Blog

Témata:

4. 5. 2026

Bezpečnost Kryptografie

Velikost klíčů a porovnání výsledné síly ochrany

Jak porovnat bezpečnost kryptografických algoritmů s různou velikostí klíčů?

Většina správců se řeší co možná největší klíče, které zaručí bezpečnost. Ale pokud je potřeba řešit vztah mezi velikostí klíčů (klíčového materiálu), je pro ně srovnání náročné. Co je lepší? Jak porovnat 128b klíč u symetrických šifer s 4096b RSA? Co by mělo být bezpečnější? Případně aktuální otázka, jak porovnat sílu klasických a kvantově odolných algoritmů? Co má vliv na hodnocení?

Složitost a bezpečnostní ekvivalent

Do příchodu kvantových počítačů nám matematika jasně diktovala minimální velikosti klíčů zhruba následujícím způsobem. Na základě vlastností algoritmu nebo nejlepšího známého útoku se k němu spočítala celková složitost, uváděná jako počet operací. Protože se tato složitost vyjadřuje jako mocnina dvojky, exponent je vyjádřením bezpečnostního ekvivalentu i bezpečnosti.

Proč složitost algoritmu nestačí?

Pokud se tento výstup porovná s oficiálními doporučeními, jsou zde jisté drobné rozdíly. Ty jsou dané architekturou algoritmu, implementací, specifickými vlastnostmi algoritmu a případně bezpečnostní rezervou. Přesně tyto důvody vedou k přibližně 20 % - 30 % nárůstu požadované velikosti klíčů u asymetrických algoritmů, uváděných v dokumentacích BSI, ECRYPT, NIST, NUKIB a dalších. A zároveň to je i důvod, proč je vhodné se takovou radou řídit. Spoléhání jenom na vyjádření složitosti může být krátkozraké, a zvláště u asymetrických algoritmů nemusí zcela odpovídat skutečnosti.

Požadavky na šířku klíčů dle složitosti problému

Bezpečnostní ekvivalent	RSA (bitů)	DLP-MG (bitů)	DLP-AG (bitů)	Hash (bitů)	Symetrické algoritmy (bitů)
64	355	600	129	128	64
92	812	1392	185	184	92
112	1284	2218	225	224	112
128	1758	3052	257	256	128
160	2993	5234	321	320	160
192	4648	8173	385	384	192
224	6766	11949	449	448	224
256	9389	16642	513	512	256
384	25715	46029	769	768	384
512	53100	95636	1025	1024	512

Z uvedené tabulky je na první pohled zřejmé, jak dopadl algoritmus RSA, založený na faktorizaci. V případě kolonky DLP-MG (problém diskrétního logaritmu nad multiplikativní grupou) tato pokrývá algoritmus Diffie-Hellman, ale týká se také algoritmu ElGamal, Schnorova podpisu a algoritmu DSA. Další sloupcem je DLP-AG (problém diskrétního logaritmu nad aditivní grupou). Ten zahrnuje algoritmy jako je ECDH, ECDSA a EDDSA. Následují hash setříděné podle šířky výstupu, a nakonec symetrické algoritmy, pod které je možné zařadit blokové a proudové algoritmy jako je AES, CHACHA20 a další. U symetrických algoritmů je uvažován pouze vliv délky klíče.

Změna způsobená kvantovými počítači

Příchod kvantových počítačů vše mění. Původní představa o bezpečnosti vzala za své, většina algoritmů dostala z hlediska bezpečnosti, jak se říká, za uši. Současné asymetrické algoritmy by Shorovým algoritmem měly být zlomeny, pro symetrické algoritmy s malou šířkou klíče je pak hrozbou Groverův algoritmus. Z uvedeného důvodu nemá smysl se vůbec věnovat asymetrickým algoritmům v předchozí tabulce (RSA, Diffie-Hellman, ElGamal, Schnorův podpis, DSA, ECDH, ECDSA a EDDSA), protože složitost útoku je extrémně nízká. Takový útok by se v případě vytvoření kryptograficky relevantního kvantového počítače odehrál v řádu minut až hodin. Na druhou stranu se objevují nové algoritmy, které jsou připraveny těmto útokům odolat. První přehled proto popisuje, jak se změní bezpečnost hash funkcí o určité šířce výstupu a obdobně symetrických algoritmů o specifické délce klíče.

Historická souvislost

Šířka klíče jako taková možná do budoucna nebude dostatečnou ochranou. Současná situace mi tak trochu připomíná situaci s algoritmem DES a 3DES. V letech 1995-2000 se vzhledem k narůstajícím objemům dat uvažovalo o rizicích algoritmů s blokem o velikosti 64 bitů. Z důvodu ochrany před některými útoky se jako dočasné řešení použila dvoj, případně trojnásobná šířka klíče. Proto vznikly dvě varianty algoritmu 3DES, kde první prováděla šifrování pomocí tří samostatných klíčů (Enc k1, Enc k2, Enc k3), druhá použila pouze dva klíče a pracovala v módu EDE (Enc k1, Dec k2, Enc k1). Grooverův útok naštěstí není v současnosti možné tímto způsobem použít. Bohužel existuje podobný algoritmus s názvem Brassard–Høyer–Tapp. Ten je určen pro řešení tohoto problému. Zatím je naštěstí jeho náročnost na kvantovou paměť tak vysoká, že ji nebude možné v nejbližších dekádách uspokojit. Na rozdíl od tohoto algoritmu Grooverův algoritmus prakticky žádnou paměť nepotřebuje. Pokud ale dojde v budoucnosti k nalezení útoku, kdy by BHT algoritmus paměť nepotřeboval, budeme mít vážné problémy.

Bezpečnostní ekvivalent symetrických algoritmů na kvantových počítačích

Bezpečnostní ekvivalent	Hash funkce (bitů)	Symetrické algoritmy (bitů)
32	128	64
64	184	128
92	224	184
128	256	256
160	320	320
192	384	384
224	448	448
256	512	512
384	768	768
512	1024	1024

Tabulka ukazuje změnu náročnosti útoku kvantovými počítači oproti digitálním počítačům (předchozí tabulky). Aby bylo možné zajistit odpovídající bezpečnost, je nutné šířku výstupu hash funkcí prodloužit na dvojnásobek, klíčový materiál vstupující do symetrických algoritmů musí mít také dvojnásobnou velikost.

Nastupující algoritmy odolné kvantovým počítačům

Přicházející algoritmy odolné útokům za pomoci kvantových počítačů (PQC/QRC) mohou pomoci řešit problém s asymetrickými algoritmy. Jedná se hlavně o sady standardizované díky IETF a NIST. K tomu je potřeba doplnit ještě následující poznámku. Občas je možné narazit na termín kvantové algoritmy, to se jedná o útoky pomocí Grooverova a Shorova algoritmu. Nejedná se o algoritmy určené pro šifrování na kvantových počítačích. Stejně tak kvantová kryptografie není záležitostí algoritmů pro šifrování na kvantových počítačích, ale zabezpečení přenosů pomocí kvantových jevů. Ty za specifických podmínek chrání komunikační kanál před odposlechem nebo modifikací zprávy.

Nové standardizované algoritmy vychází z různých přístupů. Jednak tu jsou algoritmy postavené nad mřížkami, lineárními kódy, soustavami kvadratických rovnic o více neznámých, supersingulární křivky a stromy hashí. Jsou tu další zajímavé problémy, ale pro ty buď prakticky neexistují algoritmy, nebo byly shledány nedostatečnými. V tomto okamžiku tak máme díky NIST standardizované algoritmy ML-KEM, ML-DSA, FN-DSA, připravují se ke standardizaci FN-DSA a HQC-KEM. IETF pro změnu navrhuje XMSS, XMSS-MT a LMS. Objevuje se velké množství porovnání těchto asymetrických algoritmů s klasickými a často se objevují porovnání zcela nesmyslná. Toto kritérium se nesmí řídit šířkou klíče, ale pouze bezpečnostním ekvivalentem. Použití šířky klíče je nepochopení odlišnosti algoritmů a příčin, které leží v problému složitosti.

Bezpečnostní ekvivalent	Security level	Popis
128 bitů	Security level 1	AES-128, exhaustive key search
128 bitů	Security level 2	SHA-256, collision search
192 bitů	Security level 3	AES-192, exhaustive key search
192 bitů	Security level 4	SHA-384, collision search
256 bitů	Security level 5	AES-256, exhaustive key search

Podle uvedeného přehledu je tak možné překládat odpovídající bezpečnostní ekvivalent například vůči algoritmu RSA. To znamená potřebu používat odpovídající složitost a odolnost algoritmů, nikoliv délku privátního klíče. Význam takového porovnání by byl nesmyslný.

Domluva na klíčích

V rámci standardizace PQC algoritmů byl vytvořen standard FIPS-203 ML-KEM (původně CRYSTALS Kyber). Také je v tuto chvíli v průběhu standardizace FIPS-207 HQC-KEM (algoritmus HQC).

Algoritmus	Security level	Privátní klíč (bitů)	Veřejný klíč (bitů)
ML-KEM-512	1	6400	13056
ML-KEM-768	2	9472	19200
ML-KEM-1024	3	12544	25344
HQC-128	1	448	19272
HQC-192	2	512	36808
HQC-256	3	576	57960

Algoritmy digitálního podpisu

V rámci standardizace PQC algoritmů byl vytvořen standard FIPS-204 ML-DSA (původně CRYSTALS Dilithium) a FIPS-205 SLH-DSA (SPHINCS+). Dále je v tuto chvíli v průběhu standardizace FIPS-206 FN-DSA (původně Falcon). Ve fázi výběru jsou další algoritmy pro druhé kolo.

Algoritmus	Security level	Privátní klíč (bitů)	Veřejný klíč (bitů)
ML-DSA-44	1	20480	10496
ML-DSA-65	2	22256	15616
ML-DSA-87	3	39168	20736
SLH-DSA-128	1	512	256
SLH-DSA-192	2	512	256
SLH-DSA-256	3	512	256
FN-DSA-512	1	10248	7176
FN-DSA-768	2	14856	10760
FN-DSA-1024	3	18440	14344

Mimo algoritmů standardizovaných institutem NIST došlo k vytvoření a standardizaci algoritmů pro digitální podpis i v rámci IETF. Tato tabulka není kompletním výčtem všech jejich variant.

Algoritmus	Security level	Privátní klíč	Veřejný klíč (bitů)
LMS-128	1	Dle velikosti stromu	256
XMSS-128	1	Dle velikosti stromu	256
XMSS-192	2	Dle velikosti stromu	256
XMSS-256	3	Dle velikosti stromu	256
XMSSMT-128	1	Dle velikosti stromu	256
XMSSMT-192	2	Dle velikosti stromu	256
XMSSMT-256	3	Dle velikosti stromu	256

Příliš drahé přímotopy

Podobné to je i s implementací technologií využívajících kryptografické algoritmy. Míra odolnosti všech algoritmů chránících data by měla být obdobná. Výrazné odchylky mohou způsobit zbytečně velkou režii v některých oblastech (domluva na klíčích, integrita, důvěrnost, autentizace). Zbytečné nadužívání zdrojů generuje teplo, v takovém okamžiku se místo ochrany dat vytváří předražené přímotopy. Je proto vhodné, aby všechny komponenty používaly přibližně stejný bezpečnostní ekvivalent, jeho posílení v určitých oblastech by mělo být podloženo zpracovanou analýzou rizik.

Závěr

Porovnávání neporovnatelného je nejčastějším problémem změn, které přináší přechod na kvantově odolnou kryptografii. Obdobně působí nevyváženost algoritmů z hlediska bezpečnostního ekvivalentu nebo nedostatečná síla ochrany pomocí šifrovacích technologií. Uvedené přístupy mohou ohrožovat data, tedy hlavně zajištění jejich důvěrnosti a integrity.

Reference:

RFC 8391: XMSS: eXtended Merkle Signature Scheme.
Zdroj: https://www.rfc-editor.org/
RFC 8554: Leighton-Micali Hash-Based Signatures.
Zdroj: https://www.rfc-editor.org/
FIPS 203 Module-Lattice-Based Key-Encapsulation Mechanism Standard.
Zdroj: https://www.nist.gov/
FIPS 204 Module-Lattice-Based Digital Signature Standard.
Zdroj: https://www.nist.gov/
FIPS 205 Stateless Hash-Based Digital Signature Standard.
Zdroj: https://www.nist.gov/
FIPS 206 Fiat–Naor Digital Signature Algorithm (standardizace v běhu).
Zdroj: https://www.nist.gov/
FIPS 207 Hamming Quasi-Cyclic Key Exchange Mechanism (standardizace v běhu).
Zdroj: https://www.nist.gov/

Autor článku:

Jan Dušátko

Jan Dušátko se počítačům a počítačové bezpečnosti věnuje již skoro čtvrt století. V oblasti kryptografie spolupracoval s předními odborníky např. s Vlastimilem Klímou, či Tomášem Rosou. V tuto chvíli pracuje jako bezpečnostní konzultant, jeho hlavní náplní jsou témata související s kryptografií, bezpečností, e-mailovou komunikací a linuxovými systémy.

1. Úvodní ustanovení

1.1. Tyto všeobecné obchodní podmínky jsou, není-li ve smlouvě písemně dohodnuto jinak, nedílnou součástí všech smluv týkajících školení, pořádaných nebo poskytovaných školitelem, Jan Dušátko, IČ 434 797 66, DIČ 7208253041, se sídlem Pod Harfou 938/58, Praha 9, zapsané u Úřadu městské části Praha 9 (dále jen „školitel“).
1.2. Smluvními stranami ve všeobecných obchodních podmínkách jsou míněni školitel a objednatel, kdy objednatel může být zároveň zprostředkovatelem smluvního vztahu.
1.3. Záležitosti, které nejsou upravené těmito obchodními podmínkami, se řeší podle Občanského zákoníků, tj. zákon č. 89/2012 Sb.

2. Vznik smlouvy přihlášením ke kurzu

2.1. Přihláškou se rozumí jednostranný úkon objednatele adresovaný školiteli prostřednictvím datové schránky s identifikací euxesuf, e-mailu na adresu register@cryptosession.cz nebo register@cryptosession.info, internetových stránek cryptosession.cz, cryptosession.info nebo kontaktním telefonem +420 602 427 840.
2.2. Odesláním přihlášky objednatel souhlasí s těmito všeobecnými podmínkami a prohlašuje, že se s nimi seznámil.
2.3. Přihláška se považuje za přijatou momentem potvrzení (stadnardně do 2 pracovních dní) školitelem nebo zprostředkovatelem. Toto potvrzení je zasláno do datové schránky nebo na kontaktní e-mail.
2.4. Standardní doba pro přihlášení je nejpozději 14 pracovních dní před konáním vzdělávací akce, pokud není uvedeno jinak. V případě fyzické nepodnikající osoby musí být objednávka alespoň 28 pracovních dní před konáním vzdělávací akce.
2.5. Na jednu přihláškou lze přihlásit i více než jednoho účastníka.
2.6. Pokud je více než 10 účastníků od jednoho objednatele, je možné se domluvit na školení v místě sídla zprostředkovatele nebo objednatele.
2.7. Přihlášky jsou přijímány a zpracovávány v pořadí, v jakém došly poskytovateli. Poskytovatel neprodleně informuje objednatele o všech skutečnostech. Těmi se míní naplnění kapacity, příliš nízký počet účastníků, nebo jiný závažný důvod, jako je nemoc lektora nebo zásah vyšší moci. Objednateli bude v tomto případě nabídnut nový termín, případně účast na jiné vzdělávací akci. V případě, že objednatel nebude s přesunutím či účastí na jiné nabídnuté vzdělávací akci souhlasit, poskytovatel mu vrátí účastnický poplatek. Nedostatečný účastníků je oznámen objednateli alespoň 14 dní před začátkem plánovaného termínu.
2.8. Smlouva mezi poskytovatelem a objednatelem vzniká odesláním potvrzení poskytovatelem objednateli.
2.9. Smlouvu lze změnit nebo zrušit pouze za splnění zákonných předpokladů a pouze písemně.

3. Zánik smlouvy zrušením přihlášky

3.1. Přihláška může být objednatelem zrušena pomocí e-mailu, nebo pomocí datové schránky.
3.2. Zákazník má právo stornovat svoji přihlášku na kurz 14 dní před konáním kurzu bez jakýchkoliv poplatků. Pokud se jedná o kratší dobu, dochází k následné změně. V intervalu 7-13 dní je účtován administrativní poplatek 10%, storno účasti v kratším intervalu než 7 dní pak poplatek 25%. V případě storna přihlášky nebo objednávky ze strany zákazníka je nabízena možnost účasti zákazníka v náhradním termínu bez dalšího poplatku. Právo na zrušení přihlášky zaniká realizací objednaného školení.
3.3. Při zrušení přihlášky školitelem náleží objednateli plná náhrada za neuskutečněnou akci.
3.4. Objednatel má právo žádat náhradní termín nebo náhradní školení. V takovém případě bude objednatel informován o všech otevřených kurzech. Náhradní termín si nelze vymáhat ani vynucovat, závisí na aktuální dostupnosti kurzu. Pokud má náhradní školení nižší cenu, objednatel doplatí rozdíl. Pokud má náhradní školení nižší cenu, školitel vrátí rozdíl cen školení objednateli.

4. Cena a platební podmínky

4.1. Odesláním přihlášky objednatel akceptuje smluvní cenu (dále jen účastnický poplatek) uvedenou u daného kurzu.
4.2. V případě více účastníků přihlášených jednou přihláškou je možná sleva.
4.3. Účastnický poplatek musí být uhrazen na bankovní účet společnosti vedený u Komerční banky č. 78-7768770207/0100. Při platbě je nutné uvést variabilní symbol, který je uveden na faktuře, odeslané objednateli školitelem.
4.4. Účastnický poplatek zahrnuje náklady poskytovatele včetně školicích materiálů. Poskytovatel je plátce DPH.
4.5. Účastnický poplatek je objednatel povinen uhradit do 14 pracovních dní od přijetí faktury, pokud nebylo samostatnou smlouvou uvedeno jinak.
4.6. Pokud se přihlášená osoba neúčastní školení a nedošlo k jiné domluvě, je její neúčast považována za storno příhlášku v intervalu kratším než 7 dní, tj. školiteli náleží odměna ve výši 25% z ceny kurzu. Přeplatek je vrácen do 14 dní na platební účet odesílatele, ze kterého byly prostředky odeslány. Platba na jiné číslo účtu není možná.
4.7. Nejdéle do 5 pracovních dní od začátku školení bude školitelem vystavena faktura, která bude dle dohody odeslána e-mailem nebo datovou schránkou.

5. Podmínky školení

5.1. Školitel je povinnen informovat objednatele 14 dní dopředu o místě a času školení, včetně termínu zahájení a ukončení denního programu.
5.2. Pokud objednatel není studentem kurzu, je povinnen zajistit distribuci těchto informací koncovým účastníkům. Za nesplnění těchto podmínek školitel nenese odpovědnost.
5.2. Standardně školení probíhá v čase od 9:00 do 17:00 na předem určeném místě.
5.3. Školitel může být dle aktuálních podmínek k dispozici od 8:00 do 9:00 a následně od 17:00 do 18:00 pro dotazy účastníků.
5.4. Na konci školení je koncovým uživatelům předán certifikát o absolovování.
5.5. Na konci školení koncoví uživatelé vyhodnocují přístup lektora a mají se vyjádřit k ohodnocení jeho prezentace, způsobu přednesení a ohodnotit významn poskytnutých informací.

6. Reklamace

6.1. Pokud je účastník hrubě nespokojen s průběhem kurzu, je školitel o této informaci vyrozuměn.
6.2. Důvody nespokojenosti jsou ten samý den zapsány do protokolu ve dvou kopiích. Jedna je předána objednateli a jednu má školitel.
6.3. Vyjádření k reklamaci bude podáno e-mailem do dvou týdnů. Následně do jednoho týdne bude domluven způsob řešení.
6.4. Nespokojenost zákazníka může být důvodem k rozvázání další spolupráce, nebo finanční kompenzaci až do výše ceny školení po odečtení nákladů.

7. Autorská práva k poskytnutým materiálům

7.1. Školicí materiály poskytnuté školitelem v rámci konání školení splňují znaky autorského díla dle zákona č. 121/2000 Sb.
7.2. Žádný ze školicích materiálů ani jeho část nesmí být bez předchozího písemného souhlasu školitele jakýmkoli způsobem dále zpracovávána, rozmnožována, rozšiřována nebo využívána k dalším prezentacím nebo školením.

8. Zodpovědnost

8.1. Školitel nepřebírá odpovědnost za nedostatky ve službách kterékoliv třetí strany, kterou využívá při školeních.
8.2. Školitel nepřebírá odpovědnost za zranění, škody a ztráty, vzniklé účastníkům vzdělávacích akcí, nebo které byly účastníky způsobeny. Takové náklady, způsobené uvedenými okolnostmi, ponese výhradně účastník vzdělávací akce.

9. Platnost podmínek

9.1 Tyto všeobecné obchodní podmínky jsou platné a účinné od 1. října 2024.