Как измерить безопасность шифрования? В литрах кипятка!

Как измерить безопасность шифрования? В литрах кипятка!

Криптограф Билл Бьюкенен предложил наглядный способ говорить о стойкости алгоритмов. Обычно её выражают в битах безопасности, но можно перевести вычислительные затраты в энергию, а энергию — в количество воды, которое можно вскипятить. Тогда «лёгкий» взлом соответствует чайной ложке кипятка, более серьёзный требует энергии, чтобы довести до кипения олимпийский бассейн, а самые надёжные схемы сравнимы с океанами планеты.

Подобные оценки впервые прозвучали на конференции Crypto 2010, когда было показано, что для факторизации 768-битного RSA понадобилось бы энергии, достаточной, чтобы нагреть и довести до кипения два олимпийских бассейна. Это около полумиллиона киловатт-часов.

Из этих идей родилась терминология: 65 бит симметричного шифрования дают «защиту бассейна», а 114 бит — «глобальную защиту», то есть взлом эквивалентен кипячению всей воды Земли (1,4 млрд км³). Для сравнения: годовое производство энергии во всём мире (примерно 30 000 ТВт·ч) хватило бы только на взлом 91-битного шифрования или на кипячение Женевского озера.

Формула, связывающая длину ключа n с объёмом воды, выглядит так: число литров воды, которое можно вскипятить с энергией, необходимой для перебора, равно 6,777 × 10⁻¹⁴ × 2ⁿ.

Каждый дополнительный бит безопасности увеличивает требования не просто немного, а экспоненциально — от чайной ложки к бассейну, а от бассейна к океанам.