Почта НИСТ

Apr 07, 2023

К

Флипборд

Реддит

Пинтерест

WhatsApp

WhatsApp

Электронная почта

Алгоритм, представленный на конкурс постквантового шифрования NIST и дошедший до четвертого раунда, потерпел поражение. Алгоритм Supersingular Isogeny Key Encapsulation (SIKE) был взломан Воутером Кастриком и Томасом Декрю из Университета Левена, а процесс описан в статье, написанной в конце июля 2022 года.

Криптографы не удивлены таким событием; но руководители служб безопасности, обеспокоенные своей способностью защищать секреты после появления квантовых компьютеров, должны учитывать последствия.

Для криптографов

Поражение SIKE последовало за атакой по восстановлению ключа на протокол обмена ключами Supersingular Isogeny Diffie-Hellman и его созданием как SIKE в соревновании NIST. Атака основана на теореме «склеивания и разделения», разработанной в 1997 году математиком Эрнстом Кани.

В частности, говорят два исследователя: «Наша атака использует существование небольшого нескалярного эндоморфизма на начальной кривой, а также опирается на вспомогательную информацию о точке кручения, которую Алиса и Боб разделяют во время протокола».

Атака использует собственный код исследователей Magma, чтобы нацелиться на секретный ключ Боба. Его также можно использовать для поиска ключа Алисы, но первый вариант дает более быстрые результаты. Это математическая атака на алгоритм шифрования, а не атака методом перебора отдельных ключей.

Атака была проведена на одном классическом компьютере, а именно на процессоре Intel Xeon. «Выполненный на одном ядре добавленный код Magma решает задачи Microsoft SIKE… примерно за 4 и 6 минут соответственно. Прогон параметров SIKE, которые ранее считались соответствующими уровню квантовой безопасности NIST 1, снова занял около 62 минут. на одном ядре».

Это поражение фактически исключает SIKE из конкурса NIST, но не обязательно предотвращает модификацию алгоритма и его возвращение в соревнование.

Для остальных из нас

SIKE — это алгоритм инкапсуляции ключей, предназначенный для безопасной доставки ключей от источника к месту назначения через недоверенную сеть. Он был разработан как квантовое доказательство и считался одним из самых сильных кандидатов в конкурсе NIST.

Победа над алгоритмом шифрования с квантовым доказательством, финалистом NIST, на одном ПК менее чем за час является драматичной. Это говорит о том, что нам необходимо переосмыслить наше отношение к шифрованию в целом и к пост-квантовому шифрованию в частности. SIKE ничем не отличается от любого другого шифрования, до- или пост-квантового: он безопасен только до тех пор, пока он не станет безопасным, и не тогда, когда его можно взломать.

Криптографы, особенно те, которые финансируются национальными государствами, постоянно ищут способы обойти алгоритмы шифрования. Теоретически то, что произошло с SIKE вчера, может случиться с RSA завтра. Единственное отличие взлома алгоритма от уязвимости нулевого дня заключается в том, что мы вряд ли услышим о первой. Использование обнаруженного государством алгоритма взлома украденных и сохраненных данных вряд ли станет достоянием общественности.

По сути, использование любого шифрования — это решительный шаг. Нам говорят, что это безопасно, и у нас нет причин не верить этому, но у нас нет и не может быть абсолютного знания об этом. Поскольку шифрование основано на математических задачах, всегда существует вероятность того, что алгоритмы могут быть атакованы математически – особенно с помощью очень мощных квантовых компьютеров.

Текущая необходимость замены существующих и, казалось бы, заслуживающих доверия алгоритмов на новые и еще не проверенные временем алгоритмы способствует развитию практики разработки, известной как криптографическая гибкость (crypto agility). Идея состоит в том, что если используемый алгоритм выйдет из строя, его можно будет заменить другим алгоритмом без существенных изменений в инфраструктуре системы.

Это хорошая практика, но она не решает основную проблему «собери сейчас, расшифровай позже», возникающую в квантовых компьютерах. Если алгоритм, рекомендованный NIST, считается безопасным и используется в течение десяти лет, пока не будет уничтожен, все сообщения, перехваченные и сохраненные злоумышленниками в течение этих десяти лет, могут быть немедленно расшифрованы. Единственная разница между тем временем и сегодняшним днем ​​заключается в том, что мы знаем, что это произойдет с текущим шифрованием с открытым ключом (благодаря алгоритму Шора), но мы не знаем, что этого не произойдет с новыми постквантовыми алгоритмами.