INFOTEH-JAHORINA Vol. 10, Ref. F-14, p. 963-966, March 2011.

PREPORUKE ZA KRIPTOALGORITME I DUŽINE KLJUČEVA PKI SISTEMA

RECOMMENDATIONS FOR PKI CRYPTO ALGORITHMS AND KEY LENGTHS

Bogdan Brkić, Ministarstvo finansija Republike Srpske

Miroslav Ćajić, MikroByte d.o.o.

Sadržaj - U današnje vrijeme kriptografski algoritmi se sve više primjenjuju kako bi se

postigao zadovoljavajući nivo bezbjednosti informacionih sistema. Sama implementacija
sistema zaštite bazirana na kriptografskim algoritmima nije dovoljna ukoliko se ne izvrši
adekvatan izbor algoritma i parametara. Jedan od najvažnijih parametara sistema zaštite
je dužina kriptoloških ključeva. Zato ćemo u ovom preglednom radu analizirati najnovije
preporuke mjerodavnih svjetskih organizacija u pogledu izbora algoritama i dužine
ključeva, sublimirati ih i pokušati dati vlastite uzevši u obzir oblast u kojoj bi se
primjenjivali.

Abstract – Cryptographic algorithms are increasingly used in order to achieve a

satisfactory level of information systems security. Only the implementation of the system
protection based on cryptographic algorithms is not enough if we don’t make the proper
choice of algorithm and parameters. One of the most important system protection
parameter is the length of the cryptographic keys. In this paper we will analyze the latest
recommendations of relevant international organizations in terms of choice of algorithms
and key length, sublimate them and try to make their own taking into account the area in
which they will be applied.

Ključne riječi: Infrastruktura javnog ključa, digitalni potpis, kriptografski algoritmi,

kriptografski ključevi, generatori slučajnih brojeva

Keywords: PKI, digital signature, cryptographic algorithms, cryptographic keys, random

number generators

1. UVODNA RAZMATRANJA 2. PREPORUKE ZA HASH FUNKCIJE

Sigurnost kvalifikovanog elektronskog potpisa zavisi Da bi se izvršilo potpisivanje podataka i verifikovao

prvenstveno od izbora kriptografskih algoritama i dužine digitalni potpis neophodno je heširati podatke. Heš podataka
upotrebljenih ključeva. Iz tih razloga relevantne organizacije predstavlja tzv. „digitalni otisak podataka“. Heš funkcije su
za standardizaciju kao što su: ISO/IEC, NIST, IEEE, BSI jednosmjerne funkcije, što znači da je nemoguće
daju preporuke za izbor algoritama i dužine ključeva. rekonstruisati originalan podatak poznavanjem njegove heš
Dugoročne preporuke u ovoj oblasti su nezahvalne pa se one vrijednosti. Heš vrijednosti različitih podataka su različite.
daju na period od najviše 5-7 godina. Iako je teško predvidjeti Relativno je jednostavno dobiti heš vrijednost podataka.
da li će u narednom periodu odabrani algoritmi i dužine
ključeva zadovoljavati bezbjednosne zahtjeve, treba birati Upotreba heš funkcija SHA-1 i RIPEMD-160 se ne
najnovije i najbolje ocijenjene algoritme kao i što veće dužine preporučuje nakon 2015. godine. Njihova upotreba do tada se
ključeva. Trenutno na našem prostoru nema preporuka nekog preporučuje samo u svrhu verifikacije kvalifikovanih
mjerodavnog tijela, pa ćemo se poslužiti podacima sertifikata. U narednih sedam godina, do kraja 2017. godine,
njemačkog Federalnog ureda za informacionu bezbjednost predlaže se upotreba sledeće tri heš funkcije: SHA-256,
(Bundesamt für Sicherheit in der Informationstechnik - BSI) SHA-384, SHA-512 pri kvalifikovanom potpisivanju. SHA-
iz decembra 2010. godine. Da bi se donijele ispravne 224 je za kvalifikovano potpisivanje prihvatljiva za upotrebu
preporuke u obzir treba uzeti trenutno stanje u kriptoanalizi i do kraja 2015. godine. Preporuke [1] za heš funkcije su
očekivane trendove. Preporuke uključuju najvažnije sistematizovane u sledećoj tabeli:
algoritme relevantne za praktične aplikacije i ne odnose se na
specifičan softver i hardver. U nastavku će biti razmatrani: Heš algoritam
Preporučeni period Preporučena
upotrebe namjena
• algoritmi za heširanje podataka, verifikacija
SHA-1, RIPEMD-160 kraj 2015. kvalifikovanih
• asimetrični algoritmi za potpisivanje i verifikaciju
sertifikata
digitalnog potpisa i kvalifikovano
• tehnike za generisanje para ključeva koji se koriste SHA-224 kraj 2015.
potpisivanje
za digitalno potpisivanje. SHA-256, SHA-384, kvalifikovano
kraj 2017.
SHA-512 potpisivanje
Tabela 1. Preporuke [1] za heš algoritme

963
Prema preporukama NIST instituta [2] odobreni algoritmi za • ECGDSA sa p bez ograničenja i q=224 do kraja
heširanje navedeni su u standardu FIPS 180-3 i to su: SHA-1, 2015. godine
SHA-224, SHA-256, SHA-384, SHA-512 • ECGDSA sa p bez ograničenja i q=250 do kraja
2017. godine
Preporučeni period Preporučena
Heš algoritam
upotrebe namjena Za ECGDSA (Elliptic Curve based German Digital
tokom 2010. Signature Algorithm) sa krivom E: y2+xy=x3+a x2+b
prihvatljiv i tačkom P generisanim nad konačnim poljem od 2n
generisanje
zastario u periodu digitalnog elemenata
2011.-2013. potpisa • ECGDSA sa m bez ograničenja i q=224 do kraja
nakon 2013. 2015. godine
SHA-1
neprihvatljiv • ECGDSA sa m bez ograničenja i q=250 do kraja
prihvatljiv 2017. godine
tokom 2010.
verifikovanje
za postojeće ali ne i za Prema preporukama NIST instituta [3] u pogledu upotrebe
digitalnog potpisa
nove aplikacije nakon asimetričnih algoritama su sledeće:
2010.
SHA-224 za sve aplikacije u Preporučena
Namjena Preporučeni period upotrebe
SHA-256, SHA-384, prihvatljiv kojima se koristi namjena
SHA-512 heširanje tokom 2010.
DSA: p≥1024 i q≥160 prihvatljiv,
Tabela 2. Preporuke [3] za heš algoritme DSA: p<2048 ili q<224 zastario u periodu
RSA: 1024≤n<2048 2011.-2013,
Prema trećem izvoru, a to je istraživačka mreža koja je Generisanje ECDSA: 160≤n<224 nakon 2013.
oformljena unutar ICT - FP7 programa Evropske komisije, digitalnog neprihvatljiv
potpisa
[3] nema preporuka u smislu vremenskog ograničenja za
DSA: p≥2048 i q≥224
upotrebu pojedinih heš funkcija. Iz datih ocjena pojedinih
RSA: n≥2048 prihvatljiv
algoritama i ovdje se može zaključiti da se preporučuje ECDSA: n≥224
upotreba: SHA-224, SHA-256, SHA-384, SHA-512 u odnosu na
ostale heš funkcije prihvatljiv
DSA: p≥1024 i q≥160
tokom 2010.,
DSA: p<2048 ili q<224
3. PREPORUKE ZA ASIMETRIČNE ALGORITME nakon 2010. za
RSA: 1024≤n<2048
Verifikacija postojeće ali ne i za
ECDSA: 160≤n<224
digitalnog nove aplikacije
Najčešće korišteni asimetrični algoritam je RSA. Ovaj
potpisa
algoritam datira iz 1977. godine a njegovi pronalazači su DSA: p≥2048 i q≥224
Rivest, Šamir i Adleman. 1984. godine ElGamal je predstavio RSA: n≥2048 prihvatljiv
još novu šemu za digitalno potpisivanje. Jedna varijanta ove ECDSA: n≥224
metode je DSA (Digital Signature Algorithm). ECDSA
Tabela 3. Preporuke [3] za asimetrične algoritme
algoritmi su posebna klasa DSA algoritama bazirani na
eliptičkim krivima. Bezbjednost ovih algoritama zasniva se
Prema [3] preporučuje se upotreba RSA algoritma sa n≥2432
na sledećim matematičkim problemima:
uz 224-bitno heširanje i e>65536.
• faktorizacija velikih cijelih brojeva i
• računanje diskretnog logaritma u konačnim poljima
4. PREPORUKE ZA GENERISANJE PARA
KLJUČEVA
Preporuke za asimetrične algoritme daju se u vidu vrste
algoritama i preporučenih vrijednosti za parametre algoritma Kao što je već rečeno za generisanje parametara
(n,p,q). Za asimetrično šifrovanje/dešifrovanje preporuke [1] kriptografskih algoritama i za generisanje kriptografskih
su sledeće: ključeva neophodni su slučajni brojevi. Kod digitalnog
potpisivanja koje koristi DSA algoritam, za svako
• RSA sa n minimalno 1976 do kraja 2017. godine potpisivanje potrebno je generisati novi slučajni broj.
• za period do kraja 2017. godine generalno se
preporučuje RSA sa n=2048 Generalne preporuke za generatore slučajnih brojeva su:
• izvor generatora treba da je prirodan šum
• DSA sa p minimalno 2048 i q=224 do kraja 2015. elektromehaničke, elektromagnetske ili
godine kvantnomehaničke prirode
• za period do kraja 2017. godine generalno se • ako je izvor digitalni šum, treba ga postprocesirati
preporučuje DSA sa p=2048 i q=256
Preporuka za fizičke generatore slučajnih brojeva je da od
Za ECGDSA (Elliptic Curve based German Digital početka 2011. godine zadovoljavaju uslov da su P2
Signature Algorithm) sa krivom E: y2=x3+ax+b i generatori. To znači da bi digitalizovani signali šuma trebali
tačkom P generisanim nad konačnim poljem od p da zadovolje statističke testove trajno ili barem tokom
elemenata

964
operacije generisanja slučajnih brojeva tj. tokom "on-line" 5. ALGORITMI I DUŽINE KLJUČEVA ČIJA
testova. UPOTREBA SE VIŠE NE PREPORUČUJE

Iako se za rad sertifikacionih tela preporučuje upotreba Iz svega navedenog može se zaključiti da algoritme sa
fizičkih generatora, kao alternativa se mogu koristiti određenim parametrima i dužine ključeva koji su ranije bile
generatori pseudoslučajnih brojeva koji moraju biti klase K3- preporučivane više ne treba koristiti. U sledećoj tabeli nalazi
DRNG, što znači: se pregled algoritama koje ne treba koristiti sa prethodno
• da je za napadača "računski neisplativo" da za preporučivanim parametrima:
razumno vreme iz bilo koje poznate sekvence
slučajnih brojeva izračuna brojeve koje prethode ili
slede toj sekveci Kriptografski
Kraj upotrebe
• da napadač nije u mogućnosti da izračuna interno algoritam (parametri)
stanje generatora na osnovu neke sekvence slučjnih kraj 2010.god. (generisanje
SHA-1
brojeva kvalifikovanih sertifikata)
• da napadač ne može da izračuna slučajni broj ili kraj 2010. god. (generisanje
RIPEMD-160
interno stanje generatora uz poznatu sekvencu sa kvalifikovanih sertifikata)
verovatnoćom koja je značajno veća nego da kraj 2000.god.
RSA (n=756)
(šifrovanje/dešifrovanje)
sekvenca nije poznata
mart 2008.god.
• entropija inicijalnih vrednosti (seed) treba da je RSA (n=1024)
(šifrovanje/dešifrovanje)
najmanje 80 bita, a preporučuje se 100 bita
kraj 2008.god.
RSA (n=1280)
(šifrovanje/dešifrovanje)
Ako nisu zadovoljeni ovi uslovi, generatori se smatraju kraj 2009.god.
potencijalno nesigurnim. Termin "računski neisplativo" znači RSA (n=1536)
(šifrovanje/dešifrovanje)
da upotrebom postojeće računarske opreme nije moguće kraj 2010.god.
izračunati određene podatke za vreme tokom kog postoji RSA (n=1736)
(šifrovanje/dešifrovanje)
važnost tih podataka. Pseudogeneratori bi trebali da su DSA kraj 2007.god.
najmanje klase K4-DRNG, što znači da treba da zadovolje (p=1024, q=160) (šifrovanje/dešifrovanje)
uslov da je za napadača "računski neisplativo" da uz DSA kraj 2008.god.
poznavanje internog stanja generatora ili da pogodi prethodni (p=1280, q=160) (šifrovanje/dešifrovanje)
slučajni broj ili prethodno interno stanje sa verovatnoćom DSA kraj 2009.god.
značajno većom nego da ne poznaje interno stanje. (p=1536, q=160) (šifrovanje/dešifrovanje)
DSA kraj 2009.god.
Pseudogeneratori koji se koriste za generisanje ključeva koji (p=2048, q=160) (šifrovanje/dešifrovanje)
će se koristiti pri kvalifikovanom elektronskom potpisivanju ECDSA E(Fp) kraj 2006.god.
obavezno moraju biti klase K4-DRNG. (q=160) (šifrovanje/dešifrovanje)
ECDSA E(Fp) kraj 2005.god.
(p=192, q=160) (šifrovanje/dešifrovanje)
Do kraja kraja 2009. godine je postojala preporuka da
ECDSA E(Fp) kraj 2009.god.
generatori slučajnih brojeva zadovoljavaju prethodne uslove (p=192, q=180) (šifrovanje/dešifrovanje)
tj. da su minimalno klase K3, a preporučivalo se da su klase ECDSA E(F2m) kraj 2006.god.
K4. Od početka 2010. godine važi preporuka da generatori (q=160) (šifrovanje/dešifrovanje)
zadovoljavaju uslove: ECDSA E(F2m) kraj 2005.god.
• entropija inicijalnih vrednosti je najmanje 100 bita, a (p=191, q=160) (šifrovanje/dešifrovanje)
preporučuje se 120 bita, ECDSA E(F2m) kraj 2009.god.
• generator pseudoslučajnih brojeva treba da je klase (p=191, q=180) (šifrovanje/dešifrovanje)
K4. Tabela 4. Algoritmi sa parametrima čija upotreba se više
Generisanje slučajnih brojeva je jedan od ključnih postupaka ne preporučuje
u kritptografiji. Ako su osnovni kriteriji za generisanje
kriptografskih ključeva brzina i manji nivo sigurnosti treba
koristiti pseudoslučajne generatore. Ako brzina nije značajna
ali se traži visok nivo sigurnosti, treba upotrebiti kriptografski 6. ZAKLJUČAK
sigurne pseudoslučajne generatore.
Preporuke za izbor kriptografskih algoritama i dužine
NIST preporučuje [4] korištenje generatora koji ključeva donose se na period 5-7 godina, uz stalno praćenje
zadovoljavaju njihov standard [SP 800-90] za generisanje trendova iz oblasti kriptografije i kriptoanalize. Za sledeće
slučajnih brojeva determinističkim generatorima slučajnih heš algoritme, asimetrične algoritme i generatore slučajnih
brojeva. brojeva mogu se dati generalne preporuke: SHA-224, SHA-
256, SHA-384, SHA-512, RSA (n≥2048), DSA (p≥2048, q≥224),
ECRYPT II [3] ne sadr#e preporuke u pogledu generisanja ECDSA (n≥224) i pseudogeneratori klase K4-DRNG.
slučajnih brojeva koji se koriste za dobijanje kriptoloških
ključeva.

965
LITERATURA

[1] Bundesnetzagentur für Elektrizität, Gas,

Telekommunikation, Post und Eisenbahnen,
Bekanntmachung zur elektronischen Signatur
nach dem Signaturgesetz und der Signaturverordnung
(Übersicht über geeignete Algorithmen), decembar 2010.

[2] NIST National Institute of Standards and Technology

U.S., Cryptographic Algorithms and Key Sizes for Personal
Identity Verification, [SP 800-131A], decembar 2010.

[3] ECRYPT II European Network of Excellence in

Cryptology II, Yearly Report on Algorithms and Keysizes
(2009-2010), mart 2010.

[4] NIST National Institute of Standards and Technology

U.S., Recommendation for Random Number Generation
Using Deterministic Random Bit Generators, [SP 800-90],
mart 2007.

966