0:00:00.000,0:00:04.870
[Translated by Timo Broström [br](KYBS2004 course assignment at JYU.FI)]

0:00:04.870,0:00:06.569
<i>musiikkia</i>

0:00:10.806,0:00:14.546
Tervetuloa kaikki tähän kaaoottiseen[br]vuoteen sekä tapahtumaan

0:00:14.546,0:00:17.326
olen Karra ja tulen olemaan teidän tiedottaja

0:00:17.326,0:00:20.490
on ilo pystyä kuuluttamaan puhe

0:00:20.490,0:00:23.607
kvantti-jälkeinen kryptografia:[br]kiertotiet, viivästykset ja katastrofit

0:00:23.607,0:00:26.320
jonka pitävät Tanja Lange [br]ja D.J. Bernstein

0:00:26.450,0:00:32.809
Tanja Lange on kryptograafikko ja matemaatikko[br]joka erikoistuu kantti-jälkeiseen krytografiaan

0:00:32.809,0:00:35.445
joka on korvaamassa kryptografiaa [br]jota käytämme nykypäivänä

0:00:35.445,0:00:39.180
sellaisilla versiolla jotka ovat turvassa[br]kvanttitietokoneilla toteutetuilta hyökkäyksiltä

0:00:39.180,0:00:43.325
hän on professori Einhovenin [br]teknillisessä yliopistossa

0:00:43.325,0:00:46.558
ja hänellä on ylpeilee useilla [br]eri julkaisuilla ja erityksillä

0:00:46.558,0:00:50.953
hän oli myös PQ crypton koordinaattori

0:00:50.953,0:00:52.683
joka on yleiseurooppalainen liitto

0:00:52.683,0:00:55.168
kvantti-jälkeisen kryptografian [br]käyttöönottamiseksi

0:00:55.168,0:01:01.201
D. J. B. on professori Illinoisin [br]yliopistossa Chicagossa

0:01:01.201,0:01:06.793
sekä professori Bochumin yliopistossa.[br]hän työskentelee kryptografian parissa ja

0:01:06.793,0:01:09.000
hän on kehittänyt [br]salakirjoitusjärjestelmiä joita käytetään

0:01:09.000,0:01:12.032
avoimen lähdekoodin kryptografiassa, [br]mahdollisesti käytät jotain

0:01:12.032,0:01:15.652
sellaista salakirjoitusjärjestelmää [br]katsoessasi tätä puhetta juuri nyt

0:01:15.652,0:01:18.990
yhdessä he kehittivät vaikuttavan [br]määrän projekteja

0:01:18.990,0:01:23.751
aina turvallisen kryptografian [br]käyttöönoton yksinkertaistamisesta

0:01:23.751,0:01:26.990
turvallisien kvantti-jälkeisten [br]tietotyyppien rakentamiseen

0:01:26.990,0:01:29.924
molemmat heistä ovat [br]aktivisteja jotka taistelevat

0:01:29.924,0:01:33.261
läpinäkyvämmän kryptografian [br]standardisointiprosessin puolesta

0:01:33.261,0:01:39.986
nyt kaikki laittakaa räpylänne yhteen

0:01:39.986,0:01:42.800
laittakaa kätenne yhteen[br]Tanja Longelle ja D.J.B:lle!

0:01:42.800,0:01:50.872
selvä, kiitos kivasta esipuheesta

0:01:50.872,0:01:54.740
sukelletaan heti asiaan[br]aloitetaan HTTPS:llä

0:01:54.740,0:01:57.952
kun menet HTTPS-sivulle [br]tai suojatulle sivulle

0:01:57.952,0:02:02.994
käytät TLS:ä, kuljetuskerroksen turvaa[br]turvataksesi kommunikaatiosi

0:02:02.994,0:02:07.428
TLS käyttää kahdenlaista [br]kryptografiaa muutamista eri syistä

0:02:07.428,0:02:10.288
ensinnäkin, se turvautuu [br]julkisen avaimen kryptografiaan

0:02:10.288,0:02:14.341
se tekee kahta asiaa[br]ensiksi, se tarjoaa allekirjoituksia

0:02:14.341,0:02:18.406
julkisen avaimen allekirjoituksia[br]se varmistaa että hyökkääjä ei pysty

0:02:18.406,0:02:21.825
korvaamaan palvelimen [br]dataa hyökkääjän datalla

0:02:21.825,0:02:23.831
ja teeskennellä olevansa palvelin

0:02:23.831,0:02:26.392
lisäksi TLS käyttää [br]julkisen avaimen salausta

0:02:26.392,0:02:30.999
esimerkiksi NIST P-256,[br]RSA-4096 on allekirjoittajajärjestelmä

0:02:30.999,0:02:36.860
NIST P-256:ta voidaan käyttää salaukseen[br]ja tämä salaa datasi niin ettei hyökkääjä

0:02:36.860,0:02:39.142
voi ymmärtää sitä

0:02:39.142,0:02:44.219
suoritustehoon liityvistä syistä[br]kryptografia on monimutkaisempi kuin

0:02:44.219,0:02:48.293
vain tämä julkisen avaimen kryptografia[br]se sisältää myös symmetrisen kryptografian

0:02:48.293,0:02:50.608
joskus sitä nimitetään [br]salaisen avaimen kryptografiaksi

0:02:50.608,0:02:55.466
kun kokoat kaiken yhteen TLS:n[br]saat kolme peruspalikkaa

0:02:55.466,0:02:56.816
on julkisen avaimen salaus

0:02:56.816,0:02:59.995
joka sen sijaan että [br]se salaisi datasi niin

0:02:59.995,0:03:04.928
etteivät hyökkääjät voi ymmärtää sitä[br]se salaa vain avaimen

0:03:04.928,0:03:07.868
se lähettää avaimen [br]turvallisesti ja salassa

0:03:07.868,0:03:09.371
päästä toiseen

0:03:09.371,0:03:12.198
ja julkisen avaimen allekirjoituksia[br]käytetään sen varmistamiseksi

0:03:12.198,0:03:14.352
ettei hyökkääjä pysty korvaamaan[br]toista avainta

0:03:14.352,0:03:16.880
ja lopuksi avainta käytetään

0:03:16.880,0:03:19.322
datasi suojaamiseen [br]symmetrisen kryptografian avulla

0:03:19.322,0:03:22.825
kaikista muistakin [br]protokollista joita käytät

0:03:22.825,0:03:25.075
olisi mahdollista tehdä [br]tämän tyyppiset diat

0:03:25.075,0:03:28.295
kuten SSH:sta mutta ne kaikki toimivat[br]varsin samalla tavalla

0:03:28.295,0:03:30.736
korostan nyt kaksi osaa tästä diasta

0:03:30.736,0:03:33.825
RSA-4096 [br]tyypillinen allekirjoitusjärjestelmä

0:03:33.825,0:03:36.318
ja tyypillinen salausjärjestelmä [br]NIST P-256

0:03:36.318,0:03:40.919
koska nämä kaksi tullaan murtamaan[br]kvanttitietokoneiden takia

0:03:40.919,0:03:43.239
ilman kvanttitietokoneita [br]mitään tiedossa olevia

0:03:43.239,0:03:44.936
uhkia ei olisi mutta

0:03:44.936,0:03:47.249
kunhan hyökkääjällä on [br]iso kvanttitietokone

0:03:47.249,0:03:49.055
mikä luultavasti tapahtuu

0:03:49.055,0:03:52.187
se ei ole varmaa [br]ehkä panostukset kvanttitietokoneisiin

0:03:52.187,0:03:53.365
epäonnistuvat jostain syystä

0:03:53.365,0:03:56.458
mutta näyttää siltä [br]että kvanttitietokoneet

0:03:56.458,0:03:57.364
ovat yhä menestyvämpiä

0:03:57.364,0:03:59.076
ja kunhan kvanttitietokoneet [br]ovat tarpeeksi isoja

0:03:59.076,0:04:01.193
ehkä kymmenen vuoden päästä

0:04:01.193,0:04:04.127
sen jälkeen hyökkääjät [br]voivat ajaa hyökkäysalgoritmin

0:04:04.127,0:04:07.631
jota kutsutaan Shorin algoritmiksi[br]joka löytää salaiset RSA-avaimesi ja

0:04:07.631,0:04:12.522
salaiset NIST P-256 avaimesi[br]ja tässä vaiheessa hyökkääjät voivat

0:04:12.522,0:04:14.568
tarkastella tietoja [br]joita he tallentavat nyt

0:04:14.568,0:04:17.861
se ei ole uhka vain tulevaisuuden datalle[br]vaan se on myös uhka

0:04:17.861,0:04:21.005
nykyhetken tietojesi [br]luottamuksellisuudelle

0:04:21.005,0:04:25.230
koska hyökkääjät tallentavat jo[br]nyt kaiken minkä he voivat Internetissä

0:04:25.230,0:04:28.001
ja sitten kun heillä on [br]iso kvanttitietokone

0:04:28.001,0:04:33.715
he voivat takautuvasti purkaa salaukset[br]koska he voivat murtaa RSA-4096:n

0:04:33.715,0:04:38.946
ja NIST P-256:n[br]nimenomaan NIST P-256 tarjoaa salauksen

0:04:38.946,0:04:43.143
ja he voivat palata ajassa taaksepäin[br]ja murtaa salauksen jota käytät tänään

0:04:43.143,0:04:45.380
mitä me teemme tälle?

0:04:45.380,0:04:48.155
Norminmukainen lähestymistapa [br]on mitä me kutsumme

0:04:48.155,0:04:50.954
kvantti-jälkeiseksi kryptografiaksi[br]kuulit sen jo aiemmin se oli meidän

0:04:50.954,0:04:54.907
otsikossamme se on korvaava kryptografia[br]joka on suunniteltu se mielessä pitäen

0:04:54.907,0:04:57.785
että hyökkääjällä on [br]käytössä kvanttitietokone

0:04:57.785,0:05:02.308
joten eli kuten airue [br]jo aiemmin mainitsikin

0:05:02.308,0:05:06.449
olin koordinaattorina PQCRYPTO projektissa[br]ja se tarkoittaa että olen nipistellyt

0:05:06.449,0:05:09.828
ympäri maailmaa ja pitänyt puheita[br]kvantti-jälkeisestä kryptografiasta

0:05:09.828,0:05:13.791
tässä on kuvankaappaus puheesta jonka[br]pidin kuusi ja puoli vuotta sitten

0:05:13.791,0:05:19.827
missä korostin kuten Dan teki tänään[br]kvantti-jälkeisen kryptogragian tärkeyttä

0:05:19.827,0:05:23.161
ja korostin [br]että on tärkeää tehdä suositukset

0:05:23.161,0:05:27.067
jotka kertovat mitä algoritmeja meidän[br]pitäisi käyttää korvataksemme RSA:n ja

0:05:27.067,0:05:30.684
NIST P-256:n jotka [br]näitte edellisillä dioilla

0:05:30.684,0:05:36.628
ja sitten käsittelin kysymystä pitäisikö[br]meidän standardisoida nyt vai myöhemmin

0:05:36.628,0:05:42.872
argumentteja löytyy molemmilta puolilta[br]ja, no, jos stardardisoitaisiin nyt,

0:05:42.872,0:05:47.115
kuusi vuotta sitten tuntui että vielä on[br]niin paljon tehtävää ja meillä on paljon

0:05:47.115,0:05:49.350
parempi järjestelmä [br]jos odotamme vähän pidempään

0:05:49.350,0:05:56.779
toistaalta on huoli virastojen ja muiden[br]pimeyden voimien keräämästä datasta

0:05:56.779,0:06:03.378
ja mitä myöhempään se julkaistaan[br]sitä enemmän dataa ja turvallisuutta

0:06:03.378,0:06:07.762
menetetään joten olisi tärkeää saada[br]asioita eteenpäin ja ratkaisumme silloin

0:06:07.762,0:06:13.579
mitä olin mainostamassa vuonna 2016 oli[br]vuonna 2015 julkaistut suositukset jossa

0:06:13.579,0:06:17.082
sanottiin että [br]keskittäminen vie paljon aikaa

0:06:17.082,0:06:20.820
me emme ole siinä vaiheessa vielä[br]mutta jos joku haluaa suojella itseään

0:06:20.820,0:06:24.160
tässä mitä me, [br]no tässä on aikamoinen määrä

0:06:24.160,0:06:28.559
tutkijoita jotka ilmoittautuivat tähän[br]lausuntoon osana PQCRYPTO projektia

0:06:28.559,0:06:34.875
mitä me suosittelemme?[br]meidän suosittelumme olivat mitä kutsumme

0:06:34.875,0:06:36.577
varovaiseksi kryptografiassa

0:06:36.577,0:06:38.440
se ei tarkoita [br]poliittisesti konservatiivinen

0:06:38.440,0:06:42.516
vaan se tarkoittaa tylsää se tarkoittaa[br]että jokin on ollut jo pitkään ilmoilla

0:06:42.516,0:06:47.079
monet ihmiset ovat analysoineet sen[br]ja emme odota mitään muutoksia siihen

0:06:47.079,0:06:53.032
symmetrisen avaimen puolella, kuten Dan[br]oli jo sanonut, niihin kvanttitietokoneet

0:06:53.032,0:06:56.130
eivät vaikuta joten jos käytät tarpeeksi[br]suuria kokoja

0:06:56.130,0:07:02.005
256-bittisten avainten kanssa[br]niin AES tai Salsa20 ovat riittäviä

0:07:02.005,0:07:07.068
myös todentamisessa, kun saat avaimen,[br]siihen ei voi vaikuttaa

0:07:07.068,0:07:14.402
julkisen avaimen salauksen ja[br]allekirjoituksen RSA-4096:n ja

0:07:14.402,0:07:19.336
ECC NIST P-256:n me juodumme korvaamaan[br]niitä varten meillä on korvikkeet ja tässä

0:07:19.336,0:07:21.657
me annoimme [br]korkean luottamuksen suosituksen

0:07:21.657,0:07:24.461
eli käytä [br]McEliecen järjestelmää minkä nimi

0:07:24.461,0:07:26.624
saattaa näkyä hieman myöhemmin

0:07:26.624,0:07:29.036
ja käytä [br]tiivistepohjaisia allekirjoituksia

0:07:29.036,0:07:33.557
ja SPHINCS:n haluat tutusta myöhemmin[br]me myös julkistimme joitain arvioinnin

0:07:33.557,0:07:37.475
alaisena olevia kohteina mikä tarkoittaa[br]että niitä ei kannata käyttää juuri nyt

0:07:37.475,0:07:43.541
mutta tulevaisuudessa ne voivat olla ok[br]ja meille tämä oli ok, me iskemme seipään

0:07:43.541,0:07:45.366
maahan, me sanomme [br]että nämä ovat turvallisia

0:07:45.366,0:07:50.487
ja ihmisten tulisi toimia niin ja kaikki[br]elävät onnelisina elämän loppuun asti

0:07:50.487,0:07:52.490
ja me olemme valmiita puheemme kanssa

0:07:52.490,0:07:54.921
vai elivätkö sittenkään [br]kaikki onnellisesti

0:07:54.921,0:07:56.392
elämänsä loppuun asti?

0:07:56.392,0:07:58.918
Katsotaan mitä oikeasti [br]tapahtui tämän jälkeen

0:07:58.918,0:08:01.241
järjestely, no, [br]asiat jotka pitäisi julkistaa

0:08:01.241,0:08:05.041
itse asiassa oli eräs kokeilu[br]jota Google piti käynnissä

0:08:05.041,0:08:09.236
joka sanoi että vuonna 2016 Google Chrome[br]lisäsi kvantti-jälkeisen vaihtoehdon

0:08:09.236,0:08:11.438
nyt, se ei tarkoita että jokainen

0:08:11.438,0:08:14.096
verkkopalvelin tuki sitä [br]se oli vain kokeilu

0:08:14.096,0:08:15.674
missä Google laittoi sen päälle joillain

0:08:15.674,0:08:19.064
heidän palvelimillaan [br]ja sanoi ok katsotaan

0:08:19.064,0:08:22.034
miten hyvin tämä toimii ja kuulostivat[br]todella innostuineilta heidän blogissaan

0:08:22.040,0:08:24.695
jossa he julkistivat sen että he auttavat[br]käyttäjiä suojautumaan

0:08:24.695,0:08:26.853
kvanttitietokoneilta[br]katsotaan toimiiko tämä

0:08:26.853,0:08:29.462
järjestelmä jota he käyttivät kutsuttiin[br]nimellä New Hope (NH)

0:08:29.462,0:08:34.886
he eivät pelkästään salanneet NH:lla,[br]NH on kvantti-jälkeinen salausjärjestelmä

0:08:34.886,0:08:39.633
he myöskin salasivat kvanttia-edeltävällä[br]salauksella, elliptisten käyrien

0:08:39.633,0:08:42.369
salausmenetelmällä, ECC[br]kuten Tanja aikaisemmin

0:08:42.369,0:08:46.679
mainitsi NIST P-256[br]on esimerkki ECC:stä, x25519 on toinen

0:08:46.679,0:08:49.897
esimerkki ECC:stä, tämä on jotain mitä[br]käytät tänä päivänä salataksesi datasi

0:08:49.897,0:08:55.076
ja mitä Google teki, se salasi NH:lla[br]kvantti-jälkeisen turvallisuuden

0:08:55.076,0:08:58.548
takaamiseksi ja salasi myös [br]x25519:lla kuten he tekevät

0:08:58.548,0:09:01.972
normaalisti myös tänä päivänä[br]asian ydin on että jos jotain menee

0:09:01.972,0:09:07.756
pahasti pieleen NH:n kanssa niin meillä[br]silti on kvanttia-edeltävä turvallisuus

0:09:07.756,0:09:11.422
joten ainakaan välitöntä turvallisuusuhkaa[br]ei ole, he eivät ole pahentamassa asioita

0:09:11.422,0:09:14.363
tietysti jos NH on rikki niin he eivät ole[br]myöskään parantamassa

0:09:14.363,0:09:17.141
asioita mutta pääasia[br]oli yrittää saada asioita paremmaksi ja

0:09:17.141,0:09:20.609
varmistaa samalla ettei asiat mene[br]pahemmaksi salaamalla molemmilla sekä

0:09:20.609,0:09:22.686
kvanttia-edeltävällä [br]että kvantti-jälkseisellä

0:09:22.686,0:09:27.657
asioilla ja varasuunnitelma on todella[br]tärkeää olla olemassa koska NH on uusi

0:09:27.657,0:09:32.590
salausjärjestelmä, no, oli vuonna 2016[br]pääpalat NH:n suunnittelussa tulivat

0:09:32.590,0:09:38.252
vuosilta 2010, 2014 ja 2015 ja se ei ole[br]paljon aikaa asioiden läpikäymiseen ja

0:09:38.252,0:09:41.878
kryptografiassa asiat voivat välillä olla[br]maisemissa vuosia ennen kuin niistä

0:09:41.878,0:09:45.097
löydetään turvallisuusongelmia[br]on todella tärkeää että uusille

0:09:45.097,0:09:50.926
salausjärjestelmille annetaan aikaa kypsyä[br]toinen ongelma uusien salausjärjestelmien

0:09:50.926,0:09:55.859
kanssa on että joskus ne patentoidaan[br]patenit säilyvät 20 vuotta ja tämä tapahtui

0:09:55.859,0:10:00.755
NH:lle, patentin haltija otti yhteyttä[br]Googleen ja sanoi että haluan rahaa teidän

0:10:00.755,0:10:06.669
NH kokeilusta. Google ei koskaan[br]antanut julkista lausuntoa tästä patentti-

0:10:06.669,0:10:11.116
uhkasta, mutta jostain syystä [br]marraskuussa 2016 he poistivat NH

0:10:11.116,0:10:16.125
mahdollisuuden Chromesta ja palvelimiltaan[br]muitakin asioita tapahtui vuonna 2016

0:10:16.125,0:10:22.404
Yhdysvaltain hallinnolla on virasto, NIST,[br]jolla on pitkä historia yhteistyöstä

0:10:22.404,0:10:28.271
kansallisen turvallisuusviraston (NSA)[br]kanssa ja NIST sanoi että vuoden päästä

0:10:28.271,0:10:33.193
loppuvuodesta 2017 he haluaisivat [br]kryptograafikkojen toimittavan ehdotuksia

0:10:33.193,0:10:37.349
kvantti-jälkeiselle salausjärjestelmälle,[br]salausjärjestelmät ja allekirjoitusjärjestelmät

0:10:37.349,0:10:44.678
joka standardisoitaisiin aikanaan[br]yksi mielenkiintoinen asia jonka he sanoivat

0:10:44.678,0:10:50.410
pyynnössään oli että et saa toimittaa[br]sekamuotoja, eli salata molemmilla

0:10:50.410,0:10:56.042
kvantti järjestelmillä ja ECC:llä tai [br]allekirjoittaa jollain mitä käytät nyt ja

0:10:56.042,0:10:59.424
jollain kvantti-jälkeisellä ratkaisulla[br]he sanoivat että algoritmit eivät saa

0:10:59.424,0:11:03.488
sisältää ECC:tä tai mitään muuta joka [br]voidaan murtaa kvanttitietokoneilla

0:11:03.488,0:11:07.962
sovelluskehittäjän näkökulmasta on hyvä [br]olla ECC kerros erillään kaikesta muusta

0:11:07.962,0:11:10.524
ja sanoa että mitä tahansa teetkään[br]kvantti-jälkeisellä järjestelmällä se

0:11:10.524,0:11:15.998
yhdistetään x25519 kanssa esimerkiksi. [br]Mutta he eivät sanoneet että sinun täytyisi

0:11:15.998,0:11:20.756
yhdistää kaikki ECC:n kanssa, esimerkiksi[br]x25519 erillisenä kerroksena, he sanoivat

0:11:20.756,0:11:23.855
älä toimita mitään mikä on [br]yhdistetty ECC:n kanssa

0:11:23.855,0:11:33.185
järjestämällä tämän kilpailun kvantti-[br]jälkeisille järjestelmille NIST viestititti

0:11:33.185,0:11:36.194
yrityksille että odottakaa, älkää ottako[br]käyttöön kvantti-jälkeisiä salauksia

0:11:36.194,0:11:43.637
ja tässä oli sekä keppi että porkkana, [br]keppi oli patentit, Google joutui juuri

0:11:43.637,0:11:47.174
ongelmiin ottamalla jotain käyttöön[br]ja hupsista sillä olikin patentti

0:11:47.174,0:11:51.662
mikä muu on patentoitu? ja NIST sanoi että[br]meillä on prosessi joka johtaa

0:11:51.662,0:11:55.690
kryptografisiin standardeihin jotka voi [br]vapaasti toteuttaa eli patentit eivät estä

0:11:55.690,0:11:59.358
sinua ottamasta käyttöön asioita ja he myös[br]sanoivat että he aikovat valita jotain

0:11:59.358,0:12:05.308
mikä on tarpeeksi vahva, turvallisuus on[br]kaikkein tärkein tekijä arvioinnissa

0:12:05.308,0:12:10.724
joten toimialat katsovat tätä ja sanoivat [br]ok odotetaan NIST:ä ja muut

0:12:10.724,0:12:16.124
standardisointi organisaatiot odottavat [br]myös. IETF:llä on oma tutkimusorganisaatio

0:12:16.124,0:12:22.156
IRTF asettaa Internetin standardeja ja [br]kryptoryhmä IRTF:ssä pohti että me

0:12:22.156,0:12:28.544
standardisoimme ne jotka ovat jo meidän[br]pöydällämme, kuten tiivistejärjestelmiä

0:12:28.544,0:12:35.623
mutta kaiken muun osalta me odotamme[br]NIST:ä. ISO sanoi myös että he odottavat

0:12:35.623,0:12:40.718
NIST:ä. Ihan kaikki organisaatiot eivät [br]sanoneet näin, esimerkiksi Kiinan hallitus

0:12:40.718,0:12:45.587
sanoi että he järjestävät heidän oman[br]kilpailunsa mutta, no, ketä kiinnostaa?

0:12:45.587,0:12:53.258
Joten takaisin NIST kilpailuun, tässä on[br]kaikki ehdotukset, joten loppuvuodesta 2017

0:12:53.258,0:12:58.591
oli 69 ehdotusta 260 eri kryptograafikolta[br]en aio lukea kaikki nimiä mutta tämä oli

0:12:58.591,0:13:01.161
aikamoinen työkuorma kryptografian[br]analyytikoille.

0:13:01.161,0:13:08.940
me pidettiin hauskaa alkuvuodesta 2017, he[br]jotka näkivät meidät lavalla vuonna 2018

0:13:08.940,0:13:12.613
tietävät että pidimme puheita siitä kuinka[br]hauskaa meillä oli rikkoa näitä ehdotuksia

0:13:12.613,0:13:16.653
mutta se oli aikamoinen taakka. Katsotaan[br]mitä NIST teki kilpailulla.

0:13:16.653,0:13:20.722
vuonna 2019 eli kaksi vuotta myöhemmin, no[br]vuosi ja vähän myöhemmin he olivat

0:13:20.722,0:13:26.753
rajaamassa ehdotuksia 26 ehdokkaaseen[br]ja vuonna 2020 heinäkuussa he rajasivat

0:13:26.753,0:13:32.987
ehdokkaita lisää, he ottivat 15 ehdokasta [br]26:sta. Tarkoitus oli keskittyä johonkin

0:13:32.987,0:13:40.221
missä on järkeä ja he priorisoivat [br]vahvimpia ehdokkaita paitsi silloin jos

0:13:40.221,0:13:43.893
sovellus todella tarvitsee jotain[br]tehokkaampaa

0:13:43.893,0:13:49.228
itse asiassa ei, he eivät ollenkaan [br]tehneet näin. Jos luet raportin ja katsot

0:13:49.228,0:13:52.093
mitkä ehdokkaat he valitsivat, milloin[br]tahansa kun heillä oli vaihtoehto

0:13:52.093,0:13:55.919
nopeuden ja turvallisuuden välillä,[br]tarkoitat he totta kai karsivat pois asiat

0:13:55.919,0:14:02.034
jotka olivat todella rikki ja karsivat[br]asiat jotka olivat todella tehottomia

0:14:02.034,0:14:04.844
mutta ottakaapa esimerkiksi SPHINCS jonka[br]Tanja mainitsi aikaisemmin, todella

0:14:04.844,0:14:09.364
varovainen kaikki ovat samaa mieltä että [br]tämä on turvallisin allekirjoitusjärjestelmä

0:14:09.364,0:14:21.859
no, NIST ei sanonut että käytä SPHINCS:iä[br]vaan että me odotetaan SPHINCS+:n

0:14:21.859,0:14:27.114
standardisoimista ellei niin moni asia[br]ole rikki että meidän pitää käyttää SPHINCS:ä

0:14:27.114,0:14:36.315
Niin ja tämän vuoden heinäkuussa NIST [br]sanoi että he valitsevat neljä standardia

0:14:36.315,0:14:43.232
yksi oli SPHINCS+ ja neljää muuta ehdotusta[br]tutkittiin yhä. Tämä vaikuttaa siltä

0:14:43.232,0:14:47.335
että ehkä heidän itseluottamuksensa horjui[br]Joten mitä tapahtui?

0:14:47.335,0:14:55.935
Kuva 69 ehdotuksesta muuttuu kun menemme [br]ajassa viisi ja puoli vuotta eteenpäin

0:14:55.935,0:15:01.376
tässä on värikoodaus. Siniset ovat edelleen[br]mukana NIST:n kilpailussa, eli neljä

0:15:01.376,0:15:06.179
standardisoitavaa järjestelmää ja neljä[br]neljännen kierroksen ehdokasta

0:15:06.179,0:15:12.863
harmaat eivät päässeet eteenpäin ja [br]tarkoittaa ettei niitä ole murrettu mutta

0:15:12.863,0:15:18.277
ne putosivat niin aikaisin ettei ketään[br]enää kiinnostanut niiden murtaminen

0:15:18.277,0:15:21.036
ruskea väri tarkoittaa vähemmänen [br]turvallinen kuin väitetty, punainen

0:15:21.036,0:15:25.044
tarkoittaa todella murrettua ja punainen [br]joka on alleviivattu tarkoittaa

0:15:25.044,0:15:33.781
todella todella murrettua.[br]Mitä voit nähdä tässä on se että murrettuja

0:15:33.781,0:15:40.404
järjestelmiä on paljon. On myös[br]mielenkiintoinen violetti oikeassa alakulmassa

0:15:40.404,0:15:48.831
Jos muistat vesivärit niin violetti on [br]punaisen ja sinisen sekoitus. SIKE valittiin

0:15:48.831,0:15:57.647
heinäkuussa sekä murrettiin heinäkuussa [br]viiden vuoden analyysin jälkeen hyökkäyksellä

0:15:57.647,0:16:02.646
joka voidaan ajaa sekunneissa joten SIKE[br]on tapaus jossa jotain meni todella väärin

0:16:02.646,0:16:07.676
ja voidaan sanoa että useat pienet asiat[br]horjuttivat vähän itseluottamusta

0:16:07.676,0:16:13.247
jonka jälkeen NIST valitsi sentään edes[br]SPHINCS:n, tämä ei johtanut muiden

0:16:13.247,0:16:17.587
varovaisten vaihtoehtojen valitsemiseen[br]jotkut niistä ovat edelleen hautumassa

0:16:17.587,0:16:20.909
mutta tämä ei olekaan kypsä ala.

0:16:20.909,0:16:26.367
Mitäs tapahtui sillä välin käyttöönoton[br]puolella? Muistakaa, on kaksi osaa Tanjan

0:16:26.367,0:16:30.796
dioista vuodelta 2016. Hän sanoi että [br]olisi hyvä ottaa käyttöön jotain nyt

0:16:30.796,0:16:33.643
suojellaksesi käyttäjiä koska meillä on [br]turvallisuusongelma nyt, hyökkääjät

0:16:33.643,0:16:37.997
tallentavat asioita nyt ja meidän pitää[br]yrittää suojautua siltä ja meidän pitää

0:16:37.997,0:16:41.343
pystyä tekemään se nopeammin kuin [br]standardisaatioprosessi joka Google oli

0:16:41.343,0:16:48.584
aloittamassa vuonna 2016 mutta pelästyivät[br]patenttiongelmaa. Vuoteen 2019 mennessä

0:16:48.584,0:16:52.778
toimialat ja useat avoimen lähdekoodin [br]projektit katsoivat tätä ja pohtivat että

0:16:52.778,0:16:59.060
ehkä olisi hyvä aika ottaa käyttöön asioita[br]sillä jotain meni väärin vuonna 2016

0:16:59.060,0:17:04.130
mutta tässä vaiheessa NIST on kerännyt[br]lausuntoja kaikilta ehdokkailta tässä

0:17:04.130,0:17:08.310
kilpailussa todeten mitkä ehdotukset ovat[br]patentoituja ja se antaa meille paljon

0:17:08.310,0:17:12.346
tietoa kun 260 kryptograafikkoa kertoo [br]mitkä ovat patentoituja

0:17:12.346,0:17:18.379
ja vuonna 2019 oli yhä selkeämpää että [br]kvanttitietokoneet ovat tulossa

0:17:18.379,0:17:20.616
joten esimerkkejä siitä mitä tapahtui[br]vuonna 2019

0:17:20.616,0:17:26.530
OpenSSH version 8, kopioiden TinySSH:ta [br]kertoi että he lisäävät sekamuodon joka

0:17:26.530,0:17:32.833
koostuu elliptisten käyrien [br]salausmenetelmästä sekä yhdestä

0:17:32.833,0:17:36.597
kvantti-jälkeisestä ehotuksesta. Sitä ei[br]käytetä oletuksena mutta jos lisäät rivin

0:17:36.597,0:17:39.900
palvelimen sekä asiakasohjelman [br]konfiguraatioon niin se käyttää kvantti-

0:17:39.900,0:17:45.071
jälkeistä salausta, ja jos kvantti-jälkeinen[br]osa murretaan niin siellä on silti vielä ECC

0:17:45.071,0:17:51.737
Heinäkuussa 2019 Google ja Cloudflare [br]kokeilivat kvantti-jälkeistä salausta

0:17:51.737,0:17:59.196
kaksiosaisessa kokeessa. Jotkin käyttäjät[br]salasivat toisella versiolla, ntruhrss:lla

0:17:59.196,0:18:02.784
ja ECC:llä totta kai, käytä aina [br]sekamuotoja. Ja toinen versio oli

0:18:02.784,0:18:08.659
salaaminen sikep:llä ja ECC:llä. Joo [br]Tanja sanoi hups. Tämä on esimerkki siitä

0:18:08.659,0:18:15.268
miten tärkeää on varmistaa että yhdistät[br]kaiken ECC:n kanssa jotta et kadota

0:18:15.268,0:18:19.338
turvallisuutta verrattuna tähän päivään[br]jossa kaikki käytämme ECC:tä. Kokeile

0:18:19.338,0:18:24.259
kvantti-jälkeisiä järjestelmiä sekä ECC:tä[br]samaan aikaan jotta pahimmassa tapauksessa

0:18:24.259,0:18:29.266
hukkaat vain aikaa mutta toivottavasti [br]jokin paranee ja ainakin sikep käyttäjillä

0:18:29.266,0:18:38.740
on ECC turva. Myös vuonna 2019 lokakuussa [br]Google väitti omaavansa kvanttiylemmyyden

0:18:38.740,0:18:44.186
tarkoittaen että heillä oli kvanttitietokone[br]tekemässä jotain nopeammin kuin mikään

0:18:44.186,0:18:49.152
tavallinen supertietokone. Se ei ole [br]hyödyllinen laskenta ja menee silti vuosia

0:18:49.152,0:18:52.507
ennen kuin meillä on hyödyllisiä laskelmia[br]pyörimässä kvanttitietokoneilla nopeammin

0:18:52.507,0:18:56.486
kuin tavallisilla tietokoneilla mutta silti[br]pelkästään nimi kvanttiylemmyys on

0:18:56.486,0:19:00.112
harhaanjohtava mutta se silti [br]mielenkiintoinen askel eteenpäin kvantti-

0:19:00.112,0:19:06.908
laskennassa ja nimi varmaankin herätti[br]huomiota sekä huolta

0:19:06.908,0:19:17.988
vuonna 2021 ja 2022 OpenSSH, OpenBSD ja Google[br]kaikki päivittivät yhtäkkiä

0:19:17.988,0:19:27.677
no, openSSH versio 9.0 tarjoaa sntrup:n ja [br]ECC:n oletuksena joten jos sinulla on

0:19:27.677,0:19:31.423
OpenSSH 9 asennettuna palvelimellesi sekä [br]siihen palvelimeen mihin otat yhteyttä

0:19:31.423,0:19:36.403
sekä asiakasohjelmaasi niin se käyttää [br]automaattisesti kvantti-jälkeistä vaihtoehtoa

0:19:36.403,0:19:42.391
ja itse asiassa OpenSSH versiot aina 8.5 asti[br]tukevat täysin samaa asiaa, mutta silloin

0:19:42.391,0:19:46.917
sinun täytyy ottaa se käyttöön manuaalisesti[br]jotta palvelin ja asiakasohjelma käyttäisivät

0:19:46.917,0:19:50.989
sitä mutta OpenSSH 9:ssä se tapahtuu[br]oletuksena ja sama juttu Googlen suhteen

0:19:50.989,0:19:55.916
he ovat marraskuusta, eli viime kuusta [br]lähtien salanneet heidän sisäisen

0:19:55.916,0:20:03.778
kommunikaationsa ntruhrss:llä ja ECC:llä[br]joten toivottavasti ntruhrss toimii ja se

0:20:03.778,0:20:06.777
on turvallinen kvanttitietokoneita vastaan[br]tulevaisuudessa

0:20:06.777,0:20:11.382
Tämä on myös hienosti linjassa [br]puhdistamiskoodin sanoman kanssa

0:20:11.382,0:20:16.670
kuten jo sanottu puhdistamiskoodit eivät [br]ole vielä stardardisoituja kryptografisiin

0:20:16.670,0:20:22.265
järjestelmiin itsessään mutta he kannustavat[br]ihmisiä tutkimaan asioita ja totuttelemaan

0:20:22.265,0:20:31.280
siihen, esimerkiksi US ANSI joka on pankki-[br]standardi NTX9, totesivat että he siirtyvät

0:20:31.280,0:20:35.889
aikanaan kvantti-jälkeisiin stardardeihin [br]joten he odottavat klassisen kryptografian

0:20:35.889,0:20:38.461
jota kutsutaan kvanttia edeltäväksi [br]kryptografiaksi ja kvantti-jälkeinen

0:20:38.461,0:20:43.130
kryptografian samanaikaista käyttöä[br]joten he ajattelevat että yksi asia on

0:20:43.130,0:20:49.048
standardisoitu ja auditoitu ja toinen on [br]silti vielä vähän uusi ja epämukava mutta

0:20:49.048,0:20:52.956
me tarvitsemme sitä pitkän ajan [br]turvallisuutta varten ja ehkä se vaativat

0:20:52.956,0:20:59.559
tätä sekamuoto yhdistelmää pitkässä[br]juoksussa. Sitten, Yhdysvalloista Ranskaan

0:20:59.559,0:21:07.139
eli ANSI:sta ANSSI:n, joka on Ranskan[br]turvallisuusvirasto. He sanovat myös että

0:21:07.139,0:21:14.596
älkää käyttäkö kvantti-jälkeisiä järjestelmiä[br]yksinään koska ne ovat vielä kypsymättömiä

0:21:14.596,0:21:19.122
mutta, kypsymättömyys ei tarvitse olla syy[br]ensimmäisten käyttöönottojen viivyttämiselle

0:21:19.122,0:21:27.495
joten ANSSI kannustaa ihmisiä ottamaan[br]sekamuodot käyttöön käyttäen jotain hyvää

0:21:27.495,0:21:32.102
kvanttia edeltävää ratkaisua yhdessä [br]kvantti-jälkseisen ratkaisun kanssa

0:21:32.102,0:21:36.988
Noniin kiva eli kaikki etenee hienosti [br]niiden linjausten mukaan mitkä olivat Tanjan

0:21:36.988,0:21:42.816
dioissa vuonna 2016. Standardisaatio [br]etenee hitaasti mutta saman aikaan

0:21:42.816,0:21:47.052
olemme ottamassa käyttöön kvantti-jälkeistä[br]salausta yhdessä ECC:n kanssa siltä varalta

0:21:47.052,0:21:51.769
jos jokin menee pieleen ja saada käyttäjät[br]suojatuksi niin nopeasti kuin mahdollista

0:21:51.769,0:21:59.295
Mitä Yhdysvaltojen hallinto sanoi tästä? [br]Vuodesta 2021 lähtien Yhdysvaltojen hallinto

0:21:59.295,0:22:02.917
teki erittäin selväksi että se haluaa sinun[br]nyt saatat miettiä että he haluavat sinun

0:22:02.917,0:22:07.350
suojatuvan kvanttitietokoneita vastaan mutta[br]eijei ei, he eivät halua että suojaudut

0:22:07.350,0:22:14.126
kvanttitietokoneita vastaan. Esimerkiksi, [br]tässä on sitaatti NIST:n

0:22:14.126,0:22:17.601
kyberturvallisuusosaston päälliköltä[br]informaatioteknologian laboratoriosta

0:22:17.601,0:22:20.943
joka käynnisti kvantti-jälkeisen krypto-[br]järjestelmien kilpailutuksen.

0:22:20.943,0:22:27.469
Heinäkuussa 2021, pian OpenBSD:n projektien[br]ja OpenSSH:n käyttöönottojen jälkeen

0:22:27.469,0:22:32.382
hän sanoi, älkää antako ihmisten ostaa ja [br]jalkauttaa epästandardisoituja kvantti-

0:22:32.382,0:22:39.156
jälkeisiä kryptografioita. Ja sitten, toinen[br]esimerkki, NSA, joka toimii läheisesti

0:22:39.156,0:22:44.314
NIST:n kanssa sanoi, älä toteuta tai käytä [br]epästandardisoituja kvantti-jälkeisiä krypto-

0:22:44.314,0:22:49.120
grafioita. Ja siltä varalta ettei ihmiset[br]tajunneet viestiä, turvallisuusvirasto,

0:22:49.120,0:22:51.930
luuletko että nämä virastot keskustelevat[br]keskenään?

0:22:51.930,0:22:57.345
turvallisuusvirasto sanoi, älä käytä kvantti-[br]jälkeisiä kryptografiatuotteita ennen kuin

0:22:57.345,0:23:02.593
korvattavien ohjelmien standardisaatio, [br]toteutus ja testaus hyväksytyillä

0:23:02.593,0:23:05.487
algoritmeilla on tehty NIST:n toimesta.

0:23:05.487,0:23:15.608
Tässä jo hieman huonoja uutisia. Toinen [br]juttu mikä on outoa tässä on että he sanovat

0:23:15.608,0:23:19.122
että jos olet ottamassa käyttöön kvantti-[br]jälkeistä kryptografiaa, niin sinun ei tule

0:23:19.122,0:23:24.131
käyttää sekamuotoja, ja saatat ehkä ajatella[br]ymmärsinkö väärin ein kyllänä tai jotain

0:23:24.131,0:23:29.956
tässä oli NSA:n kaveri konferenssissa ja [br]tämä dia on Markku Saarisen kuvankaappaus

0:23:29.956,0:23:35.701
mutta olin tilaisuudessa ja voin vahvistaa[br]että hän totesi että sinun ei tulisi käyttää

0:23:35.701,0:23:44.512
sekamuotoja. Hän myös toisti useasti että [br]älä käytä mitään tällä hetkellä. He eivät

0:23:44.512,0:23:48.767
myöskään odottaneet kvantti-jälkeisten [br]algoritmien hyväksymistä minkään

0:23:48.767,0:23:52.642
"varmuuden vuoksi yhdistä algoritmit"[br]ohjeiden pohjalta.

0:23:52.642,0:23:58.510
Myöhemmin he julkaisivat lisää ohjeita jossa[br]sanottiin että se tulee olemaan kahdenkeskinen

0:23:58.510,0:24:03.167
korvike, ECC ja RSA irti, kvantti-[br]jälkeinen kryptografia sisään.

0:24:03.167,0:24:08.823
ja heidän argumenttinsa oli että ECC:ssä[br]voi olla ohjelmointivirheitä joten sammuta

0:24:08.823,0:24:15.635
ECC. Ei hyvä idea. Ellet ole hyökkääjä [br]silloin se on huippuidea.

0:24:15.635,0:24:21.828
nyt ehkä ajattelet että totta kai me käytämme[br]sekamuotoja vaikka NSA kannustaa ihmisiä

0:24:21.828,0:24:29.207
olemaan käyttämättä niitä, ja sitten tämä [br]lause, älä käytä jotain epästandardisoitua

0:24:29.207,0:24:35.880
se lykkäys on nyt korjattu, vai mitä? NIST [br]kertoi heinäkuussa Kyberin standardisoinnista

0:24:35.880,0:24:43.460
ja se tarkoittaa, ota Kyber käyttöön. [br]noh, ei, oikeastaan he eivät sano niin

0:24:43.460,0:24:49.524
Tarkastellaanpa yksityiskohtia. Ensinnäkin[br]muistatteko Googlen patenttiongelman NH:n

0:24:49.524,0:24:58.691
kanssa? No, NH:n poika on nimeltään Kyber.[br]He kai sekoittivat Star Trekin

0:24:58.691,0:25:01.950
ja Tähtien Sodan keskenään joten [br]sisäisesti heidän huhuttiin nimeävän

0:25:01.950,0:25:07.822
Kyberin New Hope the Next Generation [br]mutta sitten he keksivät paremman nimen

0:25:07.822,0:25:11.398
sille myöhemmin. mutta joka tapauksessa [br]Kyber muistuttaa paljon NH:ta sillä sillä

0:25:11.398,0:25:15.841
on patenttiongelmia ja tämä on ainoa[br]salausjärjestelmä, NIST valitsi SPHINCS+:n

0:25:15.841,0:25:20.245
ja valitsi kaksi muuta [br]allekirjoitusmahdollisuutta ja valitsi yhden

0:25:20.245,0:25:24.492
salausmenetelän, Kyberin. Se on ainoa tapa[br]datasi turvaamiseksi NIST:n valitsemien

0:25:24.492,0:25:32.464
standardien mukaan. Kyber in NH:n tavoin [br]keskellä seitsemän eri patentin miinakenttää

0:25:32.464,0:25:36.745
Se ei tarkoita että kaikki seitsemän pätevät[br]se on varsin monimutkainen asia. Kun

0:25:36.745,0:25:40.409
tarkastelet patenttia sinun täytyy ymmärtää[br]miten patenttilaki toimii ja analysoida mitä

0:25:40.409,0:25:47.535
patentti tarkoittaa tärkeysjärjestyksen ja[br]laajentamisen näkökulmasta. Se on monimutkaista

0:25:47.535,0:25:51.490
Yksi helppo tapa päästä eroon patenteista[br]on ostaa ne ja antaa ne jakoon ilmaiseksi

0:25:51.490,0:25:56.173
Niinpä NIST sanoi heinäkuussa neuvottelevansa[br]useiden kolmansien osapuolten kanssa

0:25:56.173,0:25:59.028
heidän mukaan liittymisestä useisiin [br]sopimuksiin jotta mahdolliset haasteet

0:25:59.028,0:26:04.128
liityen patentteihin voitaisiin välttää.[br]Ok, hyvä, nyt voidaan käyttää Kyberiä

0:26:04.128,0:26:09.277
Paitsi että, yritykset katsovat tätä ja [br]sanovat että hei voitteko näyttää sopimukset

0:26:09.277,0:26:12.819
jotta me tiedämme mitä kaikkea [br]allekirjoititte. Esimerkiksi Scott Fluhrer

0:26:12.819,0:26:17.258
Ciscolta sanoi, Cisco ei voi käyttää Kyberiä[br]ennen kuin me saamme lisenssien tekstit

0:26:17.258,0:26:26.385
No, sittenpä kävi ilmi että NIST ei ollut [br]allekirjoittanut mitään heinäkuussa mutta

0:26:26.385,0:26:31.029
he sanoivat että he aikovat ja marraskuussa[br]he viimein sanoivat, kyllä, me olemme

0:26:31.029,0:26:36.140
allekirjoittaneet kaksi lisenssisopimusta[br]ja tässä hieman tekstiä niistä lisensseistä

0:26:36.140,0:26:43.390
Mutta jos katsot katsot tekstiä, niin [br]lisenssit ovat NIST:n kuvaamalle standardille

0:26:43.390,0:26:49.124
ja minkäänlaisten muokkausten käyttö tai [br]minkään muun kuin NIST:n standardisoitujen

0:26:49.124,0:26:54.524
asioiden käyttö Kyberissä ei ole sallittua [br]tämän lisenssin mukaan

0:26:54.524,0:27:00.467
Nyt ehkä ajattelet että no he valitsivat[br]Kyberin, he standardisoivat sen heinäkuussa

0:27:00.467,0:27:04.937
mutta ei, he eivät tehneet niin. Mitä he[br]sanoivat heinäkuussa oli että he

0:27:04.937,0:27:10.288
suunnittelevat Kyberin standardisoimista [br]mikä ei ole sama asia kuin että Kyber olisi

0:27:10.288,0:27:17.796
standardisoitu. He suunnittelevat Kyberin [br]standardoinnin olevan valmis vuonna 2024

0:27:17.796,0:27:24.361
Ja tilannetta pahentaa se että me emme tiedä[br]minkälainen Kyber tulee olemaan vuonna 2024

0:27:24.361,0:27:31.721
koska he vieläkin ehdottavat muutoksia siihen[br]Eli, yhteenvetona, vuonna 2024, jos he

0:27:31.721,0:27:37.669
tuolloin julkistavat standardin, niin [br]lisenssi antaa sinun käyttää Kyberiä

0:27:37.669,0:27:45.424
ja ehkä vuonna 2023 he vakiintavat Kyberin[br]ja ehkä ne viisi muuta patenttia eivät

0:27:45.424,0:27:50.973
vaikuta Kyberiin. On olemassa tapauksia [br]joissa ihmiset ovat kävelleet miinakentän

0:27:50.973,0:27:53.999
läpi räjähtämättä.

0:27:54.466,0:27:59.564
Tämä tuo meidät puuhemme loppuun, me selitimme[br]tarpeeksi viivästyksistä ja kiertoteistä

0:27:59.564,0:28:05.379
mutta, mitä tarkoitamme katastrofilla? [br]Totta kai jos jokin menee rikki joka on

0:28:05.379,0:28:10.363
otettu käyttöön Googlen ja Cloudflaren[br]kokeilussa, niin kyllähän se on katastrofi

0:28:10.363,0:28:14.681
mutta he käyttivät varasuunnitelmaa, he [br]käyttivät sekamuotoa joten se on ok

0:28:14.681,0:28:19.776
Mikä oikeasti on katastrofi on se että [br]olemme täällä vuonna 2022 ja meillä

0:28:19.776,0:28:24.298
ei vieläkään ole käytössä kvantti-jälkeistä[br]kryptografiaa puhelimissa tai tietokoneissa

0:28:24.298,0:28:27.715
se ei ole vieläkään laajasti käyttöön otettua[br]Voimme ilomielin osoittaa esimerkkejä joissa

0:28:27.715,0:28:32.980
sitä käytetään mutta sitä ei käytetä laajasti[br]Datasi on edelleen kvanttia edeltävillä

0:28:32.980,0:28:37.787
algoritmeilla salattua ja siksi mahdollista[br]purkaa kvanttitietokoneella. Se on se oikea

0:28:37.787,0:28:41.698
katastrofi. Kiitos huomiostanne!

0:28:45.893,0:28:47.106
Kiitos, kiitos

0:28:47.106,0:28:53.288
<i>Epäselvää</i>

0:28:53.288,0:28:57.076
tai teknologia mitä käytän taustalla [br]käyttävät kvantti-jälkeistä kryptografiaa

0:28:57.076,0:29:02.001
luulen että minun SSH yhteys käyttää [br]vähintään, joten on se varmaan jotain

0:29:02.001,0:29:09.982
voimme aina luottaa OpenBSD:n.[br]Ehdottomasti.

0:29:09.982,0:29:20.747
Tarkistetaan onko kysymyksiä. Yksi kysymys[br]Kehittäjänä, joka kehittää jotain

0:29:20.747,0:29:24.884
sovellusta, ei välttämättä kryptografista,[br]varmistanko että käyttämäni salaus on

0:29:24.884,0:29:29.375
turvallinen kvantti-jälkeiseen aikaan[br]käyttämällä sekamuotoa nyt?

0:29:29.375,0:29:35.835
Hei, sinullahan on dia juuri tätä varten![br]Näytä dia!

0:29:35.835,0:29:41.175
Me ennustimme joitain kysymyksiä kuten, no[br]tämä oli aika masentava mitä voimme tehdä

0:29:41.175,0:29:46.677
nyt joten meillä on dia valmiina ratkaisu-[br]keinoista joita voit käyttää nyt ja kyllä

0:29:46.677,0:29:53.224
meidän ehdotus on että käyttäkää sekamuotoja[br]Tunnen kuin tämä olisi takautuma vuoteen 2016

0:29:53.224,0:29:57.264
milloin sanoin hei voit tehdä jotain juuri[br]nyt tässä ovat meidän ehdotuksemme

0:29:57.264,0:30:02.150
jotka ovat mielestämme todella turvallisia[br]ja silti täällä olen joulukuussa vuonna 2022

0:30:02.150,0:30:07.568
sanomassa että McEliecen on todella varovainen[br]järjestelmä ja meillä ei ole samaa patentti

0:30:07.568,0:30:13.425
ongelmaa jota Kyber menee tällä hetkellä [br]läpi. Mitä sekamuoto tarkoittaa?

0:30:13.425,0:30:17.036
Se tarkoittaa kvanttia edeltävän ja kvantti-[br]jälkeisen järjestelmän yhdistämistä

0:30:17.036,0:30:23.720
Salauksessa haluat niiden yhdessä luovan [br]avaimen ja julkisen avaimen allekirjoituksessa

0:30:23.720,0:30:26.735
haluat tietysti varmistaa että molemmat[br]allekirjoitukset yksinään ovat päteviä

0:30:26.735,0:30:35.115
jotta sekamuotoinen allekirjoitus toimii[br]On olemassa useita eri ohjelmistokirjastoja

0:30:35.115,0:30:39.263
joita voit tarkastella ja saada siten [br]laajempaa kuvaa eri järjestelmistä

0:30:39.263,0:30:43.495
joita voit yrittää ottaa käyttöön. Kun [br]katsot kirjastoja niin sovelluksien laatu

0:30:43.495,0:30:49.106
ei ole niin huono kuin se oli pari vuotta[br]sitten kvantti-jälkeisille sovelluksille

0:30:49.106,0:30:55.134
Ihmiset käyttävät paljon aikaa näiden [br]parantamiseen. Siellä on silti paljon riskejä

0:30:55.134,0:31:02.334
mutta riski verrattuna siihen ettei tee mitään[br]ja siten varmistamalla että data on

0:31:02.334,0:31:05.233
tulevaisuudessa suojaton tulevaisuuden [br]hyökkääjiä vastaan jotka käyttävät

0:31:05.233,0:31:07.998
kvanttitietokoneita ja jotka tallentavat [br]dataa juuri nyt niin haluat todellakin

0:31:07.998,0:31:13.069
kokeilla eri asioita. Esimerkiksi yksi kirjasto [br]joka on toteuttanut pari eri järjestelmää

0:31:13.069,0:31:18.587
on nimeltään Quantum safe oqs. On olemassa[br]muita kirjastoja jotka käyttävät tiettyjä

0:31:18.587,0:31:21.794
salausjärjestelmiä joten useimmilla [br]järjestelmäsuunnittelijoilla on jonkinlainen

0:31:21.794,0:31:25.384
sovellus mutta jälleen kerran sinun täytyy[br]miettiä kuinka hyvä sovelluksen laatu on

0:31:25.384,0:31:34.913
Uusi kirjasto on tulossa nimeltään lib.js [br]jolla on useita verifikaatteja, joten sanoisin

0:31:34.913,0:31:40.219
että se on hyvänlaatuinen mutta valitettavasti[br]ainoa kvantti-jälkeinen salausjärjestelmä

0:31:40.219,0:31:44.135
jota se tarjoaa tällä hetkellä on Kyber,[br]joka on no, jos suunnittelet eteenpäin

0:31:44.135,0:31:49.055
vuoteen 2024 jolloin se tulee käyttöön mutta[br]juuri nyt se ei ole käyttökelpoinen

0:31:49.055,0:31:57.852
Joten jos haluat jotain joka on nopea, [br]niin jos katsot mitä OpenSSH tai Google

0:31:57.852,0:32:03.422
tekevät ntruhrss:lla joten se sovellus [br]on ainakin jotenkin testattu

0:32:03.422,0:32:07.940
joten voit kokeilla sitä mutta muista[br]aina käyttää sekamuotoja ECC:n kanssa

0:32:07.940,0:32:11.303
varmuuden vuoksi jos jokin sattuukin[br]menemään pahasti pieleen kvantti-jälkeisen

0:32:11.303,0:32:13.520
osan kanssa.

0:32:14.441,0:32:20.807
Eikö ole kuitenkin aika hankalaa luoda oma[br]yhdistäjä? Minulla pitää silti olla oikea tapa

0:32:20.807,0:32:24.348
yhdistää kaksi järjestelmää, kvanttia [br]edeltävä ja kvantti-jälkeinen

0:32:24.348,0:32:31.269
Kyllä ja se on mahdollista, joten jopa niin[br]yksinkertainen juttu kuin allekirjoita

0:32:31.269,0:32:34.411
tällä järjestelmällä, allekirjoita toisella[br]järjestelmällä, tarkista molemmat

0:32:34.411,0:32:38.165
allekirjoitukset. Me olemme nähneet [br]sovelluksia joissa tämä on mennyt väärin

0:32:38.165,0:32:46.650
On todella tärkeää käydä se läpi[br]varovaisesti. Salaamiseen sinulla yleensä

0:32:46.650,0:32:51.499
on ECC joka vaihtaa avaimen ja sitten sinun[br]kvantti-jälkeinen järjestelmä vaihtaa avaimen

0:32:51.499,0:32:57.691
ja tiivistät molemmat avaimet yhteen suosikki-[br]tiivistefunktiollasi. Standardisoitu

0:32:57.691,0:33:02.227
tiivistefunktio on hyvä. Mutta jälleen kerran,[br]mainitsit yhdistämisen, on olemassa useita

0:33:02.227,0:33:02.723
tutkimuksia

0:33:02.723,0:33:04.920
<i>epäselvää</i>

0:33:05.325,0:33:06.885
Anteeksi, sanotko uudestaan?

0:33:07.188,0:33:11.515
Standardi tarkoittaa kryptografista tiiviste-[br]funktiota. Älä käytä jotain XX-tiivistettä

0:33:11.515,0:33:13.549
vaan käytä jotain joka on kryptografista.

0:33:13.549,0:33:21.281
Kyllä, eli esimerkiksi SHA-512 joka on [br]NSA:n suunnittelema mutta ihmiset ovat

0:33:21.281,0:33:25.927
lyöneet sitä jo pitkän aikaa rikkomatta[br]sitä. Jotain mikä on käynyt läpi julkista

0:33:25.927,0:33:32.402
arviota, on SHA-3 järjestelmät ja yleensä[br]se ei ole suorituskykyongelma tiivistää

0:33:32.402,0:33:36.917
kaksi 32 tavuista merkkijonoa yhteen, [br]ketjuta ja tiivistä ne ja sinulla on

0:33:36.917,0:33:41.242
uusi merkkijono joka on sinun symmetrisen[br]kryptografian avain

0:33:41.242,0:33:50.617
On olemassa ehdotuksia miten tehdä tämä[br]esimerkiksi IRTF:n tai tarkemmin CFRG:n RFC

0:33:50.617,0:33:55.376
sitten on jotain NIST:n stardardeissa [br]liittyen sekamuotojen käyttöön

0:33:55.376,0:34:00.743
lopuksi hieman itsemainontaa, meillä on[br]yksi dia jonka julkaisemme ja siellä on

0:34:00.743,0:34:07.880
joitain alustavia tutkimuksia joissa käymme[br]läpi yksityiskohtaisemmin sekamuotojen

0:34:07.880,0:34:12.405
käyttöönottoa ja yhdistämistä. Eli miten voit[br]turvallisesti tehdä tämän. Tieysti on

0:34:12.405,0:34:21.202
asentamisen valinta, eli valitset sinun oman[br]järjestelmäsi, ja kuten näet niin on huolia

0:34:21.202,0:34:26.822
mallitilanteen suhteen, lisäksi mainitsen [br]kokeilututkimuksia varten voit käyttää Skypeä

0:34:26.822,0:34:29.593
se on vain ongelma silloin jos haluat [br]ottaa sen käyttöön

0:34:29.593,0:34:35.231
yleinen varoitus on mutta jos olet vain [br]harrastelija tai haluat tökkiä sitä tai

0:34:35.231,0:34:37.844
haluat kirjoittaa tutkimuksen aiheesta [br]niin se ei ole ongelma

0:34:37.844,0:34:42.777
mutta yleisesti sinulla on valinta tehokkaiden[br]järjestelmien kuten mitä Google on tehnyt

0:34:42.777,0:34:47.697
kokeilemalla jotain uutta ja katsomalla [br]räjähtääkö se meidän tietokoneillamme

0:34:47.697,0:34:52.842
onneksemme se ei räjähtänyt, joten Google[br]pystyi jatkamaan sen käyttöä yhdistämällä

0:34:52.842,0:34:59.802
NH:n tai myöhemmin NTRU:n ja ECC:n[br]tai sitten voit sanoa että tärkeintä on se

0:34:59.802,0:35:05.453
että järjestelmä pysyy turvassa, ja olemme[br]valmiita uhraamaan hieman nopeutta ja kaistaa

0:35:05.453,0:35:09.033
joten ottamalla kaikkein varovaisimmat[br]kvantti-jälkeiset järjestelmät ja yhdistamällä

0:35:09.033,0:35:13.554
ne ECC:n tai RSA:n kanssa. Se on myös[br]valinta jonka joudut tekemään

0:35:13.554,0:35:16.158
jos haluat ottaa sen käyttöön

0:35:19.112,0:35:25.729
Eli olisiko ok ottaa käyttöön salakirjoitus-[br]järjestelmä joka on vielä mukana kilpailussa

0:35:25.729,0:35:29.530
joka ei ole vielä tai jota ei tulla [br]standardisoimaan NIST:n toimesta?

0:35:29.530,0:35:34.305
Vaikka ei olisi tiedossa olevia hyökkäyksiä?[br]No, yleisesti, kun katsot tällaista kuvaa

0:35:34.305,0:35:46.597
jossa on niin paljon punaista niin sinä [br]mahdat ajatella ettemme me kryptograafikot

0:35:46.597,0:35:51.319
tiedä mitä me teemme. Miten meillä voi olla[br]niin moni asia rikki? Se on todella todella

0:35:51.319,0:35:59.797
vaarallista. Sanoisin että sillä onko jokin[br]NIST:n valitsema vai ei ei lisää paljoa

0:35:59.797,0:36:03.503
informaatiota tässä. Ok haluat kommentoida[br]tähän.

0:36:03.503,0:36:08.063
Haluan mainita että asiat jotka pudotettiin[br]ensimmäisellä kierroksella eivät saaneet

0:36:08.063,0:36:12.581
paljoa huomiota. Ihmiset menettivät [br]kiinnostuksensa. Asiat jotka selvisivät

0:36:12.581,0:36:15.461
kolmannelle kierrokselle ja sitten eivät[br]selvinneet neljännelle kierrokselle

0:36:15.461,0:36:20.111
esimerkiksi kaksi Android muunnelmaa,[br]NTRU Prime ja NTRU-HRSS-KEM jotka ovat

0:36:20.111,0:36:27.037
mainittuina tässä, ne pääsivät kolmannelle[br]kierrokselle mutta eivät voittaneet kauneus-

0:36:27.037,0:36:31.017
kilpailua jota NIST pyöritti. Luulen että[br]ne ovat aivan yhtä hyviä kuin ne jotka

0:36:31.017,0:36:33.533
ovat tässä kuvassa sinisellä.

0:36:33.533,0:36:41.503
Yleisesti kaikki tässä ovat pelottavia. [br]Eli NTRU ja NTRU-HRSS ovat Googlen

0:36:41.530,0:36:47.917
käyttöönottamia ja OpenSSH mutta todella [br]harva näistä 69:stä ehdotuksesta omaa

0:36:47.917,0:36:52.268
samaa turvallisuustasoa nyt tiedettyjä [br]hyökkäyksiä vastaan kuin mitä niillä oli

0:36:52.278,0:36:58.192
viisi vuotta sitten kun ne ensin toimitettiin[br]Turvallisuutta ollaan aina menetetty koska

0:36:58.192,0:37:03.168
hyökkäykset ovat kehittyneet paremmiksi[br]jollain oli turvallisuusmarginaalia niistä

0:37:03.168,0:37:11.219
selviytymiseen. Tehdäksesi turvallisen [br]päätöksen sinun valitettavasti täytyy

0:37:11.219,0:37:15.701
tutustua näiden historiaan ja kysyä kuinka[br]hyvin nämä ovat kestäneet kuinka hyvin

0:37:15.701,0:37:19.709
näitä on tutkittu. Mitä Tanja korosti oli[br]se että joitain näistä on tutkittu todella

0:37:19.709,0:37:25.410
vähän ja joitain hieman enemmän, ja se [br]kuinka hyvin nämä järjestelmät kestivät

0:37:25.410,0:37:28.838
tutkimuksen aikana määrittelee sen kuinka[br]vaarallisia ne ovat loppujen lopuksi

0:37:28.838,0:37:33.977
Esimerkiksi Three Bears on kaunis [br]järjestelmä mutta se pudotettiin toisen

0:37:33.977,0:37:37.920
kierroksen jälkeen ja sen jälkeen ihmiset [br]lopettivat sen tutkimisen eikä se saanut

0:37:37.920,0:37:44.485
paljoa analyysia. Tuntuu siltä että se on[br]hyvä mutta sitä ei ole toisaalta tutkittu

0:37:44.485,0:37:48.601
melkein yhtään. Mutta jos tarkastelet [br]kolmannen kierroksen valikoimaa jotka ovat

0:37:48.601,0:37:53.327
mustia tai harmaita tässä sanoisin että [br]ne ovat suurimmaksi osaksi ok.

0:37:53.327,0:37:58.593
Ja tietysti siniset.

0:37:58.593,0:38:04.201
Ok eli valitse se joka on joko sininen tai[br]musta dialla. Luulen että ne ovat varsin

0:38:04.201,0:38:11.000
tiettyjä asioita. Nopea viimeinen kysymys [br]jos olen tinapaperihattu, voinko tehdä

0:38:11.000,0:38:13.606
jotain oman kommunikaationi suojaamiseksi?

0:38:13.606,0:38:24.257
Käytä kaikki OpenSSH:n läpi, se on hyvä [br]alku. Tilanne on se että tietysti tarvitset

0:38:24.257,0:38:28.449
asiakasohjelman sekä palvelimen [br]jotka tukevat asioita ja on olemassa

0:38:28.449,0:38:31.578
useita kokeiluja mutta vain vähäistä[br]käyttöönottoa

0:38:31.578,0:38:40.297
on olemassa VPN:n käyttöönottoa esimerkiksi [br]Joo on olemassa kvantti-jälkeistä VPN:ä

0:38:40.297,0:38:47.906
Movadilla on kvantti-jälkeinen vaihtoehto,[br]he käyttävät McElieceä, he käyttävät

0:38:47.906,0:38:52.948
WireGuardia VPN:ä varten ja WireGuardilla [br]on vaihtoehto ylimääräisen avaimen

0:38:52.948,0:38:57.888
syöttämiseksi, ennalta jaettu avain jota [br]movad käyttää McEliecen kanssa eli lataat

0:38:57.888,0:39:01.200
sen McEliecen läpi kvantti-jälkeisen [br]turvan saamiseksi movadiin

0:39:01.200,0:39:07.793
Tämä on siis VPN jossa et mene päästä [br]toiseen, haluat yleensä mennä koko tien

0:39:07.793,0:39:11.315
siihen sivustoon johon otat yhteyttä, ja [br]jos sinulla on päästä päähän turva käytössä

0:39:11.315,0:39:14.629
se tarkoittaa että asiakasohjelmiston ja [br]palvelimen pitää tukea kvantti-jälkeistä

0:39:14.629,0:39:19.643
kryptografiaa ja kun se on nyt viivästynyt[br]niin se ei ole niin yleisesti käytössä kuin

0:39:19.643,0:39:23.440
olisin kuvitellut sen olevan vuosia sitten[br]kun sitä kohtaan tuntui olevan paljon

0:39:23.440,0:39:25.033
innostusta

0:39:25.033,0:39:27.137
<i>epäselvää</i>

0:39:27.137,0:39:34.646
Ok Tanja haluaa että kerron PQ Connectista,[br]tulossa pian joka toivottavasti helpottaa

0:39:34.646,0:39:38.023
kvantti-jälkeisen kryptografian [br]käyttöönottoa yhteytesi turvaamiseksi

0:39:38.023,0:39:43.035
päästä päähän mutta sitä ei ole julkaistu[br]vielä joten en voi sanoa paljoa siitä

0:39:43.035,0:39:50.086
odotan innolla PQ Connectia. Luulisin että[br]tämä oli tässä, kiitos että olitte täällä

0:39:50.086,0:39:54.585
ja jaoitte tietojanne jaoitte päivityksiä[br]liityen kvantti-jälkeiseen kryptografiaan

0:39:54.585,0:39:58.991
Kiitos todella paljon Tanja Lange [br]ja D.J.B!

0:39:58.991,0:40:01.071
Kiitos!

0:40:02.501,0:40:12.290
[Translated by Timo Broström [br](KYBS2004 course assignment at JYU.FI)]