#!/intro
O conceito de nível de segurança permite quantificar a resistência de um sistema criptográfico face a diferentes tipos de ataques tantp práticos como teóricos. Esta métrica, expressa em bits de segurança, corresponde ao esforço computacional necessário para quebrar um algoritmo por meios exaustivos. Um nível de segurança de n bits implica que o ataque mais eficiente conhecido exigiria aproximadamente 2^n operações para comprometer a confidencialidade ou integridade do sistema.
A padronização desta métrica facilita a comparação entre algoritmos distintos e permite alinhar os requisitos técnicos de segurança com políticas de risco, tempo de exposição e capacidade adversária. Com o aumento constante das capacidades computacionais disponíveis, a definição cuidadosa do nível de segurança tornou-se um elemento essencial na conceção de sistemas criptográficos robustos e adequados ao horizonte temporal da informação a proteger.
> criptografia_simetrica
Na criptografia simétrica, o nível de segurança está diretamente associado ao tamanho da chave utilizada. Esta relação direta permite avaliar a robustez do sistema com base apenas no comprimento da chave, sem depender de propriedades específicas do algoritmo. Um algoritmo é considerado seguro a n bits se, assumindo os melhores ataques conhecidos, for necessário realizar aproximadamente 2^n operações para recuperar a chave por força bruta.
O AES (Advanced Encryption Standard) é o principal exemplo de cifra simétrica moderna. Suporta chaves de 128, 192 e 256 bits, correspondendo, respetivamente, a 128, 192 e 256 bits de segurança. Estes níveis foram definidos para resistir a ataques de complexidade equivalente e têm sido validados ao longo de décadas de análise pública. Nenhum ataque prático conhecido compromete a segurança de AES quando implementado corretamente.
É importante distinguir o tamanho da chave do tamanho do bloco. No AES, o bloco tem sempre 128 bits, independentemente da chave. A segurança contra ataques genéricos ao modo de cifra como por exemplo, ataques por reordenação de blocos ou recuperação parcial de plaintext, depende também da forma como o modo de operação é escolhido e parametrizado.
Nos algoritmos simétricos de fluxo (stream ciphers), como ChaCha20, a segurança também é expressa em bits, normalmente 128 ou 256, embora o modelo de análise seja diferente, dado que estes algoritmos operam diretamente sobre fluxos de dados sem segmentação em blocos fixos.
Outro aspeto a considerar é que a escolha de um tamanho de chave superior não implica necessariamente maior segurança em todos os contextos. AES-128 é considerado seguro contra todos os ataques viáveis conhecidos atualmente. No entanto, AES-256 pode ser preferido em cenários que exijam resiliência a longo prazo ou proteção contra adversários com acesso a recursos computacionais avançados.
A segurança efetiva de um sistema simétrico não depende apenas do algoritmo utilizado. A geração segura das chaves, a sua proteção em repouso e em memória e a gestão correta dos vetores de inicialização são essenciais para garante imprevisibilidade e evitar compromissos.
Por fim, o uso de modos autenticados, como AES-GCM, permite assegurar simultaneamente a confidencialidade e a integridade dos dados.
Criptografia Simétrica – Parâmetros e segurança
| Configuração | Segurança (bits) | Chave (bytes) | Bloco cifrado (bytes) |
|---|---|---|---|
| AES-128 | 128 | 16 | 16 |
| AES-192 | 192 | 24 | 16 |
| AES-256 | 256 | 32 | 16 |
| 3DES (2K) | ~112 | 16 | 8 |
| 3DES (3K) | ~112 | 24 | 8 |
| Camellia-128 | 128 | 16 | 16 |
| Camellia-256 | 256 | 32 | 16 |
O valor indicado para o bloco cifrado corresponde ao tamanho do bloco em modo ECB, que é fixo por definição do algoritmo. No caso do AES, o bloco é sempre de 128 bits, independentemente do comprimento da chave. Em modos como CBC ou GCM, o tamanho final pode variar devido ao uso de IVs, autenticação ou preenchimento. Os tamanhos estão expressos em bytes para facilitar a comparação com estruturas binárias e protocolos. Apesar da diferença no número de chaves, 3DES (2K) e 3DES (3K) oferecem aproximadamente o mesmo nível de segurança efetiva.
> criptografia_assimetrica
Na criptografia assimétrica, o nível de segurança não corresponde diretamente ao comprimento da chave, uma vez que os ataques viáveis não são por força bruta exaustiva, mas sim baseados na resolução de problemas matemáticos complexos, como a factorização de inteiros (RSA), o cálculo de logaritmos discretos (DSA) ou o logaritmo discreto em curvas elípticas (ECC).
A dificuldade desses problemas cresce de forma subexponencial ou polinomial com o tamanho da chave, o que significa que são necessárias chaves assimétricas muito maiores para alcançar o mesmo nível de segurança proporcionado por uma chave simétrica. Por exemplo, atingir 128 bits de segurança requer, segundo estimativas atuais, uma chave RSA de pelo menos 3072 bits, enquanto uma curva elíptica de 256 bits oferece segurança equivalente, devido à natureza mais resistente do problema matemático subjacente.
Este desfasamento tem implicações práticas importantes: algoritmos como RSA e DSA exigem chaves e assinaturas maiores, bem como operações mais lentas, especialmente à medida que se aumentam os parâmetros para garantir longevidade criptográfica. Em contrapartida, esquemas baseados em curvas elípticas, como ECDSA ou X25519, conseguem atingir os mesmos níveis de segurança com tamanhos de chave muito inferiores e maior eficiência.
O NIST e outras entidades reguladoras publicam tabelas de equivalência que associam tamanhos mínimos de chave aos níveis de segurança desejados. Estas recomendações são fundamentais para orientar implementações que pretendam equilibrar desempenho, interoperabilidade e conformidade com standards.
Criptografia Assimétrica – Parâmetros e segurança
| Configuração | Segurança (bits) | Chave pública/privada (bytes) | Assinatura / Cifra (bytes) |
|---|---|---|---|
| RSA-2048 | 112 | 256 / 256 | 256 |
| RSA-3072 | 128 | 384 / 384 | 384 |
| RSA-4096 | 152 | 512 / 512 | 512 |
| DSA-2048 | 112 | 128 / 256 | 40–60 |
| ECDSA P-256 | 128 | 64 / 32 | 64 |
| ECDSA P-384 | 192 | 96 / 48 | 96 |
| ECDSA P-521 | 256 | 132 / 66 | 132 |
| Ed25519 | 128 | 32 / 32 | 64 |
| Ed448 | 224 | 57 / 57 | 114 |
Os valores de segurança apresentados são aproximações baseadas em consenso técnico ou estimativas teóricas.
> hashing
As funções de dispersão criptográfica ou hashing desempenham um papel fundamental em múltiplos domínios, desde a verificação de integridade à construção de assinaturas digitais e esquemas de derivação de chave. O nível de segurança oferecido por uma função de dispersão depende do tipo de ataque considerado, sendo essencial distinguir entre colisões, pré-imagens e segunda pré-imagem.
A segurança contra colisões corresponde ao número de operações estimadas necessárias para encontrar duas entradas distintas com o mesmo valor de hash, sendo aproximadamente metade do comprimento da saída. Para este tipo de ataques, a complexidade esperada é 2^(n/2), onde n é o comprimento da saída. Assim, uma função com 256 bits de saída, como SHA-256, oferece apenas 128 bits de resistência a colisões. Esta limitação decorre do paradoxo do aniversário, que afeta qualquer função de dispersão com saída finita.
Já a segurança contra pré-imagens representa o esforço computacional necessário para encontrar uma entrada que produza um valor de hash específico, correspondendo geralmente ao total de bits da saída. Para estes ataques, a resistência teórica é 2^n, correspondendo à totalidade do tamanho da saída. Uma função de 256 bits, como SHA-256, oferece portanto 256 bits de resistência a ataques de pré-imagem. O mesmo se aplica à segunda pré-imagem, embora existam nuances algorítmicas que podem afetar a sua complexidade real em certas construções.
A escolha da função de dispersão criptográfica deve ter em conta a aplicação concreta. Para integridade de dados e fingerprints, a resistência a colisões é prioritária. Em esquemas de assinatura digital, como o ECDSA, a segurança do sistema depende diretamente da resistência da função utilizada à colisão e à pré-imagem, razão pela qual funções como SHA-1 foram descontinuadas em ambientes de confiança. Nos sistemas de dispersão criptográfica modernos, como SHA-3, BLAKE2 e SHAKE, procura-se oferecer maior robustez estrutural e flexibilidade de parâmetros.
É ainda importante considerar que funções de dispersão são frequentemente utilizadas como blocos básicos em construções mais complexas, como funções de autenticação de mensagens, derivação de chaves e pseudoaleatórias. Nestes casos, o nível de segurança do sistema composto depende não apenas da função em si, mas também da forma como é aplicada, da gestão das chaves envolvidas e da resistência à reutilização ou manipulação de entradas.
Funções de dispersão – Parâmetros e segurança
| Função | Comprimento da saída (bits) | Segurança contra colisões (bits) | Segurança contra pré-imagens (bits) |
|---|---|---|---|
| SHA-1 | 160 | 80 | 160 |
| SHA-224 | 224 | 112 | 224 |
| SHA-256 | 256 | 128 | 256 |
| SHA-384 | 384 | 192 | 384 |
| SHA-512 | 512 | 256 | 512 |
| SHA3-256 | 256 | 128 | 256 |
| SHA3-512 | 512 | 256 | 512 |
| SHAKE128 | 256 | 128 | 256 |
| SHAKE256 | 512 | 256 | 512 |
| BLAKE2b-256 | 256 | 128 | 256 |
As funções de dispersão indicadas produzem saídas de tamanho fixo, medido em bits.
> conclusão
O conceito de nível de segurança fornece uma base quantitativa para comparar algoritmos criptográficos com diferentes propriedades matemáticas e operacionais. Em algoritmos simétricos, essa métrica tem uma correspondência direta com o tamanho da chave. Já na criptografia assimétrica e nas funções de dispersão, a interpretação exige atenção ao tipo de ataque considerado e à natureza do algoritmo.
Compreender estas diferenças é fundamental para selecionar parâmetros adequados, evitar sobrecargas desnecessárias e garantir que os sistemas implementados oferecem uma proteção proporcional ao risco e ao tempo de exposição da informação.
A definição do nível de segurança é um compromisso entre robustez, desempenho e longevidade da confidencialidade dos dados.
> status: secured
> exit 0
Algoritmos Niveis de segurança Criptografia simétrica Criptografia assimétrica Dispersão criptográfica