0:00:00.000,0:00:12.875
Translated by Esa Lammi[br](KYBS2004 course assignment at JYU.FI)

0:00:12.875,0:00:25.750
rC3 Intromusiikki

0:00:25.750,0:00:32.969
Herald: Hyvää iltapäivää kaikille katsojille.[br]Seuraavan esityksen pitää Ruben Gonzalez ja

0:00:32.969,0:00:36.750
Krijin Reijnders, he molemmat ovat Ph.D[br]opiskelijoita Radbout yliopistosta ja Ruben

0:00:36.750,0:00:42.160
on myös Capture-The-Flag pelaaja nimeltä[br]"Red Rocket" tai liittyy pelaajaan

0:00:42.160,0:00:47.780
"Red Rocket". Heidän esitys liittyy kvantin[br]jälkeiseen kryptografiaan. Ja teemme

0:00:47.780,0:00:53.070
tavallaan tutustumishypyn Kyberiin. Tämä[br]esitys myös live-käännetään

0:00:53.070,0:00:58.980
saksaksi, eli jos et puhu saksaa, älä vaivu[br]epätoivoon. Dieser Vortrag wird also

0:00:58.980,0:01:05.910
übersetzt simultan in Deutsch, ja siinä [br]oli myös koko saksan osaamiseni. Tämä

0:01:05.910,0:01:10.959
esitys on myös nauhoitettu ja kestää 30[br]minuuttia, mutta Q&amp;A on livenä

0:01:10.959,0:01:13.349
tämän jälkeen. Joten nauttikaa.

0:01:13.349,0:01:16.700
Ruben Gonzalez: Hei, ja tervetuloa esitykseen[br]Kyberistä ja kvantin jälkeisestä

0:01:16.700,0:01:24.110
kryptografiasta. Kuinka se toimii? Ensiksi[br]nimeni on Ruben Gonzalez, olen tohtori

0:01:24.110,0:01:27.420
opiskelija Hollannista. Pidän tämän[br]esityksen yhdessä kollegani Krijin

0:01:27.420,0:01:35.590
Reijndersin kanssa ja opetamme teille [br]kaiken Kyberistä tänään. Eli, tärkeimmät

0:01:35.590,0:01:40.179
ensin, pieni huomio, koska en halua tuottaa[br]pettymystä ihmisille: Me puhumme boomer

0:01:40.179,0:01:46.259
kryptosta, eli emme puhu lohkoketjuista,[br]NFT:sta, shitcoineista... ollenkaan.

0:01:46.259,0:01:52.631
Sen sijaan kyllästytämme teidät [br]matematiikalla, oudoilla avainpareilla ja

0:01:52.631,0:02:01.970
US valtionhallinnon organisaatioilla. Eli,[br]esitys on jaettu neljään osaan. Ensin opetan

0:02:01.970,0:02:06.530
teille vähän, mitä kvantin jälkeinen [br]kryptografia todellisuudessa on ja miksi

0:02:06.530,0:02:11.540
sinun pitäisi välittää siitä. Sitten [br]puhumme Kyberistä, joka on kaava mihin

0:02:11.540,0:02:15.860
syvennymme tarkemmin, koska [br]se järjestelmä on juuri valloittamassa

0:02:15.860,0:02:20.320
maailman. Ja sitten Kreijin puhuu teille[br]hieman lisää turvallisuustakuista

0:02:20.320,0:02:25.560
miten järjestelmä itse asiassa toimii[br]matemaattisesti ja sitten annamme

0:02:25.560,0:02:32.730
teille tiivistyksen Krypton tulevaisuudesta [br]ja mihin tällä alueella

0:02:32.730,0:02:44.349
olemme suuntaamassa. Eli, kvantin jälkeinen[br]crypto. Vähän perusteita tähän:

0:02:44.349,0:02:50.390
Tänään, kryptografia, ylätasolla, on [br]jaettu kahteen osaan; tylsään osaan ja

0:02:50.390,0:02:56.120
jännään osaan. Tylsää osaa kutsutaan[br]symmetriseksi cryptoksi ja symmetrinen

0:02:56.120,0:03:01.469
crypto tekee mitä yleensä odotat cryptolta.[br]Eli voit salakirjoittaa asioita sillä ja

0:03:01.469,0:03:06.209
joskus tehdä sillä autentikoinnin. [br]Mutta suurin juttu siinä

0:03:06.209,0:03:12.249
on se salakirjoittaminen. Eli sinulla on[br]salainen avain, jota ei saa olla kenelläkään

0:03:12.249,0:03:16.249
ja jos sinulla on tämä salainen avain, [br]voit salata asioita ja toinen henkilö

0:03:16.249,0:03:24.300
jolla on sama salaisuus voi purkaa sillä.[br]Eli siksi se on symmetrinen - sinulla

0:03:24.300,0:03:29.480
on yksi avain salaamiseen ja purkamiseen.[br]Ja mitä käytät implementaation kannalta

0:03:29.480,0:03:36.999
se on lähes ainoastaan AES salaamista [br]tai tiiviste funktioita

0:03:36.999,0:03:42.840
jotka ovat SHA perheestä ja se[br]on symmetrinen maailma. Se on asioiden

0:03:42.840,0:03:47.590
symmetrinen puoli. Nyt meillä on myös[br]asymmetrinen crypto, koska jos katsot

0:03:47.590,0:03:54.040
symmetristä cryptoa, sinulla on tämä salainen[br]avain, mutta sinulla ei ole keinoa saada

0:03:54.040,0:03:59.799
kahdelle osapuolelle tätä samaa salaista[br]avainta. Ja siinä asymmetrinen salaus saapuu

0:03:59.799,0:04:05.530
peliin. Eli, voit käyttää asymmetristä [br]cryptoa, muiden asioiden ohessa, tämän

0:04:05.530,0:04:14.540
salaisen avaimen vaihtamiseen. Eli [br]asymmetrinen salaus käyttää avainparia:

0:04:14.540,0:04:23.950
julkinen avain joka voi olla kaikilla ja[br]salainen avain joka on vain vastaanottajalla.

0:04:23.950,0:04:29.810
Yeah, eli pohjimmiltaan, julkisella avaimella[br]salaat, esimerkiksi, symmetrisen avaimen,

0:04:29.810,0:04:36.530
ja yksityisellä avaimella voit purkaa, ja [br]tässä se tuntuu hieman hankalammalta.

0:04:36.530,0:04:41.840
Siinä ei käytetä vain kahta algoritmia,[br]vaan siinä käytetään kokonaista joukkoa

0:04:41.840,0:04:51.180
algoritmeja. Eli, katsotaan tätä eläin-[br]tarhaa nopeasti. Todennäköisesti jotkut näistä

0:04:51.180,0:04:57.449
termeistä olet jo kuullut: Curve25519 on[br]aika iso: Olet ehkä käyttänyt RSAta ennen,

0:04:57.449,0:05:04.340
Diffie-Helman, sellaisia. Eli siinä on [br]suuri joukko erilaisia rakenteita

0:05:04.340,0:05:10.670
asymmetrisessa cryptossa, joita käytetään [br]eri tarkoituksiin. Joskus siinä on eri

0:05:10.670,0:05:13.770
malleja, joita käytetään samaan[br]tarkoitukseen, tai voit käyttää yhtä

0:05:13.770,0:05:19.190
juttua eri asioihin. Eli on aika monimut-[br]kaista tehdä yhteenveto algoritmeista

0:05:19.190,0:05:26.220
Mutta, jos katsot tätä joukkoa, ihmiset[br]tuntuvat olevan iloisia, eikö niin? He

0:05:26.220,0:05:30.510
katselevat ympärilleen, tutkivat, asiat[br]näyttävät toimivan, onnellinen maailma.

0:05:30.510,0:05:35.120
Miksi he haluaisivat muuttaa sen? Ja kvantin[br]jälkeisessä cryptossa, me todella haluamme

0:05:35.120,0:05:41.699
muuttaa asymmetrisen salauksen perusteetkin.[br]No, tässä eläintarhassa on iso ongelma, ja se

0:05:41.699,0:05:48.780
ei ole eläintarhassa, mutta tulee sinne. [br]Eli on tämä kaveri, Peter Shore, ja hän

0:05:48.780,0:05:58.059
uhkaa eläintarhaa. Hän aikoo tuhota sen[br]ja kaikki siellä. Ja miksi näin on?

0:05:58.059,0:06:04.700
No meillä on tämä iso asymmetrisen crypton[br]eläintarha, eikö niin? Mutta jos katsot

0:06:04.700,0:06:11.840
eri kaavoja tarkasti, näet että ne[br]kaikki pohjautuvat vain kahteen

0:06:11.840,0:06:17.409
matemaattiseen ongelmaan. Ja ne ovat[br]integer factorization ja discrete logarithm.

0:06:17.409,0:06:22.349
Meidän ei tarvitse, meillä ei ole aikaa[br]mennä syvälle niiden yksityiskohtiin,

0:06:22.349,0:06:27.780
mutta sinun täytyy tietää, että koko [br]asymmetrisen crypton tarha pohjautuu

0:06:27.780,0:06:35.679
kahteen ongelmaan. Ja sattumalta, Peter[br]Shore, kehitti algoritmin, kvantti

0:06:35.679,0:06:41.339
algoritmin, joka murtaa nuo kaksi ongelmaa[br]ja kaiken krypton joka niihin perustuu.

0:06:41.339,0:06:50.940
Eli kaikki tämän päivän crypto on oikeasti[br]rikki, jos voimme käyttää Shoren algoritmia.

0:06:50.940,0:06:55.880
Shoren algoritmi on kvantti algoritmi.[br]Se tarkoittaa, että meillä pitää olla

0:06:55.880,0:07:02.380
riittävän suuri kvanttitietokone että se[br]toimii, mutta kun meillä on se, kaikki

0:07:02.380,0:07:10.530
asymmetrinen krypto on tuhottu. Ja miksi[br]sinun pitäisi välittää? No, ehkä käytät

0:07:10.530,0:07:16.669
jotain niistä täällä? No, oikeasti käytät,[br]halusit tai et. Katsot juuri nyt

0:07:16.669,0:07:21.800
tätä streamia TLS kautta. Ehkä käytät[br]myös juttuja, kuten SSH tai sähköpostin

0:07:21.800,0:07:28.580
salausta tai IPSEC VPNaa tai Wireguardia.[br]No, Shoren algoritmi rikkoisi kaikki

0:07:28.580,0:07:35.719
nuo protokollat. Kaikki. Ja sinun pitäisi [br]välittää, koska modernina informaation

0:07:35.719,0:07:41.939
aikana, pohjimmillaan kaikki on digitaalista[br]kommunikaatiota. Kaikki turvallisuus

0:07:41.939,0:07:48.630
käytännössä perustuu cryptoon, eli, jos,[br]Shorezilla rikkoo kaiken, meillä on

0:07:48.630,0:07:55.099
suuri ongelma. Eli luonnollisesti kysymys[br]herää: "koska meillä on isoja

0:07:55.099,0:08:02.610
kvantti tietokoneita?" Ja vastaus on:[br]"Me emme tiedä". Eri asiantuntijat

0:08:02.610,0:08:12.360
sanovat eri asioita. Mielipiteet vaihtelevat[br]viidestä vuodesta - ei koskaan. Mutta

0:08:12.360,0:08:15.970
todellisuudessa kukaan ei tiedä. Emme näe[br]tulevaisuuteen. Meillä ei ole taika

0:08:15.970,0:08:21.401
kasipalloa. Mutta meidän pitäisi ehdottomasti[br]olla valmiita suurelle kvantti koneelle

0:08:21.401,0:08:26.680
koska emme halua kaiken informaatio[br]turvallisuutemme hajoavan kun, sanotaan

0:08:26.680,0:08:33.430
vaikka, iso US valtion laitos yhtäkkiä[br]onnistuu rakentamaan kvantti tietokoneen.

0:08:33.430,0:08:41.880
Eli Kvantin jälkeinen krypto on juuri [br]asymmetrisen kryptografian suunnittelua

0:08:41.880,0:08:48.250
siten, ettei siihen vaikuta kvantti tietokone.[br]Tai sanotaan toivotaan näin. Mutta olemme

0:08:48.250,0:08:52.950
aika varmoja, että niiden pitäisi olla.[br]Varmastikin, niihin ei vaikuta Shoren

0:08:52.950,0:08:59.230
algoritmi. Eli nyt tiedätte vähän mitä[br]kvantin jälkeinen crypto on ja mihin

0:08:59.230,0:09:07.450
sitä tarvitsemme, haluan puhua Kyberistä.[br]Kyber on kvantin jälkeinen järjestelmä,

0:09:07.450,0:09:15.700
joka todennäköisesti adoptoidaan [br]lähitulevaisuudessa. Eli asymmetrisen

0:09:15.700,0:09:23.120
crypton eläintarha on uhattuna - Tehdään[br]uusi, uusi eläintarha, johon ihmiset voivat

0:09:23.120,0:09:32.750
mennä, olla onnellisia ja elää heidän[br]täyttä elämää. Standardointiorganisaatio

0:09:32.750,0:09:38.310
NIST julkaisi kutsun pari vuotta sitten[br]uusista kryprografisista järjestelmistä

0:09:38.310,0:09:44.820
jotka kestävät kvantti tietokoneita.[br]Ja ensimmäiset järjestelmät tullaankin

0:09:44.820,0:09:53.270
oikeasti standardoimaan hyvin pian, 2022[br]alkuvuonna. Eli, haluamme katsoa yhtä

0:09:53.270,0:10:00.829
järjestelmää joka tullaan standarsoimaan,[br]ja sitä kutsutaan Kyberiksi. No miksi katsomme

0:10:00.829,0:10:09.730
juuri sitä järjestelmää? No se on erittäin[br]nopea, ja julkisten ja yksityisten avainten

0:10:09.730,0:10:15.340
koot eivät ole liian isoja, tarkoittaen että[br]voit käyttää niitä oikeissa projekteissa,

0:10:15.340,0:10:21.200
joka ei aina toteudu kaikissa post-quantum [br]cryptoissa. Joten se on jo, vaikkei olekaan,

0:10:21.200,0:10:26.170
standardoitu, sitä on jo jonkin verran[br]alettu ottamaan käyttöön alalla.

0:10:26.170,0:10:31.730
Ja se on hila-pohjainen rakenne. Ja juuri[br]nyt näyttää vähän siltä, että hila tulee

0:10:31.730,0:10:36.149
olemaan tulevaisuus. Jos et tiedä mikä[br]hila pohjainen järjestelmä on, se on OK;

0:10:36.149,0:10:44.220
Krijin kertoo teille siitä lopuksi. Eli,[br]siinä oli hauska osa esitystämme,

0:10:44.220,0:10:48.610
helppo osa. Nyt meidän pitää kääriä[br]hihat, meidän pitää saada kädet likaisiksi

0:10:48.610,0:10:56.630
ja tarvitsemme vähän matematiikkaa. Ja sitä[br]varten, aion antaa

0:10:56.630,0:11:03.850
mikrofonin - kääntyä Krijnin puoleen.[br](kuinka sanotaan? Annan sen Krijinille?

0:11:03.850,0:11:08.139
En tiedä.) Moikka.[br]Krijn Raijnders: Eli, nyt tarvitsemme matikkaa.

0:11:08.139,0:11:13.110
Aloitetaan. Mitä tarvitsemme Kyberissa ovat[br]polynomiaalit, ja meidän pitää työskennellä

0:11:13.110,0:11:17.959
polynomiaaleilla. Mutta oikeastaan voit [br]ajatella polynomiaaleja kuten numeroita.

0:11:17.959,0:11:23.510
Ja mitä tarkoitan sillä? Tarkoitan, että[br]voit kertoa niitä ja voit

0:11:23.510,0:11:29.970
lisätä niitä toisiinsa kuten numeroita.[br]Ja kuten teimme numeroiden kanssa

0:11:29.970,0:11:35.479
pre-quantum kryptografiassa, kun niistä[br]tuli liian suuria, me pelkistimme niitä.

0:11:35.479,0:11:40.970
Teemme tämän modulo operaation. Teemme[br]saman kertoimille polynomiaaleissa, mutta

0:11:40.970,0:11:45.360
myös kun, polynomiaalin aste kasvaa liikaa,[br]pienennämme sitä toisella

0:11:45.360,0:11:51.110
polynomiaalilla. Eli meillä on modulo[br]operaatio polynomiaaleilla, ja tällä tavoin

0:11:51.110,0:11:56.600
voit tehdä kaikenlaisia asioita polynomiaaleila.[br]Ja siinä oikeastaan oli kaikki matematiikka

0:11:56.600,0:12:01.720
jota tarvitsemme pohjimmillaan [br]työskentelyyn Kyberin kanssa. Mitä tällä

0:12:01.720,0:12:06.900
tarkoitan? No jos voit kertoa ja lisätä,[br]sitten voit myös

0:12:06.900,0:12:11.730
tehdä näitä asioita joita teemme numeroilla[br]matriisien ja vektorien kanssa, eli voimme

0:12:11.730,0:12:17.399
kertoa matriisin vektorilla ja lisätä [br]toisen vektorin. Ja tämä toimii samoin

0:12:17.399,0:12:21.490
näillä polynomiaaleilla, eli sinulla voi[br]olla matriisi täynnä polynomiaaleja ja

0:12:21.490,0:12:25.930
vektori täynnä polynomiaaleja ja voit [br]vain kertoa ne keskenään, lisätä yhden

0:12:25.930,0:12:30.380
vektorin. Se on perus operaatioita[br]kertomisessa ja lisäämisessä poly-

0:12:30.380,0:12:37.760
nomiaalien kanssa. Se näyttää vähän moni-[br]mutkaisemmalta, mutta sitä se on. Ja sitten,

0:12:37.760,0:12:42.209
sanotaan, että meillä on matriisi ja me[br]kerromme vektorilla ja lisäämme toisen

0:12:42.209,0:12:46.421
pienen vektorin. Nyt jos näytän teille [br]tämän laskennan lopputuloksen, ja

0:12:46.421,0:12:51.769
annan teille tämän matriisin jolla aloitimme,[br]se on oikeasti paljon vaikeampi palauttaa

0:12:51.769,0:12:56.140
vektori, jolla kerroimme matriisin. Ja [br]tämä on perus-ongelma, jota

0:12:56.140,0:13:02.199
tarvitsemme Kybesissä. Ja sen nimi on[br]module-learning-with-errors. Tiedän,

0:13:02.199,0:13:06.779
ettei nimessä ole paljon järkeä, mutta[br]ilmeisesti matemaatikoiden mielestä se

0:13:06.779,0:13:15.110
kivasti kuvaa ongelmaa. Eli tämä matriisi,[br]kutsumme sitä 'A':ksi, tämä salainen vektori

0:13:15.110,0:13:19.440
kutsumme sitä nimellä 's', sitten meidän[br]pitää lisätä pieni virhe termi, jotta ei ole

0:13:19.440,0:13:24.000
liian helppoa ratkaista tätä ongelmaa, ja[br]sitten otamme julkisen arvon taas, jota

0:13:24.000,0:13:32.699
kutsumme 't':ksi. Saadaan yhtälö A kertaa[br]s plus e on yhtäkuin t. Ja sitten julkinen

0:13:32.699,0:13:38.730
avainpari on tämä Matriisi A ja tulos 't',[br]ja yksityinen avain on salainen

0:13:38.730,0:13:45.629
vektori 's'. Ja se on kaikki, jota tarvitaan[br]avainparin luomiseen Kyber:ssa. Meidän

0:13:45.629,0:13:48.889
pitää oikeasti varmistaa, että yksityisessä[br]avainparissa on pieni koeffisientti ja se myös

0:13:48.889,0:13:55.570
tekee siitä pienen lähetettäväksi.[br]ja myös, tässä virheessä on pieni

0:13:55.570,0:14:01.570
koeffisientti. Loppu esityksen kannalta:[br]Nämä virhe jaksot, ne ovat tarpeellisia,

0:14:01.570,0:14:05.170
mutta mutkistavat myös vähän yhtälöitä,[br]joten me vain kirjoitamme

0:14:05.170,0:14:09.540
ne emojeilla jolloin tiedät mitä virheet[br]ovat ja mitkä ovat tärkeitä arvoja,

0:14:09.540,0:14:15.730
ja nyt Ruber kertoo jälleen: Kuinka[br]salaamme ja puramme viestejä käyttäen

0:14:15.730,0:14:21.680
sellaisia julkisia ja yksityisiä avainpareja?[br]R.G.:OK, boomeri on palannut ja hän

0:14:21.680,0:14:28.550
haluaa salata jotain. Eli, esimerkiksi hän[br]haluaa salata kirjaimen C. Eli C ei ole

0:14:28.550,0:14:33.720
arvo, vaan se on kirjaimellisesti kirjain[br]"C" jonkä hän haluaa salata. Ja kuten

0:14:33.720,0:14:38.580
opimme aiemmin, halutessamme salata jotain[br]tarvitsemme julkisen avaimen. Eli meillä on

0:14:38.580,0:14:48.079
tämä julkinen avain, joka on matriisi A ja[br]vektori t. Eli ensin, meidän täytyy muuntaa

0:14:48.079,0:14:52.839
kirjain "C" johonkin muotoon, jonka kanssa[br]Kyber toimii, sillä haluamme salata sen

0:14:52.839,0:14:58.709
Kyberillä - Eli ensin puretaan se binääri[br]muotoon, okei, tietokoneessa kaikki

0:14:58.709,0:15:04.790
on binäärinä muutenkin, eli sanotaan, että[br]käytimme ASCIIta enkoodaukseen. Eli

0:15:04.790,0:15:10.230
muutamme kirjaimen "C" ykkösiksi ja[br]nolliksi. Tässä tapauksessa se on

0:15:10.230,0:15:16.610
"1000011". Nyt meillä on binäärinen[br]esitysmuoto, mutta Kyber käyttää niitä

0:15:16.610,0:15:21.550
polynomiaaleja, eikö? Eli meidän täytyy[br]jotenkin kääntää tämä polynomiaaliksi,

0:15:21.550,0:15:28.620
joka onkin aika helppoa. Eli me vain teemme[br]binäärisen polynominaalin, eli otamme

0:15:28.620,0:15:34.970
ykköset ja nollat ja käytämme niitä[br]koefisientteinä polynominaaliin. Tässä

0:15:34.970,0:15:43.089
tapauksessa näet polynominaalin kalvoilla,[br]aika helppoa. Eli, yksi bitti on yksi[br]polynominaalin koefisientti.

0:15:43.089,0:15:48.569
Koska nolla kertaa jotain on vain nolla,[br]joka jättää vain pois nolla tekijät ja

0:15:48.569,0:15:54.050
kutistaa polynominaaliamme vähän. Eli nyt[br]meillä on selkoteksti ja voimme käyttää sitä

0:15:54.050,0:15:58.770
Kyberissä, eikö? Selkoteksti on polynominaali[br]"x potenssiin 6 plus x plus yksi".

0:15:58.770,0:16:04.880
Se on meidän selkoteksti. Me emme ole[br]salanneet vielä mitään, mutta meillä

0:16:04.880,0:16:10.720
on selkoteksti. Eli käytetään nyt Kyber:ia[br]salaamaan selkoteksti polynominaali.

0:16:10.720,0:16:17.480
Ensin, me skaalaamme sen. Meidän täytyy[br]tehdä polynominaalistamme iso. Ja teemme

0:16:17.480,0:16:22.760
sen vain kertomalla polynominaalin suurella[br]tekijällä. Eli valitsen 1337, se on satunnainen,

0:16:22.760,0:16:29.839
riippuu Kyber instanssista, mutta me vain [br]kerromme jokaisen polynominaalin

0:16:29.839,0:16:37.470
koeffisentin suurella luvulla 1337. eli[br]meillä on sama polynominaali, mutta suurilla

0:16:37.470,0:16:44.850
koeffisienteillä. Eli skaalattu selkoteksti[br]on 1337 x potenssiin, ja niin edelleen

0:16:44.850,0:16:51.890
ja niin edelleen. Eli nyt teemme itse [br]salauksen, mikä Kyber:ssa on oikeastaan

0:16:51.890,0:16:57.730
aika helppoa. Me vain ripottelemme vähän[br]virhetermejä. Kuten Krijin mainitsi aiemmin

0:16:57.730,0:17:03.810
esityksessämme, kuvaamme pieniä virheitä [br]emojeilla. Koska ne eivät ole tärkeitä,

0:17:03.810,0:17:09.110
mutta sinun pitäisi silti tietää, että ne [br]ovat siellä. Eli salatekstimme on oikeastaan

0:17:09.110,0:17:16.440
vain kaksi arvoa, v, joka on polynominaali[br]ja u joka on polynominaalin vektori.

0:17:16.440,0:17:24.640
Eli, v on avain arvo julkisesta avaimesta,[br]kerrottuna ja lisättynä virhetekijöillä,

0:17:24.640,0:17:35.350
ja sitten se oikea skaalattu selkoteksti[br]on lisätty myös. u on matriisi julkisesta

0:17:35.350,0:17:40.190
avaimesta, kerrottuna virhe tekijällä ja[br]virhetekijä lisättynä.

0:17:40.190,0:17:46.870
Näet, että porkkana virhe tekijä esiintyy[br]molemmissa yhtälöissä. Ja siinä se on.

0:17:46.870,0:17:53.600
Se on meidän salaus. (v,u) on [br]selkotekstimme salaus. Eli pelkkä

0:17:53.600,0:17:58.049
salaaminen olisi tavallaan tylsää. Me varmaan[br]haluamme myös purkaa asioita. Eli, kuinka

0:17:58.049,0:18:03.950
teemme sen Kyberilla? No, me tarvitsemme[br]yksityisen avaimen, eikös? julkinen avain

0:18:03.950,0:18:10.590
salaa, yksityinen purkaa. Eli meillä on [br]salatekstimme, ne kaksi arvoa v ja u.

0:18:10.590,0:18:17.220
Ja purkaaksemme, me ensin puramme julkisen[br]avaimen siitä. Ja me teemme sen ottamalla

0:18:17.220,0:18:25.140
v miinus yksityinen avain, kerrottuna u:lla.[br]ja jos tavaan yhtälön,

0:18:25.140,0:18:34.100
niistä tulee aika pitkiä. Mutta kuten [br]näette, jos ajattelette emojeja

0:18:34.100,0:18:40.289
virhe tekijöinä, suurin osa julkisesta[br]avaimesta, tai oikeastaan koko julkinen

0:18:40.289,0:18:49.480
avain poistuu. Ja, d, täällä kalvoilla[br]on lopputulos laskusta

0:18:49.480,0:18:59.900
v miinus salainen avain kertaa u.[br]Ja niin meillä on viestimme d:ssa, joka

0:18:59.900,0:19:04.020
on selkoteksti, mutta meillä on myös nämä[br]virhe tekijät lojumassa pitkin ja yksityinen

0:19:04.020,0:19:12.380
avain. Nyt yksi keskeinen huomio on tärkeä.[br]mainitsin aiemmin, että virhe tekijät

0:19:12.380,0:19:19.309
ovat kaikki pieniä, eli ne ovat[br]polynominaaleja pienillä koefisienteilla.

0:19:19.309,0:19:25.580
Ja yksityisessäkin avaimessa on polynominaaleja[br]pienillä koefisienteilla. Eli täällä kalvoilla

0:19:25.580,0:19:32.140
kaikki oikealla puolella ovat aika pieniä,[br]mutta selkotekstimme on iso, sillä

0:19:32.140,0:19:39.110
skaalasimme sen aiemmin. Kerroimme sen [br]suurella numerolla 1337. Eli yksinkertaisesti

0:19:39.110,0:19:46.169
tavallaan pyöristämällä kaiken, saamme[br]skaalatun selkotekstin takaisin, koska

0:19:46.169,0:19:56.830
tekijät ovat pieniä. Eli pyöristämällä[br]saamme skaalatun selkotekstin. Ja silloin

0:19:56.830,0:20:02.990
olemme purkaneet. Ja mitä meidän täytyy[br]nyt tehdä, on vain kääntää se alkuperäiseksi

0:20:02.990,0:20:11.590
tekstiksi, eli skaalaamme alas, jaamme [br]kokaisen koefisentin 1337:lla. Tuomme

0:20:11.590,0:20:19.350
nolla tekijät, eli kaikilla koeffisienteilla[br]jotka eivät ole polynominaalissa on nolla.

0:20:19.350,0:20:23.450
Kaikilla tekijöillä, jotka eivät ole[br]polynominaalissa on nolla koefisientti.[br]Eli tuomme takaisin

0:20:23.450,0:20:28.850
nollat ja sitten binääri polynominaalista,[br]voimme vain lukea ykköset ja nollat.

0:20:28.850,0:20:37.000
koefisienteista. Me saamme takaisin [br]binääri koodin ja voimme dekoodata

0:20:37.000,0:20:46.230
jälleen käyttäen ASCIIta, esimerkiksi, ja[br]saamme selkotekstimme takaisin. Ja niin

0:20:46.230,0:20:54.150
Kyber purkaa. Ja sitten voimme dekoodata[br]Kyber selkotekstin alkuperäiseksi viestiksi

0:20:54.150,0:21:01.169
joka oli "C". Eli miltä Kyber näyttää [br]kotikäyttäjälle?

0:21:01.169,0:21:06.690
No, Kyber tulee kolmena versiona, kolmena[br]eri turvallisuus tasona. Niitä on

0:21:06.690,0:21:15.620
Kyber512 aina Kyber1024 asti. Eli, usein[br]kryptografiassa turvallisuutta mitataan

0:21:15.620,0:21:22.700
bitteinä. Joskus se vertautuu AES [br]vahvuuteen. Eli alin hyväksyttävä

0:21:22.700,0:21:30.440
turvallisuus taso meille on 128 bittiä[br]ja vahvin turvallisuus taso jota käytämme

0:21:30.440,0:21:38.390
käytännössä on 256 bittiä. Eli Kyber512 on[br]noin 128 bittiä turvallinen ja Kyber1024 on

0:21:38.390,0:21:48.700
noin 256 bittiä turvallinen. Ja se on mitä[br]loppukäyttäjän tulee tietää. Mutta haluan

0:21:48.700,0:21:52.630
myös näyttää mitä nämä turvallisuudet[br]oikeasti tarkoittavat Kyberin tapauksessa

0:21:52.630,0:21:58.240
koska Kyber instanssit ovat pääosin [br]määtitelty kolmella muuttujalla: n, k ja q.

0:21:58.240,0:22:04.710
Ja mitä ne tarkoittavat? No, n on vain Kyberin[br]käyttämä polynominaalin kertaluku.

0:22:04.710,0:22:14.529
Eli 256 tarkoittaa, että meillä on exponentit[br]x potenssiin maksimi 256. Eli polynominaalit

0:22:14.529,0:22:25.230
ovat aika suuria. 256 koefisinttia voimme[br]tallettaa. k tarkoittaa vektorin kokoa. Eli

0:22:25.230,0:22:29.410
kuten näitte, Kyber ei käytä ainoastaan [br]polynominaaleja, vaan myös polynominaalien

0:22:29.410,0:22:38.350
vektoreita. Eli pohjimmiltaan monien [br]polyminaalien listoja. Ja Kyberissä myös,

0:22:38.350,0:22:46.200
k muuttuja sanoo, kuinka monta polynominaalia[br]on sellaisessa vektorissa. q on modulus

0:22:46.200,0:22:55.690
numeroille. Tarkoitan, meillä on koefisientteja,[br]eikö? Ja kuinka suuriksi tämä koefisientti voi tulla?

0:22:55.690,0:23:03.350
Eli suurin koefisientti, jota käytetään[br]Kyberissä olisi 3328 otamme sen modulo

0:23:03.350,0:23:10.780
3329. Eli kuten näette, Kyberissä meidän[br]ei tarvitse käsitellä suuria numeroita,

0:23:10.780,0:23:15.950
oikeastaan. Meidän täytyy käsitellä pre-[br]quantum kruptografiassa, meidän täytyy

0:23:15.950,0:23:25.480
käsitellä paljon suuria lukuja. Tässä, luvut[br]eivät ole niin suuria. Tärkeää on myös koon

0:23:25.480,0:23:33.360
ja nopeuden suhde. Tässä näette pylväs[br]grafiikan julkisesta, yksityisestä avaimesta

0:23:33.360,0:23:42.330
ja salatekstin koosta elliptisen kurvin[br]järjestelmässä, Curve25519, RSA ja Kyber

0:23:42.330,0:23:47.120
pienimmällä turvatasolla. Eli noilla kolmella[br]turvallisuus systeemillä on sama turvallisuus

0:23:47.120,0:23:52.450
taso, mutta kuten näette, elliptic curve[br]crypto on todella pieni, RSA on vähäsen

0:23:52.450,0:23:58.610
isompi, Kyber on vielä isompi. Mutta jos[br]menemme suurimpaan turvatasoon, näette

0:23:58.610,0:24:09.970
että Kyber on hyvin vertailukelpoinen[br]RSAhan. Kuitenkin ECC in vielä paljon pienempi.

0:24:09.970,0:24:15.460
Mutta, jos et välitä vain koosta ja välität [br]myös nopeudesta, välität nopeudesta vielä

0:24:15.460,0:24:24.070
enemmän. Ja jos vertaamme samaa turvatasoa[br]Kyberissä, elliptic curveen

0:24:24.070,0:24:30.330
ja RSAhan, näemme, että Kyber on liekeissä.[br]Kyber on todella, todella nopea.

0:24:30.330,0:24:37.899
Eli, voimme heittää pois RSAn ja vertailla[br]vain elliptic curvea Kyberiin, ja näemme

0:24:37.899,0:24:44.090
että Kyber on vielä nopeampi kuin[br]elliptic crypto, mikä on aika vaikuttavaa

0:24:44.090,0:24:49.649
koska elliptic crypto on jo melko nopea.[br]Ja, vielä lisää, voimme nähdä, että

0:24:49.649,0:24:55.730
korkeimmalla turvatasolla Kyber on nopeampi[br]kuin alimman turvatason elliptic curve

0:24:55.730,0:25:04.800
crypto. Eli Kyber - on helkkarin nopea.[br]Tiedän että testaaminen on hankalaa. Meillä

0:25:04.800,0:25:13.490
on erilaisia alustoja, mutta intuitiona:[br]Kyber on todella nopea. Eli asia, jonka

0:25:13.490,0:25:18.510
haluan mainita on, että Kyberin lähdekoodi[br]on saatavilla online. Voit ladata sen

0:25:18.510,0:25:24.700
GitHubista, esimerkiksi, PQClean [br]projektista, jossa on AVX optimoituja

0:25:24.700,0:25:34.679
implementointeja desktop CPU:ille, [br]pqm4 projektista, joka on optimoitu

0:25:34.679,0:25:40.160
ARM pohjaisille sulautetuille prosessoreille,[br]tai siellä on myös referenssi

0:25:40.160,0:25:48.100
c implementointi pq-crystals projektissa.[br]Ja viimeisenä, mutta ei vähäisimpänä,

0:25:48.100,0:25:52.830
spesifikaatio, dokumentaatio, koodi,[br]kaikki on lisensoitu Creative Commons

0:25:52.830,0:25:58.860
nolla alle, tarkoittaen, että se on julkisessa[br]jakelussa. Eli on nolla lisenssiä tai patentti

0:25:58.860,0:26:03.950
ongelmaa Kyberin kanssa, se on vai yhteistä[br]omaisuutta. Voit kloonata ja tehdä mitä

0:26:03.950,0:26:10.780
vain tahdot sen kanssa. Se on aika kivaa.[br]Eli se oli Kyberistä, nyt Krijn

0:26:10.780,0:26:16.870
kertoo teille enemmän mitä oikeastaan[br]hilat ovat ja miksi Kyber on oikeasti

0:26:16.870,0:26:27.110
turvallinen kuten se on.[br]Krijn: OK, se oli Kyber. Ja olemme

0:26:27.110,0:26:30.860
puhuneet paljon polynominaaleista, mutta[br]emme ole puhuneet paljoa hiloista.

0:26:30.860,0:26:35.880
Mutta sanoimme, että Kyber on hila[br]pohjainen malli. Eli mitä hiloilla on

0:26:35.880,0:26:39.539
tekemistä kaikkien näiden polynominaalien[br]kanssa? Ja miksi meidän mielestä se on

0:26:39.539,0:26:45.419
turvallinen, koska se on hilapohjainen?[br]No, palataan näihin numeroihin joita

0:26:45.419,0:26:49.659
käytimme hetken, vain koska ne tekevät[br]näistä asioista ymmärrettävämpiä ja

0:26:49.659,0:26:56.000
intuitiivisiä. Meillä oli tämä matriisin[br]kerronta. Me kerroimme matriisin

0:26:56.000,0:27:00.170
vektorilla. Nyt sanotaanpa, että teemme[br]tämän numeroilla, okei? Meillä on tämä

0:27:00.170,0:27:05.400
matriisi 13,4,2,9 ja kerromme sen a,b.[br]no, oikeastaan, mitä voisit myös nähdä tässä

0:27:05.400,0:27:13.250
on, että kerrot vektorin 13 yli 2 a[br]kertaa ja sitten lisäät vektorin 4 yli

0:27:13.250,0:27:17.789
9 b kertaa. Ja kuten näette kuvassa, on, [br]voit tehdä eri yhdistelmiä

0:27:17.789,0:27:22.549
siitä. Eli jos otat a = 1 ja b = 1, saat[br]pisteen oikeasta yläkulmasta

0:27:22.549,0:27:29.529
ja sitten voi tehdä tämän a = 2 ja b = 3,[br]sitten 3 ja 4 loputtomiin.

0:27:29.529,0:27:35.149
Ja sitten saisit nämä kaikki pisteet [br]levitettyinä cartesian tason yli, ja se

0:27:35.149,0:27:39.640
jatkuisi ikuisesti näissä ulottuvuuksissa.[br]Eli saisit loputtoman määrän pisteitä

0:27:39.640,0:27:49.740
vain antamalla nämä kaksi alkuperäistä[br]vektoria 13, 2 ja 4, 9. Nyt, meidän

0:27:49.740,0:27:54.929
salainen avain oli oikeastaan vain keino [br]valita yksi näistä pisteistä, koska sanoimme

0:27:54.929,0:27:58.990
no, matriisi, joka meillä oli julkisessa[br]avaimessa, se kuvaa jonkinlaisen hilan.

0:27:58.990,0:28:06.309
Ja sitten salainen avain s kuvaa oikeastaan[br]tietyn pisteen numero kertaa

0:28:06.309,0:28:11.240
ensimmäinen vektori, plus numero[br]kertaa toinen vektori. Sitten mitä

0:28:11.240,0:28:16.159
virhe tekijä tekee? No, tiedäthän, [br]se vain siirtää bitin tästä hila pisteestä

0:28:16.159,0:28:22.600
jossa olimme ja sitten saamme tuloksen[br]t täällä. Ja nyt

0:28:22.600,0:28:28.740
on todella vaikeaa päästä takaisin t:sta[br]vektoriin s. Me tiedämme, että se on

0:28:28.740,0:28:35.810
lähin vektori tähän annettuun pisteeseen t[br]tässä hilassa, jota kuvaa a. Mutta tämä

0:28:35.810,0:28:40.200
ongelma löytää lähin vektori hilassa[br]ja satunnaisissa kirjaimissa on oikeasti

0:28:40.200,0:28:44.840
todella vaikea. Ja siksi kutsumme sitä[br]lähimmän vektorin ongelmaksi, joka on

0:28:44.840,0:28:51.149
tosi hyvä nimi, koska etsimme lähintä[br]vektoria. Eli tässä kaksi ulotteisessa

0:28:51.149,0:28:56.220
esimerkissä, meillä oli matriisi e ja[br]vektori t julkisessa avaimessa, ja

0:28:56.220,0:29:01.519
meillä oli vektori s yksityisessä avaimessa[br]ja sen piilotti tämä pieni virhe tekijä.

0:29:01.519,0:29:07.850
Kertauksena: a antaa sinulle tämä alustavat[br]vektorit joita voit käyttää hilan kuvaamiseen

0:29:07.850,0:29:13.909
s antaa sinulle salaisen pisteen hilassa.[br]Virhe varmistaa, että olet lähellä

0:29:13.909,0:29:20.460
hila pistettä, mutta et liian kaukana.[br]Ja kun pääsemme lopputulokseen t,

0:29:20.460,0:29:24.890
joka on julkinen piste ja sitten pääsemme[br]takaisin tästä hilan informaatiosta ja

0:29:24.890,0:29:32.230
t -&gt; s on lähimmän vektorin ongelma,[br]tiivistettynä. Voit ajatella nyt, OK,

0:29:32.230,0:29:37.870
tämä on numeroille näen sen nyt.[br]Se on vain näitä pisteitä tällä

0:29:37.870,0:29:44.200
tasolla. Ulottuvuuteen kaksi OK, tajuan.[br]Ulottuvuuteen kolme voit ajatella kolmannessa

0:29:44.200,0:29:50.840
ulottuvuudessa. Vaikkakin puhumme ulottuvuudesta[br]n joka on paljon suurempi kuin 3 ja

0:29:50.840,0:29:56.019
polyniminaaleista numeroiden sijaan. Ja[br]kuinka visualisoimme tämän? ja todellisuudessa

0:29:56.019,0:30:02.090
emme oikeastaan, mutta tiedämme miten [br]laskemme sen, joka on vaan tätä kertomista

0:30:02.090,0:30:06.840
ja lisäämistä polynominaaleilla. Eli me[br]vain laskemme sen ja tavallaan

0:30:06.840,0:30:11.820
ajattelemme sitä hilana abstraktisti, [br]mutta emme visuaalisesti. Nyt lopetellaan

0:30:11.820,0:30:15.840
lyhyellä katsauksella asymmetrisen crypton[br]tulevaisuuteen, ja palataan kvantin

0:30:15.840,0:30:20.610
jälkeiseen krypto eläintarhaan joka meillä[br]oli. Katsoimme jo Kyberiä, mutta siellä oli

0:30:20.610,0:30:25.740
muitakin kryptografian alkutekijöitä kuten[br]Rainbow, Falcon ja SABER ja

0:30:25.740,0:30:29.940
Dilithium, NTRU, McEliece. Niiden joukossa[br]on allekirjoitus järjestelmiä, mutta myös

0:30:29.940,0:30:33.871
näitä avaintenvaihto mekanismejä. Oikeastaan,[br]tämä eläintarha on aika erilainen kuin

0:30:33.871,0:30:37.690
mikä meillä oli ennen kvantin aikaa, se mikä[br]meillä oli pre-quantum, kuten selitimme,

0:30:37.690,0:30:42.899
pohjautui enimmäkseen integer factorointiin[br]ja discrete logarithm ongelmiin. Mutta

0:30:42.899,0:30:48.299
kvantin jälkeisessä, meillä on vaihtelevat[br]ongelmat. Meillä on hash pohjaista kryptografiaa

0:30:48.299,0:30:52.149
hila pohjaista cryptoa, koodi pohjaista[br]kryptografiaa, monimuuttujaan pohjautuvaa

0:30:52.149,0:30:54.840
kryptografiaa, isogeny pohjaista kryptografiaa.[br]ja kaikki nämä viisi aika erilaista

0:30:54.840,0:30:59.750
vivahdetta kryptografiaa, myös erilaisiin[br]matemaattisiin ongelmiin pohjautuen.

0:30:59.750,0:31:06.220
Mutta post-quantum salaus on tulossa.[br]Esimerkiksi, Amazon on jo implementoinut

0:31:06.220,0:31:11.500
joitain kierroksen kaksi kanditaatteja,[br]kuten Kyberin post-quantum TLS:aan.

0:31:11.500,0:31:17.960
Ja myös BSI, joka on Saksan informaatio[br]turvallisuuden ministeriö, on tehnyt

0:31:17.960,0:31:23.389
esityksen integroida post-quantum kryptografia[br]Thunderbirdiin, joka on heidän sähköpostiohjelma.

0:31:23.389,0:31:28.590
Ja jopa NIST:lla on seuraava lainaus,[br]jos et ole siirtynyt elliptic curve

0:31:28.590,0:31:33.519
kryptografiaan vielä, älä vaivaudu,[br]vaan siirry suoraan

0:31:33.519,0:31:40.159
post-quantum cryptoon. Ja se[br]päättää esityksemme post-quantum cryptosta

0:31:40.159,0:31:45.220
ja Kyberistä. Jos haluatte jatkolukemista,[br]siellä on linkki blogiin joka

0:31:45.220,0:31:50.920
menee vähän syvemmälle miten Kyber[br]toimii ja siinä on pieni esimerkki. Juuri

0:31:50.920,0:31:55.340
kuten näytimme tällä videolla. Kiitos[br]mielenkiinnostanne ja vastaamme

0:31:55.340,0:31:58.200
kysymyksiin nyt.

0:31:58.200,0:32:00.590
Kysymys, miksi minun pitäisi välittää[br]tästä nyt ?

0:32:00.590,0:32:05.639
Ruben: No, tuo on erinomainen kysymys.[br]No, kuten tiedämme Snowdenin vuodoista

0:32:05.639,0:32:16.430
NSA tällä hetkellä tallentaa paljon[br]Internet liikennettä, joka on salattua, ja

0:32:16.430,0:32:20.510
he tallentavat tämän salatun liikenteen[br]siinä toivossa, että he voivat purkaa sen

0:32:20.510,0:32:25.750
myöhemmin. Esimerkiksi, käyttäen isoa kvantti[br]tietokonetta. Eli ensinnäkin, meidän täytyy

0:32:25.750,0:32:30.480
välittää tästä nyt, koska jos Internet[br]liikenteemme on jo tallennettu ja voidaan[br]purkaa myöhemmin.

0:32:30.480,0:32:36.970
Ja toiseksi, meidän täytyy välittää tästä[br]nyt koska transitio, erityisesti mitä tulee

0:32:36.970,0:32:41.309
kryptografiaan, on todella hidasta koska[br]standardointi vie paljon aikaa.

0:32:41.309,0:32:47.019
Implementointi vie paljon aikaa ja [br]käyttöön ottaminen vie paljon aikaa.

0:32:47.019,0:32:52.050
Eli siksi meidän täytyy välittää siitä nyt.[br]Kysymys: Mutta onko mitään haittapuolia?

0:32:52.050,0:32:56.250
Krijn: Toinen oikein hyvä kysymys. Oikeastaan,[br]kyllä, on joitain haittapuolia, mutta

0:32:56.250,0:33:01.940
ne eivät ole isoja. Yleensä, avaimet ovat[br]vähän isompia kuin mihin olemme tottuneet.

0:33:01.940,0:33:06.690
Joissain tapauksissa paljon suurempia kuin[br]mihin olemme tottuneet. Ja nopeus on huonompi

0:33:06.690,0:33:14.769
mitä aikaisemmin. Joissain malleissa paljon[br]hitaampaa kuin olemme tottuneet. Ja vaikka

0:33:14.769,0:33:19.570
tätä jo otetaan käyttöön, se on silti [br]houkutteleva alue tutkimukselle ja olemme

0:33:19.570,0:33:24.970
jatkuvasti koittaneet tehdä avaimista[br]pienempia ja malleista tehokkaampia.

0:33:24.970,0:33:29.600
Siinä toivossa, että saamme lopulta todella[br]tehokkaat järjestelmät jotka ratkaisevat

0:33:29.600,0:33:33.380
kaikki post-kvantum ongelmamme. Miksi et[br]antanut minun syödä hilaa (salaattia)?[br]--(em sanaleikki lettuce käännöksestä)--

0:33:33.380,0:33:42.690
Ruben: Se on minun hilani! Okei, syö se nyt[br]kamerassa, voit syödä yhden. Mutta

0:33:42.690,0:33:49.980
sitä ei ole pesty.[br]Herald: Okei, kiitoksia.Ensimmäinen

0:33:49.980,0:33:54.649
kysymys, jonka saimme Internetistä on:[br]Miksi käytätte 7-bit ASCIIta unicoden

0:33:54.649,0:33:59.100
sijaan?[br]Ruben: No sen kirjaimen C tapauksessa

0:33:59.100,0:34:05.340
siinä ei olisi ollut paljoa eroa kuitenkaan.[br]Me vain halusimme käyttää ASCIIta, koska

0:34:05.340,0:34:10.340
me todella, todella, halusimme suututtaa[br]Eurooppalaiset, koska kaikki nämä umlautit

0:34:10.340,0:34:17.940
ja sen sellaiset. Totta kai, ne ovat[br]tarpeettomia. Eli ASCII ikuisesti.

0:34:17.940,0:34:24.810
Herald: Olen yllättynyt, että olemme[br]molemmat eurooppalaisia myös, mutta ei

0:34:24.810,0:34:34.460
mennä nationalismiin ja jatketaan seuraavaan[br]kysymykseen, joka on, muuten, kuinka

0:34:34.460,0:34:40.390
voitte vertailla turvallisuus tasoja[br]vaihteleviin n ja vaihteleviin q

0:34:40.390,0:34:45.880
suhteutettuina?[br]Ruben: Anteeksi, yhteys hieman katosi

0:34:45.880,0:34:53.240
siinä. Voisitko toistaa kysymyksen?[br]Herald: Totta kai, voiko verrata

0:34:53.240,0:34:58.190
turvallisuus tasoja vaihtelevien n ja [br]vaihtelevien q mukaisesti ?

0:34:58.190,0:35:06.270
Ruben: Kyllä, totta kai voi. En ole varma[br]ymmärsinkö kysymyksen. Totta kai,

0:35:06.270,0:35:13.360
niin se tehdään, sillä tavoin verrataan[br]ja voit tehdä sen. En ole varma tarkoittiko

0:35:13.360,0:35:17.680
kysymys että tekisin sen juuri nyt tällä[br]paikalla, koska tätä en pystyisi tekemään,

0:35:17.680,0:35:23.390
mutta tarkoitan, se oli kalvoilla, kuten[br]turvallisuus tasot, jotka ollaan

0:35:23.390,0:35:29.490
standardoimassa, ainakin. Mutta yksi hyvä [br]asia Kyberissä, oikein hyvä asia, jonka

0:35:29.490,0:35:37.050
haluan mainita on, eli polynominaalit,[br]koko pysyy samana, modulus

0:35:37.050,0:35:43.820
q pysyy samana. Ainoastaan vektorin[br]koko muuttuu. Eli kuinka monta polynominaalia

0:35:43.820,0:35:48.460
sinulla on vektorissa. Ja se on aika kiva[br]kirjoitettaessa optimoitua koodia, koska

0:35:48.460,0:35:54.410
useimmat osat koodista ovat kirjaimellisesti[br]samoja. Jos katsot implementointia,

0:35:54.410,0:36:00.730
referenssi implementaatiota, voit nähdä[br]että se on todellisuudessa

0:36:00.730,0:36:05.650
samaa koodia kaikilla turvallisuus[br]tasoilla, vain yksi headeri muuttuu, joka

0:36:05.650,0:36:14.940
määrittää kuinka suuria vektorit ovat. Eli[br]se on aika kivaa. Mutta voit, yeah, sinulla

0:36:14.940,0:36:19.820
on RSAssa, sinulla on eri avain koot.[br]Eli kyllä, se on hankalampaa optimoida,

0:36:19.820,0:36:25.760
mutta tässä, sinä voit vain pitää samat[br]koot ja vain vektorin koko muuttuu,

0:36:25.760,0:36:31.590
mikä on hyvä juttu.[br]Herald: Miten mahdollisuus rauta-

0:36:31.590,0:36:37.300
pohjaiselle kiihdytykselle Kyberissä? [br]Olisiko se mahdollista, tehtävissä?

0:36:37.300,0:36:42.720
Ruben: En ole varma vastaanko vain tähän[br]vai haluaako Krijn myös sanoa jotain,

0:36:42.720,0:36:49.200
mutta hardware kiihdytys post-quantum [br]järjestelmissä yleisesti, kuten sanomme, on

0:36:49.200,0:36:55.610
aktiivinen tutkimusalue. Eli nuo asiat ovat[br]hyvin uusia. Oli joitain ihmisiä, jotka ovat

0:36:55.610,0:37:03.120
koittaneet sitä, on olemassa paperi siitä,[br]oikeasti - voit etsiä sen Internetistä -

0:37:03.120,0:37:06.900
RSA bignum hardware kiihdytyksen käytöstä[br]Kyberissä, joka on aika kiinnostava ajatus

0:37:06.900,0:37:14.010
koska työstentelet tässä täysin[br]eri juttujen kanssa. Mutta se on

0:37:14.010,0:37:18.280
avoin kysymys ja se on erittäin aktiivinen[br]tutkimuksen alue. Eli jos kukaan katsoja

0:37:18.280,0:37:22.410
on kiinnostunut tällaisesta jutusta,[br]en tiedä, kokeilemaan Kyberiä, tai

0:37:22.410,0:37:29.470
FPGAita tai jotain. Yeah, kokeilkaa sitä.[br]Eli siinä on paljon mahdollisuuksia, mutta

0:37:29.470,0:37:35.490
se, kuten sanoin, on myös hyvin aktiivisesti[br]tutkittu, koska se on aika uusi ja se vasta

0:37:35.490,0:37:45.960
löytää käyttöä teollisuudessa.[br]Herald: Ja tässä jatkokysymys, joka

0:37:45.960,0:37:50.580
tavallaan peilaa sitä, koska kysymys on:[br]Mihin asti tämä on tehtävissä

0:37:50.580,0:37:56.390
sulautetuissa arkkitehtuureissa, joissa[br]on hyvin rajallisesti rautaa Kyberin käyttöön?

0:37:56.390,0:38:06.710
Ruben: No, olen käyttänyt sitä Cortex[br]M3:ssa joka on ARM pohjainen. Eli yleensä

0:38:06.710,0:38:14.350
referenssi alusta, me käytämme Cortex M4[br]koska haluamme. Kuten kaksi kokeilua,

0:38:14.350,0:38:18.880
jotka ovat toistettavissa, ja voit ostaa[br]Cortex M4 lautoja aika edullisesti usealta

0:38:18.880,0:38:28.590
kauppiaalta. Eli on ehdottomasti[br]mahdollista ajaa Kyberia Cortex M3:lla.

0:38:28.590,0:38:33.240
Tarkoitan, on myös projekti GitHubissa.[br]sitä kutsutaan pqm3:ksi, jossa on Kyber[br]suorituskykytesti

0:38:33.240,0:38:41.140
useille, yeah M3 alustoille, mutta se on [br]ehdottomasti mahdollista. Minkä parissa

0:38:41.140,0:38:51.520
juuri nyt työskentelen, testaan sitä Cortex[br]M3 ja M4 myös sovellustasolla, eli sisällytän

0:38:51.520,0:38:59.970
sen TLSaan tai KEMTLSaan. Tai on olemassa[br]paperi WireGuardin käytöstä Kyberillä tai

0:38:59.970,0:39:04.780
Dilithiumilla esimerkiksi. Se on todellakin[br]mahdollista. Kysymys, myös aktiivinen alue

0:39:04.780,0:39:10.480
tutkimuksessa on, kuinka alas pääset? Kuten[br]kuinka paljon voit optimoida? Koska on useita

0:39:10.480,0:39:16.870
kompromisseja, kuten haluammeko paljon [br]tilaa koodille, mutta käyttää vähemmän RAM:ia

0:39:16.870,0:39:20.960
ja sinulla voi olla näitä kompromisseja[br]sulautetussa maailmassa. Ja se on jotain

0:39:20.960,0:39:24.950
mitä aktiivisesti tutkin juuri nyt, [br]oikeastaan. Mutta on varmasti

0:39:24.950,0:39:33.180
mahdollista ajaa sitä sulautetuissa[br]järjestelmissä. Voisimme mennä Cortex M0

0:39:33.180,0:39:38.240
joka on todella, todella alhainen taso,[br]mutta Cortex M3 pyörii jo älykorteissa.

0:39:38.240,0:39:41.800
Eli se on, mitä nykyisin tutkin[br]ja se todellakin on mahdollista.

0:39:41.800,0:39:46.210
Mutta kuten sanoin, sinun pitää katsoa[br]kompromisseja, katsoa kuinka paljon

0:39:46.210,0:39:51.120
haluat haaskata ROMia, kuinka paljon haaskata[br]RAMia ja paljonko sinulla on antaa aikaa

0:39:51.120,0:39:55.850
suoritukselle? Mutta suorituskykytestit [br]meillä on siellä, kuten sanoin, mene GitHubiin

0:39:55.850,0:40:01.120
pqm3, on jo aika hyvä, eli se on varmasti[br]käyttäkelpoinen riippuen käyttötapauksestasi.

0:40:01.120,0:40:10.850
Toivon, että se vastasi kysymykseen.[br]Herald: Minä myös. Täällä on toinen kysymys

0:40:10.850,0:40:15.970
joltain, joka on oikeati jo implementoinut[br]sen. Joten luen vain nopeasti kysymykset:

0:40:15.970,0:40:21.030
Implementoin raa'an virhe oppimis kaavan[br]epäturvallisella "pidä oluttani"-tyylillä.

0:40:21.030,0:40:26.110
Se näyttää toimivan, mutta näen noin 1% [br]bitti virheitä selkotekstissä, kuinka oikea

0:40:26.110,0:40:32.520
implementointi käsittelee laajennettuja[br]bitti virheitä salauksen purkamisessa?

0:40:32.520,0:40:41.550
Ruben: Eli helppo vastaus on pyöristämällä.[br]Eli heität vain pois joitain alimpia bittejä,

0:40:41.550,0:40:47.430
mutta se oikeasti riippuu järjestelmästä.[br]Eli jos hän on tehnyt jotain oppimista

0:40:47.430,0:40:51.740
virheillä. Eli on erilaisia malleja [br]oppimisessa virheillä. On vaikka

0:40:51.740,0:40:54.390
rengasoppiminen virheillä, modulo oppiminen[br]virheillä, oppiminen virheillä,

0:40:54.390,0:41:00.770
ja se riippuu mitä hän on implementoinut.[br]Mutta lopulta, juttu joka tuntuu toimivan

0:41:00.770,0:41:06.140
on, heität vain vähiten merkitykselliset[br]bitit pois, esimerkiksi, riippuen siitä

0:41:06.140,0:41:12.730
kuinka montaa virhettä odotat. En tiedä,[br]Krijn haluatko lisätä jotain?

0:41:12.730,0:41:16.530
Krijn: Ei, luulen että pärjään hyvin[br]kysymyksen kanssa.

0:41:16.530,0:41:22.150
Ruben: Jos ei ole yhtään kysymystä, aion[br]kysyä sinun kysymyksesi jälkikäteen. Hyvin

0:41:22.150,0:41:32.000
henkilökohtaisia historiasta. Tiedäthän?[br]Herald: Siirryn seuraavaan kysymykseen,

0:41:32.000,0:41:36.490
mutta luulen maallikon näkökulmasta,[br]että tämä voi liittyä viimeiseen kysymykseen.

0:41:36.490,0:41:40.890
Kysymys on: Nuo sekvensointi termit on[br]asetettu olemaan pieniä suhteessa

0:41:40.890,0:41:45.030
mesh:in koefisientteihin. Kuinka [br]varmistatte, etteivät ne vaaranna

0:41:45.030,0:41:47.910
salausta ja että ne ovat valittu[br]sattumanvaraisesti?

0:41:47.910,0:41:53.800
Ruben: Taas, olen pahoillani. Minulla oli[br]pari katkoa, joten en kuullut kysymystä

0:41:53.800,0:42:00.960
voisitko toistaa sen?[br]Herald: Toki. Kysymys oli: salainen avain

0:42:00.960,0:42:06.880
ja virhe termit on asetettu olemaan pieniä[br]suhteessa viestin koefisientteihin. Kuinka

0:42:06.880,0:42:10.200
varmistatte, etteivät ne riko salausta[br]valittuona sattumanvaraisesti?

0:42:10.200,0:42:14.330
Ruben: Ok, minulla pätki taas, Krijn,

0:42:14.330,0:42:20.570
saitko sinä kysymyksen? Muuten vastaan[br]mitä kuulin. Mitä luulen, että luulin

0:42:20.570,0:42:31.590
kuulleeni.[br]Krijn: Eli miksi ovat... Miksi eivät

0:42:31.590,0:42:35.910
pienet... Tosiasia että virhe ja salainen[br]avain ovet pieniä, miksi se ei vaaranna

0:42:35.910,0:42:42.910
turvallisuutta? Ja todella, no haluat pitää[br]virheen melko pienenä voidaksesi

0:42:42.910,0:42:46.660
ratkaista tämän, tämän lähimmän vektorin[br]ongelman jonka luonnostelimme. Jos virhe

0:42:46.660,0:42:50.640
on liian suuri, silloin toinen vektori[br]voisi olla lähin vektori, sen sijasta jonka

0:42:50.640,0:42:57.840
haluat olevan. Nyt miksi salaisen avaimen[br]täytyy olla pieni. On joitain tuloksia, joista

0:42:57.840,0:43:02.660
tiedämme ettei se tarkoita... Että se ei[br]vaaranna turvallisuutta pohjimmiltaan

0:43:02.660,0:43:06.900
mallissa. En tiedä jos, Ruben, sinä voit[br]tehdä kaksrivisen miksi näin on.

0:43:06.900,0:43:11.750
Ruben: Eli vastaan kysymykseen kuten aina[br]tykkään. Me tuomme sisään ne kaikki virhe[br]termit.

0:43:11.750,0:43:19.610
Kuinka varmistamme ettei purkaminen ole[br]viallinen, eikö? Ja tosiaan, se on oikein

0:43:19.610,0:43:26.440
hyvä kysymys, koska siinä on todistettavasti,[br]todennäköisestä mitättömän todennäköisestä

0:43:26.440,0:43:32.090
että siinä on purku virheitä. Kuitenkin,[br]Kyber on tarpeeksi nopea. Me käsittelemme

0:43:32.090,0:43:39.620
ne KEM versiossa Kyberistä. Eli mitä me[br]esittelimme täällä, on julkisen avaimen

0:43:39.620,0:43:45.300
salaus versio. Standardoitavana on KEM, joka [br]käyttää sisäisesti julkisen avaimen salauksen

0:43:45.300,0:43:49.460
versiota ja KEM versiossa, voit olla[br]varma että tätä ei tapahdu, koska

0:43:49.460,0:43:56.250
yeah. Vastatakseni tähän kysymykseen,[br]on olemassa pieni, pieni, mutta merkityksetön

0:43:56.250,0:44:00.850
mahdollisuus, että sinulla on virhe[br]purkamisessa, eli siinä tapauksessa oikein

0:44:00.850,0:44:06.500
hyvä kysymys. Mutta jos olet oikein kiinnostunut,[br]blogi postaus, tarkoitan, voit ladata kalvot ja

0:44:06.500,0:44:14.770
siellä on blogiteksti. Esitystä ajatellen,[br]sanotaan, voit mennä blogi postaukseen

0:44:14.770,0:44:19.770
ja siellä on Kyber spesifikaation[br]referenssi. He voivat vain klikata

0:44:19.770,0:44:27.010
spesifikaatiota ja siellä nähdä, että[br]se on parametrien virittelyä

0:44:27.010,0:44:35.110
jotta varmistetaan, että sirotellut virhe[br]termit eivät mitätöi purkamista

0:44:35.110,0:44:41.900
tiettyyn, tietyn todennäköisyyden rajoissa.[br]Ja teemme tämän todennäköisyyden

0:44:41.900,0:44:47.770
Kyberissä niin matalaksi, ettei sitä [br]todellisuudessa tapahdu. Vaikka 2 potenssiin...

0:44:47.770,0:44:56.180
sanotaan vaikka suuruusluokassa jotain,[br]atomit maapallolla tai jotain antaaksemme

0:44:56.180,0:45:00.900
käsityksen kuinka suuria numerot ovat. Eli[br]on hyvin, hyvin pieni mahdollisuus että

0:45:00.900,0:45:10.570
se tapahtuisi. Mutta hyvä kysymys. Tai[br]näin ainakin tulkitsin 50% kysymyksestä

0:45:10.570,0:45:15.560
jonka kuulin.[br]Herald: Olen pahoillani, meillä vaikuttaa

0:45:15.560,0:45:21.060
olevan tekninen ongelma.[br]Ruben: Luulen että se on vain huono

0:45:21.060,0:45:27.960
yhteys vanhempieni luona.[br]Herald: Se voi pitää paikkansa, myös

0:45:27.960,0:45:32.531
minun päässäni on ongelmia. Kysymys sen [br]jälkeen ja ehkä Krijn voi vain alkaa

0:45:32.531,0:45:38.350
vastaamaan siihen. Olisiko Kyber rikki[br]jos joku vain löytäisi yksinkertaisen

0:45:38.350,0:45:45.230
ratkaisun lähimmän vektorin ongelmaan.[br]Krijn: Kyllä, mutta me tämän on tapaus,

0:45:45.230,0:45:48.790
se on aina näin salauksessa. Jos onnistut[br]ratkaisemaan perustavan ongelman,

0:45:48.790,0:45:52.810
silloin salausmekanismi hajoaa. Onneksi[br]lähimmän vektorin ongelmassa

0:45:52.810,0:45:57.910
meillä on oikein hyvä, meillä on[br]suuri luottamus tähän ongelmaan, eli osa

0:45:57.910,0:46:04.050
muista post-quantum järjestelmistä[br]pohjautuu uudempiin ongelmiin, eli

0:46:04.050,0:46:10.750
lähimmän vektorin ongelma on näitä paljon[br]vanhempi. Eli luotamme siihen, meillä on

0:46:10.750,0:46:15.160
aika hyvä luottamus että sitä ei [br]helposti rikota tulevina vuosina.

0:46:15.160,0:46:19.570
Ruben: Eli vastaus on, se on aika hankala,[br]koska lähimmän vektorin ongelma on NP

0:46:19.570,0:46:25.050
vaikea. Eli ajattelemme, että se on aika [br]hyvä ongelma josta lähteä liikkeelle. Mutta

0:46:25.050,0:46:31.480
kysymys on myös kuinka nämä hilat ovat[br]suhteessa tiettyihin ilmentymiin

0:46:31.480,0:46:36.450
lähimmän vektorin ongelmassa? Ja ovatko[br]nämä tietyt lähimmän sektorin ongelmat

0:46:36.450,0:46:41.940
ehkä vähän helpompia tai jotain? Mutta[br]kuten Krijn sanoi, me olemme lähimmän vektorin

0:46:41.940,0:46:45.380
ongelmassa me luotamme, että tämä ongelma[br]post-quantum cryptossa on se josta olemme

0:46:45.380,0:46:49.960
hyvin varmoja. Mutta, yeah, jos ratkaisisit[br]sen tai jos olet jo ratkaissut sen,

0:46:49.960,0:46:56.830
Kyber olisi rikki.[br]Herald: Tuo kuulostaa mahdolliselta

0:46:56.830,0:47:01.490
kaiverrukselta kolikkoon. "Lähimmän [br]vektorin ongelmaan luotamme." Ja puhuttaessa

0:47:01.490,0:47:05.851
luottamuksesta. Kysymys tämän jälkeen:[br]Luottaisitko tähän Kyber, tähän Kyber

0:47:05.851,0:47:10.820
algoritmiin suojataksesi kommunikaatiosi[br]juuri nyt?

0:47:10.820,0:47:17.220
Ruben: Pitäisikö minun vastata tai Krijin[br]haluatko sinä, et ole sanonut paljoakaan?

0:47:17.220,0:47:21.360
Krijn: Minä oikeastaan, kyllä, minulla ei ole.[br]Eli jos olet epäluuloinen siihen, voit

0:47:21.360,0:47:26.310
mennä myös. En usko että puhuimme siitä,[br]mutta voit mennä myös hybridi moodiin

0:47:26.310,0:47:32.710
nykyisissä klassisissa pre-quantum cryptoissa[br]ja post-quantum, jos siedät haitat

0:47:32.710,0:47:37.580
siitä. Mutta henkilökohtaisesti, kyllä[br]luulen että luottaisin. Ruben, miten sinä?

0:47:37.580,0:47:45.060
Ruben: Minä luottaisin Kyberiin tällä hetkellä,[br]mutta siinä... Jos et luota siihen, kuten Krijn

0:47:45.060,0:47:51.050
sanoi, voit mennä hybridi moodiin, eli[br]idea, esimerkiksi, TLSaan, ensin tee

0:47:51.050,0:47:58.050
elliptic curve crypto ja post-quantum [br]crypto yhdessä, tavallaan siten että

0:47:58.050,0:48:02.460
vastustaja, hyökkääjän pitäisi murtaa[br]molemmat vaarantaakseen

0:48:02.460,0:48:09.220
kommunikaation. Sillä tavoin sinun ei[br]tarvitse täysin luottaa Kyberiin vielä jos

0:48:09.220,0:48:15.260
haluat ajaa hybridiä. Mutta tietenkin, ideana[br]on jossain vaiheessa päästä eroon tästä

0:48:15.260,0:48:19.400
overheadista ja ajaa vain post-quantum[br]cryptoa ilman elliptic curve cryptoa lisänä.

0:48:19.400,0:48:25.510
Mutta, yeah, tarkoitan, minä henkilö-[br]kohtaisesti käyttäisin sitä juuri nyt. Mutta

0:48:25.510,0:48:32.940
mitä haluan myös sanoa on, että jokaisen[br]kryptojärjestelmän alussa, RSA elliptic

0:48:32.940,0:48:37.400
curve, ei merkitystä. Alussa kaikki ovat[br]melko epäileviä, eikä kukaan halua

0:48:37.400,0:48:41.730
käyttää sitä vielä. Ja se on ihan ok.[br]Niinkuin, se on miten yhteisö toimii.

0:48:41.730,0:48:45.980
Mutta ajan kuluessa, usein ihmiset saavat[br]luottamusta.

0:48:45.980,0:48:57.020
Herald: OK, kiitos. Nyt ajaudumme [br]spekulatiiviselle alueelle, ja yksi

0:48:57.020,0:49:01.430
kysymyksistä on, onko teillä mitään [br]arvausta, mikä järjestelmistä tulee

0:49:01.430,0:49:07.240
todennäköisesti voittamaan NIST PQC [br]kilpailun, post-quantum crypto

0:49:07.240,0:49:11.500
kilpailun?[br]Ruben: NIST erityisesti sanoo, että se ei

0:49:11.500,0:49:23.560
ole kilpailu, erittäin tärkeää. Eli Kyber on[br]yksi voittajista, joita sieltä tulee, mutta

0:49:23.560,0:49:34.930
se on aika selvää. Ja voit jo nyt nähdä[br]adoptoinnin oikeassa maailmassa. Toimme

0:49:34.930,0:49:42.290
kaksi esimerkkiä Amazonille ja BSI:lle, joka[br]esimerkiksi haluaa sisällyttää sen

0:49:42.290,0:49:49.920
Thunderbirdiin emailin samaamiseksi. Eli[br]Kyber tulee olemaan yksi voittajista. Tämä

0:49:49.920,0:49:57.560
on minun... ei ainoa mielipide, mutta yeah,[br]se on selvää. Ja muuten, luulen McEliece,

0:49:57.560,0:50:06.340
joka on koodi pohjainen jörjestelmä, joka[br]on aika suuri kaikin mitoin, sanotaan näin.

0:50:06.340,0:50:11.640
Mutta ihmisillä tuntuu olevan enemmän [br]luottamusta siihen, koska se on ollut [br]täällä pidempään.

0:50:11.640,0:50:19.770
Yeah, ja sanoisin noin KEMeille ja kaikki[br]ovat aika tyytymättömiä allekirjoituksiin.

0:50:19.770,0:50:27.490
Eli en usko, että tulee olemaan alle-[br]kirjoituksia standardoituna tänä- tai

0:50:27.490,0:50:32.910
ensi vuoden alussa. Mutta Krijn, en tiedä[br]ehkä sinulla on arvaus ?

0:50:32.910,0:50:38.530
Krijn: Ei, en ole kovin spekulatiivinen[br]persoona, mutta mielestäni Rubenin

0:50:38.530,0:50:43.690
vastaus oli hyvä vastaus.[br]Ruben: Nyt sinun tosiaan täytyy

0:50:43.690,0:50:49.170
spekuloida, tarkoitan come on, et voi [br]vain ratsastaa vastauksellani.

0:50:49.170,0:50:52.760
Krijn: en, tietenkin voin. On kiinnostavaa[br]huomata oikeastaan, että allekirjoituksille

0:50:52.760,0:51:01.960
ei ole niin kova kiire, sanotaanko.[br]Se on erityisesti tämä avainten vaihto

0:51:01.960,0:51:09.090
jonka haluamme tehdä post-quantumiksi[br]niin nopeasti kuin mahdollista, ehkä, tai

0:51:09.090,0:51:13.730
tai ainakin standardoida nopeasti ja sitten[br]integroida sen mitä ikinä rakennammekin.

0:51:13.730,0:51:19.830
No allekirjoituksiin on hieman enemmä aikaa,[br]joten meillä on myös aikaa keksiäksemme

0:51:19.830,0:51:23.580
parempia ratkaisuja siihen tai analysoida[br]nykyisiä ratkaisuja vähän enemmän.

0:51:23.580,0:51:27.900
Ruben: Yeah, se on koska tarkoitan[br]mainitsimmme hyökkäysmallin, iso

0:51:27.900,0:51:33.890
valtiollinen laitos, esimerkiksi. Ja avain[br]vaihto pitää korjata heti, koska se

0:51:33.890,0:51:38.820
voidaan rikkoa myöhemmin ja sitten[br]kommunikaatio voidaan purkaa. Mutta

0:51:38.820,0:51:44.360
allekirjoitukset, niillä on lyhyt elinikä,[br]esimerkiksi, ja niitä käytetään

0:51:44.360,0:51:49.930
myös autentikointiin. Eli tarvitsisit[br]aktiivisen vastustajan. Ja se, yeah. Et voi

0:51:49.930,0:51:55.640
tallentaa nyt ja sitten toteuttaa aktiivisen[br]hyökkäyksen 10 vuoden päästä, niin kuin,

0:51:55.640,0:51:58.990
se ei toimi. Eli meillä on enemmän aikaa,[br]yeah.

0:51:58.990,0:52:05.040
Herald: No se ei ole täysin totta.[br]On monia valtioita, jotka käyttävät ja

0:52:05.040,0:52:10.930
puhun allekirjoituksista, ei hetkellisessä[br]käytöstä, online käytössä, vaan enemmän

0:52:10.930,0:52:16.030
allekirjoitusten käyttämisestä, esimerkiksi[br]dokumenttien allekirjoittamisessa. Ja siihen

0:52:16.030,0:52:18.180
hyökkäykset olisivat silti relevantteja[br]tulevaisuudessa.

0:52:18.180,0:52:23.590
Ruben: Jos niillä on, no, jos niissä on[br]pitkä elinkaari, yleensä allekirjoituksissa

0:52:23.590,0:52:28.790
tai avaimissa ainakin, allekirjoitusten, ne[br]vanhenevat jossain vaiheessa. Mutta, tietenkin

0:52:28.790,0:52:33.810
jos sinulla on, sinulla on allekirjoituksia,[br]joissa ei ole vanhenemispäivää tai jotain,

0:52:33.810,0:52:37.920
sitten ne olisivat uhan alla myöskin.[br]Herald: Dokumenttien allekirjoituksessa

0:52:37.920,0:52:42.770
sinulla on allekirjoituksia, joissa on paljon[br]pidempi elinikä, kuin mitä tyypillisillä

0:52:42.770,0:52:45.990
web transaktioilla, esimerkiksi. Mutta[br]nyt olen täysin putoamassa roolista

0:52:45.990,0:52:49.120
Heraldina, joka on vain astia kysymyksille[br]yleisöstä.

0:52:49.120,0:52:50.590
Ruben: Mutta totta kai, tämä kiinnostaa[br]meitä myös.

0:52:50.590,0:52:57.420
Herald: Ja luulen, että viimeisessä versiossa[br]ainakin, luulen, että tämä on viimeinen

0:52:57.420,0:53:01.020
kysymys, ellei siellä ole lisää IRC:ssa,[br]eli ihmisten pitää olla nopeita jos he

0:53:01.020,0:53:04.840
haluavat vielä lisää kysymyksiä. Mutta[br]viimeiset kysymykset ovat hyvin käytännöllisiä.

0:53:04.840,0:53:11.020
Ja periaatteessa, onko teillä mitään ajatuksia[br]sudenkuopista Kyberin implementoinnissa vielä?

0:53:11.020,0:53:16.220
Onko teillä ehdotuksia sen varmistamiseen[br]että se implementoidaan turvallisesti? Tai

0:53:16.220,0:53:26.100
onko se mahdollista vain implementoida naivisti?[br]Ruben: Eli, tämä on aina suuri taistely

0:53:26.100,0:53:31.010
kryptografia yhteisössä, koska on ihmisiä,[br]jotka sanovat, oh, on vain kourallinen

0:53:31.010,0:53:36.380
valittuja ihmisiä, jotka pystyvät implementoimaan[br]sen turvallisesti. Ja sinun ei pitäisi koskaan

0:53:36.380,0:53:41.770
ikinä, ikinä, tehdä sitä itse. Olen tämän[br]toisella puolella, mielestäni ihmisten

0:53:41.770,0:53:47.590
pitäisi leikkiä implementoinnilla. Kokeilla[br]sitä. Eli, Kyber on järjestelmien joukossa

0:53:47.590,0:53:54.830
että se ehdottomasti, sanotaan, että helpompi[br]implementoida oikealla tavalla. Kuitenkin, se

0:53:54.830,0:54:03.650
riippuu missä aiot käyttää sitä, koska[br]sinun täytyy ottaa myös sivukanavat

0:54:03.650,0:54:08.440
huomioon, erityisesti jos työskentelet[br]sulautetuilla alustoilla, kuten voima-analyysi

0:54:08.440,0:54:13.930
ja sen sellaiset. Eli tätä myös tarkastellaan[br]paljon. Ja sitten jos menet sellaiseen

0:54:13.930,0:54:18.350
implementaatioon, sinulla pitäisi olla[br]naamioitu implementaatio. Eli tämä

0:54:18.350,0:54:25.210
olisi kokonaan oma esityksensä. En oikein[br]halua niinkuin antaa sivulle kahta verbiä

0:54:25.210,0:54:30.280
mitä sinun pitäisi tehdä ja sitten sanoa [br]että se on turvallinen. Tarkoitan, se on

0:54:30.280,0:54:38.590
vähän monimutkaisempaa. Eli en voi oikeasti[br]sanoa tee tämä ja tuo. Voin vain sanoa

0:54:38.590,0:54:45.170
spektrumissa helposta vaikeaan, Kyber on[br]enemmän reunassa helpompi implementoida

0:54:45.170,0:54:50.970
turvallisesti. Mutta jos olet kiinnostunut[br]siitä, katso implementointeja.

0:54:50.970,0:54:55.650
Siellä on referenssi implementaatio. Siellä[br]on PQClean ja muuta.

0:54:55.650,0:55:01.810
Etsi implementointeja online ja tutki[br]niitä ja katso spesifikaatiota, joka on

0:55:01.810,0:55:07.550
linkattu blog postaukseen, se on linkattu[br]kalvoihin. Siellä on myös joitain asioita

0:55:07.550,0:55:17.110
jotka sanovat mitä sinun ehkä pitäisi,[br]missä sinun pitäisi olla varovainen, sanotaan.

0:55:17.110,0:55:23.600
Herald: OK. Ja täällä oli juuri lisä [br]kysymys myös, ja se on, mikä

0:55:23.600,0:55:28.900
on Kyberin status OpenSSL:ssa ja GnuTLS:sa

0:55:28.900,0:55:42.400
Ruben: Okei, me näemme adoption crypto[br]kirjastoissa, mutta OpenSSL. OK, en halua

0:55:42.400,0:55:53.610
vihata, mutta OpenSSL koodipohja on, kuinka[br]sanon sen? Katso, se on vähän monimutkainen

0:55:53.610,0:56:04.140
ja vähän vaikea ulkopuoliselle tajuta mitä[br]OpenSSL tekee tietyissä nurkissa omassa

0:56:04.140,0:56:11.770
koodipohjassaan. Mutta on projekti[br]nimeltään OpenOQS, ei LibOQS, se on haara

0:56:11.770,0:56:18.800
OpenSSL:sta, sisältäen post-quantum kaavat,[br]mutta ei ainoastaan Kyberiä, mutta useat

0:56:18.800,0:56:24.630
järjestelmät. Se on LibOQS, se on OpenSSL[br]haara. On myös muita kirjastoja, esimerkiksi

0:56:24.630,0:56:34.670
WolfSSL, jolla on pienempi koodipohja ja[br]heillä on jo se heidän oikeassa julkaisussa

0:56:34.670,0:56:40.530
tai heidän pääoksassa, sanotaan, Gitissa,[br]heillä on jo NTLS post-quantum kaavat,

0:56:40.530,0:56:46.420
ja Kyber on yksi niistä. Heillä on[br]hila pohjaisia järjestelmiä, jos

0:56:46.420,0:56:53.340
muistan oikein: Kyber, Dilithium ja [br]Falcon. Joten he ovat ne jo sisällyttäneet.

0:56:53.340,0:57:00.040
WolfSSL, OpenSSL, kuten sanoin siinä on[br]haara joka on suorituskyky mittaukseen ja

0:57:00.040,0:57:08.870
asioiden testaamiseen, siinä toivossa että[br]myöhemmin ne palaavat OpenSSLaan. Mutta

0:57:08.870,0:57:14.960
kuten sanoin, OpenSSL ei ole oikein ideaali[br]kokeiluille, koska koodipohja on aika

0:57:14.960,0:57:23.080
suuri ja joissain nurkissa, aika monimutkainen[br]ymmärtää ja niin edelleen. Muut kirjastot

0:57:23.080,0:57:30.590
ovat vähän nopeampia. En tiedä mitään[br]pyrkimyksistä GnuTLSaan ollakseni rehellinen,

0:57:30.590,0:57:35.280
mutta en ole katsonut sinnepäin vielä. On[br]mahdollista, että joku muu on tehnyt

0:57:35.280,0:57:42.740
jotain siellä. Tarkoitan, olen työskennellyt[br]WolfSSL kanssa ennen ja OpenSSL kanssa.

0:57:42.740,0:57:53.650
Mutta GnuTLS en ole varma. On ollut puhetta[br]sisällyttää se GnuPGhen, jota voit käyttää

0:57:53.650,0:57:59.490
email salaukseen, ja siellä on, siinä on[br]jotain edistymistä. Mutta, yeah, GNUTLS

0:57:59.490,0:58:07.960
minä en tiedä.[br]Herald: Okei, tämä tuo meidät meidän

0:58:07.960,0:58:15.920
oikeasti viimeiseen kysymykseen, joka on,[br]kuinka lähellä ovat nykyiset pilvi kvantti

0:58:15.920,0:58:24.270
tarjonnat kyetäkseen mahdollistamaan käyttäjien[br]rikkoa nykyiset julkisen avaimen kryptografiat?

0:58:24.270,0:58:31.050
Ruben: Jos ymmärsin oikein, Krijn voit[br]myös sanoa jotain jos haluat, jos

0:58:31.050,0:58:37.430
ymmärsin oikein, se on yleinen kysymys.[br]Jos voin käyttää pilvilaskentaa

0:58:37.430,0:58:43.340
murtaakseni julkisen avaimen salauksen?[br]Herald: Ei, kysymys on tarkempi. on

0:58:43.340,0:58:48.000
olemassa kvantti palveluita julkisilla[br]pilvitarjoajilla, kuten Amazon juuri nyt,

0:58:48.000,0:58:54.110
ilmeisesti. Ainakin näin oletan henkilön[br]joka esitti kysymyksen pohjustavan sen.

0:58:54.110,0:59:00.090
Ja kysymys on, missä määrin nuo saatavilla[br]olevat vaihtoehdot ovat käytettävissä

0:59:00.090,0:59:04.100
rikkomaan nykyiset julkisen avaimen [br]kryptografian järjestelmät?

0:59:04.100,0:59:08.680
Ruben: Eli jos ymmärsin kysymyksen oikein,[br]kuten, jo käyttöön otetut kvantti

0:59:08.680,0:59:14.840
tietokoneet, ovatko ne uhka pre-quantum[br]järjestelmille? OK, toistaiseksi ne

0:59:14.840,0:59:23.050
eivät, kvantti tietokoneita on käytössä,[br]mutta niissä ei ole lähellekään riittävästi

0:59:23.050,0:59:32.930
qbittejä murtaakseen mitään oikean maailman[br]järjestelmää, eli se on monimutkaisempaa kuin

0:59:32.930,0:59:37.150
se, koska et tarvitse vain qbittejä, tarvitset[br]myös kvantti rekistereitä, jotka ovat riittävän

0:59:37.150,0:59:41.480
suuria, koska sinun pitää sotkea kaikki[br]qbitit. Tarkoitan, olemme menossa

0:59:41.480,0:59:46.110
kvanttimekaniikkaan, mutta meidän pitää[br]sotkea bitit ja kaikkea sellaista kvantti

0:59:46.110,0:59:52.000
hulluutta. Ja sitten tarvtset myös virheen[br]korjauksen, joka on riittävän hyvä. Eli on

0:59:52.000,1:00:00.020
vielä, vielä on monia teknisiä, kuten[br]suunnittelu ongelmia, joita pitää

1:00:00.020,1:00:03.890
ratkaista, teoriassa kaikki on hienosti ja[br]silleen, mutta siinä on suunnittelu

1:00:03.890,1:00:08.290
työtä, josta pitää päästä yli ja nyt[br]asennetut kvantti tietokoneet eivät ole

1:00:08.290,1:00:16.430
tarpeeksi suuria ollakseen uhka kvantille,[br]pre-quantum järjestelmille, ellei sinulla

1:00:16.430,1:00:23.920
ole leikki avainsummia. Mutta oikeissa[br]asennuksissa, se ei ole uhka vielä, mutta

1:00:23.920,1:00:28.080
se voisi olla seuraavan parin vuoden aikana.[br]On hyvin vaikeaa ennakoida kehitystä

1:00:28.080,1:00:35.000
siinä ja suurimmat kvantti tietokoneet[br]ovat oikeastaan kvantti hehkuttajia, jotka

1:00:35.000,1:00:39.210
toimivat eri tavalla, niinkuin kvantti[br]hehkutus on eri asia, erilainen

1:00:39.210,1:00:42.770
kvantti tietokone, josta emme ole liian[br]huolissamme juuri nyt.

1:00:42.770,1:00:46.990
Kuten se D-Wave esimerkiksi. Mutta, yeah, [br]Eli juuri nyt, ne eivät ole uhka, mutta

1:00:46.990,1:00:53.400
voivat olla parin vuoden päästä tulevaisuudessa.[br]Krijn: Ja erityisesti niin suhteessa siihen miksi

1:00:53.400,1:00:59.930
vaihdat post-quantum cryptoon, on[br]tämä ajatus myös, standardoida crypto

1:00:59.930,1:01:03.641
ja sitten integroida crypto ja kaikki[br]tämä kestää vuosia kuten tiedämme

1:01:03.641,1:01:08.290
siitrymisestä elliptic curve cryptoon.[br]Eli vaikka tämä kvantti tietokone

1:01:08.290,1:01:13.780
on 10, 15 vuoden päässä, silti tämä[br]koko transitio tulee kestämään niin

1:01:13.780,1:01:20.480
pitkään, että sen jälkeen, kuinka kauan sinun[br]alkuperäisen datan täytyy olla turvassa?

1:01:20.480,1:01:25.900
Se on jokaisen arvaus.[br]Ruben: Yeah, tarkoitan, sinun täytyy

1:01:25.900,1:01:30.420
ymmärtää, asymmetrinen crypto on kaikkialla,[br]kuten esimerkiksi, myös yksi esimerkki voi olla

1:01:30.420,1:01:34.730
passini, kuten matkadokumenttini. Ja on[br]dokumentteja, esimerkiksi, tuolla jotka

1:01:34.730,1:01:40.560
ovat voimassa 10 vuotta, kuten, luulen[br]kunnollinen passi ja sellaiset jutut.

1:01:40.560,1:01:44.610
Ja tietenkin, ja kestää todella kauan myös[br]sen kaltaisten asioiden kanssa, kuten

1:01:44.610,1:01:50.670
dokumenttien, jotka on myöntänyt hallinto.[br]Siinä vain kestää aikaa, siihen menee

1:01:50.670,1:01:57.460
paljon aikaa.[br]Herald: OK, kiitos teille paljon. Minun

1:01:57.460,1:02:01.700
pitäisi myös mainita, että signal angelilta,[br]on ollut useita hyvin innostuneita

1:02:01.700,1:02:06.200
vastauksia yleisöstä ja ei niin paljon[br]kysymyksiä esityksestänne, se on myös

1:02:06.200,1:02:09.720
hyvin mielenkiintoista. Eli kiitos teille[br]paljon kun teitte tämän ja ehkä

1:02:09.720,1:02:11.720
näemme teitä taas.[br]Krijn: Kiitoksia

1:02:11.720,1:02:16.530
Ruben: Hei hei!

1:02:16.530,1:02:37.320
rC3 loppumusiikki

1:02:37.320,1:02:41.000
Translated by Esa Lammi[br](KYBS2004 course assignment at JYU.FI)