1
00:00:00,000 --> 00:00:04,870
[Translated by Timo Broström
(KYBS2004 course assignment at JYU.FI)]
2
00:00:04,870 --> 00:00:06,569
musiikkia
3
00:00:10,806 --> 00:00:14,546
Tervetuloa kaikki tähän kaaoottiseen
vuoteen sekä tapahtumaan
4
00:00:14,546 --> 00:00:17,326
olen Karra ja tulen olemaan teidän tiedottaja
5
00:00:17,326 --> 00:00:20,490
on ilo pystyä kuuluttamaan puhe
6
00:00:20,490 --> 00:00:23,607
kvantti-jälkeinen kryptografia:
kiertotiet, viivästykset ja katastrofit
7
00:00:23,607 --> 00:00:26,320
jonka pitävät Tanja Lange
ja D.J. Bernstein
8
00:00:26,450 --> 00:00:32,809
Tanja Lange on kryptograafikko ja matemaatikko
joka erikoistuu kantti-jälkeiseen krytografiaan
9
00:00:32,809 --> 00:00:35,445
joka on korvaamassa kryptografiaa
jota käytämme nykypäivänä
10
00:00:35,445 --> 00:00:39,180
sellaisilla versiolla jotka ovat turvassa
kvanttitietokoneilla toteutetuilta hyökkäyksiltä
11
00:00:39,180 --> 00:00:43,325
hän on professori Einhovenin
teknillisessä yliopistossa
12
00:00:43,325 --> 00:00:46,558
ja hänellä on ylpeilee useilla
eri julkaisuilla ja erityksillä
13
00:00:46,558 --> 00:00:50,953
hän oli myös PQ crypton koordinaattori
14
00:00:50,953 --> 00:00:52,683
joka on yleiseurooppalainen liitto
15
00:00:52,683 --> 00:00:55,168
kvantti-jälkeisen kryptografian
käyttöönottamiseksi
16
00:00:55,168 --> 00:01:01,201
D. J. B. on professori Illinoisin
yliopistossa Chicagossa
17
00:01:01,201 --> 00:01:06,793
sekä professori Bochumin yliopistossa.
hän työskentelee kryptografian parissa ja
18
00:01:06,793 --> 00:01:09,000
hän on kehittänyt
salakirjoitusjärjestelmiä joita käytetään
19
00:01:09,000 --> 00:01:12,032
avoimen lähdekoodin kryptografiassa,
mahdollisesti käytät jotain
20
00:01:12,032 --> 00:01:15,652
sellaista salakirjoitusjärjestelmää
katsoessasi tätä puhetta juuri nyt
21
00:01:15,652 --> 00:01:18,990
yhdessä he kehittivät vaikuttavan
määrän projekteja
22
00:01:18,990 --> 00:01:23,751
aina turvallisen kryptografian
käyttöönoton yksinkertaistamisesta
23
00:01:23,751 --> 00:01:26,990
turvallisien kvantti-jälkeisten
tietotyyppien rakentamiseen
24
00:01:26,990 --> 00:01:29,924
molemmat heistä ovat
aktivisteja jotka taistelevat
25
00:01:29,924 --> 00:01:33,261
läpinäkyvämmän kryptografian
standardisointiprosessin puolesta
26
00:01:33,261 --> 00:01:39,986
nyt kaikki laittakaa räpylänne yhteen
27
00:01:39,986 --> 00:01:42,800
laittakaa kätenne yhteen
Tanja Longelle ja D.J.B:lle!
28
00:01:42,800 --> 00:01:50,872
selvä, kiitos kivasta esipuheesta
29
00:01:50,872 --> 00:01:54,740
sukelletaan heti asiaan
aloitetaan HTTPS:llä
30
00:01:54,740 --> 00:01:57,952
kun menet HTTPS-sivulle
tai suojatulle sivulle
31
00:01:57,952 --> 00:02:02,994
käytät TLS:ä, kuljetuskerroksen turvaa
turvataksesi kommunikaatiosi
32
00:02:02,994 --> 00:02:07,428
TLS käyttää kahdenlaista
kryptografiaa muutamista eri syistä
33
00:02:07,428 --> 00:02:10,288
ensinnäkin, se turvautuu
julkisen avaimen kryptografiaan
34
00:02:10,288 --> 00:02:14,341
se tekee kahta asiaa
ensiksi, se tarjoaa allekirjoituksia
35
00:02:14,341 --> 00:02:18,406
julkisen avaimen allekirjoituksia
se varmistaa että hyökkääjä ei pysty
36
00:02:18,406 --> 00:02:21,825
korvaamaan palvelimen
dataa hyökkääjän datalla
37
00:02:21,825 --> 00:02:23,831
ja teeskennellä olevansa palvelin
38
00:02:23,831 --> 00:02:26,392
lisäksi TLS käyttää
julkisen avaimen salausta
39
00:02:26,392 --> 00:02:30,999
esimerkiksi NIST P-256,
RSA-4096 on allekirjoittajajärjestelmä
40
00:02:30,999 --> 00:02:36,860
NIST P-256:ta voidaan käyttää salaukseen
ja tämä salaa datasi niin ettei hyökkääjä
41
00:02:36,860 --> 00:02:39,142
voi ymmärtää sitä
42
00:02:39,142 --> 00:02:44,219
suoritustehoon liityvistä syistä
kryptografia on monimutkaisempi kuin
43
00:02:44,219 --> 00:02:48,293
vain tämä julkisen avaimen kryptografia
se sisältää myös symmetrisen kryptografian
44
00:02:48,293 --> 00:02:50,608
joskus sitä nimitetään
salaisen avaimen kryptografiaksi
45
00:02:50,608 --> 00:02:55,466
kun kokoat kaiken yhteen TLS:n
saat kolme peruspalikkaa
46
00:02:55,466 --> 00:02:56,816
on julkisen avaimen salaus
47
00:02:56,816 --> 00:02:59,995
joka sen sijaan että
se salaisi datasi niin
48
00:02:59,995 --> 00:03:04,928
etteivät hyökkääjät voi ymmärtää sitä
se salaa vain avaimen
49
00:03:04,928 --> 00:03:07,868
se lähettää avaimen
turvallisesti ja salassa
50
00:03:07,868 --> 00:03:09,371
päästä toiseen
51
00:03:09,371 --> 00:03:12,198
ja julkisen avaimen allekirjoituksia
käytetään sen varmistamiseksi
52
00:03:12,198 --> 00:03:14,352
ettei hyökkääjä pysty korvaamaan
toista avainta
53
00:03:14,352 --> 00:03:16,880
ja lopuksi avainta käytetään
54
00:03:16,880 --> 00:03:19,322
datasi suojaamiseen
symmetrisen kryptografian avulla
55
00:03:19,322 --> 00:03:22,825
kaikista muistakin
protokollista joita käytät
56
00:03:22,825 --> 00:03:25,075
olisi mahdollista tehdä
tämän tyyppiset diat
57
00:03:25,075 --> 00:03:28,295
kuten SSH:sta mutta ne kaikki toimivat
varsin samalla tavalla
58
00:03:28,295 --> 00:03:30,736
korostan nyt kaksi osaa tästä diasta
59
00:03:30,736 --> 00:03:33,825
RSA-4096
tyypillinen allekirjoitusjärjestelmä
60
00:03:33,825 --> 00:03:36,318
ja tyypillinen salausjärjestelmä
NIST P-256
61
00:03:36,318 --> 00:03:40,919
koska nämä kaksi tullaan murtamaan
kvanttitietokoneiden takia
62
00:03:40,919 --> 00:03:43,239
ilman kvanttitietokoneita
mitään tiedossa olevia
63
00:03:43,239 --> 00:03:44,936
uhkia ei olisi mutta
64
00:03:44,936 --> 00:03:47,249
kunhan hyökkääjällä on
iso kvanttitietokone
65
00:03:47,249 --> 00:03:49,055
mikä luultavasti tapahtuu
66
00:03:49,055 --> 00:03:52,187
se ei ole varmaa
ehkä panostukset kvanttitietokoneisiin
67
00:03:52,187 --> 00:03:53,365
epäonnistuvat jostain syystä
68
00:03:53,365 --> 00:03:56,458
mutta näyttää siltä
että kvanttitietokoneet
69
00:03:56,458 --> 00:03:57,364
ovat yhä menestyvämpiä
70
00:03:57,364 --> 00:03:59,076
ja kunhan kvanttitietokoneet
ovat tarpeeksi isoja
71
00:03:59,076 --> 00:04:01,193
ehkä kymmenen vuoden päästä
72
00:04:01,193 --> 00:04:04,127
sen jälkeen hyökkääjät
voivat ajaa hyökkäysalgoritmin
73
00:04:04,127 --> 00:04:07,631
jota kutsutaan Shorin algoritmiksi
joka löytää salaiset RSA-avaimesi ja
74
00:04:07,631 --> 00:04:12,522
salaiset NIST P-256 avaimesi
ja tässä vaiheessa hyökkääjät voivat
75
00:04:12,522 --> 00:04:14,568
tarkastella tietoja
joita he tallentavat nyt
76
00:04:14,568 --> 00:04:17,861
se ei ole uhka vain tulevaisuuden datalle
vaan se on myös uhka
77
00:04:17,861 --> 00:04:21,005
nykyhetken tietojesi
luottamuksellisuudelle
78
00:04:21,005 --> 00:04:25,230
koska hyökkääjät tallentavat jo
nyt kaiken minkä he voivat Internetissä
79
00:04:25,230 --> 00:04:28,001
ja sitten kun heillä on
iso kvanttitietokone
80
00:04:28,001 --> 00:04:33,715
he voivat takautuvasti purkaa salaukset
koska he voivat murtaa RSA-4096:n
81
00:04:33,715 --> 00:04:38,946
ja NIST P-256:n
nimenomaan NIST P-256 tarjoaa salauksen
82
00:04:38,946 --> 00:04:43,143
ja he voivat palata ajassa taaksepäin
ja murtaa salauksen jota käytät tänään
83
00:04:43,143 --> 00:04:45,380
mitä me teemme tälle?
84
00:04:45,380 --> 00:04:48,155
Norminmukainen lähestymistapa
on mitä me kutsumme
85
00:04:48,155 --> 00:04:50,954
kvantti-jälkeiseksi kryptografiaksi
kuulit sen jo aiemmin se oli meidän
86
00:04:50,954 --> 00:04:54,907
otsikossamme se on korvaava kryptografia
joka on suunniteltu se mielessä pitäen
87
00:04:54,907 --> 00:04:57,785
että hyökkääjällä on
käytössä kvanttitietokone
88
00:04:57,785 --> 00:05:02,308
joten eli kuten airue
jo aiemmin mainitsikin
89
00:05:02,308 --> 00:05:06,449
olin koordinaattorina PQCRYPTO projektissa
ja se tarkoittaa että olen nipistellyt
90
00:05:06,449 --> 00:05:09,828
ympäri maailmaa ja pitänyt puheita
kvantti-jälkeisestä kryptografiasta
91
00:05:09,828 --> 00:05:13,791
tässä on kuvankaappaus puheesta jonka
pidin kuusi ja puoli vuotta sitten
92
00:05:13,791 --> 00:05:19,827
missä korostin kuten Dan teki tänään
kvantti-jälkeisen kryptogragian tärkeyttä
93
00:05:19,827 --> 00:05:23,161
ja korostin
että on tärkeää tehdä suositukset
94
00:05:23,161 --> 00:05:27,067
jotka kertovat mitä algoritmeja meidän
pitäisi käyttää korvataksemme RSA:n ja
95
00:05:27,067 --> 00:05:30,684
NIST P-256:n jotka
näitte edellisillä dioilla
96
00:05:30,684 --> 00:05:36,628
ja sitten käsittelin kysymystä pitäisikö
meidän standardisoida nyt vai myöhemmin
97
00:05:36,628 --> 00:05:42,872
argumentteja löytyy molemmilta puolilta
ja, no, jos stardardisoitaisiin nyt,
98
00:05:42,872 --> 00:05:47,115
kuusi vuotta sitten tuntui että vielä on
niin paljon tehtävää ja meillä on paljon
99
00:05:47,115 --> 00:05:49,350
parempi järjestelmä
jos odotamme vähän pidempään
100
00:05:49,350 --> 00:05:56,779
toistaalta on huoli virastojen ja muiden
pimeyden voimien keräämästä datasta
101
00:05:56,779 --> 00:06:03,378
ja mitä myöhempään se julkaistaan
sitä enemmän dataa ja turvallisuutta
102
00:06:03,378 --> 00:06:07,762
menetetään joten olisi tärkeää saada
asioita eteenpäin ja ratkaisumme silloin
103
00:06:07,762 --> 00:06:13,579
mitä olin mainostamassa vuonna 2016 oli
vuonna 2015 julkaistut suositukset jossa
104
00:06:13,579 --> 00:06:17,082
sanottiin että
keskittäminen vie paljon aikaa
105
00:06:17,082 --> 00:06:20,820
me emme ole siinä vaiheessa vielä
mutta jos joku haluaa suojella itseään
106
00:06:20,820 --> 00:06:24,160
tässä mitä me,
no tässä on aikamoinen määrä
107
00:06:24,160 --> 00:06:28,559
tutkijoita jotka ilmoittautuivat tähän
lausuntoon osana PQCRYPTO projektia
108
00:06:28,559 --> 00:06:34,875
mitä me suosittelemme?
meidän suosittelumme olivat mitä kutsumme
109
00:06:34,875 --> 00:06:36,577
varovaiseksi kryptografiassa
110
00:06:36,577 --> 00:06:38,440
se ei tarkoita
poliittisesti konservatiivinen
111
00:06:38,440 --> 00:06:42,516
vaan se tarkoittaa tylsää se tarkoittaa
että jokin on ollut jo pitkään ilmoilla
112
00:06:42,516 --> 00:06:47,079
monet ihmiset ovat analysoineet sen
ja emme odota mitään muutoksia siihen
113
00:06:47,079 --> 00:06:53,032
symmetrisen avaimen puolella, kuten Dan
oli jo sanonut, niihin kvanttitietokoneet
114
00:06:53,032 --> 00:06:56,130
eivät vaikuta joten jos käytät tarpeeksi
suuria kokoja
115
00:06:56,130 --> 00:07:02,005
256-bittisten avainten kanssa
niin AES tai Salsa20 ovat riittäviä
116
00:07:02,005 --> 00:07:07,068
myös todentamisessa, kun saat avaimen,
siihen ei voi vaikuttaa
117
00:07:07,068 --> 00:07:14,402
julkisen avaimen salauksen ja
allekirjoituksen RSA-4096:n ja
118
00:07:14,402 --> 00:07:19,336
ECC NIST P-256:n me juodumme korvaamaan
niitä varten meillä on korvikkeet ja tässä
119
00:07:19,336 --> 00:07:21,657
me annoimme
korkean luottamuksen suosituksen
120
00:07:21,657 --> 00:07:24,461
eli käytä
McEliecen järjestelmää minkä nimi
121
00:07:24,461 --> 00:07:26,624
saattaa näkyä hieman myöhemmin
122
00:07:26,624 --> 00:07:29,036
ja käytä
tiivistepohjaisia allekirjoituksia
123
00:07:29,036 --> 00:07:33,557
ja SPHINCS:n haluat tutusta myöhemmin
me myös julkistimme joitain arvioinnin
124
00:07:33,557 --> 00:07:37,475
alaisena olevia kohteina mikä tarkoittaa
että niitä ei kannata käyttää juuri nyt
125
00:07:37,475 --> 00:07:43,541
mutta tulevaisuudessa ne voivat olla ok
ja meille tämä oli ok, me iskemme seipään
126
00:07:43,541 --> 00:07:45,366
maahan, me sanomme
että nämä ovat turvallisia
127
00:07:45,366 --> 00:07:50,487
ja ihmisten tulisi toimia niin ja kaikki
elävät onnelisina elämän loppuun asti
128
00:07:50,487 --> 00:07:52,490
ja me olemme valmiita puheemme kanssa
129
00:07:52,490 --> 00:07:54,921
vai elivätkö sittenkään
kaikki onnellisesti
130
00:07:54,921 --> 00:07:56,392
elämänsä loppuun asti?
131
00:07:56,392 --> 00:07:58,918
Katsotaan mitä oikeasti
tapahtui tämän jälkeen
132
00:07:58,918 --> 00:08:01,241
järjestely, no,
asiat jotka pitäisi julkistaa
133
00:08:01,241 --> 00:08:05,041
itse asiassa oli eräs kokeilu
jota Google piti käynnissä
134
00:08:05,041 --> 00:08:09,236
joka sanoi että vuonna 2016 Google Chrome
lisäsi kvantti-jälkeisen vaihtoehdon
135
00:08:09,236 --> 00:08:11,438
nyt, se ei tarkoita että jokainen
136
00:08:11,438 --> 00:08:14,096
verkkopalvelin tuki sitä
se oli vain kokeilu
137
00:08:14,096 --> 00:08:15,674
missä Google laittoi sen päälle joillain
138
00:08:15,674 --> 00:08:19,064
heidän palvelimillaan
ja sanoi ok katsotaan
139
00:08:19,064 --> 00:08:22,034
miten hyvin tämä toimii ja kuulostivat
todella innostuineilta heidän blogissaan
140
00:08:22,040 --> 00:08:24,695
jossa he julkistivat sen että he auttavat
käyttäjiä suojautumaan
141
00:08:24,695 --> 00:08:26,853
kvanttitietokoneilta
katsotaan toimiiko tämä
142
00:08:26,853 --> 00:08:29,462
järjestelmä jota he käyttivät kutsuttiin
nimellä New Hope (NH)
143
00:08:29,462 --> 00:08:34,886
he eivät pelkästään salanneet NH:lla,
NH on kvantti-jälkeinen salausjärjestelmä
144
00:08:34,886 --> 00:08:39,633
he myöskin salasivat kvanttia-edeltävällä
salauksella, elliptisten käyrien
145
00:08:39,633 --> 00:08:42,369
salausmenetelmällä, ECC
kuten Tanja aikaisemmin
146
00:08:42,369 --> 00:08:46,679
mainitsi NIST P-256
on esimerkki ECC:stä, x25519 on toinen
147
00:08:46,679 --> 00:08:49,897
esimerkki ECC:stä, tämä on jotain mitä
käytät tänä päivänä salataksesi datasi
148
00:08:49,897 --> 00:08:55,076
ja mitä Google teki, se salasi NH:lla
kvantti-jälkeisen turvallisuuden
149
00:08:55,076 --> 00:08:58,548
takaamiseksi ja salasi myös
x25519:lla kuten he tekevät
150
00:08:58,548 --> 00:09:01,972
normaalisti myös tänä päivänä
asian ydin on että jos jotain menee
151
00:09:01,972 --> 00:09:07,756
pahasti pieleen NH:n kanssa niin meillä
silti on kvanttia-edeltävä turvallisuus
152
00:09:07,756 --> 00:09:11,422
joten ainakaan välitöntä turvallisuusuhkaa
ei ole, he eivät ole pahentamassa asioita
153
00:09:11,422 --> 00:09:14,363
tietysti jos NH on rikki niin he eivät ole
myöskään parantamassa
154
00:09:14,363 --> 00:09:17,141
asioita mutta pääasia
oli yrittää saada asioita paremmaksi ja
155
00:09:17,141 --> 00:09:20,609
varmistaa samalla ettei asiat mene
pahemmaksi salaamalla molemmilla sekä
156
00:09:20,609 --> 00:09:22,686
kvanttia-edeltävällä
että kvantti-jälkseisellä
157
00:09:22,686 --> 00:09:27,657
asioilla ja varasuunnitelma on todella
tärkeää olla olemassa koska NH on uusi
158
00:09:27,657 --> 00:09:32,590
salausjärjestelmä, no, oli vuonna 2016
pääpalat NH:n suunnittelussa tulivat
159
00:09:32,590 --> 00:09:38,252
vuosilta 2010, 2014 ja 2015 ja se ei ole
paljon aikaa asioiden läpikäymiseen ja
160
00:09:38,252 --> 00:09:41,878
kryptografiassa asiat voivat välillä olla
maisemissa vuosia ennen kuin niistä
161
00:09:41,878 --> 00:09:45,097
löydetään turvallisuusongelmia
on todella tärkeää että uusille
162
00:09:45,097 --> 00:09:50,926
salausjärjestelmille annetaan aikaa kypsyä
toinen ongelma uusien salausjärjestelmien
163
00:09:50,926 --> 00:09:55,859
kanssa on että joskus ne patentoidaan
patenit säilyvät 20 vuotta ja tämä tapahtui
164
00:09:55,859 --> 00:10:00,755
NH:lle, patentin haltija otti yhteyttä
Googleen ja sanoi että haluan rahaa teidän
165
00:10:00,755 --> 00:10:06,669
NH kokeilusta. Google ei koskaan
antanut julkista lausuntoa tästä patentti-
166
00:10:06,669 --> 00:10:11,116
uhkasta, mutta jostain syystä
marraskuussa 2016 he poistivat NH
167
00:10:11,116 --> 00:10:16,125
mahdollisuuden Chromesta ja palvelimiltaan
muitakin asioita tapahtui vuonna 2016
168
00:10:16,125 --> 00:10:22,404
Yhdysvaltain hallinnolla on virasto, NIST,
jolla on pitkä historia yhteistyöstä
169
00:10:22,404 --> 00:10:28,271
kansallisen turvallisuusviraston (NSA)
kanssa ja NIST sanoi että vuoden päästä
170
00:10:28,271 --> 00:10:33,193
loppuvuodesta 2017 he haluaisivat
kryptograafikkojen toimittavan ehdotuksia
171
00:10:33,193 --> 00:10:37,349
kvantti-jälkeiselle salausjärjestelmälle,
salausjärjestelmät ja allekirjoitusjärjestelmät
172
00:10:37,349 --> 00:10:44,678
joka standardisoitaisiin aikanaan
yksi mielenkiintoinen asia jonka he sanoivat
173
00:10:44,678 --> 00:10:50,410
pyynnössään oli että et saa toimittaa
sekamuotoja, eli salata molemmilla
174
00:10:50,410 --> 00:10:56,042
kvantti järjestelmillä ja ECC:llä tai
allekirjoittaa jollain mitä käytät nyt ja
175
00:10:56,042 --> 00:10:59,424
jollain kvantti-jälkeisellä ratkaisulla
he sanoivat että algoritmit eivät saa
176
00:10:59,424 --> 00:11:03,488
sisältää ECC:tä tai mitään muuta joka
voidaan murtaa kvanttitietokoneilla
177
00:11:03,488 --> 00:11:07,962
sovelluskehittäjän näkökulmasta on hyvä
olla ECC kerros erillään kaikesta muusta
178
00:11:07,962 --> 00:11:10,524
ja sanoa että mitä tahansa teetkään
kvantti-jälkeisellä järjestelmällä se
179
00:11:10,524 --> 00:11:15,998
yhdistetään x25519 kanssa esimerkiksi.
Mutta he eivät sanoneet että sinun täytyisi
180
00:11:15,998 --> 00:11:20,756
yhdistää kaikki ECC:n kanssa, esimerkiksi
x25519 erillisenä kerroksena, he sanoivat
181
00:11:20,756 --> 00:11:23,855
älä toimita mitään mikä on
yhdistetty ECC:n kanssa
182
00:11:23,855 --> 00:11:33,185
järjestämällä tämän kilpailun kvantti-
jälkeisille järjestelmille NIST viestititti
183
00:11:33,185 --> 00:11:36,194
yrityksille että odottakaa, älkää ottako
käyttöön kvantti-jälkeisiä salauksia
184
00:11:36,194 --> 00:11:43,637
ja tässä oli sekä keppi että porkkana,
keppi oli patentit, Google joutui juuri
185
00:11:43,637 --> 00:11:47,174
ongelmiin ottamalla jotain käyttöön
ja hupsista sillä olikin patentti
186
00:11:47,174 --> 00:11:51,662
mikä muu on patentoitu? ja NIST sanoi että
meillä on prosessi joka johtaa
187
00:11:51,662 --> 00:11:55,690
kryptografisiin standardeihin jotka voi
vapaasti toteuttaa eli patentit eivät estä
188
00:11:55,690 --> 00:11:59,358
sinua ottamasta käyttöön asioita ja he myös
sanoivat että he aikovat valita jotain
189
00:11:59,358 --> 00:12:05,308
mikä on tarpeeksi vahva, turvallisuus on
kaikkein tärkein tekijä arvioinnissa
190
00:12:05,308 --> 00:12:10,724
joten toimialat katsovat tätä ja sanoivat
ok odotetaan NIST:ä ja muut
191
00:12:10,724 --> 00:12:16,124
standardisointi organisaatiot odottavat
myös. IETF:llä on oma tutkimusorganisaatio
192
00:12:16,124 --> 00:12:22,156
IRTF asettaa Internetin standardeja ja
kryptoryhmä IRTF:ssä pohti että me
193
00:12:22,156 --> 00:12:28,544
standardisoimme ne jotka ovat jo meidän
pöydällämme, kuten tiivistejärjestelmiä
194
00:12:28,544 --> 00:12:35,623
mutta kaiken muun osalta me odotamme
NIST:ä. ISO sanoi myös että he odottavat
195
00:12:35,623 --> 00:12:40,718
NIST:ä. Ihan kaikki organisaatiot eivät
sanoneet näin, esimerkiksi Kiinan hallitus
196
00:12:40,718 --> 00:12:45,587
sanoi että he järjestävät heidän oman
kilpailunsa mutta, no, ketä kiinnostaa?
197
00:12:45,587 --> 00:12:53,258
Joten takaisin NIST kilpailuun, tässä on
kaikki ehdotukset, joten loppuvuodesta 2017
198
00:12:53,258 --> 00:12:58,591
oli 69 ehdotusta 260 eri kryptograafikolta
en aio lukea kaikki nimiä mutta tämä oli
199
00:12:58,591 --> 00:13:01,161
aikamoinen työkuorma kryptografian
analyytikoille.
200
00:13:01,161 --> 00:13:08,940
me pidettiin hauskaa alkuvuodesta 2017, he
jotka näkivät meidät lavalla vuonna 2018
201
00:13:08,940 --> 00:13:12,613
tietävät että pidimme puheita siitä kuinka
hauskaa meillä oli rikkoa näitä ehdotuksia
202
00:13:12,613 --> 00:13:16,653
mutta se oli aikamoinen taakka. Katsotaan
mitä NIST teki kilpailulla.
203
00:13:16,653 --> 00:13:20,722
vuonna 2019 eli kaksi vuotta myöhemmin, no
vuosi ja vähän myöhemmin he olivat
204
00:13:20,722 --> 00:13:26,753
rajaamassa ehdotuksia 26 ehdokkaaseen
ja vuonna 2020 heinäkuussa he rajasivat
205
00:13:26,753 --> 00:13:32,987
ehdokkaita lisää, he ottivat 15 ehdokasta
26:sta. Tarkoitus oli keskittyä johonkin
206
00:13:32,987 --> 00:13:40,221
missä on järkeä ja he priorisoivat
vahvimpia ehdokkaita paitsi silloin jos
207
00:13:40,221 --> 00:13:43,893
sovellus todella tarvitsee jotain
tehokkaampaa
208
00:13:43,893 --> 00:13:49,228
itse asiassa ei, he eivät ollenkaan
tehneet näin. Jos luet raportin ja katsot
209
00:13:49,228 --> 00:13:52,093
mitkä ehdokkaat he valitsivat, milloin
tahansa kun heillä oli vaihtoehto
210
00:13:52,093 --> 00:13:55,919
nopeuden ja turvallisuuden välillä,
tarkoitat he totta kai karsivat pois asiat
211
00:13:55,919 --> 00:14:02,034
jotka olivat todella rikki ja karsivat
asiat jotka olivat todella tehottomia
212
00:14:02,034 --> 00:14:04,844
mutta ottakaapa esimerkiksi SPHINCS jonka
Tanja mainitsi aikaisemmin, todella
213
00:14:04,844 --> 00:14:09,364
varovainen kaikki ovat samaa mieltä että
tämä on turvallisin allekirjoitusjärjestelmä
214
00:14:09,364 --> 00:14:21,859
no, NIST ei sanonut että käytä SPHINCS:iä
vaan että me odotetaan SPHINCS+:n
215
00:14:21,859 --> 00:14:27,114
standardisoimista ellei niin moni asia
ole rikki että meidän pitää käyttää SPHINCS:ä
216
00:14:27,114 --> 00:14:36,315
Niin ja tämän vuoden heinäkuussa NIST
sanoi että he valitsevat neljä standardia
217
00:14:36,315 --> 00:14:43,232
yksi oli SPHINCS+ ja neljää muuta ehdotusta
tutkittiin yhä. Tämä vaikuttaa siltä
218
00:14:43,232 --> 00:14:47,335
että ehkä heidän itseluottamuksensa horjui
Joten mitä tapahtui?
219
00:14:47,335 --> 00:14:55,935
Kuva 69 ehdotuksesta muuttuu kun menemme
ajassa viisi ja puoli vuotta eteenpäin
220
00:14:55,935 --> 00:15:01,376
tässä on värikoodaus. Siniset ovat edelleen
mukana NIST:n kilpailussa, eli neljä
221
00:15:01,376 --> 00:15:06,179
standardisoitavaa järjestelmää ja neljä
neljännen kierroksen ehdokasta
222
00:15:06,179 --> 00:15:12,863
harmaat eivät päässeet eteenpäin ja
tarkoittaa ettei niitä ole murrettu mutta
223
00:15:12,863 --> 00:15:18,277
ne putosivat niin aikaisin ettei ketään
enää kiinnostanut niiden murtaminen
224
00:15:18,277 --> 00:15:21,036
ruskea väri tarkoittaa vähemmänen
turvallinen kuin väitetty, punainen
225
00:15:21,036 --> 00:15:25,044
tarkoittaa todella murrettua ja punainen
joka on alleviivattu tarkoittaa
226
00:15:25,044 --> 00:15:33,781
todella todella murrettua.
Mitä voit nähdä tässä on se että murrettuja
227
00:15:33,781 --> 00:15:40,404
järjestelmiä on paljon. On myös
mielenkiintoinen violetti oikeassa alakulmassa
228
00:15:40,404 --> 00:15:48,831
Jos muistat vesivärit niin violetti on
punaisen ja sinisen sekoitus. SIKE valittiin
229
00:15:48,831 --> 00:15:57,647
heinäkuussa sekä murrettiin heinäkuussa
viiden vuoden analyysin jälkeen hyökkäyksellä
230
00:15:57,647 --> 00:16:02,646
joka voidaan ajaa sekunneissa joten SIKE
on tapaus jossa jotain meni todella väärin
231
00:16:02,646 --> 00:16:07,676
ja voidaan sanoa että useat pienet asiat
horjuttivat vähän itseluottamusta
232
00:16:07,676 --> 00:16:13,247
jonka jälkeen NIST valitsi sentään edes
SPHINCS:n, tämä ei johtanut muiden
233
00:16:13,247 --> 00:16:17,587
varovaisten vaihtoehtojen valitsemiseen
jotkut niistä ovat edelleen hautumassa
234
00:16:17,587 --> 00:16:20,909
mutta tämä ei olekaan kypsä ala.
235
00:16:20,909 --> 00:16:26,367
Mitäs tapahtui sillä välin käyttöönoton
puolella? Muistakaa, on kaksi osaa Tanjan
236
00:16:26,367 --> 00:16:30,796
dioista vuodelta 2016. Hän sanoi että
olisi hyvä ottaa käyttöön jotain nyt
237
00:16:30,796 --> 00:16:33,643
suojellaksesi käyttäjiä koska meillä on
turvallisuusongelma nyt, hyökkääjät
238
00:16:33,643 --> 00:16:37,997
tallentavat asioita nyt ja meidän pitää
yrittää suojautua siltä ja meidän pitää
239
00:16:37,997 --> 00:16:41,343
pystyä tekemään se nopeammin kuin
standardisaatioprosessi joka Google oli
240
00:16:41,343 --> 00:16:48,584
aloittamassa vuonna 2016 mutta pelästyivät
patenttiongelmaa. Vuoteen 2019 mennessä
241
00:16:48,584 --> 00:16:52,778
toimialat ja useat avoimen lähdekoodin
projektit katsoivat tätä ja pohtivat että
242
00:16:52,778 --> 00:16:59,060
ehkä olisi hyvä aika ottaa käyttöön asioita
sillä jotain meni väärin vuonna 2016
243
00:16:59,060 --> 00:17:04,130
mutta tässä vaiheessa NIST on kerännyt
lausuntoja kaikilta ehdokkailta tässä
244
00:17:04,130 --> 00:17:08,310
kilpailussa todeten mitkä ehdotukset ovat
patentoituja ja se antaa meille paljon
245
00:17:08,310 --> 00:17:12,346
tietoa kun 260 kryptograafikkoa kertoo
mitkä ovat patentoituja
246
00:17:12,346 --> 00:17:18,379
ja vuonna 2019 oli yhä selkeämpää että
kvanttitietokoneet ovat tulossa
247
00:17:18,379 --> 00:17:20,616
joten esimerkkejä siitä mitä tapahtui
vuonna 2019
248
00:17:20,616 --> 00:17:26,530
OpenSSH version 8, kopioiden TinySSH:ta
kertoi että he lisäävät sekamuodon joka
249
00:17:26,530 --> 00:17:32,833
koostuu elliptisten käyrien
salausmenetelmästä sekä yhdestä
250
00:17:32,833 --> 00:17:36,597
kvantti-jälkeisestä ehotuksesta. Sitä ei
käytetä oletuksena mutta jos lisäät rivin
251
00:17:36,597 --> 00:17:39,900
palvelimen sekä asiakasohjelman
konfiguraatioon niin se käyttää kvantti-
252
00:17:39,900 --> 00:17:45,071
jälkeistä salausta, ja jos kvantti-jälkeinen
osa murretaan niin siellä on silti vielä ECC
253
00:17:45,071 --> 00:17:51,737
Heinäkuussa 2019 Google ja Cloudflare
kokeilivat kvantti-jälkeistä salausta
254
00:17:51,737 --> 00:17:59,196
kaksiosaisessa kokeessa. Jotkin käyttäjät
salasivat toisella versiolla, ntruhrss:lla
255
00:17:59,196 --> 00:18:02,784
ja ECC:llä totta kai, käytä aina
sekamuotoja. Ja toinen versio oli
256
00:18:02,784 --> 00:18:08,659
salaaminen sikep:llä ja ECC:llä. Joo
Tanja sanoi hups. Tämä on esimerkki siitä
257
00:18:08,659 --> 00:18:15,268
miten tärkeää on varmistaa että yhdistät
kaiken ECC:n kanssa jotta et kadota
258
00:18:15,268 --> 00:18:19,338
turvallisuutta verrattuna tähän päivään
jossa kaikki käytämme ECC:tä. Kokeile
259
00:18:19,338 --> 00:18:24,259
kvantti-jälkeisiä järjestelmiä sekä ECC:tä
samaan aikaan jotta pahimmassa tapauksessa
260
00:18:24,259 --> 00:18:29,266
hukkaat vain aikaa mutta toivottavasti
jokin paranee ja ainakin sikep käyttäjillä
261
00:18:29,266 --> 00:18:38,740
on ECC turva. Myös vuonna 2019 lokakuussa
Google väitti omaavansa kvanttiylemmyyden
262
00:18:38,740 --> 00:18:44,186
tarkoittaen että heillä oli kvanttitietokone
tekemässä jotain nopeammin kuin mikään
263
00:18:44,186 --> 00:18:49,152
tavallinen supertietokone. Se ei ole
hyödyllinen laskenta ja menee silti vuosia
264
00:18:49,152 --> 00:18:52,507
ennen kuin meillä on hyödyllisiä laskelmia
pyörimässä kvanttitietokoneilla nopeammin
265
00:18:52,507 --> 00:18:56,486
kuin tavallisilla tietokoneilla mutta silti
pelkästään nimi kvanttiylemmyys on
266
00:18:56,486 --> 00:19:00,112
harhaanjohtava mutta se silti
mielenkiintoinen askel eteenpäin kvantti-
267
00:19:00,112 --> 00:19:06,908
laskennassa ja nimi varmaankin herätti
huomiota sekä huolta
268
00:19:06,908 --> 00:19:17,988
vuonna 2021 ja 2022 OpenSSH, OpenBSD ja Google
kaikki päivittivät yhtäkkiä
269
00:19:17,988 --> 00:19:27,677
no, openSSH versio 9.0 tarjoaa sntrup:n ja
ECC:n oletuksena joten jos sinulla on
270
00:19:27,677 --> 00:19:31,423
OpenSSH 9 asennettuna palvelimellesi sekä
siihen palvelimeen mihin otat yhteyttä
271
00:19:31,423 --> 00:19:36,403
sekä asiakasohjelmaasi niin se käyttää
automaattisesti kvantti-jälkeistä vaihtoehtoa
272
00:19:36,403 --> 00:19:42,391
ja itse asiassa OpenSSH versiot aina 8.5 asti
tukevat täysin samaa asiaa, mutta silloin
273
00:19:42,391 --> 00:19:46,917
sinun täytyy ottaa se käyttöön manuaalisesti
jotta palvelin ja asiakasohjelma käyttäisivät
274
00:19:46,917 --> 00:19:50,989
sitä mutta OpenSSH 9:ssä se tapahtuu
oletuksena ja sama juttu Googlen suhteen
275
00:19:50,989 --> 00:19:55,916
he ovat marraskuusta, eli viime kuusta
lähtien salanneet heidän sisäisen
276
00:19:55,916 --> 00:20:03,778
kommunikaationsa ntruhrss:llä ja ECC:llä
joten toivottavasti ntruhrss toimii ja se
277
00:20:03,778 --> 00:20:06,777
on turvallinen kvanttitietokoneita vastaan
tulevaisuudessa
278
00:20:06,777 --> 00:20:11,382
Tämä on myös hienosti linjassa
puhdistamiskoodin sanoman kanssa
279
00:20:11,382 --> 00:20:16,670
kuten jo sanottu puhdistamiskoodit eivät
ole vielä stardardisoituja kryptografisiin
280
00:20:16,670 --> 00:20:22,265
järjestelmiin itsessään mutta he kannustavat
ihmisiä tutkimaan asioita ja totuttelemaan
281
00:20:22,265 --> 00:20:31,280
siihen, esimerkiksi US ANSI joka on pankki-
standardi NTX9, totesivat että he siirtyvät
282
00:20:31,280 --> 00:20:35,889
aikanaan kvantti-jälkeisiin stardardeihin
joten he odottavat klassisen kryptografian
283
00:20:35,889 --> 00:20:38,461
jota kutsutaan kvanttia edeltäväksi
kryptografiaksi ja kvantti-jälkeinen
284
00:20:38,461 --> 00:20:43,130
kryptografian samanaikaista käyttöä
joten he ajattelevat että yksi asia on
285
00:20:43,130 --> 00:20:49,048
standardisoitu ja auditoitu ja toinen on
silti vielä vähän uusi ja epämukava mutta
286
00:20:49,048 --> 00:20:52,956
me tarvitsemme sitä pitkän ajan
turvallisuutta varten ja ehkä se vaativat
287
00:20:52,956 --> 00:20:59,559
tätä sekamuoto yhdistelmää pitkässä
juoksussa. Sitten, Yhdysvalloista Ranskaan
288
00:20:59,559 --> 00:21:07,139
eli ANSI:sta ANSSI:n, joka on Ranskan
turvallisuusvirasto. He sanovat myös että
289
00:21:07,139 --> 00:21:14,596
älkää käyttäkö kvantti-jälkeisiä järjestelmiä
yksinään koska ne ovat vielä kypsymättömiä
290
00:21:14,596 --> 00:21:19,122
mutta, kypsymättömyys ei tarvitse olla syy
ensimmäisten käyttöönottojen viivyttämiselle
291
00:21:19,122 --> 00:21:27,495
joten ANSSI kannustaa ihmisiä ottamaan
sekamuodot käyttöön käyttäen jotain hyvää
292
00:21:27,495 --> 00:21:32,102
kvanttia edeltävää ratkaisua yhdessä
kvantti-jälkseisen ratkaisun kanssa
293
00:21:32,102 --> 00:21:36,988
Noniin kiva eli kaikki etenee hienosti
niiden linjausten mukaan mitkä olivat Tanjan
294
00:21:36,988 --> 00:21:42,816
dioissa vuonna 2016. Standardisaatio
etenee hitaasti mutta saman aikaan
295
00:21:42,816 --> 00:21:47,052
olemme ottamassa käyttöön kvantti-jälkeistä
salausta yhdessä ECC:n kanssa siltä varalta
296
00:21:47,052 --> 00:21:51,769
jos jokin menee pieleen ja saada käyttäjät
suojatuksi niin nopeasti kuin mahdollista
297
00:21:51,769 --> 00:21:59,295
Mitä Yhdysvaltojen hallinto sanoi tästä?
Vuodesta 2021 lähtien Yhdysvaltojen hallinto
298
00:21:59,295 --> 00:22:02,917
teki erittäin selväksi että se haluaa sinun
nyt saatat miettiä että he haluavat sinun
299
00:22:02,917 --> 00:22:07,350
suojatuvan kvanttitietokoneita vastaan mutta
eijei ei, he eivät halua että suojaudut
300
00:22:07,350 --> 00:22:14,126
kvanttitietokoneita vastaan. Esimerkiksi,
tässä on sitaatti NIST:n
301
00:22:14,126 --> 00:22:17,601
kyberturvallisuusosaston päälliköltä
informaatioteknologian laboratoriosta
302
00:22:17,601 --> 00:22:20,943
joka käynnisti kvantti-jälkeisen krypto-
järjestelmien kilpailutuksen.
303
00:22:20,943 --> 00:22:27,469
Heinäkuussa 2021, pian OpenBSD:n projektien
ja OpenSSH:n käyttöönottojen jälkeen
304
00:22:27,469 --> 00:22:32,382
hän sanoi, älkää antako ihmisten ostaa ja
jalkauttaa epästandardisoituja kvantti-
305
00:22:32,382 --> 00:22:39,156
jälkeisiä kryptografioita. Ja sitten, toinen
esimerkki, NSA, joka toimii läheisesti
306
00:22:39,156 --> 00:22:44,314
NIST:n kanssa sanoi, älä toteuta tai käytä
epästandardisoituja kvantti-jälkeisiä krypto-
307
00:22:44,314 --> 00:22:49,120
grafioita. Ja siltä varalta ettei ihmiset
tajunneet viestiä, turvallisuusvirasto,
308
00:22:49,120 --> 00:22:51,930
luuletko että nämä virastot keskustelevat
keskenään?
309
00:22:51,930 --> 00:22:57,345
turvallisuusvirasto sanoi, älä käytä kvantti-
jälkeisiä kryptografiatuotteita ennen kuin
310
00:22:57,345 --> 00:23:02,593
korvattavien ohjelmien standardisaatio,
toteutus ja testaus hyväksytyillä
311
00:23:02,593 --> 00:23:05,487
algoritmeilla on tehty NIST:n toimesta.
312
00:23:05,487 --> 00:23:15,608
Tässä jo hieman huonoja uutisia. Toinen
juttu mikä on outoa tässä on että he sanovat
313
00:23:15,608 --> 00:23:19,122
että jos olet ottamassa käyttöön kvantti-
jälkeistä kryptografiaa, niin sinun ei tule
314
00:23:19,122 --> 00:23:24,131
käyttää sekamuotoja, ja saatat ehkä ajatella
ymmärsinkö väärin ein kyllänä tai jotain
315
00:23:24,131 --> 00:23:29,956
tässä oli NSA:n kaveri konferenssissa ja
tämä dia on Markku Saarisen kuvankaappaus
316
00:23:29,956 --> 00:23:35,701
mutta olin tilaisuudessa ja voin vahvistaa
että hän totesi että sinun ei tulisi käyttää
317
00:23:35,701 --> 00:23:44,512
sekamuotoja. Hän myös toisti useasti että
älä käytä mitään tällä hetkellä. He eivät
318
00:23:44,512 --> 00:23:48,767
myöskään odottaneet kvantti-jälkeisten
algoritmien hyväksymistä minkään
319
00:23:48,767 --> 00:23:52,642
"varmuuden vuoksi yhdistä algoritmit"
ohjeiden pohjalta.
320
00:23:52,642 --> 00:23:58,510
Myöhemmin he julkaisivat lisää ohjeita jossa
sanottiin että se tulee olemaan kahdenkeskinen
321
00:23:58,510 --> 00:24:03,167
korvike, ECC ja RSA irti, kvantti-
jälkeinen kryptografia sisään.
322
00:24:03,167 --> 00:24:08,823
ja heidän argumenttinsa oli että ECC:ssä
voi olla ohjelmointivirheitä joten sammuta
323
00:24:08,823 --> 00:24:15,635
ECC. Ei hyvä idea. Ellet ole hyökkääjä
silloin se on huippuidea.
324
00:24:15,635 --> 00:24:21,828
nyt ehkä ajattelet että totta kai me käytämme
sekamuotoja vaikka NSA kannustaa ihmisiä
325
00:24:21,828 --> 00:24:29,207
olemaan käyttämättä niitä, ja sitten tämä
lause, älä käytä jotain epästandardisoitua
326
00:24:29,207 --> 00:24:35,880
se lykkäys on nyt korjattu, vai mitä? NIST
kertoi heinäkuussa Kyberin standardisoinnista
327
00:24:35,880 --> 00:24:43,460
ja se tarkoittaa, ota Kyber käyttöön.
noh, ei, oikeastaan he eivät sano niin
328
00:24:43,460 --> 00:24:49,524
Tarkastellaanpa yksityiskohtia. Ensinnäkin
muistatteko Googlen patenttiongelman NH:n
329
00:24:49,524 --> 00:24:58,691
kanssa? No, NH:n poika on nimeltään Kyber.
He kai sekoittivat Star Trekin
330
00:24:58,691 --> 00:25:01,950
ja Tähtien Sodan keskenään joten
sisäisesti heidän huhuttiin nimeävän
331
00:25:01,950 --> 00:25:07,822
Kyberin New Hope the Next Generation
mutta sitten he keksivät paremman nimen
332
00:25:07,822 --> 00:25:11,398
sille myöhemmin. mutta joka tapauksessa
Kyber muistuttaa paljon NH:ta sillä sillä
333
00:25:11,398 --> 00:25:15,841
on patenttiongelmia ja tämä on ainoa
salausjärjestelmä, NIST valitsi SPHINCS+:n
334
00:25:15,841 --> 00:25:20,245
ja valitsi kaksi muuta
allekirjoitusmahdollisuutta ja valitsi yhden
335
00:25:20,245 --> 00:25:24,492
salausmenetelän, Kyberin. Se on ainoa tapa
datasi turvaamiseksi NIST:n valitsemien
336
00:25:24,492 --> 00:25:32,464
standardien mukaan. Kyber in NH:n tavoin
keskellä seitsemän eri patentin miinakenttää
337
00:25:32,464 --> 00:25:36,745
Se ei tarkoita että kaikki seitsemän pätevät
se on varsin monimutkainen asia. Kun
338
00:25:36,745 --> 00:25:40,409
tarkastelet patenttia sinun täytyy ymmärtää
miten patenttilaki toimii ja analysoida mitä
339
00:25:40,409 --> 00:25:47,535
patentti tarkoittaa tärkeysjärjestyksen ja
laajentamisen näkökulmasta. Se on monimutkaista
340
00:25:47,535 --> 00:25:51,490
Yksi helppo tapa päästä eroon patenteista
on ostaa ne ja antaa ne jakoon ilmaiseksi
341
00:25:51,490 --> 00:25:56,173
Niinpä NIST sanoi heinäkuussa neuvottelevansa
useiden kolmansien osapuolten kanssa
342
00:25:56,173 --> 00:25:59,028
heidän mukaan liittymisestä useisiin
sopimuksiin jotta mahdolliset haasteet
343
00:25:59,028 --> 00:26:04,128
liityen patentteihin voitaisiin välttää.
Ok, hyvä, nyt voidaan käyttää Kyberiä
344
00:26:04,128 --> 00:26:09,277
Paitsi että, yritykset katsovat tätä ja
sanovat että hei voitteko näyttää sopimukset
345
00:26:09,277 --> 00:26:12,819
jotta me tiedämme mitä kaikkea
allekirjoititte. Esimerkiksi Scott Fluhrer
346
00:26:12,819 --> 00:26:17,258
Ciscolta sanoi, Cisco ei voi käyttää Kyberiä
ennen kuin me saamme lisenssien tekstit
347
00:26:17,258 --> 00:26:26,385
No, sittenpä kävi ilmi että NIST ei ollut
allekirjoittanut mitään heinäkuussa mutta
348
00:26:26,385 --> 00:26:31,029
he sanoivat että he aikovat ja marraskuussa
he viimein sanoivat, kyllä, me olemme
349
00:26:31,029 --> 00:26:36,140
allekirjoittaneet kaksi lisenssisopimusta
ja tässä hieman tekstiä niistä lisensseistä
350
00:26:36,140 --> 00:26:43,390
Mutta jos katsot katsot tekstiä, niin
lisenssit ovat NIST:n kuvaamalle standardille
351
00:26:43,390 --> 00:26:49,124
ja minkäänlaisten muokkausten käyttö tai
minkään muun kuin NIST:n standardisoitujen
352
00:26:49,124 --> 00:26:54,524
asioiden käyttö Kyberissä ei ole sallittua
tämän lisenssin mukaan
353
00:26:54,524 --> 00:27:00,467
Nyt ehkä ajattelet että no he valitsivat
Kyberin, he standardisoivat sen heinäkuussa
354
00:27:00,467 --> 00:27:04,937
mutta ei, he eivät tehneet niin. Mitä he
sanoivat heinäkuussa oli että he
355
00:27:04,937 --> 00:27:10,288
suunnittelevat Kyberin standardisoimista
mikä ei ole sama asia kuin että Kyber olisi
356
00:27:10,288 --> 00:27:17,796
standardisoitu. He suunnittelevat Kyberin
standardoinnin olevan valmis vuonna 2024
357
00:27:17,796 --> 00:27:24,361
Ja tilannetta pahentaa se että me emme tiedä
minkälainen Kyber tulee olemaan vuonna 2024
358
00:27:24,361 --> 00:27:31,721
koska he vieläkin ehdottavat muutoksia siihen
Eli, yhteenvetona, vuonna 2024, jos he
359
00:27:31,721 --> 00:27:37,669
tuolloin julkistavat standardin, niin
lisenssi antaa sinun käyttää Kyberiä
360
00:27:37,669 --> 00:27:45,424
ja ehkä vuonna 2023 he vakiintavat Kyberin
ja ehkä ne viisi muuta patenttia eivät
361
00:27:45,424 --> 00:27:50,973
vaikuta Kyberiin. On olemassa tapauksia
joissa ihmiset ovat kävelleet miinakentän
362
00:27:50,973 --> 00:27:53,999
läpi räjähtämättä.
363
00:27:54,466 --> 00:27:59,564
Tämä tuo meidät puuhemme loppuun, me selitimme
tarpeeksi viivästyksistä ja kiertoteistä
364
00:27:59,564 --> 00:28:05,379
mutta, mitä tarkoitamme katastrofilla?
Totta kai jos jokin menee rikki joka on
365
00:28:05,379 --> 00:28:10,363
otettu käyttöön Googlen ja Cloudflaren
kokeilussa, niin kyllähän se on katastrofi
366
00:28:10,363 --> 00:28:14,681
mutta he käyttivät varasuunnitelmaa, he
käyttivät sekamuotoa joten se on ok
367
00:28:14,681 --> 00:28:19,776
Mikä oikeasti on katastrofi on se että
olemme täällä vuonna 2022 ja meillä
368
00:28:19,776 --> 00:28:24,298
ei vieläkään ole käytössä kvantti-jälkeistä
kryptografiaa puhelimissa tai tietokoneissa
369
00:28:24,298 --> 00:28:27,715
se ei ole vieläkään laajasti käyttöön otettua
Voimme ilomielin osoittaa esimerkkejä joissa
370
00:28:27,715 --> 00:28:32,980
sitä käytetään mutta sitä ei käytetä laajasti
Datasi on edelleen kvanttia edeltävillä
371
00:28:32,980 --> 00:28:37,787
algoritmeilla salattua ja siksi mahdollista
purkaa kvanttitietokoneella. Se on se oikea
372
00:28:37,787 --> 00:28:41,698
katastrofi. Kiitos huomiostanne!
373
00:28:45,893 --> 00:28:47,106
Kiitos, kiitos
374
00:28:47,106 --> 00:28:53,288
Epäselvää
375
00:28:53,288 --> 00:28:57,076
tai teknologia mitä käytän taustalla
käyttävät kvantti-jälkeistä kryptografiaa
376
00:28:57,076 --> 00:29:02,001
luulen että minun SSH yhteys käyttää
vähintään, joten on se varmaan jotain
377
00:29:02,001 --> 00:29:09,982
voimme aina luottaa OpenBSD:n.
Ehdottomasti.
378
00:29:09,982 --> 00:29:20,747
Tarkistetaan onko kysymyksiä. Yksi kysymys
Kehittäjänä, joka kehittää jotain
379
00:29:20,747 --> 00:29:24,884
sovellusta, ei välttämättä kryptografista,
varmistanko että käyttämäni salaus on
380
00:29:24,884 --> 00:29:29,375
turvallinen kvantti-jälkeiseen aikaan
käyttämällä sekamuotoa nyt?
381
00:29:29,375 --> 00:29:35,835
Hei, sinullahan on dia juuri tätä varten!
Näytä dia!
382
00:29:35,835 --> 00:29:41,175
Me ennustimme joitain kysymyksiä kuten, no
tämä oli aika masentava mitä voimme tehdä
383
00:29:41,175 --> 00:29:46,677
nyt joten meillä on dia valmiina ratkaisu-
keinoista joita voit käyttää nyt ja kyllä
384
00:29:46,677 --> 00:29:53,224
meidän ehdotus on että käyttäkää sekamuotoja
Tunnen kuin tämä olisi takautuma vuoteen 2016
385
00:29:53,224 --> 00:29:57,264
milloin sanoin hei voit tehdä jotain juuri
nyt tässä ovat meidän ehdotuksemme
386
00:29:57,264 --> 00:30:02,150
jotka ovat mielestämme todella turvallisia
ja silti täällä olen joulukuussa vuonna 2022
387
00:30:02,150 --> 00:30:07,568
sanomassa että McEliecen on todella varovainen
järjestelmä ja meillä ei ole samaa patentti
388
00:30:07,568 --> 00:30:13,425
ongelmaa jota Kyber menee tällä hetkellä
läpi. Mitä sekamuoto tarkoittaa?
389
00:30:13,425 --> 00:30:17,036
Se tarkoittaa kvanttia edeltävän ja kvantti-
jälkeisen järjestelmän yhdistämistä
390
00:30:17,036 --> 00:30:23,720
Salauksessa haluat niiden yhdessä luovan
avaimen ja julkisen avaimen allekirjoituksessa
391
00:30:23,720 --> 00:30:26,735
haluat tietysti varmistaa että molemmat
allekirjoitukset yksinään ovat päteviä
392
00:30:26,735 --> 00:30:35,115
jotta sekamuotoinen allekirjoitus toimii
On olemassa useita eri ohjelmistokirjastoja
393
00:30:35,115 --> 00:30:39,263
joita voit tarkastella ja saada siten
laajempaa kuvaa eri järjestelmistä
394
00:30:39,263 --> 00:30:43,495
joita voit yrittää ottaa käyttöön. Kun
katsot kirjastoja niin sovelluksien laatu
395
00:30:43,495 --> 00:30:49,106
ei ole niin huono kuin se oli pari vuotta
sitten kvantti-jälkeisille sovelluksille
396
00:30:49,106 --> 00:30:55,134
Ihmiset käyttävät paljon aikaa näiden
parantamiseen. Siellä on silti paljon riskejä
397
00:30:55,134 --> 00:31:02,334
mutta riski verrattuna siihen ettei tee mitään
ja siten varmistamalla että data on
398
00:31:02,334 --> 00:31:05,233
tulevaisuudessa suojaton tulevaisuuden
hyökkääjiä vastaan jotka käyttävät
399
00:31:05,233 --> 00:31:07,998
kvanttitietokoneita ja jotka tallentavat
dataa juuri nyt niin haluat todellakin
400
00:31:07,998 --> 00:31:13,069
kokeilla eri asioita. Esimerkiksi yksi kirjasto
joka on toteuttanut pari eri järjestelmää
401
00:31:13,069 --> 00:31:18,587
on nimeltään Quantum safe oqs. On olemassa
muita kirjastoja jotka käyttävät tiettyjä
402
00:31:18,587 --> 00:31:21,794
salausjärjestelmiä joten useimmilla
järjestelmäsuunnittelijoilla on jonkinlainen
403
00:31:21,794 --> 00:31:25,384
sovellus mutta jälleen kerran sinun täytyy
miettiä kuinka hyvä sovelluksen laatu on
404
00:31:25,384 --> 00:31:34,913
Uusi kirjasto on tulossa nimeltään lib.js
jolla on useita verifikaatteja, joten sanoisin
405
00:31:34,913 --> 00:31:40,219
että se on hyvänlaatuinen mutta valitettavasti
ainoa kvantti-jälkeinen salausjärjestelmä
406
00:31:40,219 --> 00:31:44,135
jota se tarjoaa tällä hetkellä on Kyber,
joka on no, jos suunnittelet eteenpäin
407
00:31:44,135 --> 00:31:49,055
vuoteen 2024 jolloin se tulee käyttöön mutta
juuri nyt se ei ole käyttökelpoinen
408
00:31:49,055 --> 00:31:57,852
Joten jos haluat jotain joka on nopea,
niin jos katsot mitä OpenSSH tai Google
409
00:31:57,852 --> 00:32:03,422
tekevät ntruhrss:lla joten se sovellus
on ainakin jotenkin testattu
410
00:32:03,422 --> 00:32:07,940
joten voit kokeilla sitä mutta muista
aina käyttää sekamuotoja ECC:n kanssa
411
00:32:07,940 --> 00:32:11,303
varmuuden vuoksi jos jokin sattuukin
menemään pahasti pieleen kvantti-jälkeisen
412
00:32:11,303 --> 00:32:13,520
osan kanssa.
413
00:32:14,441 --> 00:32:20,807
Eikö ole kuitenkin aika hankalaa luoda oma
yhdistäjä? Minulla pitää silti olla oikea tapa
414
00:32:20,807 --> 00:32:24,348
yhdistää kaksi järjestelmää, kvanttia
edeltävä ja kvantti-jälkeinen
415
00:32:24,348 --> 00:32:31,269
Kyllä ja se on mahdollista, joten jopa niin
yksinkertainen juttu kuin allekirjoita
416
00:32:31,269 --> 00:32:34,411
tällä järjestelmällä, allekirjoita toisella
järjestelmällä, tarkista molemmat
417
00:32:34,411 --> 00:32:38,165
allekirjoitukset. Me olemme nähneet
sovelluksia joissa tämä on mennyt väärin
418
00:32:38,165 --> 00:32:46,650
On todella tärkeää käydä se läpi
varovaisesti. Salaamiseen sinulla yleensä
419
00:32:46,650 --> 00:32:51,499
on ECC joka vaihtaa avaimen ja sitten sinun
kvantti-jälkeinen järjestelmä vaihtaa avaimen
420
00:32:51,499 --> 00:32:57,691
ja tiivistät molemmat avaimet yhteen suosikki-
tiivistefunktiollasi. Standardisoitu
421
00:32:57,691 --> 00:33:02,227
tiivistefunktio on hyvä. Mutta jälleen kerran,
mainitsit yhdistämisen, on olemassa useita
422
00:33:02,227 --> 00:33:02,723
tutkimuksia
423
00:33:02,723 --> 00:33:04,920
epäselvää
424
00:33:05,325 --> 00:33:06,885
Anteeksi, sanotko uudestaan?
425
00:33:07,188 --> 00:33:11,515
Standardi tarkoittaa kryptografista tiiviste-
funktiota. Älä käytä jotain XX-tiivistettä
426
00:33:11,515 --> 00:33:13,549
vaan käytä jotain joka on kryptografista.
427
00:33:13,549 --> 00:33:21,281
Kyllä, eli esimerkiksi SHA-512 joka on
NSA:n suunnittelema mutta ihmiset ovat
428
00:33:21,281 --> 00:33:25,927
lyöneet sitä jo pitkän aikaa rikkomatta
sitä. Jotain mikä on käynyt läpi julkista
429
00:33:25,927 --> 00:33:32,402
arviota, on SHA-3 järjestelmät ja yleensä
se ei ole suorituskykyongelma tiivistää
430
00:33:32,402 --> 00:33:36,917
kaksi 32 tavuista merkkijonoa yhteen,
ketjuta ja tiivistä ne ja sinulla on
431
00:33:36,917 --> 00:33:41,242
uusi merkkijono joka on sinun symmetrisen
kryptografian avain
432
00:33:41,242 --> 00:33:50,617
On olemassa ehdotuksia miten tehdä tämä
esimerkiksi IRTF:n tai tarkemmin CFRG:n RFC
433
00:33:50,617 --> 00:33:55,376
sitten on jotain NIST:n stardardeissa
liittyen sekamuotojen käyttöön
434
00:33:55,376 --> 00:34:00,743
lopuksi hieman itsemainontaa, meillä on
yksi dia jonka julkaisemme ja siellä on
435
00:34:00,743 --> 00:34:07,880
joitain alustavia tutkimuksia joissa käymme
läpi yksityiskohtaisemmin sekamuotojen
436
00:34:07,880 --> 00:34:12,405
käyttöönottoa ja yhdistämistä. Eli miten voit
turvallisesti tehdä tämän. Tieysti on
437
00:34:12,405 --> 00:34:21,202
asentamisen valinta, eli valitset sinun oman
järjestelmäsi, ja kuten näet niin on huolia
438
00:34:21,202 --> 00:34:26,822
mallitilanteen suhteen, lisäksi mainitsen
kokeilututkimuksia varten voit käyttää Skypeä
439
00:34:26,822 --> 00:34:29,593
se on vain ongelma silloin jos haluat
ottaa sen käyttöön
440
00:34:29,593 --> 00:34:35,231
yleinen varoitus on mutta jos olet vain
harrastelija tai haluat tökkiä sitä tai
441
00:34:35,231 --> 00:34:37,844
haluat kirjoittaa tutkimuksen aiheesta
niin se ei ole ongelma
442
00:34:37,844 --> 00:34:42,777
mutta yleisesti sinulla on valinta tehokkaiden
järjestelmien kuten mitä Google on tehnyt
443
00:34:42,777 --> 00:34:47,697
kokeilemalla jotain uutta ja katsomalla
räjähtääkö se meidän tietokoneillamme
444
00:34:47,697 --> 00:34:52,842
onneksemme se ei räjähtänyt, joten Google
pystyi jatkamaan sen käyttöä yhdistämällä
445
00:34:52,842 --> 00:34:59,802
NH:n tai myöhemmin NTRU:n ja ECC:n
tai sitten voit sanoa että tärkeintä on se
446
00:34:59,802 --> 00:35:05,453
että järjestelmä pysyy turvassa, ja olemme
valmiita uhraamaan hieman nopeutta ja kaistaa
447
00:35:05,453 --> 00:35:09,033
joten ottamalla kaikkein varovaisimmat
kvantti-jälkeiset järjestelmät ja yhdistamällä
448
00:35:09,033 --> 00:35:13,554
ne ECC:n tai RSA:n kanssa. Se on myös
valinta jonka joudut tekemään
449
00:35:13,554 --> 00:35:16,158
jos haluat ottaa sen käyttöön
450
00:35:19,112 --> 00:35:25,729
Eli olisiko ok ottaa käyttöön salakirjoitus-
järjestelmä joka on vielä mukana kilpailussa
451
00:35:25,729 --> 00:35:29,530
joka ei ole vielä tai jota ei tulla
standardisoimaan NIST:n toimesta?
452
00:35:29,530 --> 00:35:34,305
Vaikka ei olisi tiedossa olevia hyökkäyksiä?
No, yleisesti, kun katsot tällaista kuvaa
453
00:35:34,305 --> 00:35:46,597
jossa on niin paljon punaista niin sinä
mahdat ajatella ettemme me kryptograafikot
454
00:35:46,597 --> 00:35:51,319
tiedä mitä me teemme. Miten meillä voi olla
niin moni asia rikki? Se on todella todella
455
00:35:51,319 --> 00:35:59,797
vaarallista. Sanoisin että sillä onko jokin
NIST:n valitsema vai ei ei lisää paljoa
456
00:35:59,797 --> 00:36:03,503
informaatiota tässä. Ok haluat kommentoida
tähän.
457
00:36:03,503 --> 00:36:08,063
Haluan mainita että asiat jotka pudotettiin
ensimmäisellä kierroksella eivät saaneet
458
00:36:08,063 --> 00:36:12,581
paljoa huomiota. Ihmiset menettivät
kiinnostuksensa. Asiat jotka selvisivät
459
00:36:12,581 --> 00:36:15,461
kolmannelle kierrokselle ja sitten eivät
selvinneet neljännelle kierrokselle
460
00:36:15,461 --> 00:36:20,111
esimerkiksi kaksi Android muunnelmaa,
NTRU Prime ja NTRU-HRSS-KEM jotka ovat
461
00:36:20,111 --> 00:36:27,037
mainittuina tässä, ne pääsivät kolmannelle
kierrokselle mutta eivät voittaneet kauneus-
462
00:36:27,037 --> 00:36:31,017
kilpailua jota NIST pyöritti. Luulen että
ne ovat aivan yhtä hyviä kuin ne jotka
463
00:36:31,017 --> 00:36:33,533
ovat tässä kuvassa sinisellä.
464
00:36:33,533 --> 00:36:41,503
Yleisesti kaikki tässä ovat pelottavia.
Eli NTRU ja NTRU-HRSS ovat Googlen
465
00:36:41,530 --> 00:36:47,917
käyttöönottamia ja OpenSSH mutta todella
harva näistä 69:stä ehdotuksesta omaa
466
00:36:47,917 --> 00:36:52,268
samaa turvallisuustasoa nyt tiedettyjä
hyökkäyksiä vastaan kuin mitä niillä oli
467
00:36:52,278 --> 00:36:58,192
viisi vuotta sitten kun ne ensin toimitettiin
Turvallisuutta ollaan aina menetetty koska
468
00:36:58,192 --> 00:37:03,168
hyökkäykset ovat kehittyneet paremmiksi
jollain oli turvallisuusmarginaalia niistä
469
00:37:03,168 --> 00:37:11,219
selviytymiseen. Tehdäksesi turvallisen
päätöksen sinun valitettavasti täytyy
470
00:37:11,219 --> 00:37:15,701
tutustua näiden historiaan ja kysyä kuinka
hyvin nämä ovat kestäneet kuinka hyvin
471
00:37:15,701 --> 00:37:19,709
näitä on tutkittu. Mitä Tanja korosti oli
se että joitain näistä on tutkittu todella
472
00:37:19,709 --> 00:37:25,410
vähän ja joitain hieman enemmän, ja se
kuinka hyvin nämä järjestelmät kestivät
473
00:37:25,410 --> 00:37:28,838
tutkimuksen aikana määrittelee sen kuinka
vaarallisia ne ovat loppujen lopuksi
474
00:37:28,838 --> 00:37:33,977
Esimerkiksi Three Bears on kaunis
järjestelmä mutta se pudotettiin toisen
475
00:37:33,977 --> 00:37:37,920
kierroksen jälkeen ja sen jälkeen ihmiset
lopettivat sen tutkimisen eikä se saanut
476
00:37:37,920 --> 00:37:44,485
paljoa analyysia. Tuntuu siltä että se on
hyvä mutta sitä ei ole toisaalta tutkittu
477
00:37:44,485 --> 00:37:48,601
melkein yhtään. Mutta jos tarkastelet
kolmannen kierroksen valikoimaa jotka ovat
478
00:37:48,601 --> 00:37:53,327
mustia tai harmaita tässä sanoisin että
ne ovat suurimmaksi osaksi ok.
479
00:37:53,327 --> 00:37:58,593
Ja tietysti siniset.
480
00:37:58,593 --> 00:38:04,201
Ok eli valitse se joka on joko sininen tai
musta dialla. Luulen että ne ovat varsin
481
00:38:04,201 --> 00:38:11,000
tiettyjä asioita. Nopea viimeinen kysymys
jos olen tinapaperihattu, voinko tehdä
482
00:38:11,000 --> 00:38:13,606
jotain oman kommunikaationi suojaamiseksi?
483
00:38:13,606 --> 00:38:24,257
Käytä kaikki OpenSSH:n läpi, se on hyvä
alku. Tilanne on se että tietysti tarvitset
484
00:38:24,257 --> 00:38:28,449
asiakasohjelman sekä palvelimen
jotka tukevat asioita ja on olemassa
485
00:38:28,449 --> 00:38:31,578
useita kokeiluja mutta vain vähäistä
käyttöönottoa
486
00:38:31,578 --> 00:38:40,297
on olemassa VPN:n käyttöönottoa esimerkiksi
Joo on olemassa kvantti-jälkeistä VPN:ä
487
00:38:40,297 --> 00:38:47,906
Movadilla on kvantti-jälkeinen vaihtoehto,
he käyttävät McElieceä, he käyttävät
488
00:38:47,906 --> 00:38:52,948
WireGuardia VPN:ä varten ja WireGuardilla
on vaihtoehto ylimääräisen avaimen
489
00:38:52,948 --> 00:38:57,888
syöttämiseksi, ennalta jaettu avain jota
movad käyttää McEliecen kanssa eli lataat
490
00:38:57,888 --> 00:39:01,200
sen McEliecen läpi kvantti-jälkeisen
turvan saamiseksi movadiin
491
00:39:01,200 --> 00:39:07,793
Tämä on siis VPN jossa et mene päästä
toiseen, haluat yleensä mennä koko tien
492
00:39:07,793 --> 00:39:11,315
siihen sivustoon johon otat yhteyttä, ja
jos sinulla on päästä päähän turva käytössä
493
00:39:11,315 --> 00:39:14,629
se tarkoittaa että asiakasohjelmiston ja
palvelimen pitää tukea kvantti-jälkeistä
494
00:39:14,629 --> 00:39:19,643
kryptografiaa ja kun se on nyt viivästynyt
niin se ei ole niin yleisesti käytössä kuin
495
00:39:19,643 --> 00:39:23,440
olisin kuvitellut sen olevan vuosia sitten
kun sitä kohtaan tuntui olevan paljon
496
00:39:23,440 --> 00:39:25,033
innostusta
497
00:39:25,033 --> 00:39:27,137
epäselvää
498
00:39:27,137 --> 00:39:34,646
Ok Tanja haluaa että kerron PQ Connectista,
tulossa pian joka toivottavasti helpottaa
499
00:39:34,646 --> 00:39:38,023
kvantti-jälkeisen kryptografian
käyttöönottoa yhteytesi turvaamiseksi
500
00:39:38,023 --> 00:39:43,035
päästä päähän mutta sitä ei ole julkaistu
vielä joten en voi sanoa paljoa siitä
501
00:39:43,035 --> 00:39:50,086
odotan innolla PQ Connectia. Luulisin että
tämä oli tässä, kiitos että olitte täällä
502
00:39:50,086 --> 00:39:54,585
ja jaoitte tietojanne jaoitte päivityksiä
liityen kvantti-jälkeiseen kryptografiaan
503
00:39:54,585 --> 00:39:58,991
Kiitos todella paljon Tanja Lange
ja D.J.B!
504
00:39:58,991 --> 00:40:01,071
Kiitos!
505
00:40:02,501 --> 00:40:12,290
[Translated by Timo Broström
(KYBS2004 course assignment at JYU.FI)]