[Translated by Timo Broström
(KYBS2004 course assignment at JYU.FI)]
musiikkia
Tervetuloa kaikki tähän kaaoottiseen
vuoteen sekä tapahtumaan
olen Karra ja tulen olemaan teidän tiedottaja
on ilo pystyä kuuluttamaan puhe
kvantti-jälkeinen kryptografia:
kiertotiet, viivästykset ja katastrofit
jonka pitävät Tanja Lange
ja D.J. Bernstein
Tanja Lange on kryptograafikko ja matemaatikko
joka erikoistuu kantti-jälkeiseen krytografiaan
joka on korvaamassa kryptografiaa
jota käytämme nykypäivänä
sellaisilla versiolla jotka ovat turvassa
kvanttitietokoneilla toteutetuilta hyökkäyksiltä
hän on professori Einhovenin
teknillisessä yliopistossa
ja hänellä on ylpeilee useilla
eri julkaisuilla ja erityksillä
hän oli myös PQ crypton koordinaattori
joka on yleiseurooppalainen liitto
kvantti-jälkeisen kryptografian
käyttöönottamiseksi
D. J. B. on professori Illinoisin
yliopistossa Chicagossa
sekä professori Bochumin yliopistossa.
hän työskentelee kryptografian parissa ja
hän on kehittänyt
salakirjoitusjärjestelmiä joita käytetään
avoimen lähdekoodin kryptografiassa,
mahdollisesti käytät jotain
sellaista salakirjoitusjärjestelmää
katsoessasi tätä puhetta juuri nyt
yhdessä he kehittivät vaikuttavan
määrän projekteja
aina turvallisen kryptografian
käyttöönoton yksinkertaistamisesta
turvallisien kvantti-jälkeisten
tietotyyppien rakentamiseen
molemmat heistä ovat
aktivisteja jotka taistelevat
läpinäkyvämmän kryptografian
standardisointiprosessin puolesta
nyt kaikki laittakaa räpylänne yhteen
laittakaa kätenne yhteen
Tanja Longelle ja D.J.B:lle!
selvä, kiitos kivasta esipuheesta
sukelletaan heti asiaan
aloitetaan HTTPS:llä
kun menet HTTPS-sivulle
tai suojatulle sivulle
käytät TLS:ä, kuljetuskerroksen turvaa
turvataksesi kommunikaatiosi
TLS käyttää kahdenlaista
kryptografiaa muutamista eri syistä
ensinnäkin, se turvautuu
julkisen avaimen kryptografiaan
se tekee kahta asiaa
ensiksi, se tarjoaa allekirjoituksia
julkisen avaimen allekirjoituksia
se varmistaa että hyökkääjä ei pysty
korvaamaan palvelimen
dataa hyökkääjän datalla
ja teeskennellä olevansa palvelin
lisäksi TLS käyttää
julkisen avaimen salausta
esimerkiksi NIST P-256,
RSA-4096 on allekirjoittajajärjestelmä
NIST P-256:ta voidaan käyttää salaukseen
ja tämä salaa datasi niin ettei hyökkääjä
voi ymmärtää sitä
suoritustehoon liityvistä syistä
kryptografia on monimutkaisempi kuin
vain tämä julkisen avaimen kryptografia
se sisältää myös symmetrisen kryptografian
joskus sitä nimitetään
salaisen avaimen kryptografiaksi
kun kokoat kaiken yhteen TLS:n
saat kolme peruspalikkaa
on julkisen avaimen salaus
joka sen sijaan että
se salaisi datasi niin
etteivät hyökkääjät voi ymmärtää sitä
se salaa vain avaimen
se lähettää avaimen
turvallisesti ja salassa
päästä toiseen
ja julkisen avaimen allekirjoituksia
käytetään sen varmistamiseksi
ettei hyökkääjä pysty korvaamaan
toista avainta
ja lopuksi avainta käytetään
datasi suojaamiseen
symmetrisen kryptografian avulla
kaikista muistakin
protokollista joita käytät
olisi mahdollista tehdä
tämän tyyppiset diat
kuten SSH:sta mutta ne kaikki toimivat
varsin samalla tavalla
korostan nyt kaksi osaa tästä diasta
RSA-4096
tyypillinen allekirjoitusjärjestelmä
ja tyypillinen salausjärjestelmä
NIST P-256
koska nämä kaksi tullaan murtamaan
kvanttitietokoneiden takia
ilman kvanttitietokoneita
mitään tiedossa olevia
uhkia ei olisi mutta
kunhan hyökkääjällä on
iso kvanttitietokone
mikä luultavasti tapahtuu
se ei ole varmaa
ehkä panostukset kvanttitietokoneisiin
epäonnistuvat jostain syystä
mutta näyttää siltä
että kvanttitietokoneet
ovat yhä menestyvämpiä
ja kunhan kvanttitietokoneet
ovat tarpeeksi isoja
ehkä kymmenen vuoden päästä
sen jälkeen hyökkääjät
voivat ajaa hyökkäysalgoritmin
jota kutsutaan Shorin algoritmiksi
joka löytää salaiset RSA-avaimesi ja
salaiset NIST P-256 avaimesi
ja tässä vaiheessa hyökkääjät voivat
tarkastella tietoja
joita he tallentavat nyt
se ei ole uhka vain tulevaisuuden datalle
vaan se on myös uhka
nykyhetken tietojesi
luottamuksellisuudelle
koska hyökkääjät tallentavat jo
nyt kaiken minkä he voivat Internetissä
ja sitten kun heillä on
iso kvanttitietokone
he voivat takautuvasti purkaa salaukset
koska he voivat murtaa RSA-4096:n
ja NIST P-256:n
nimenomaan NIST P-256 tarjoaa salauksen
ja he voivat palata ajassa taaksepäin
ja murtaa salauksen jota käytät tänään
mitä me teemme tälle?
Norminmukainen lähestymistapa
on mitä me kutsumme
kvantti-jälkeiseksi kryptografiaksi
kuulit sen jo aiemmin se oli meidän
otsikossamme se on korvaava kryptografia
joka on suunniteltu se mielessä pitäen
että hyökkääjällä on
käytössä kvanttitietokone
joten eli kuten airue
jo aiemmin mainitsikin
olin koordinaattorina PQCRYPTO projektissa
ja se tarkoittaa että olen nipistellyt
ympäri maailmaa ja pitänyt puheita
kvantti-jälkeisestä kryptografiasta
tässä on kuvankaappaus puheesta jonka
pidin kuusi ja puoli vuotta sitten
missä korostin kuten Dan teki tänään
kvantti-jälkeisen kryptogragian tärkeyttä
ja korostin
että on tärkeää tehdä suositukset
jotka kertovat mitä algoritmeja meidän
pitäisi käyttää korvataksemme RSA:n ja
NIST P-256:n jotka
näitte edellisillä dioilla
ja sitten käsittelin kysymystä pitäisikö
meidän standardisoida nyt vai myöhemmin
argumentteja löytyy molemmilta puolilta
ja, no, jos stardardisoitaisiin nyt,
kuusi vuotta sitten tuntui että vielä on
niin paljon tehtävää ja meillä on paljon
parempi järjestelmä
jos odotamme vähän pidempään
toistaalta on huoli virastojen ja muiden
pimeyden voimien keräämästä datasta
ja mitä myöhempään se julkaistaan
sitä enemmän dataa ja turvallisuutta
menetetään joten olisi tärkeää saada
asioita eteenpäin ja ratkaisumme silloin
mitä olin mainostamassa vuonna 2016 oli
vuonna 2015 julkaistut suositukset jossa
sanottiin että
keskittäminen vie paljon aikaa
me emme ole siinä vaiheessa vielä
mutta jos joku haluaa suojella itseään
tässä mitä me,
no tässä on aikamoinen määrä
tutkijoita jotka ilmoittautuivat tähän
lausuntoon osana PQCRYPTO projektia
mitä me suosittelemme?
meidän suosittelumme olivat mitä kutsumme
varovaiseksi kryptografiassa
se ei tarkoita
poliittisesti konservatiivinen
vaan se tarkoittaa tylsää se tarkoittaa
että jokin on ollut jo pitkään ilmoilla
monet ihmiset ovat analysoineet sen
ja emme odota mitään muutoksia siihen
symmetrisen avaimen puolella, kuten Dan
oli jo sanonut, niihin kvanttitietokoneet
eivät vaikuta joten jos käytät tarpeeksi
suuria kokoja
256-bittisten avainten kanssa
niin AES tai Salsa20 ovat riittäviä
myös todentamisessa, kun saat avaimen,
siihen ei voi vaikuttaa
julkisen avaimen salauksen ja
allekirjoituksen RSA-4096:n ja
ECC NIST P-256:n me juodumme korvaamaan
niitä varten meillä on korvikkeet ja tässä
me annoimme
korkean luottamuksen suosituksen
eli käytä
McEliecen järjestelmää minkä nimi
saattaa näkyä hieman myöhemmin
ja käytä
tiivistepohjaisia allekirjoituksia
ja SPHINCS:n haluat tutusta myöhemmin
me myös julkistimme joitain arvioinnin
alaisena olevia kohteina mikä tarkoittaa
että niitä ei kannata käyttää juuri nyt
mutta tulevaisuudessa ne voivat olla ok
ja meille tämä oli ok, me iskemme seipään
maahan, me sanomme
että nämä ovat turvallisia
ja ihmisten tulisi toimia niin ja kaikki
elävät onnelisina elämän loppuun asti
ja me olemme valmiita puheemme kanssa
vai elivätkö sittenkään
kaikki onnellisesti
elämänsä loppuun asti?
Katsotaan mitä oikeasti
tapahtui tämän jälkeen
järjestely, no,
asiat jotka pitäisi julkistaa
itse asiassa oli eräs kokeilu
jota Google piti käynnissä
joka sanoi että vuonna 2016 Google Chrome
lisäsi kvantti-jälkeisen vaihtoehdon
nyt, se ei tarkoita että jokainen
verkkopalvelin tuki sitä
se oli vain kokeilu
missä Google laittoi sen päälle joillain
heidän palvelimillaan
ja sanoi ok katsotaan
miten hyvin tämä toimii ja kuulostivat
todella innostuineilta heidän blogissaan
jossa he julkistivat sen että he auttavat
käyttäjiä suojautumaan
kvanttitietokoneilta
katsotaan toimiiko tämä
järjestelmä jota he käyttivät kutsuttiin
nimellä New Hope (NH)
he eivät pelkästään salanneet NH:lla,
NH on kvantti-jälkeinen salausjärjestelmä
he myöskin salasivat kvanttia-edeltävällä
salauksella, elliptisten käyrien
salausmenetelmällä, ECC
kuten Tanja aikaisemmin
mainitsi NIST P-256
on esimerkki ECC:stä, x25519 on toinen
esimerkki ECC:stä, tämä on jotain mitä
käytät tänä päivänä salataksesi datasi
ja mitä Google teki, se salasi NH:lla
kvantti-jälkeisen turvallisuuden
takaamiseksi ja salasi myös
x25519:lla kuten he tekevät
normaalisti myös tänä päivänä
asian ydin on että jos jotain menee
pahasti pieleen NH:n kanssa niin meillä
silti on kvanttia-edeltävä turvallisuus
joten ainakaan välitöntä turvallisuusuhkaa
ei ole, he eivät ole pahentamassa asioita
tietysti jos NH on rikki niin he eivät ole
myöskään parantamassa
asioita mutta pääasia
oli yrittää saada asioita paremmaksi ja
varmistaa samalla ettei asiat mene
pahemmaksi salaamalla molemmilla sekä
kvanttia-edeltävällä
että kvantti-jälkseisellä
asioilla ja varasuunnitelma on todella
tärkeää olla olemassa koska NH on uusi
salausjärjestelmä, no, oli vuonna 2016
pääpalat NH:n suunnittelussa tulivat
vuosilta 2010, 2014 ja 2015 ja se ei ole
paljon aikaa asioiden läpikäymiseen ja
kryptografiassa asiat voivat välillä olla
maisemissa vuosia ennen kuin niistä
löydetään turvallisuusongelmia
on todella tärkeää että uusille
salausjärjestelmille annetaan aikaa kypsyä
toinen ongelma uusien salausjärjestelmien
kanssa on että joskus ne patentoidaan
patenit säilyvät 20 vuotta ja tämä tapahtui
NH:lle, patentin haltija otti yhteyttä
Googleen ja sanoi että haluan rahaa teidän
NH kokeilusta. Google ei koskaan
antanut julkista lausuntoa tästä patentti-
uhkasta, mutta jostain syystä
marraskuussa 2016 he poistivat NH
mahdollisuuden Chromesta ja palvelimiltaan
muitakin asioita tapahtui vuonna 2016
Yhdysvaltain hallinnolla on virasto, NIST,
jolla on pitkä historia yhteistyöstä
kansallisen turvallisuusviraston (NSA)
kanssa ja NIST sanoi että vuoden päästä
loppuvuodesta 2017 he haluaisivat
kryptograafikkojen toimittavan ehdotuksia
kvantti-jälkeiselle salausjärjestelmälle,
salausjärjestelmät ja allekirjoitusjärjestelmät
joka standardisoitaisiin aikanaan
yksi mielenkiintoinen asia jonka he sanoivat
pyynnössään oli että et saa toimittaa
sekamuotoja, eli salata molemmilla
kvantti järjestelmillä ja ECC:llä tai
allekirjoittaa jollain mitä käytät nyt ja
jollain kvantti-jälkeisellä ratkaisulla
he sanoivat että algoritmit eivät saa
sisältää ECC:tä tai mitään muuta joka
voidaan murtaa kvanttitietokoneilla
sovelluskehittäjän näkökulmasta on hyvä
olla ECC kerros erillään kaikesta muusta
ja sanoa että mitä tahansa teetkään
kvantti-jälkeisellä järjestelmällä se
yhdistetään x25519 kanssa esimerkiksi.
Mutta he eivät sanoneet että sinun täytyisi
yhdistää kaikki ECC:n kanssa, esimerkiksi
x25519 erillisenä kerroksena, he sanoivat
älä toimita mitään mikä on
yhdistetty ECC:n kanssa
järjestämällä tämän kilpailun kvantti-
jälkeisille järjestelmille NIST viestititti
yrityksille että odottakaa, älkää ottako
käyttöön kvantti-jälkeisiä salauksia
ja tässä oli sekä keppi että porkkana,
keppi oli patentit, Google joutui juuri
ongelmiin ottamalla jotain käyttöön
ja hupsista sillä olikin patentti
mikä muu on patentoitu? ja NIST sanoi että
meillä on prosessi joka johtaa
kryptografisiin standardeihin jotka voi
vapaasti toteuttaa eli patentit eivät estä
sinua ottamasta käyttöön asioita ja he myös
sanoivat että he aikovat valita jotain
mikä on tarpeeksi vahva, turvallisuus on
kaikkein tärkein tekijä arvioinnissa
joten toimialat katsovat tätä ja sanoivat
ok odotetaan NIST:ä ja muut
standardisointi organisaatiot odottavat
myös. IETF:llä on oma tutkimusorganisaatio
IRTF asettaa Internetin standardeja ja
kryptoryhmä IRTF:ssä pohti että me
standardisoimme ne jotka ovat jo meidän
pöydällämme, kuten tiivistejärjestelmiä
mutta kaiken muun osalta me odotamme
NIST:ä. ISO sanoi myös että he odottavat
NIST:ä. Ihan kaikki organisaatiot eivät
sanoneet näin, esimerkiksi Kiinan hallitus
sanoi että he järjestävät heidän oman
kilpailunsa mutta, no, ketä kiinnostaa?
Joten takaisin NIST kilpailuun, tässä on
kaikki ehdotukset, joten loppuvuodesta 2017
oli 69 ehdotusta 260 eri kryptograafikolta
en aio lukea kaikki nimiä mutta tämä oli
aikamoinen työkuorma kryptografian
analyytikoille.
me pidettiin hauskaa alkuvuodesta 2017, he
jotka näkivät meidät lavalla vuonna 2018
tietävät että pidimme puheita siitä kuinka
hauskaa meillä oli rikkoa näitä ehdotuksia
mutta se oli aikamoinen taakka. Katsotaan
mitä NIST teki kilpailulla.
vuonna 2019 eli kaksi vuotta myöhemmin, no
vuosi ja vähän myöhemmin he olivat
rajaamassa ehdotuksia 26 ehdokkaaseen
ja vuonna 2020 heinäkuussa he rajasivat
ehdokkaita lisää, he ottivat 15 ehdokasta
26:sta. Tarkoitus oli keskittyä johonkin
missä on järkeä ja he priorisoivat
vahvimpia ehdokkaita paitsi silloin jos
sovellus todella tarvitsee jotain
tehokkaampaa
itse asiassa ei, he eivät ollenkaan
tehneet näin. Jos luet raportin ja katsot
mitkä ehdokkaat he valitsivat, milloin
tahansa kun heillä oli vaihtoehto
nopeuden ja turvallisuuden välillä,
tarkoitat he totta kai karsivat pois asiat
jotka olivat todella rikki ja karsivat
asiat jotka olivat todella tehottomia
mutta ottakaapa esimerkiksi SPHINCS jonka
Tanja mainitsi aikaisemmin, todella
varovainen kaikki ovat samaa mieltä että
tämä on turvallisin allekirjoitusjärjestelmä
no, NIST ei sanonut että käytä SPHINCS:iä
vaan että me odotetaan SPHINCS+:n
standardisoimista ellei niin moni asia
ole rikki että meidän pitää käyttää SPHINCS:ä
Niin ja tämän vuoden heinäkuussa NIST
sanoi että he valitsevat neljä standardia
yksi oli SPHINCS+ ja neljää muuta ehdotusta
tutkittiin yhä. Tämä vaikuttaa siltä
että ehkä heidän itseluottamuksensa horjui
Joten mitä tapahtui?
Kuva 69 ehdotuksesta muuttuu kun menemme
ajassa viisi ja puoli vuotta eteenpäin
tässä on värikoodaus. Siniset ovat edelleen
mukana NIST:n kilpailussa, eli neljä
standardisoitavaa järjestelmää ja neljä
neljännen kierroksen ehdokasta
harmaat eivät päässeet eteenpäin ja
tarkoittaa ettei niitä ole murrettu mutta
ne putosivat niin aikaisin ettei ketään
enää kiinnostanut niiden murtaminen
ruskea väri tarkoittaa vähemmänen
turvallinen kuin väitetty, punainen
tarkoittaa todella murrettua ja punainen
joka on alleviivattu tarkoittaa
todella todella murrettua.
Mitä voit nähdä tässä on se että murrettuja
järjestelmiä on paljon. On myös
mielenkiintoinen violetti oikeassa alakulmassa
Jos muistat vesivärit niin violetti on
punaisen ja sinisen sekoitus. SIKE valittiin
heinäkuussa sekä murrettiin heinäkuussa
viiden vuoden analyysin jälkeen hyökkäyksellä
joka voidaan ajaa sekunneissa joten SIKE
on tapaus jossa jotain meni todella väärin
ja voidaan sanoa että useat pienet asiat
horjuttivat vähän itseluottamusta
jonka jälkeen NIST valitsi sentään edes
SPHINCS:n, tämä ei johtanut muiden
varovaisten vaihtoehtojen valitsemiseen
jotkut niistä ovat edelleen hautumassa
mutta tämä ei olekaan kypsä ala.
Mitäs tapahtui sillä välin käyttöönoton
puolella? Muistakaa, on kaksi osaa Tanjan
dioista vuodelta 2016. Hän sanoi että
olisi hyvä ottaa käyttöön jotain nyt
suojellaksesi käyttäjiä koska meillä on
turvallisuusongelma nyt, hyökkääjät
tallentavat asioita nyt ja meidän pitää
yrittää suojautua siltä ja meidän pitää
pystyä tekemään se nopeammin kuin
standardisaatioprosessi joka Google oli
aloittamassa vuonna 2016 mutta pelästyivät
patenttiongelmaa. Vuoteen 2019 mennessä
toimialat ja useat avoimen lähdekoodin
projektit katsoivat tätä ja pohtivat että
ehkä olisi hyvä aika ottaa käyttöön asioita
sillä jotain meni väärin vuonna 2016
mutta tässä vaiheessa NIST on kerännyt
lausuntoja kaikilta ehdokkailta tässä
kilpailussa todeten mitkä ehdotukset ovat
patentoituja ja se antaa meille paljon
tietoa kun 260 kryptograafikkoa kertoo
mitkä ovat patentoituja
ja vuonna 2019 oli yhä selkeämpää että
kvanttitietokoneet ovat tulossa
joten esimerkkejä siitä mitä tapahtui
vuonna 2019
OpenSSH version 8, kopioiden TinySSH:ta
kertoi että he lisäävät sekamuodon joka
koostuu elliptisten käyrien
salausmenetelmästä sekä yhdestä
kvantti-jälkeisestä ehotuksesta. Sitä ei
käytetä oletuksena mutta jos lisäät rivin
palvelimen sekä asiakasohjelman
konfiguraatioon niin se käyttää kvantti-
jälkeistä salausta, ja jos kvantti-jälkeinen
osa murretaan niin siellä on silti vielä ECC
Heinäkuussa 2019 Google ja Cloudflare
kokeilivat kvantti-jälkeistä salausta
kaksiosaisessa kokeessa. Jotkin käyttäjät
salasivat toisella versiolla, ntruhrss:lla
ja ECC:llä totta kai, käytä aina
sekamuotoja. Ja toinen versio oli
salaaminen sikep:llä ja ECC:llä. Joo
Tanja sanoi hups. Tämä on esimerkki siitä
miten tärkeää on varmistaa että yhdistät
kaiken ECC:n kanssa jotta et kadota
turvallisuutta verrattuna tähän päivään
jossa kaikki käytämme ECC:tä. Kokeile
kvantti-jälkeisiä järjestelmiä sekä ECC:tä
samaan aikaan jotta pahimmassa tapauksessa
hukkaat vain aikaa mutta toivottavasti
jokin paranee ja ainakin sikep käyttäjillä
on ECC turva. Myös vuonna 2019 lokakuussa
Google väitti omaavansa kvanttiylemmyyden
tarkoittaen että heillä oli kvanttitietokone
tekemässä jotain nopeammin kuin mikään
tavallinen supertietokone. Se ei ole
hyödyllinen laskenta ja menee silti vuosia
ennen kuin meillä on hyödyllisiä laskelmia
pyörimässä kvanttitietokoneilla nopeammin
kuin tavallisilla tietokoneilla mutta silti
pelkästään nimi kvanttiylemmyys on
harhaanjohtava mutta se silti
mielenkiintoinen askel eteenpäin kvantti-
laskennassa ja nimi varmaankin herätti
huomiota sekä huolta
vuonna 2021 ja 2022 OpenSSH, OpenBSD ja Google
kaikki päivittivät yhtäkkiä
no, openSSH versio 9.0 tarjoaa sntrup:n ja
ECC:n oletuksena joten jos sinulla on
OpenSSH 9 asennettuna palvelimellesi sekä
siihen palvelimeen mihin otat yhteyttä
sekä asiakasohjelmaasi niin se käyttää
automaattisesti kvantti-jälkeistä vaihtoehtoa
ja itse asiassa OpenSSH versiot aina 8.5 asti
tukevat täysin samaa asiaa, mutta silloin
sinun täytyy ottaa se käyttöön manuaalisesti
jotta palvelin ja asiakasohjelma käyttäisivät
sitä mutta OpenSSH 9:ssä se tapahtuu
oletuksena ja sama juttu Googlen suhteen
he ovat marraskuusta, eli viime kuusta
lähtien salanneet heidän sisäisen
kommunikaationsa ntruhrss:llä ja ECC:llä
joten toivottavasti ntruhrss toimii ja se
on turvallinen kvanttitietokoneita vastaan
tulevaisuudessa
Tämä on myös hienosti linjassa
puhdistamiskoodin sanoman kanssa
kuten jo sanottu puhdistamiskoodit eivät
ole vielä stardardisoituja kryptografisiin
järjestelmiin itsessään mutta he kannustavat
ihmisiä tutkimaan asioita ja totuttelemaan
siihen, esimerkiksi US ANSI joka on pankki-
standardi NTX9, totesivat että he siirtyvät
aikanaan kvantti-jälkeisiin stardardeihin
joten he odottavat klassisen kryptografian
jota kutsutaan kvanttia edeltäväksi
kryptografiaksi ja kvantti-jälkeinen
kryptografian samanaikaista käyttöä
joten he ajattelevat että yksi asia on
standardisoitu ja auditoitu ja toinen on
silti vielä vähän uusi ja epämukava mutta
me tarvitsemme sitä pitkän ajan
turvallisuutta varten ja ehkä se vaativat
tätä sekamuoto yhdistelmää pitkässä
juoksussa. Sitten, Yhdysvalloista Ranskaan
eli ANSI:sta ANSSI:n, joka on Ranskan
turvallisuusvirasto. He sanovat myös että
älkää käyttäkö kvantti-jälkeisiä järjestelmiä
yksinään koska ne ovat vielä kypsymättömiä
mutta, kypsymättömyys ei tarvitse olla syy
ensimmäisten käyttöönottojen viivyttämiselle
joten ANSSI kannustaa ihmisiä ottamaan
sekamuodot käyttöön käyttäen jotain hyvää
kvanttia edeltävää ratkaisua yhdessä
kvantti-jälkseisen ratkaisun kanssa
Noniin kiva eli kaikki etenee hienosti
niiden linjausten mukaan mitkä olivat Tanjan
dioissa vuonna 2016. Standardisaatio
etenee hitaasti mutta saman aikaan
olemme ottamassa käyttöön kvantti-jälkeistä
salausta yhdessä ECC:n kanssa siltä varalta
jos jokin menee pieleen ja saada käyttäjät
suojatuksi niin nopeasti kuin mahdollista
Mitä Yhdysvaltojen hallinto sanoi tästä?
Vuodesta 2021 lähtien Yhdysvaltojen hallinto
teki erittäin selväksi että se haluaa sinun
nyt saatat miettiä että he haluavat sinun
suojatuvan kvanttitietokoneita vastaan mutta
eijei ei, he eivät halua että suojaudut
kvanttitietokoneita vastaan. Esimerkiksi,
tässä on sitaatti NIST:n
kyberturvallisuusosaston päälliköltä
informaatioteknologian laboratoriosta
joka käynnisti kvantti-jälkeisen krypto-
järjestelmien kilpailutuksen.
Heinäkuussa 2021, pian OpenBSD:n projektien
ja OpenSSH:n käyttöönottojen jälkeen
hän sanoi, älkää antako ihmisten ostaa ja
jalkauttaa epästandardisoituja kvantti-
jälkeisiä kryptografioita. Ja sitten, toinen
esimerkki, NSA, joka toimii läheisesti
NIST:n kanssa sanoi, älä toteuta tai käytä
epästandardisoituja kvantti-jälkeisiä krypto-
grafioita. Ja siltä varalta ettei ihmiset
tajunneet viestiä, turvallisuusvirasto,
luuletko että nämä virastot keskustelevat
keskenään?
turvallisuusvirasto sanoi, älä käytä kvantti-
jälkeisiä kryptografiatuotteita ennen kuin
korvattavien ohjelmien standardisaatio,
toteutus ja testaus hyväksytyillä
algoritmeilla on tehty NIST:n toimesta.
Tässä jo hieman huonoja uutisia. Toinen
juttu mikä on outoa tässä on että he sanovat
että jos olet ottamassa käyttöön kvantti-
jälkeistä kryptografiaa, niin sinun ei tule
käyttää sekamuotoja, ja saatat ehkä ajatella
ymmärsinkö väärin ein kyllänä tai jotain
tässä oli NSA:n kaveri konferenssissa ja
tämä dia on Markku Saarisen kuvankaappaus
mutta olin tilaisuudessa ja voin vahvistaa
että hän totesi että sinun ei tulisi käyttää
sekamuotoja. Hän myös toisti useasti että
älä käytä mitään tällä hetkellä. He eivät
myöskään odottaneet kvantti-jälkeisten
algoritmien hyväksymistä minkään
"varmuuden vuoksi yhdistä algoritmit"
ohjeiden pohjalta.
Myöhemmin he julkaisivat lisää ohjeita jossa
sanottiin että se tulee olemaan kahdenkeskinen
korvike, ECC ja RSA irti, kvantti-
jälkeinen kryptografia sisään.
ja heidän argumenttinsa oli että ECC:ssä
voi olla ohjelmointivirheitä joten sammuta
ECC. Ei hyvä idea. Ellet ole hyökkääjä
silloin se on huippuidea.
nyt ehkä ajattelet että totta kai me käytämme
sekamuotoja vaikka NSA kannustaa ihmisiä
olemaan käyttämättä niitä, ja sitten tämä
lause, älä käytä jotain epästandardisoitua
se lykkäys on nyt korjattu, vai mitä? NIST
kertoi heinäkuussa Kyberin standardisoinnista
ja se tarkoittaa, ota Kyber käyttöön.
noh, ei, oikeastaan he eivät sano niin
Tarkastellaanpa yksityiskohtia. Ensinnäkin
muistatteko Googlen patenttiongelman NH:n
kanssa? No, NH:n poika on nimeltään Kyber.
He kai sekoittivat Star Trekin
ja Tähtien Sodan keskenään joten
sisäisesti heidän huhuttiin nimeävän
Kyberin New Hope the Next Generation
mutta sitten he keksivät paremman nimen
sille myöhemmin. mutta joka tapauksessa
Kyber muistuttaa paljon NH:ta sillä sillä
on patenttiongelmia ja tämä on ainoa
salausjärjestelmä, NIST valitsi SPHINCS+:n
ja valitsi kaksi muuta
allekirjoitusmahdollisuutta ja valitsi yhden
salausmenetelän, Kyberin. Se on ainoa tapa
datasi turvaamiseksi NIST:n valitsemien
standardien mukaan. Kyber in NH:n tavoin
keskellä seitsemän eri patentin miinakenttää
Se ei tarkoita että kaikki seitsemän pätevät
se on varsin monimutkainen asia. Kun
tarkastelet patenttia sinun täytyy ymmärtää
miten patenttilaki toimii ja analysoida mitä
patentti tarkoittaa tärkeysjärjestyksen ja
laajentamisen näkökulmasta. Se on monimutkaista
Yksi helppo tapa päästä eroon patenteista
on ostaa ne ja antaa ne jakoon ilmaiseksi
Niinpä NIST sanoi heinäkuussa neuvottelevansa
useiden kolmansien osapuolten kanssa
heidän mukaan liittymisestä useisiin
sopimuksiin jotta mahdolliset haasteet
liityen patentteihin voitaisiin välttää.
Ok, hyvä, nyt voidaan käyttää Kyberiä
Paitsi että, yritykset katsovat tätä ja
sanovat että hei voitteko näyttää sopimukset
jotta me tiedämme mitä kaikkea
allekirjoititte. Esimerkiksi Scott Fluhrer
Ciscolta sanoi, Cisco ei voi käyttää Kyberiä
ennen kuin me saamme lisenssien tekstit
No, sittenpä kävi ilmi että NIST ei ollut
allekirjoittanut mitään heinäkuussa mutta
he sanoivat että he aikovat ja marraskuussa
he viimein sanoivat, kyllä, me olemme
allekirjoittaneet kaksi lisenssisopimusta
ja tässä hieman tekstiä niistä lisensseistä
Mutta jos katsot katsot tekstiä, niin
lisenssit ovat NIST:n kuvaamalle standardille
ja minkäänlaisten muokkausten käyttö tai
minkään muun kuin NIST:n standardisoitujen
asioiden käyttö Kyberissä ei ole sallittua
tämän lisenssin mukaan
Nyt ehkä ajattelet että no he valitsivat
Kyberin, he standardisoivat sen heinäkuussa
mutta ei, he eivät tehneet niin. Mitä he
sanoivat heinäkuussa oli että he
suunnittelevat Kyberin standardisoimista
mikä ei ole sama asia kuin että Kyber olisi
standardisoitu. He suunnittelevat Kyberin
standardoinnin olevan valmis vuonna 2024
Ja tilannetta pahentaa se että me emme tiedä
minkälainen Kyber tulee olemaan vuonna 2024
koska he vieläkin ehdottavat muutoksia siihen
Eli, yhteenvetona, vuonna 2024, jos he
tuolloin julkistavat standardin, niin
lisenssi antaa sinun käyttää Kyberiä
ja ehkä vuonna 2023 he vakiintavat Kyberin
ja ehkä ne viisi muuta patenttia eivät
vaikuta Kyberiin. On olemassa tapauksia
joissa ihmiset ovat kävelleet miinakentän
läpi räjähtämättä.
Tämä tuo meidät puuhemme loppuun, me selitimme
tarpeeksi viivästyksistä ja kiertoteistä
mutta, mitä tarkoitamme katastrofilla?
Totta kai jos jokin menee rikki joka on
otettu käyttöön Googlen ja Cloudflaren
kokeilussa, niin kyllähän se on katastrofi
mutta he käyttivät varasuunnitelmaa, he
käyttivät sekamuotoa joten se on ok
Mikä oikeasti on katastrofi on se että
olemme täällä vuonna 2022 ja meillä
ei vieläkään ole käytössä kvantti-jälkeistä
kryptografiaa puhelimissa tai tietokoneissa
se ei ole vieläkään laajasti käyttöön otettua
Voimme ilomielin osoittaa esimerkkejä joissa
sitä käytetään mutta sitä ei käytetä laajasti
Datasi on edelleen kvanttia edeltävillä
algoritmeilla salattua ja siksi mahdollista
purkaa kvanttitietokoneella. Se on se oikea
katastrofi. Kiitos huomiostanne!
Kiitos, kiitos
Epäselvää
tai teknologia mitä käytän taustalla
käyttävät kvantti-jälkeistä kryptografiaa
luulen että minun SSH yhteys käyttää
vähintään, joten on se varmaan jotain
voimme aina luottaa OpenBSD:n.
Ehdottomasti.
Tarkistetaan onko kysymyksiä. Yksi kysymys
Kehittäjänä, joka kehittää jotain
sovellusta, ei välttämättä kryptografista,
varmistanko että käyttämäni salaus on
turvallinen kvantti-jälkeiseen aikaan
käyttämällä sekamuotoa nyt?
Hei, sinullahan on dia juuri tätä varten!
Näytä dia!
Me ennustimme joitain kysymyksiä kuten, no
tämä oli aika masentava mitä voimme tehdä
nyt joten meillä on dia valmiina ratkaisu-
keinoista joita voit käyttää nyt ja kyllä
meidän ehdotus on että käyttäkää sekamuotoja
Tunnen kuin tämä olisi takautuma vuoteen 2016
milloin sanoin hei voit tehdä jotain juuri
nyt tässä ovat meidän ehdotuksemme
jotka ovat mielestämme todella turvallisia
ja silti täällä olen joulukuussa vuonna 2022
sanomassa että McEliecen on todella varovainen
järjestelmä ja meillä ei ole samaa patentti
ongelmaa jota Kyber menee tällä hetkellä
läpi. Mitä sekamuoto tarkoittaa?
Se tarkoittaa kvanttia edeltävän ja kvantti-
jälkeisen järjestelmän yhdistämistä
Salauksessa haluat niiden yhdessä luovan
avaimen ja julkisen avaimen allekirjoituksessa
haluat tietysti varmistaa että molemmat
allekirjoitukset yksinään ovat päteviä
jotta sekamuotoinen allekirjoitus toimii
On olemassa useita eri ohjelmistokirjastoja
joita voit tarkastella ja saada siten
laajempaa kuvaa eri järjestelmistä
joita voit yrittää ottaa käyttöön. Kun
katsot kirjastoja niin sovelluksien laatu
ei ole niin huono kuin se oli pari vuotta
sitten kvantti-jälkeisille sovelluksille
Ihmiset käyttävät paljon aikaa näiden
parantamiseen. Siellä on silti paljon riskejä
mutta riski verrattuna siihen ettei tee mitään
ja siten varmistamalla että data on
tulevaisuudessa suojaton tulevaisuuden
hyökkääjiä vastaan jotka käyttävät
kvanttitietokoneita ja jotka tallentavat
dataa juuri nyt niin haluat todellakin
kokeilla eri asioita. Esimerkiksi yksi kirjasto
joka on toteuttanut pari eri järjestelmää
on nimeltään Quantum safe oqs. On olemassa
muita kirjastoja jotka käyttävät tiettyjä
salausjärjestelmiä joten useimmilla
järjestelmäsuunnittelijoilla on jonkinlainen
sovellus mutta jälleen kerran sinun täytyy
miettiä kuinka hyvä sovelluksen laatu on
Uusi kirjasto on tulossa nimeltään lib.js
jolla on useita verifikaatteja, joten sanoisin
että se on hyvänlaatuinen mutta valitettavasti
ainoa kvantti-jälkeinen salausjärjestelmä
jota se tarjoaa tällä hetkellä on Kyber,
joka on no, jos suunnittelet eteenpäin
vuoteen 2024 jolloin se tulee käyttöön mutta
juuri nyt se ei ole käyttökelpoinen
Joten jos haluat jotain joka on nopea,
niin jos katsot mitä OpenSSH tai Google
tekevät ntruhrss:lla joten se sovellus
on ainakin jotenkin testattu
joten voit kokeilla sitä mutta muista
aina käyttää sekamuotoja ECC:n kanssa
varmuuden vuoksi jos jokin sattuukin
menemään pahasti pieleen kvantti-jälkeisen
osan kanssa.
Eikö ole kuitenkin aika hankalaa luoda oma
yhdistäjä? Minulla pitää silti olla oikea tapa
yhdistää kaksi järjestelmää, kvanttia
edeltävä ja kvantti-jälkeinen
Kyllä ja se on mahdollista, joten jopa niin
yksinkertainen juttu kuin allekirjoita
tällä järjestelmällä, allekirjoita toisella
järjestelmällä, tarkista molemmat
allekirjoitukset. Me olemme nähneet
sovelluksia joissa tämä on mennyt väärin
On todella tärkeää käydä se läpi
varovaisesti. Salaamiseen sinulla yleensä
on ECC joka vaihtaa avaimen ja sitten sinun
kvantti-jälkeinen järjestelmä vaihtaa avaimen
ja tiivistät molemmat avaimet yhteen suosikki-
tiivistefunktiollasi. Standardisoitu
tiivistefunktio on hyvä. Mutta jälleen kerran,
mainitsit yhdistämisen, on olemassa useita
tutkimuksia
epäselvää
Anteeksi, sanotko uudestaan?
Standardi tarkoittaa kryptografista tiiviste-
funktiota. Älä käytä jotain XX-tiivistettä
vaan käytä jotain joka on kryptografista.
Kyllä, eli esimerkiksi SHA-512 joka on
NSA:n suunnittelema mutta ihmiset ovat
lyöneet sitä jo pitkän aikaa rikkomatta
sitä. Jotain mikä on käynyt läpi julkista
arviota, on SHA-3 järjestelmät ja yleensä
se ei ole suorituskykyongelma tiivistää
kaksi 32 tavuista merkkijonoa yhteen,
ketjuta ja tiivistä ne ja sinulla on
uusi merkkijono joka on sinun symmetrisen
kryptografian avain
On olemassa ehdotuksia miten tehdä tämä
esimerkiksi IRTF:n tai tarkemmin CFRG:n RFC
sitten on jotain NIST:n stardardeissa
liittyen sekamuotojen käyttöön
lopuksi hieman itsemainontaa, meillä on
yksi dia jonka julkaisemme ja siellä on
joitain alustavia tutkimuksia joissa käymme
läpi yksityiskohtaisemmin sekamuotojen
käyttöönottoa ja yhdistämistä. Eli miten voit
turvallisesti tehdä tämän. Tieysti on
asentamisen valinta, eli valitset sinun oman
järjestelmäsi, ja kuten näet niin on huolia
mallitilanteen suhteen, lisäksi mainitsen
kokeilututkimuksia varten voit käyttää Skypeä
se on vain ongelma silloin jos haluat
ottaa sen käyttöön
yleinen varoitus on mutta jos olet vain
harrastelija tai haluat tökkiä sitä tai
haluat kirjoittaa tutkimuksen aiheesta
niin se ei ole ongelma
mutta yleisesti sinulla on valinta tehokkaiden
järjestelmien kuten mitä Google on tehnyt
kokeilemalla jotain uutta ja katsomalla
räjähtääkö se meidän tietokoneillamme
onneksemme se ei räjähtänyt, joten Google
pystyi jatkamaan sen käyttöä yhdistämällä
NH:n tai myöhemmin NTRU:n ja ECC:n
tai sitten voit sanoa että tärkeintä on se
että järjestelmä pysyy turvassa, ja olemme
valmiita uhraamaan hieman nopeutta ja kaistaa
joten ottamalla kaikkein varovaisimmat
kvantti-jälkeiset järjestelmät ja yhdistamällä
ne ECC:n tai RSA:n kanssa. Se on myös
valinta jonka joudut tekemään
jos haluat ottaa sen käyttöön
Eli olisiko ok ottaa käyttöön salakirjoitus-
järjestelmä joka on vielä mukana kilpailussa
joka ei ole vielä tai jota ei tulla
standardisoimaan NIST:n toimesta?
Vaikka ei olisi tiedossa olevia hyökkäyksiä?
No, yleisesti, kun katsot tällaista kuvaa
jossa on niin paljon punaista niin sinä
mahdat ajatella ettemme me kryptograafikot
tiedä mitä me teemme. Miten meillä voi olla
niin moni asia rikki? Se on todella todella
vaarallista. Sanoisin että sillä onko jokin
NIST:n valitsema vai ei ei lisää paljoa
informaatiota tässä. Ok haluat kommentoida
tähän.
Haluan mainita että asiat jotka pudotettiin
ensimmäisellä kierroksella eivät saaneet
paljoa huomiota. Ihmiset menettivät
kiinnostuksensa. Asiat jotka selvisivät
kolmannelle kierrokselle ja sitten eivät
selvinneet neljännelle kierrokselle
esimerkiksi kaksi Android muunnelmaa,
NTRU Prime ja NTRU-HRSS-KEM jotka ovat
mainittuina tässä, ne pääsivät kolmannelle
kierrokselle mutta eivät voittaneet kauneus-
kilpailua jota NIST pyöritti. Luulen että
ne ovat aivan yhtä hyviä kuin ne jotka
ovat tässä kuvassa sinisellä.
Yleisesti kaikki tässä ovat pelottavia.
Eli NTRU ja NTRU-HRSS ovat Googlen
käyttöönottamia ja OpenSSH mutta todella
harva näistä 69:stä ehdotuksesta omaa
samaa turvallisuustasoa nyt tiedettyjä
hyökkäyksiä vastaan kuin mitä niillä oli
viisi vuotta sitten kun ne ensin toimitettiin
Turvallisuutta ollaan aina menetetty koska
hyökkäykset ovat kehittyneet paremmiksi
jollain oli turvallisuusmarginaalia niistä
selviytymiseen. Tehdäksesi turvallisen
päätöksen sinun valitettavasti täytyy
tutustua näiden historiaan ja kysyä kuinka
hyvin nämä ovat kestäneet kuinka hyvin
näitä on tutkittu. Mitä Tanja korosti oli
se että joitain näistä on tutkittu todella
vähän ja joitain hieman enemmän, ja se
kuinka hyvin nämä järjestelmät kestivät
tutkimuksen aikana määrittelee sen kuinka
vaarallisia ne ovat loppujen lopuksi
Esimerkiksi Three Bears on kaunis
järjestelmä mutta se pudotettiin toisen
kierroksen jälkeen ja sen jälkeen ihmiset
lopettivat sen tutkimisen eikä se saanut
paljoa analyysia. Tuntuu siltä että se on
hyvä mutta sitä ei ole toisaalta tutkittu
melkein yhtään. Mutta jos tarkastelet
kolmannen kierroksen valikoimaa jotka ovat
mustia tai harmaita tässä sanoisin että
ne ovat suurimmaksi osaksi ok.
Ja tietysti siniset.
Ok eli valitse se joka on joko sininen tai
musta dialla. Luulen että ne ovat varsin
tiettyjä asioita. Nopea viimeinen kysymys
jos olen tinapaperihattu, voinko tehdä
jotain oman kommunikaationi suojaamiseksi?
Käytä kaikki OpenSSH:n läpi, se on hyvä
alku. Tilanne on se että tietysti tarvitset
asiakasohjelman sekä palvelimen
jotka tukevat asioita ja on olemassa
useita kokeiluja mutta vain vähäistä
käyttöönottoa
on olemassa VPN:n käyttöönottoa esimerkiksi
Joo on olemassa kvantti-jälkeistä VPN:ä
Movadilla on kvantti-jälkeinen vaihtoehto,
he käyttävät McElieceä, he käyttävät
WireGuardia VPN:ä varten ja WireGuardilla
on vaihtoehto ylimääräisen avaimen
syöttämiseksi, ennalta jaettu avain jota
movad käyttää McEliecen kanssa eli lataat
sen McEliecen läpi kvantti-jälkeisen
turvan saamiseksi movadiin
Tämä on siis VPN jossa et mene päästä
toiseen, haluat yleensä mennä koko tien
siihen sivustoon johon otat yhteyttä, ja
jos sinulla on päästä päähän turva käytössä
se tarkoittaa että asiakasohjelmiston ja
palvelimen pitää tukea kvantti-jälkeistä
kryptografiaa ja kun se on nyt viivästynyt
niin se ei ole niin yleisesti käytössä kuin
olisin kuvitellut sen olevan vuosia sitten
kun sitä kohtaan tuntui olevan paljon
innostusta
epäselvää
Ok Tanja haluaa että kerron PQ Connectista,
tulossa pian joka toivottavasti helpottaa
kvantti-jälkeisen kryptografian
käyttöönottoa yhteytesi turvaamiseksi
päästä päähän mutta sitä ei ole julkaistu
vielä joten en voi sanoa paljoa siitä
odotan innolla PQ Connectia. Luulisin että
tämä oli tässä, kiitos että olitte täällä
ja jaoitte tietojanne jaoitte päivityksiä
liityen kvantti-jälkeiseen kryptografiaan
Kiitos todella paljon Tanja Lange
ja D.J.B!
Kiitos!
[Translated by Timo Broström
(KYBS2004 course assignment at JYU.FI)]