Recommandation sur la Longueur des Clefs Cryptographiques

Dans la plupart des fonctions cryptographiques, la longueur des clefs est un paramètre sécuritaire important. Un certain nombre de publications académiques et gouvernementales fournissent des recommandations et des techniques mathématiques pour estimer la taille minimale sécuritaire des clefs cryptographiques. Malgré la disponibilité de ces publications, choisir une taille de clef appropriée reste complexe, la lecture et la compréhension de tous ces documents étant nécessaires.

Ce site internet vous permet d’évaluer une longueur de clef appropriée garantissant un niveau de sécurité minimal en implémentant les formules mathématiques et en résumant les informations disponibles dans toutes ces publications. Vous pouvez également comparer ces méthodes facilement. Les longueurs fournies ici sont conçues pour résister aux attaques mathématiques, elles ne prennent pas en considération les attaques algorithmiques, le matériel déficient, etc.

Choix de la méthode
ECRYPT est un réseau d'excellence en cryptologie. Ce rapport [3] se base sur le niveau de sécurité que veut atteindre l'utilisateur. Il reprend notamment les techniques utilisées dans le cadre de NESSIE.
Niveau Protection Symétrique Factorisation
Module
Logarithme discret
Clef Groupe
Courbe
elliptique
Hash
1 Attaque en temps réel par des particuliers
Acceptable uniquement pour l'authentification
32 -
- -
- -
2 Très courte protection contre les petites organisations
Ne dois pas être utilisé dans les nouveaux systèmes
64 816
128 816
128 128
3 Courte protection contre les organisations moyennes,
protection moyenne contre les petites organisations
Ne dois pas être utilisé dans les nouveaux systèmes
72 1008
144 1008
144 144
4 Très courte protection contre les agences,
longue protection contre les petites organisations
Niveau de base pour une utilisation générale,
3DES 2 clefs restreint à 240 clairs/chiffrés,
Ne dois pas être utilisé dans les nouveaux systèmes
80 1248
160 1248
160 160
5 Niveau historique standard
3DES 2 clefs restreint à 106 clairs/chiffrés,
Protection de 2017 à 2020
96 1776
192 1776
192 192
6 Protection à moyen terme
3DES 3 clefs, protection de 2017 à 2030
112 2432
224 2432
224 224
7 Protection au long terme
Recommandation générique,
protection de 2017 à 2040
128 3248
256 3248
256 256
8 "Futur prévisible"
Bonne protection contre les ordinateurs quantiques
en omettant l'algorithme de Shor
256 15424
512 15424
512 512
Les tailles de clef sont exprimées en bit. Ces résultats garantissent une sécurité minimale.
Cliquer sur une valeur pour la comparer avec les autres méthodes.
Les niveaux 32 et 64 bits ne doivent pas être utilisés pour la confidentialité, le niveau 32 n'assurant aucune protection et le niveau 64 étant très faible. Pour autant, ils peuvent être utilisés pour des applications non sécuritaires très spécifiques.

80 et 128 bits fournissent des niveaux de protections suffisants contre les recherches exhaustives par un attaquant standard (dans le cas symétrique). Pour autant, si l’on considère des attaques avec une grande capacité de stockage ou basées sur des précalcules, 80 bits ne suffisent plus et 128 bits assurent un niveau de sécurité correspondant à 80 bits. De façon générale, il faut doubler le niveau de sécurité pour se protéger contre ce type d’attaque.

La principale considération pour les fonctions de hachage est la taille des données résultantes de l'algorithme. Si l'application nécessite une résistance accrue contre les collisions, les données sortantes doivent être deux fois supérieures au niveau désiré. C'est par exemple le cas pour les signatures digitales. À l’inverse, la sortie de l’algorithme peut être tronquée pour authentifier un message. MD5 ne doit plus être utilisé (en raison des attaques par collisions) et SHA1 ne fournit plus qu'une sécurité marginale.

Il est important de noter que les recommandations pour le logarithme discret et les courbes elliptiques s'appliquent pour des corps d'ordre premier. Pour le logarithme discret dans des corps finis, la table doit être révisée en tenant compte des attaques connues. Toutefois, les membres ECRYPT ne sont pas au courant du déploiement de systèmes basés sur le logarithme discret dans de tels cas.
Pour les courbes elliptiques, les recommandations dans les corps binaires doivent tenir compte de la taille du corps 2p, où p est un nombre premier de taille légèrement plus grande que la taille du groupe/clef. Si, en outre, le matériel [11] est considéré comme une menace, environ 10 bits devraient être ajoutés à la taille de la clef dans ce cas.
© 2017 BlueKrypt - v 30.4 - 23 Février 2017
Auteur: Damien Giry
Approuvé par Pr. Jean-Jacques Quisquater
Contact:
Pour des informations sur la règlementation en cryptologie: Crypto Law Survey / Digital Signature Law Survey.
Bibliographie[1] Selecting Cryptographic Key Sizes, Arjen K. Lenstra and Eric R. Verheul, Journal Of Cryptology, vol. 14, p. 255-293, 2001.
[2] Key Lengths, Arjen K. Lenstra, The Handbook of Information Security, 06/2004.
[3] Yearly Report on Algorithms and Keysizes (2012), D.SPA.20 Rev. 1.0, ICT-2007-216676 ECRYPT II, 09/2012.
[4] Recommendation for Key Management, Special Publication 800-57 Part 1 Rev. 4, NIST, 01/2016.
[5] Mécanismes cryptographiques - Règles et recommandations, Rev. 2.03, ANSSI , 02/2014.
[6] Commercial National Security Algorithm, Information Assurance Directorate at the NSA, 01/2016.
[7] Determining Strengths for Public Keys Used for Exchanging Symmetric Keys, RFC 3766, H. Orman and P. Hoffman, 04/2004.
[8] Kryptographische Verfahren: Empfehlungen und Schlüssellängen, TR-02102-1 v2017-01, BSI, 02/2017.
[11] Parallel Collision Search with Cryptanalytic Applications, P. C. van Oorschot and M. J. Wiener, Journal of Cryptology 12:1, 1999.
Confidentialité (P3P)  |  Limitation de responsabilité / Droit de reproduction  |  Détails des mises à jour