1 99:59:59,999 --> 99:59:59,999 [Translated by Marta-Sofiya Klakovych (KYBS2004 course assignment at JYU.FI)] 2 99:59:59,999 --> 99:59:59,999 музика 3 99:59:59,999 --> 99:59:59,999 Ласкаво просимо всі до цього хаотичного року та заходу 4 99:59:59,999 --> 99:59:59,999 Я Кара і я буду вашим диктором 5 99:59:59,999 --> 99:59:59,999 Мені приємно оголосити доповідь 6 99:59:59,999 --> 99:59:59,999 Пост-квантова криптографія: обхідні шляхи, затримки та катастрофи 7 99:59:59,999 --> 99:59:59,999 яку представляють Таня Ланге та Д. Дж. Бернштейн 8 99:59:59,999 --> 99:59:59,999 Таня Ланге — криптограф і математик, яка спеціалізується на пост-квантовій криптографії 9 99:59:59,999 --> 99:59:59,999 яка замінює ту криптографію, яку ми використовуємо сьогодні 10 99:59:59,999 --> 99:59:59,999 на варіанти, які є безпечними проти атак квантових комп’ютерів 11 99:59:59,999 --> 99:59:59,999 Вона є професоркою Технічного університету Ейндговена 12 99:59:59,999 --> 99:59:59,999 і може пишатися численними публікаціями та відзнаками 13 99:59:59,999 --> 99:59:59,999 Вона також була координаторкою PQCrypto 14 99:59:59,999 --> 99:59:59,999 що є загальноєвропейською ініціативою 15 99:59:59,999 --> 99:59:59,999 для впровадження пост-квантової криптографії 16 99:59:59,999 --> 99:59:59,999 Д. Дж. Б. є професором Університету Іллінойсу в Чикаго 17 99:59:59,999 --> 99:59:59,999 а також професором Університету Бохума. Він працює в галузі криптографії 18 99:59:59,999 --> 99:59:59,999 і розробив шифрувальні системи, які використовуються 19 99:59:59,999 --> 99:59:59,999 у криптографії з відкритим кодом, можливо, ви зараз 20 99:59:59,999 --> 99:59:59,999 використовуєте одну з них, дивлячись цю доповідь 21 99:59:59,999 --> 99:59:59,999 Разом вони реалізували вражаючу кількість проєктів 22 99:59:59,999 --> 99:59:59,999 від спрощення впровадження безпечної криптографії 23 99:59:59,999 --> 99:59:59,999 до створення безпечних постквантових типів даних 24 99:59:59,999 --> 99:59:59,999 обоє є активістами, які борються 25 99:59:59,999 --> 99:59:59,999 за прозоріший процес стандартизації криптографії 26 99:59:59,999 --> 99:59:59,999 а тепер всі, плескайте своїми лапками 27 99:59:59,999 --> 99:59:59,999 давайте поаплодуємо Тані Ланге та Д. Дж. Б.! 28 99:59:59,999 --> 99:59:59,999 Добре, дякуємо за гарне представлення 29 99:59:59,999 --> 99:59:59,999 давайте одразу перейдемо до справи — почнемо з HTTPS 30 99:59:59,999 --> 99:59:59,999 коли ви заходите на сайт із HTTPS або захищене з’єднання 31 99:59:59,999 --> 99:59:59,999 ви використовуєте TLS — протокол безпеки транспортного рівня — щоб захистити ваше з’єднання 32 99:59:59,999 --> 99:59:59,999 TLS використовує два типи криптографії з кількох причин 33 99:59:59,999 --> 99:59:59,999 по-перше, він покладається на криптографію з відкритим ключем 34 99:59:59,999 --> 99:59:59,999 вона виконує дві функції: по-перше, вона забезпечує підписи 35 99:59:59,999 --> 99:59:59,999 підписи з відкритим ключем — вони гарантують, що зловмисник не зможе 36 99:59:59,999 --> 99:59:59,999 підмінити дані сервера своїми власними 37 99:59:59,999 --> 99:59:59,999 і прикидатися сервером 38 99:59:59,999 --> 99:59:59,999 додатково TLS використовує шифрування з відкритим ключем 39 99:59:59,999 --> 99:59:59,999 наприклад, NIST P-256 або RSA-4096 як систему підпису 40 99:59:59,999 --> 99:59:59,999 NIST P-256 також можна використовувати для шифрування, щоб ваші дані були захищені 41 99:59:59,999 --> 99:59:59,999 щоб він (зловмисник) не міг її зрозуміти 42 99:59:59,999 --> 99:59:59,999 через причини, пов’язані з продуктивністю, криптографія складніша, ніж 43 99:59:59,999 --> 99:59:59,999 просто криптографія з відкритим ключем — вона також включає симетричну криптографію 44 99:59:59,999 --> 99:59:59,999 іноді її називають криптографією із секретним ключем 45 99:59:59,999 --> 99:59:59,999 коли ви збираєте все разом у TLS, ви отримуєте три основні складові 46 99:59:59,999 --> 99:59:59,999 це шифрування з відкритим ключем 47 99:59:59,999 --> 99:59:59,999 яке не шифрує всі ваші дані, а натомість 48 99:59:59,999 --> 99:59:59,999 шифрує лише ключ, щоб зловмисники не могли його зрозуміти 49 99:59:59,999 --> 99:59:59,999 цей ключ надсилається безпечно і конфіденційно 50 99:59:59,999 --> 99:59:59,999 від однієї сторони до іншої 51 99:59:59,999 --> 99:59:59,999 а підписи з відкритим ключем використовуються, щоб переконатися, 52 99:59:59,999 --> 99:59:59,999 що зловмисник не може підмінити інший ключ 53 99:59:59,999 --> 99:59:59,999 і в кінці цей ключ використовується 54 99:59:59,999 --> 99:59:59,999 для захисту ваших даних із використанням симетричної криптографії 55 99:59:59,999 --> 99:59:59,999 усі інші протоколи, які ви використовуєте, 56 99:59:59,999 --> 99:59:59,999 можна було б представити у подібних діаграмах 57 99:59:59,999 --> 99:59:59,999 наприклад, SSH, але вони всі працюють майже однаково 58 99:59:59,999 --> 99:59:59,999 я зараз підкреслю два елементи на цій діаграмі 59 99:59:59,999 --> 99:59:59,999 RSA-4096 — типова система для підпису 60 99:59:59,999 --> 99:59:59,999 і типова система шифрування — NIST P-256 61 99:59:59,999 --> 99:59:59,999 тому що ці дві (системи) будуть зламані через квантові комп’ютери 62 99:59:59,999 --> 99:59:59,999 без квантових комп’ютерів жодних відомих 63 99:59:59,999 --> 99:59:59,999 загроз не існувало б, але 64 99:59:59,999 --> 99:59:59,999 якщо в атакуючого буде великий квантовий комп’ютер 65 99:59:59,999 --> 99:59:59,999 а це, найімовірніше, станеться 66 99:59:59,999 --> 99:59:59,999 хоча це не гарантовано — може, спроби створити квантовий комп’ютер 67 99:59:59,999 --> 99:59:59,999 зазнають невдачі з якихось причин 68 99:59:59,999 --> 99:59:59,999 але зараз виглядає так, що квантові комп’ютери 69 99:59:59,999 --> 99:59:59,999 стають дедалі успішнішими 70 99:59:59,999 --> 99:59:59,999 і як тільки вони стануть достатньо потужними 71 99:59:59,999 --> 99:59:59,999 можливо, за десять років 72 99:59:59,999 --> 99:59:59,999 тоді атакуючі зможуть запустити алгоритм атаки, 73 99:59:59,999 --> 99:59:59,999 який називається алгоритмом Шора, що знаходить ваші секретні RSA-ключі і 74 99:59:59,999 --> 99:59:59,999 секретні ключі NIST P-256, і тоді зловмисники зможуть 75 99:59:59,999 --> 99:59:59,999 отримати доступ до інформації, яку вони вже зараз зберігають 76 99:59:59,999 --> 99:59:59,999 це загроза не лише майбутнім даним, але і 77 99:59:59,999 --> 99:59:59,999 конфіденційності ваших поточних даних 78 99:59:59,999 --> 99:59:59,999 бо зловмисники вже зараз зберігають все, що можуть, з Інтернету 79 99:59:59,999 --> 99:59:59,999 і коли у них буде великий квантовий комп’ютер 80 99:59:59,999 --> 99:59:59,999 вони зможуть розшифрувати все заднім числом, бо зламають RSA-4096 81 99:59:59,999 --> 99:59:59,999 і NIST P-256, а саме NIST P-256 забезпечує шифрування 82 99:59:59,999 --> 99:59:59,999 і вони зможуть повернутися в минуле і зламати шифрування, яке ви використовуєте сьогодні 83 99:59:59,999 --> 99:59:59,999 Що ж нам із цим робити? 84 99:59:59,999 --> 99:59:59,999 Стандартний підхід — це те, що ми називаємо 85 99:59:59,999 --> 99:59:59,999 постквантовою криптографією — ви вже чули цю назву раніше, вона була 86 99:59:59,999 --> 99:59:59,999 в назві нашої доповіді — це криптографія, яка створена спеціально 87 99:59:59,999 --> 99:59:59,999 з урахуванням того, що атакуючий має квантовий комп’ютер 88 99:59:59,999 --> 99:59:59,999 тож, як уже казав ведучий, 89 99:59:59,999 --> 99:59:59,999 я була координаторкою проєкту PQCRYPTO 90 99:59:59,999 --> 99:59:59,999 і це означає, що я об’їздила світ із доповідями про постквантову криптографію 91 99:59:59,999 --> 99:59:59,999 ось скріншот із виступу, який я провела шість з половиною років тому 92 99:59:59,999 --> 99:59:59,999 де я підкреслювала, як сьогодні це зробив Ден, важливість постквантової криптографії 93 99:59:59,999 --> 99:59:59,999 і наголошувала, що важливо давати рекомендації, 94 99:59:59,999 --> 99:59:59,999 які визначають, які алгоритми варто використовувати для заміни RSA та 95 99:59:59,999 --> 99:59:59,999 NIST P-256, які ви бачили на попередніх слайдах 96 99:59:59,999 --> 99:59:59,999 і тоді я поставила питання — чи варто нам стандартизувати зараз чи пізніше 97 99:59:59,999 --> 99:59:59,999 аргументи існують з обох сторін, і ну… якби ми стандартизували тоді, 98 99:59:59,999 --> 99:59:59,999 шість років тому, здавалося, що ще занадто багато роботи, і що ми отримаємо 99 99:59:59,999 --> 99:59:59,999 набагато кращу систему, якщо трохи зачекаємо 100 99:59:59,999 --> 99:59:59,999 але з іншого боку існує занепокоєння через дані, які збирають уряди та інші темні сили 101 99:59:59,999 --> 99:59:59,999 і чим пізніше це буде опубліковано, тим більше даних і безпеки буде втрачено 102 99:59:59,999 --> 99:59:59,999 тому важливо просуватися вперед, і тоді нашою відповіддю було таке: 103 99:59:59,999 --> 99:59:59,999 те, що я просувала у 2016 році — це рекомендації, опубліковані у 2015 році, в яких 104 99:59:59,999 --> 99:59:59,999 йшлося про те, що стандартизація займає багато часу 105 99:59:59,999 --> 99:59:59,999 ми ще не на тій стадії, але якщо хтось хоче захистити себе 106 99:59:59,999 --> 99:59:59,999 ось що ми… ну, ось ціла група 107 99:59:59,999 --> 99:59:59,999 дослідників, які підписали цю заяву як частину проєкту PQCRYPTO 108 99:59:59,999 --> 99:59:59,999 що ми рекомендували? Наша рекомендація була у тому, що ми назвали 109 99:59:59,999 --> 99:59:59,999 «обережною криптографією» 110 99:59:59,999 --> 99:59:59,999 і це не означає політичний консерватизм 111 99:59:59,999 --> 99:59:59,999 це означає щось нудне, щось, що вже давно відоме 112 99:59:59,999 --> 99:59:59,999 багато людей його вже проаналізували, і ми не очікуємо жодних змін 113 99:59:59,999 --> 99:59:59,999 у сфері симетричних ключів, як уже казав Ден, квантові комп’ютери на них не впливають 114 99:59:59,999 --> 99:59:59,999 тому якщо використовувати достатньо великі ключі 115 99:59:59,999 --> 99:59:59,999 256-бітові ключі, то AES або Salsa20 є достатніми 116 99:59:59,999 --> 99:59:59,999 те саме стосується аутентифікації — якщо ви отримали ключ, його не підробити 117 99:59:59,999 --> 99:59:59,999 але для шифрування і підписів з відкритим ключем, RSA-4096 118 99:59:59,999 --> 99:59:59,999 і ECC NIST P-256 — їх потрібно замінити і ми маємо альтернативи. Ось 119 99:59:59,999 --> 99:59:59,999 рекомендація з високим рівнем довіри: 120 99:59:59,999 --> 99:59:59,999 використовуйте систему МакЕліса — назва ще з’явиться пізніше 121 99:59:59,999 --> 99:59:59,999 і використовуйте сигнатури, засновані на хешах 122 99:59:59,999 --> 99:59:59,999 наприклад, SPHINCS — ви захочете про неї дізнатися згодом 123 99:59:59,999 --> 99:59:59,999 ми також представили деякі алгоритми як «перебувають у стадії оцінювання» 124 99:59:59,999 --> 99:59:59,999 що означає — поки не варто їх використовувати 125 99:59:59,999 --> 99:59:59,999 але згодом вони можуть виявитися придатними. І для нас це нормально — ми вбили кілок у землю, 126 99:59:59,999 --> 99:59:59,999 ми сказали: «Ось, це безпечно» 127 99:59:59,999 --> 99:59:59,999 і люди повинні діяти відповідно, і всі житимуть довго і щасливо 128 99:59:59,999 --> 99:59:59,999 і наш виступ на цьому завершено 129 99:59:59,999 --> 99:59:59,999 ...чи всі дійсно житимуть довго і щасливо? 130 99:59:59,999 --> 99:59:59,999 до кінця свого життя? 131 99:59:59,999 --> 99:59:59,999 Давайте подивимось, що сталося насправді після цього 132 99:59:59,999 --> 99:59:59,999 Організація… ну, речі, які мали бути оприлюднені 133 99:59:59,999 --> 99:59:59,999 насправді був один експеримент, який Google проводив 134 99:59:59,999 --> 99:59:59,999 у 2016 році Google Chrome додав постквантовий варіант 135 99:59:59,999 --> 99:59:59,999 це не означає, що кожен 136 99:59:59,999 --> 99:59:59,999 вебсервер підтримував його — це був просто експеримент 137 99:59:59,999 --> 99:59:59,999 Google активував його лише на деяких 138 99:59:59,999 --> 99:59:59,999 своїх серверах і сказав: «Добре, подивимось, 139 99:59:59,999 --> 99:59:59,999 як це працює», — і звучали дуже натхненно у своєму блозі 140 99:59:59,999 --> 99:59:59,999 де вони оголосили, що допомагають користувачам захиститися 141 99:59:59,999 --> 99:59:59,999 від квантових комп’ютерів — подивимось, чи спрацює 142 99:59:59,999 --> 99:59:59,999 Система, яку вони використовували, називалася New Hope (NH) 143 99:59:59,999 --> 99:59:59,999 Вони шифрували не лише за допомогою NH — NH є постквантовою шифрувальною системою 144 99:59:59,999 --> 99:59:59,999 Вони також шифрували традиційною криптографією — еліптичними кривими 145 99:59:59,999 --> 99:59:59,999 як уже згадувала Таня — NIST P-256 — приклад ECC 146 99:59:59,999 --> 99:59:59,999 іншим прикладом ECC є x25519 — ви, ймовірно, використовуєте це сьогодні 147 99:59:59,999 --> 99:59:59,999 щоб шифрувати свої дані і ось що зробив Google: 148 99:59:59,999 --> 99:59:59,999 Він шифрував NH для постквантового захисту 149 99:59:59,999 --> 99:59:59,999 і одночасно шифрував x25519, як вони роблять 150 99:59:59,999 --> 99:59:59,999 зазвичай і сьогодні — ідея була в тому, що якщо щось 151 99:59:59,999 --> 99:59:59,999 піде не так із NH, то ми все одно маємо звичайний захист 152 99:59:59,999 --> 99:59:59,999 тобто, щонайменше, немає негайної загрози безпеці — вони не погіршують ситуацію 153 99:59:59,999 --> 99:59:59,999 звісно, якщо NH зламано, то й не покращують 154 99:59:59,999 --> 99:59:59,999 але основна ідея — спробувати зробити краще і 155 99:59:59,999 --> 99:59:59,999 в той же час переконатися, що не стане гірше — шифруючи обома: 156 99:59:59,999 --> 99:59:59,999 традиційним і постквантовим методом 157 99:59:59,999 --> 99:59:59,999 План «Б» дуже важливий, бо NH — нова шифрувальна система 158 99:59:59,999 --> 99:59:59,999 тобто у 2016 вона була новою, ключові елементи NH були створені 159 99:59:59,999 --> 99:59:59,999 у 2010, 2014 і 2015 роках — а це не так багато часу для перевірки 160 99:59:59,999 --> 99:59:59,999 в криптографії іноді минають роки, поки знаходять вразливості 161 99:59:59,999 --> 99:59:59,999 тому дуже важливо, щоб новим шифрувальним системам дали час дозріти 162 99:59:59,999 --> 99:59:59,999 інша проблема з новими шифрувальними системами 163 99:59:59,999 --> 99:59:59,999 — їх можуть запатентувати. Патенти діють 20 років, і це сталося 164 99:59:59,999 --> 99:59:59,999 з NH. Власник патенту звернувся до Google і сказав: «Я хочу гроші за ваше 165 99:59:59,999 --> 99:59:59,999 використання NH». Google ніколи публічно не коментував цю 166 99:59:59,999 --> 99:59:59,999 патентну загрозу, але з якихось причин у листопаді 2016 року вони прибрали NH 167 99:59:59,999 --> 99:59:59,999 з Chrome і своїх серверів. У 2016 році також сталися інші події: 168 99:59:59,999 --> 99:59:59,999 в уряді США є установа — NIST, яка має довгу історію співпраці 169 99:59:59,999 --> 99:59:59,999 з Агентством нацбезпеки США (NSA). NIST оголосив, що наприкінці 2017 року 170 99:59:59,999 --> 99:59:59,999 вони хочуть, щоб криптографи подали пропозиції 171 99:59:59,999 --> 99:59:59,999 щодо постквантових алгоритмів — для шифрування й підпису, 172 99:59:59,999 --> 99:59:59,999 які згодом можна було б стандартизувати. Цікавий момент з їхньої заявки: 173 99:59:59,999 --> 99:59:59,999 не дозволено надсилати гібриди — тобто системи, які шифрують і 174 99:59:59,999 --> 99:59:59,999 за допомогою постквантових алгоритмів, і ECC, або підписують чимось, що ви вже використовуєте, разом із 175 99:59:59,999 --> 99:59:59,999 постквантовим рішенням. Вони сказали, що алгоритми не повинні 176 99:59:59,999 --> 99:59:59,999 включати ECC чи будь-який інший алгоритм, який може бути зламаний квантовими комп’ютерами 177 99:59:59,999 --> 99:59:59,999 З точки зору розробника додатків, зручно мати ECC-шар окремо 178 99:59:59,999 --> 99:59:59,999 і сказати: що б ви не робили з постквантовим алгоритмом, 179 99:59:59,999 --> 99:59:59,999 все одно поєднуєте його з x25519, наприклад. Але вони не сказали, що треба 180 99:59:59,999 --> 99:59:59,999 поєднувати все з ECC — наприклад, x25519 як окремий шар. Вони сказали: 181 99:59:59,999 --> 99:59:59,999 не подавайте нічого, що поєднується з ECC 182 99:59:59,999 --> 99:59:59,999 Провівши цей конкурс на постквантові системи, NIST надіслав сигнал компаніям: 183 99:59:59,999 --> 99:59:59,999 почекайте, не впроваджуйте постквантову криптографію поки що 184 99:59:59,999 --> 99:59:59,999 і тут був і батіг, і пряник. Батіг — це патенти: Google щойно 185 99:59:59,999 --> 99:59:59,999 втрапив у халепу через використання чогось, на що раптом знайшовся патент 186 99:59:59,999 --> 99:59:59,999 що ще може бути запатентоване? А NIST сказав: у нас є процес, 187 99:59:59,999 --> 99:59:59,999 який веде до криптографічних стандартів, які можна реалізовувати вільно, тобто патенти 188 99:59:59,999 --> 99:59:59,999 не завадять вам це використовувати. І вони також сказали, що виберуть щось, 189 99:59:59,999 --> 99:59:59,999 що буде досить надійним — безпека буде головним критерієм у відборі 190 99:59:59,999 --> 99:59:59,999 І отже, галузь сказала: «Добре, чекаємо від NIST рішення», а інші 191 99:59:59,999 --> 99:59:59,999 органи стандартизації — також. У IETF є свій дослідницький підрозділ, 192 99:59:59,999 --> 99:59:59,999 IRTF, який створює стандарти для Інтернету. І криптографічна група в IRTF сказала: 193 99:59:59,999 --> 99:59:59,999 ми стандартизуємо те, що вже є в роботі, наприклад, геш-функції 194 99:59:59,999 --> 99:59:59,999 але для всього іншого — чекаємо NIST. ISO теж сказала, що чекає 195 99:59:59,999 --> 99:59:59,999 NIST. Не всі організації сказали це — наприклад, уряд Китаю 196 99:59:59,999 --> 99:59:59,999 заявив, що проведе свій власний конкурс. Але, ну… кого це цікавить? 197 99:59:59,999 --> 99:59:59,999 Тож повертаємося до конкурсу NIST: ось усі заявки. Наприкінці 2017 року 198 99:59:59,999 --> 99:59:59,999 було 69 заявок від 260 криптографів. Я не буду зачитувати всі імена, але це була 199 99:59:59,999 --> 99:59:59,999 величезна кількість роботи для аналітиків у криптографії. 200 99:59:59,999 --> 99:59:59,999 Ми весело проводили час на початку 2017-го, а ті, хто бачив нас на сцені у 2018-му, 201 99:59:59,999 --> 99:59:59,999 знають, що ми розповідали про те, як весело нам було зламувати ці пропозиції 202 99:59:59,999 --> 99:59:59,999 але це була справжня купа роботи. Подивимось, що зробив NIST з конкурсом. 203 99:59:59,999 --> 99:59:59,999 У 2019-му, тобто через два роки — ну, рік із чимось — вони почали 204 99:59:59,999 --> 99:59:59,999 скорочувати кількість кандидатів до 26. А в липні 2020-го 205 99:59:59,999 --> 99:59:59,999 їх ще скоротили — до 15. Мета була зосередитись на тому, 206 99:59:59,999 --> 99:59:59,999 що має сенс, і пріоритет давали найбезпечнішим кандидатам, за винятком 207 99:59:59,999 --> 99:59:59,999 випадків, де застосування вимагало більшої ефективності 208 99:59:59,999 --> 99:59:59,999 Насправді ні — вони зовсім так не робили. Якщо почитати звіт і подивитись, 209 99:59:59,999 --> 99:59:59,999 яких кандидатів вони обрали — щоразу, коли був вибір 210 99:59:59,999 --> 99:59:59,999 між швидкістю і безпекою, звісно, вони відсікали 211 99:59:59,999 --> 99:59:59,999 алгоритми, які були повністю зламані, і ті, що були дуже неефективні 212 99:59:59,999 --> 99:59:59,999 але от вам приклад — SPHINCS, який згадувала Таня раніше, 213 99:59:59,999 --> 99:59:59,999 дуже обережний, усі погоджуються, що це — найбезпечніша система підпису 214 99:59:59,999 --> 99:59:59,999 Але NIST не сказав: «Використовуйте SPHINCS», а: «Ми зачекаємо стандартизації SPHINCS+, 215 99:59:59,999 --> 99:59:59,999 хіба що стільки всього виявиться зламаним, що доведеться взяти SPHINCS» 216 99:59:59,999 --> 99:59:59,999 І от у липні цього року NIST оголосив, що обирає чотири стандарти 217 99:59:59,999 --> 99:59:59,999 один із них — SPHINCS+, а ще три кандидати залишаються під розглядом 218 99:59:59,999 --> 99:59:59,999 виглядає так, ніби впевненість трохи похитнулась. Тож що ж сталося? 219 99:59:59,999 --> 99:59:59,999 Картинка з 69 заявками змінилася, якщо перемотати час на 5,5 років вперед 220 99:59:59,999 --> 99:59:59,999 Ось кольорове кодування: сині — це ті, що залишаються в конкурсі NIST, тобто чотири 221 99:59:59,999 --> 99:59:59,999 алгоритми, які мають стати стандартами, і ще чотири кандидати четвертого раунду 222 99:59:59,999 --> 99:59:59,999 сірі не пройшли далі — це не означає, що вони були зламані, 223 99:59:59,999 --> 99:59:59,999 але їх відсіяли настільки рано, що ніхто вже не мав інтересу їх ламати 224 99:59:59,999 --> 99:59:59,999 коричневий означає менш захищений, ніж було заявлено; червоний — 225 99:59:59,999 --> 99:59:59,999 означає справді зламаний, а підкреслений червоний — це 226 99:59:59,999 --> 99:59:59,999 повністю-повністю зламаний. Як бачите, зламаних систем багато. 227 99:59:59,999 --> 99:59:59,999 Є також цікавий фіолетовий у нижньому правому куті 228 99:59:59,999 --> 99:59:59,999 якщо пам’ятаєте уроки малювання — фіолетовий — це суміш червоного і синього. SIKE було обрано 229 99:59:59,999 --> 99:59:59,999 у липні, а вже в липні і зламано — після 5 років аналізу, його зламали 230 99:59:59,999 --> 99:59:59,999 за лічені секунди. Це приклад того, коли щось справді пішло не так 231 99:59:59,999 --> 99:59:59,999 і низка дрібних подій похитнула впевненість 232 99:59:59,999 --> 99:59:59,999 тому NIST хоча б обрав SPHINCS, але це не призвело до обрання 233 99:59:59,999 --> 99:59:59,999 інших обережних варіантів — деякі з них ще «дозрівають» 234 99:59:59,999 --> 99:59:59,999 але ця сфера поки що не зріла. 235 99:59:59,999 --> 99:59:59,999 А що відбувалося тим часом із боку впровадження? 236 99:59:59,999 --> 99:59:59,999 Згадайте: було два моменти на слайдах Тані ще з 2016 року. Вона сказала: 237 99:59:59,999 --> 99:59:59,999 було б добре вже впровадити щось, щоб захистити користувачів, бо 238 99:59:59,999 --> 99:59:59,999 у нас є проблема з безпекою вже зараз — зловмисники 239 99:59:59,999 --> 99:59:59,999 вже записують все, і ми повинні намагатися захиститися від цього, і 240 99:59:59,999 --> 99:59:59,999 зробити це швидше, ніж триває процес стандартизації. Google 241 99:59:59,999 --> 99:59:59,999 почав це у 2016-му, але злякався патентної загрози. До 2019-го 242 99:59:59,999 --> 99:59:59,999 галузі й багато проєктів з відкритим кодом подумали: можливо, вже час 243 99:59:59,999 --> 99:59:59,999 впроваджувати нові рішення — щось пішло не так у 2016-му, 244 99:59:59,999 --> 99:59:59,999 але на той момент NIST уже зібрав підтвердження від усіх учасників конкурсу 245 99:59:59,999 --> 99:59:59,999 і з’ясував, які пропозиції є запатентованими. Це дало нам 246 99:59:59,999 --> 99:59:59,999 багато інформації, коли 260 криптографів вказали, що саме захищено патентами 247 99:59:59,999 --> 99:59:59,999 І вже у 2019-му стало ще очевидніше, що квантові комп’ютери — на горизонті 248 99:59:59,999 --> 99:59:59,999 Тож приклади того, що сталося у 2019-му: 249 99:59:59,999 --> 99:59:59,999 OpenSSH версії 8, надихаючись TinySSH, оголосив, що додасть гібридний варіант — 250 99:59:59,999 --> 99:59:59,999 поєднання алгоритму на еліптичних кривих і одного з постквантових кандидатів 251 99:59:59,999 --> 99:59:59,999 Він не активований за замовчуванням, але якщо ви додасте рядок