The_minimum_key_lengths.tex

\section{Минимальные длины ключей}
\selectlanguage{russian}

Оценим минимальную битовую длину ключа, необходимую для обеспечения криптостойкости, то есть защиты криптосистемы от атаки полным перебором всех возможных секретных ключей. Сделаем такие предположения:

\begin{itemize}
    \item одно ядро процессора выполняет $R = 10^7 \approx 2^{23}$ шифрований и расшифрований в секунду;
    \item вычислительная сеть состоит из $n = 10^3 \approx 2^{10}$ узлов;
    \item в каждом узле имеется $C = 16 = 2^4$ ядер процессора;
    \item нужно обеспечить защиту данных на $Y = 100$ лет, то есть на $S \approx 2^{32}$ с;
    \item выполняется закон Мура об удвоении вычислительной производительности на единицу стоимости каждые 2 года, то есть производительность вырастет в $M = 2^{Y/2} \approx 2^{50}$ раз.
\end{itemize}

Число попыток $N$ при переборе примерно равно
    \[ N \approx R \cdot n \cdot C \cdot S \cdot M, \]
    \[ N \approx 2^{23} \cdot 2^{10} \cdot 2^{4} \cdot 2^{32} \cdot 2^{50} = 2^{23+10+4+32+50} = 2^{119}. \]

Следовательно, минимально допустимая длина ключа для защиты от атаки перебором на 100 лет составляет порядка
    \[ \log_2 N \approx 119\text{ бит}. \]

Примером успешной атаки перебором может служить взлом перебором секретных ключей интернет-сетью из 78~000 частных компьютеров, производивших фоновые вычисления по проекту \textsc{DesChal}, предыдущего американского стандарта шифрования DES с 56-битовым секретным ключом в 1997 году.