusqu'en 2023, après quoi il sera interdit pour réaliser une protection cryptographique. L'utilisation d'un algorithme obsolète signifie que l'algorithme ou la longueur de clé peut être utilisé si le risque de le faire est acceptable.

Remarques :
  • Dans le cas de HMAC et KMAC, qui nécessitent des clefs, le niveau de sécurité estimée suppose que la longueur et l'entropie utilisées pour générer les clefs sont au moins égales au niveau de sécurité. La même remarque s'applique aux fonctions de dérivation de clé et aux fonctions de génération aléatoire de bits qui nécessitent une entropie adéquate et suffisante pour prendre en charge le niveau de sécurité souhaité.
  • Il est toujours acceptable d'utiliser une fonction de hachage avec un niveau de sécurité plus élevé.
  • Dans un système de chiffrement par bloc (AES ou TDEA par exemple), la taille du bloc est un élément sécuritaire important. Consulter cette page pour plus d’information.
  • La sécurité des algorithmes basés sur la factorisation (RSA) et la cryptographie à courbe elliptique (ECDSA, EdDSA, DH, MQV) sera considérablement affectée lorsque l'informatique quantique deviendra une réalité.
© 2024 BlueKrypt - v 32.3 - 24 Mai 2020
Auteur: Damien Giry
Approuvé par Pr. Jean-Jacques Quisquater
Contact:
Pour des informations sur la règlementation en cryptologie: Crypto Law Survey / Digital Signature Law Survey.
Bibliographie[1] Selecting Cryptographic Key Sizes, Arjen K. Lenstra and Eric R. Verheul, Journal Of Cryptology, vol. 14, p. 255-293, 2001.
[2] Key Lengths, Arjen K. Lenstra, The Handbook of Information Security, 06/2004.
[3] Algorithms, Key Size and Protocols Report (2018), H2020-ICT-2014 – Project 645421, D5.4, ECRYPT-CSA, 02/2018.
[4] Recommendation for Key Management, Special Publication 800-57 Part 1 Rev. 5, NIST, 05/2020.
[5] Mécanismes cryptographiques - Règles et recommandations, Rev. 2.03, ANSSI , 02/2014.
[6] Commercial National Security Algorithm, National Security Agency (NSA), 01/2016.
[7] Determining Strengths for Public Keys Used for Exchanging Symmetric Keys, RFC 3766, H. Orman and P. Hoffman, 04/2004.
[8] Cryptographic Mechanisms: Recommendations and Key Lengths, TR-02102-1 v2020-01, BSI, 03/2020.
[10] Block Cipher Techniques, NIST.
Confidentialité  |  Limitation de responsabilité / Droit de reproduction  |  Détails des mises à jour