0:00:00.000,0:00:01.536
[Translated by Marta-Sofiya Klakovych[br](KYBS2004 course assignment at JYU.FI)]
0:00:01.608,0:00:10.438
музика
0:00:10.521,0:00:14.714
Ласкаво просимо до цього хаотичного[br]року та заходу
0:00:14.714,0:00:17.182
Я Кара і я буду вашим диктором
0:00:17.182,0:00:20.520
Мені приємно оголосити доповідь
0:00:20.520,0:00:21.930
Пост-квантова криптографія:
0:00:21.930,0:00:23.390
обхідні шляхи, затримки та катастрофи,
0:00:23.390,0:00:26.280
яку представляють Таня Ланге[br]та Д. Дж. Бернштейн.
0:00:26.280,0:00:30.510
Таня Ланге — криптограф і математик,
0:00:30.510,0:00:33.121
яка спеціалізується на пост-квантовій криптографії,
0:00:33.121,0:00:35.621
яка замінює ту криптографію,[br]яку ми використовуємо сьогодні
0:00:35.621,0:00:38.993
на варіанти, які є безпечними[br]проти атак квантових комп’ютерів.
0:00:38.993,0:00:42.207
Вона є професоркою технічного
0:00:42.207,0:00:43.207
університету Ейндговена
0:00:43.207,0:00:46.770
і може пишатися численними[br]публікаціями та відзнаками.
0:00:46.770,0:00:51.250
Вона також була координаторкою PQCrypto,
0:00:51.250,0:00:53.130
що є загальноєвропейською ініціативою
0:00:53.130,0:00:56.556
для впровадження пост-квантової криптографії.
0:00:57.153,0:01:00.830
Д. Дж. Б. є професором університету
0:01:00.830,0:01:01.830
Іллінойсу в Чикаго
0:01:01.830,0:01:06.559
а також професором Університету Бохума.[br]Він працює в галузі криптографії
0:01:06.559,0:01:09.187
і розробив шифрувальні системи, які використовуються
0:01:09.187,0:01:11.833
у криптографії з відкритим кодом,[br]можливо, ви зараз
0:01:11.833,0:01:13.812
використовуєте одну з них,[br]дивлячись цю доповідь.
0:01:13.812,0:01:18.353
Разом вони реалізували вражаючу[br]кількість проєктів
0:01:18.353,0:01:22.594
від спрощення впровадження[br]безпечної криптографії
0:01:22.594,0:01:27.271
до створення безпечних[br]постквантових типів даних.
0:01:27.271,0:01:30.220
Обоє є активістами, які борються
0:01:30.220,0:01:33.145
за прозоріший процес[br]стандартизації криптографії.
0:01:34.515,0:01:39.224
А тепер всі, поплескайте своїми лапками
0:01:39.224,0:01:44.107
Давайте поаплодуємо[br]Тані Ланге та Д. Дж. Б.!
0:01:48.128,0:01:51.580
Добре, дякуємо за гарне представлення,
0:01:51.212,0:01:54.782
давайте одразу перейдемо до справи —[br]почнемо з HTTPS
0:01:54.782,0:01:57.997
Коли ви заходите на сайт із HTTPS[br](або захищене з’єднання)
0:01:57.997,0:02:00.553
ви використовуєте TLS — протокол безпеки
0:02:00.553,0:02:03.143
транспортного рівня —[br]щоб захистити ваше з’єднання.
0:02:03.143,0:02:07.523
TLS використовує два типи криптографії[br]з кількох причин.
0:02:07.553,0:02:10.409
По-перше, він покладається[br]на криптографію з відкритим ключем.
0:02:10.509,0:02:14.406
Вона виконує дві функції:[br]по-перше, вона забезпечує підписи.
0:02:14.406,0:02:18.784
Підписи з відкритим ключем —[br]вони гарантують, що зловмисник не зможе
0:02:18.784,0:02:21.827
підмінити дані сервера[br]своїми власними
0:02:21.827,0:02:23.873
і прикидатися сервером.
0:02:23.873,0:02:26.264
Також TLS використовує[br]шифрування з відкритим ключем
0:02:26.264,0:02:31.123
наприклад, NIST P-256 або[br]RSA-4096 як систему підпису
0:02:31.123,0:02:36.318
NIST P-256 також можна використовувати[br]для шифрування, щоб ваші дані були захищені,
0:02:36.590,0:02:39.800
щоб він (зловмисник) не міг їх зрозуміти.
0:02:39.800,0:02:43.691
Через причини, пов’язані з продуктивністю,[br]криптографія складніша, ніж
0:02:43.782,0:02:48.820
просто криптографія з відкритим ключем —[br]вона також включає симетричну криптографію
0:02:48.114,0:02:50.704
іноді її називають[br]криптографією із секретним ключем.
0:02:50.704,0:02:55.597
Коли ви збираєте все разом у TLS,[br]ви отримуєте три основні складові:
0:02:55.715,0:02:57.525
це шифрування з відкритим ключем,
0:02:57.525,0:03:00.277
яке не шифрує всі ваші дані, а натомість
0:03:00.277,0:03:05.121
шифрує лише ключ,[br]щоб зловмисники не могли його зрозуміти.
0:03:05.124,0:03:07.304
Цей ключ надсилається[br]безпечно і конфіденційно
0:03:07.304,0:03:08.983
від однієї сторони до іншої,
0:03:08.983,0:03:11.866
а підписи з відкритим ключем[br]використовуються, щоб переконатися,
0:03:11.866,0:03:14.499
що зловмисник не може підмінити[br]інший ключ
0:03:14.499,0:03:17.900
і в кінці цей ключ використовується
0:03:17.900,0:03:19.506
для захисту ваших даних[br]із використанням симетричної криптографії
0:03:19.729,0:03:24.269
усі інші протоколи, які ви використовуєте,
0:03:24.269,0:03:25.474
можна було б представити[br]у подібних слайдах
0:03:25.474,0:03:28.514
наприклад, SSH, але вони всі працюють[br]майже однаково
0:03:28.517,0:03:30.949
я зараз підкреслю два елементи на цьому слайді
0:03:30.949,0:03:33.735
RSA-4096 —[br]типова система для підпису
0:03:33.735,0:03:36.216
і типова система шифрування —[br]NIST P-256.
0:03:36.290,0:03:40.850
Тому що ці дві (системи) будуть зламані[br]через квантові комп’ютери.
0:03:40.930,0:03:43.440
Без квантових комп’ютерів[br]жодних відомих
0:03:43.440,0:03:44.915
загроз не існувало б, але
0:03:44.915,0:03:46.960
якщо в атакуючого буде[br]великий квантовий комп’ютер
0:03:46.960,0:03:49.165
а це, найімовірніше, станеться
0:03:49.165,0:03:51.696
хоча це не гарантовано —[br]може, спроби створити квантовий комп’ютер
0:03:51.696,0:03:53.150
зазнають невдачі з якихось причин
0:03:53.150,0:03:55.720
але зараз виглядає так,[br]що квантові комп’ютери
0:03:55.720,0:03:57.430
стають дедалі успішнішими
0:03:57.430,0:03:59.125
і як тільки вони стануть достатньо потужними
0:03:59.125,0:04:00.785
можливо, за десять років.
0:04:00.785,0:04:04.890
Тоді нападники зможуть запустити[br]алгоритм атаки,
0:04:04.890,0:04:07.578
який називається алгоритмом Шора,[br]що знаходить ваші секретні RSA-ключі і
0:04:07.578,0:04:12.800
секретні ключі NIST P-256,[br]і тоді зловмисники зможуть
0:04:12.800,0:04:14.714
отримати доступ до інформації,[br]яку вони вже зараз зберігають
0:04:14.714,0:04:17.324
це загроза не лише майбутнім даним,
0:04:17.324,0:04:21.500
але і конфіденційності ваших поточних даних
0:04:21.500,0:04:25.900
бо зловмисники вже зараз[br]зберігають все, що можуть, з Інтернету
0:04:25.900,0:04:27.416
і коли у них буде[br]великий квантовий комп’ютер
0:04:27.416,0:04:33.506
вони зможуть розшифрувати все заднім числом,[br]бо зламають RSA-4096
0:04:33.506,0:04:39.213
і NIST P-256,[br]а саме NIST P-256 забезпечує шифрування
0:04:39.213,0:04:40.487
і вони зможуть повернутися в минуле
0:04:40.487,0:04:42.947
і зламати шифрування, яке ви використовуєте сьогодні.
0:04:42.947,0:04:45.688
Що ж нам із цим робити?
0:04:45.688,0:04:48.270
Стандартний підхід — це те,[br]що ми називаємо
0:04:48.270,0:04:50.562
постквантовою криптографією —[br]ви вже чули цю назву раніше, вона була
0:04:50.562,0:04:53.920
в назві нашої доповіді —[br]це криптографія, яка створена спеціально
0:04:53.920,0:04:57.168
з урахуванням того,[br]що атакуючий має квантовий комп’ютер.
0:04:58.915,0:05:02.405
Тож, як уже казав ведучий,
0:05:02.405,0:05:05.438
я була координаторкою проєкту PQCRYPTO
0:05:05.438,0:05:09.950
і це означає, що я об’їздила[br]світ із доповідями про постквантову криптографію.
0:05:09.950,0:05:14.470
Ось скріншот із виступу,[br]який я провела шість з половиною років тому
0:05:14.470,0:05:19.852
де я підкреслювала, як сьогодні це зробив Ден,[br]важливість постквантової криптографії
0:05:20.700,0:05:23.507
і наголошувала, що важливо давати рекомендації,
0:05:23.507,0:05:26.904
які визначають, які алгоритми[br]варто використовувати для заміни RSA та
0:05:26.904,0:05:31.780
NIST P-256, які[br]ви бачили на попередніх слайдах
0:05:31.275,0:05:36.656
і тоді я поставила питання —[br]чи варто нам стандартизувати зараз чи пізніше.
0:05:37.120,0:05:43.110
Аргументи існують з обох сторін,[br]і ну… якби ми стандартизували тоді,
0:05:43.110,0:05:44.842
шість років тому, здавалося, що
0:05:44.842,0:05:46.575
ще занадто багато роботи, і що ми отримаємо
0:05:46.575,0:05:49.950
набагато кращу систему,[br]якщо трохи зачекаємо,
0:05:49.950,0:05:57.222
але з іншого боку існує занепокоєння[br]через дані, які збирають уряди та інші темні сили.
0:05:57.256,0:06:03.836
І чим пізніше це буде опубліковано, тим більше даних і безпеки буде втрачено,
0:06:03.836,0:06:09.148
тому важливо просуватися вперед,[br]і тоді нашою відповіддю було таке:
0:06:09.148,0:06:13.237
те, що я просувала у 2016 році —[br]це рекомендації, опубліковані у 2015 році, в яких
0:06:13.237,0:06:17.430
йшлося про те, що[br]стандартизація займає багато часу
0:06:17.430,0:06:21.180
ми ще не на тій стадії,[br]але якщо хтось хоче захистити себе.
0:06:21.180,0:06:24.672
Ось що ми… ну, тобто ціла група дослідників,
0:06:24.672,0:06:28.872
які підписали цю заяву[br]як частину проєкту PQCRYPTO.
0:06:28.872,0:06:34.682
Що ми рекомендували?[br]Наша рекомендація була у тому, що ми назвали
0:06:34.682,0:06:36.387
«обережною криптографією»
0:06:36.387,0:06:38.254
і це не означає[br]політичний консерватизм
0:06:38.254,0:06:42.178
це означає щось нудне,[br]щось, що вже давно відоме
0:06:42.178,0:06:46.730
багато людей його вже проаналізували,[br]і ми не очікуємо жодних змін.
0:06:46.730,0:06:49.971
У сфері симетричних ключів, як уже казав Ден,
0:06:50.890,0:06:53.449
квантові комп’ютери на них не впливають
0:06:53.449,0:06:56.508
тому якщо використовувати достатньо великі ключі
0:06:56.508,0:07:01.474
256-бітові ключі,[br]то AES або Salsa20 є достатніми.
0:07:01.474,0:07:07.148
Те саме стосується аутентифікації —[br]якщо ви отримали ключ, його не підробити
0:07:07.148,0:07:13.139
але для шифрування і підписів[br]з відкритим ключем, RSA-4096
0:07:13.775,0:07:18.665
і ECC NIST P-256 — їх потрібно замінити[br]і ми маємо альтернативи.
0:07:19.494,0:07:21.994
Ось рекомендація з високим рівнем довіри:
0:07:22.640,0:07:26.614
використовуйте систему МакЕліса —[br]назва ще з’явиться пізніше
0:07:26.614,0:07:28.862
і використовуйте[br]сигнатури, засновані на хешах
0:07:30.587,0:07:34.607
ми також представили деякі алгоритми[br]як «перебувають у стадії оцінювання»
0:07:34.607,0:07:38.743
що означає — поки не варто їх використовувати
0:07:38.743,0:07:41.172
але згодом вони можуть виявитися придатними.
0:07:41.172,0:07:43.892
І для нас це нормально — ми вбили кілок у землю,
0:07:43.892,0:07:45.360
ми сказали: «Ось, це безпечно»
0:07:45.337,0:07:50.327
і люди повинні діяти відповідно,[br]і всі житимуть довго і щасливо
0:07:50.327,0:07:52.271
і наш виступ на цьому завершено.
0:07:52.271,0:07:54.876
...чи всі дійсно[br]житимуть довго і щасливо?
0:07:54.876,0:07:55.973
до кінця свого життя?
0:07:55.973,0:07:57.900
Давайте подивимось,[br]що сталося насправді після цього
0:07:57.900,0:08:02.292
Організація… ну,[br]речі, які мали бути оприлюднені
0:08:02.292,0:08:04.991
насправді був один експеримент,[br]який Google проводив.
0:08:04.991,0:08:09.666
у 2016 році Google Chrome[br]додав постквантовий варіант
0:08:09.666,0:08:11.440
це не означає, що кожен
0:08:11.440,0:08:14.252
вебсервер підтримував його —[br]це був просто експеримент
0:08:14.252,0:08:17.605
Google активував його лише на деяких своїх серверах і сказав:
0:08:17.605,0:08:19.411
«Добре, подивимось, як це працює»,
0:08:19.411,0:08:21.963
і звучали дуже натхненно у своєму блозі
0:08:21.963,0:08:24.545
де вони оголосили,[br]що допомагають користувачам захиститися
0:08:24.545,0:08:26.844
від квантових комп’ютерів —[br]подивимось, чи спрацює.
0:08:26.844,0:08:30.191
Система, яку вони використовували,[br]називалася New Hope (NH).
0:08:30.191,0:08:32.729
Вони шифрували не лише за допомогою NH
0:08:32.729,0:08:35.235
NH є постквантовою шифрувальною системою
0:08:35.235,0:08:39.562
Вони також шифрували традиційною криптографією
0:08:39.562,0:08:41.600
— еліптичними кривими ECC.
0:08:41.600,0:08:44.679
Як уже згадувала Таня —[br]NIST P-256 — приклад ECC
0:08:44.679,0:08:49.116
іншим прикладом ECC є x25519 —[br]ви, ймовірно, використовуєте це сьогодні
0:08:49.116,0:08:51.453
щоб шифрувати свої дані. [br]І ось що зробив Google:
0:08:51.453,0:08:55.241
Він шифрував NH для[br]постквантового захисту
0:08:55.241,0:08:58.855
і одночасно шифрував[br]x25519, як вони роблять
0:08:58.855,0:09:02.254
зазвичай і сьогодні —[br]ідея була в тому, що якщо щось
0:09:02.254,0:09:07.829
піде не так із NH,[br]то ми все одно маємо звичайний захист.
0:09:07.829,0:09:09.773
Тобто, щонайменше,[br]немає негайної загрози
0:09:09.773,0:09:11.653
безпеці — вони не погіршують ситуацію
0:09:11.848,0:09:14.888
звісно, якщо NH зламано,[br]то й не покращують
0:09:14.888,0:09:17.540
але основна ідея —[br]спробувати зробити краще і
0:09:17.900,0:09:20.450
в той же час переконатися,[br]що не стане гірше — шифруючи обома:
0:09:20.450,0:09:22.977
традиційним і постквантовим методом
0:09:22.977,0:09:28.321
План «Б» дуже важливий,[br]бо NH — нова шифрувальна система,
0:09:28.496,0:09:32.436
тобто у 2016 вона була новою. [br]Ключові елементи NH були створені
0:09:32.596,0:09:37.676
у 2010, 2014 і 2015 роках —[br]а це не так багато часу для перевірки
0:09:37.836,0:09:43.216
в криптографії іноді минають роки,[br]поки знаходять вразливості
0:09:43.271,0:09:47.591
тому дуже важливо, щоб новим шифрувальним системам дали час дозріти.
0:09:47.914,0:09:51.940
Інша проблема з новими шифрувальними системами
0:09:51.940,0:09:55.487
— їх можуть запатентувати.[br]Патенти діють 20 років, і це сталося
0:09:55.487,0:10:01.164
з NH. Власник патенту звернувся[br]до Google і сказав: «Я хочу гроші за ваше
0:10:01.164,0:10:05.164
використання NH». Google[br]ніколи публічно не коментував цю
0:10:05.164,0:10:08.123
патентну загрозу, але з якихось причин
0:10:08.123,0:10:11.643
у листопаді 2016 року вони прибрали NH
0:10:11.643,0:10:16.233
з Chrome і своїх серверів.[br]У 2016 році також сталися інші події:
0:10:16.590,0:10:22.550
в уряді США є установа — NIST,[br]яка має довгу історію співпраці
0:10:22.692,0:10:29.246
з Агентством нацбезпеки США (NSA).[br]NIST оголосив, що наприкінці 2017 року
0:10:30.260,0:10:33.546
вони хочуть, щоб криптографи подали[br]пропозиції
0:10:33.546,0:10:37.910
щодо постквантових алгоритмів —[br]для шифрування й підпису,
0:10:37.910,0:10:46.750
які згодом можна було б стандартизувати.[br]Цікавий момент з їхньої заявки:
0:10:46.290,0:10:50.790
не дозволено надсилати гібриди — тобто[br]системи, які шифрують і
0:10:50.790,0:10:55.453
за допомогою постквантових алгоритмів, і ECC,[br]або підписують чимось, що ви вже використовуєте, разом із
0:10:55.453,0:10:59.334
постквантовим рішенням.[br]Вони сказали, що алгоритми не повинні
0:10:59.541,0:11:01.854
включати ECC чи будь-який інший алгоритм,
0:11:01.854,0:11:03.688
який може бути зламаний квантовими комп’ютерами.
0:11:03.688,0:11:07.467
З точки зору розробника додатків,[br]зручно мати ECC-шар окремо
0:11:07.529,0:11:10.749
і сказати: що б ви не робили[br]з постквантовим алгоритмом,
0:11:10.749,0:11:16.120
все одно поєднуєте його з x25519, наприклад.[br]Але вони не сказали, що треба
0:11:16.120,0:11:20.928
поєднувати все з ECC — наприклад,[br]x25519 як окремий шар. Вони сказали:
0:11:20.928,0:11:23.991
не подавайте нічого,[br]що поєднується з ECC
0:11:27.907,0:11:33.917
Провівши цей конкурс на постквантові системи,[br]NIST надіслав сигнал компаніям:
0:11:33.917,0:11:36.457
почекайте, не впроваджуйте[br]постквантову криптографію поки що
0:11:36.457,0:11:43.233
і тут був і батіг, і пряник.[br]Батіг — це патенти: Google щойно
0:11:43.233,0:11:47.950
втрапив у халепу через використання[br]чогось, на що раптом знайшовся патент
0:11:47.136,0:11:50.515
що ще може бути запатентоване?[br]А NIST сказав: у нас є процес,
0:11:50.515,0:11:54.186
який веде до криптографічних стандартів,[br]які можна реалізовувати вільно,
0:11:54.186,0:11:57.043
тобто патенти не завадять вам це використовувати.
0:11:57.043,0:11:59.123
І вони також сказали, що виберуть щось,
0:11:59.123,0:12:04.939
що буде досить надійним —[br]безпека буде головним критерієм у відборі.
0:12:05.561,0:12:10.481
І отже, галузь сказала: «Добре,[br]чекаємо від NIST рішення», а інші
0:12:10.636,0:12:16.166
органи стандартизації — також.[br]У IETF є свій дослідницький підрозділ,
0:12:16.312,0:12:21.632
IRTF, який створює стандарти для Інтернету.[br]І криптографічна група в IRTF сказала:
0:12:21.700,0:12:28.744
ми стандартизуємо те, що вже є в роботі,[br]наприклад, геш-функції,
0:12:28.744,0:12:34.898
але для всього іншого —[br]чекаємо NIST. ISO теж сказала, що чекає
0:12:34.898,0:12:40.833
NIST. Не всі організації сказали це —[br]наприклад, уряд Китаю
0:12:40.833,0:12:45.565
заявив, що проведе свій власний конкурс.[br]Але, ну… кого це цікавить?
0:12:46.205,0:12:53.195
Тож повертаємося до конкурсу NIST:[br]ось усі заявки. Наприкінці 2017 року
0:12:53.302,0:12:59.700
було 69 заявок від 260 криптографів.[br]Я не буду зачитувати всі імена, але це була
0:12:59.700,0:13:01.738
величезна кількість роботи[br]для аналітиків у криптографії.
0:13:03.459,0:13:08.979
Ми весело проводили час на початку 2017-го,[br]а ті, хто бачив нас на сцені у 2018-му,
0:13:08.979,0:13:12.857
знають, що ми розповідали про те,[br]як весело нам було зламувати ці пропозиції
0:13:12.857,0:13:16.558
але це була справжня купа роботи.[br]Подивимось, що зробив NIST з конкурсом.
0:13:16.558,0:13:21.803
У 2019-му, тобто через два роки —[br]ну, рік із чимось — вони почали
0:13:21.803,0:13:26.153
скорочувати кількість кандидатів[br]до 26. А в липні 2020-го
0:13:26.153,0:13:32.576
їх ще скоротили — до 15.[br]Мета була зосередитись на тому,
0:13:32.576,0:13:39.850
що має сенс, і пріоритет давали[br]найбезпечнішим кандидатам, за винятком
0:13:39.850,0:13:42.469
випадків, де застосування вимагало[br]більшої ефективності
0:13:43.254,0:13:48.924
Насправді ні — вони зовсім так не робили.[br]Якщо почитати звіт і подивитись,
0:13:48.924,0:13:51.623
яких кандидатів вони обрали —[br]щоразу, коли був вибір
0:13:51.623,0:13:54.966
між швидкістю і безпекою,[br]звісно, вони відсікали
0:13:54.966,0:13:59.683
алгоритми, які були повністю зламані,[br]і ті, що були дуже неефективні
0:13:59.683,0:14:04.105
але от вам приклад — SPHINCS,[br]який згадувала Таня раніше,
0:14:04.414,0:14:08.724
дуже обережний, усі погоджуються, що це — найбезпечніша система підпису
0:14:09.588,0:14:19.317
Але NIST не сказав: «Використовуйте SPHINCS»,
0:14:19.317,0:14:21.858
а: «Ми зачекаємо стандартизації SPHINCS+,
0:14:21.858,0:14:27.194
хіба що стільки всього виявиться зламаним,[br]що доведеться взяти SPHINCS+»
0:14:27.566,0:14:36.526
І от у липні цього року NIST[br]оголосив, що обирає чотири стандарти
0:14:36.526,0:14:41.357
один із них — SPHINCS+, а ще чотири[br]кандидати залишаються під розглядом
0:14:41.559,0:14:45.500
виглядає так, ніби впевненість трохи похитнулась.
0:14:45.500,0:14:47.570
Тож що ж сталося?
0:14:47.570,0:14:55.102
Картинка з 69 заявками змінилася,[br]якщо перемотати час на 5,5 років вперед
0:14:55.962,0:14:57.276
Ось кольорове кодування:
0:14:57.276,0:15:00.953
сині — це ті, що залишаються в конкурсі NIST,
0:15:00.953,0:15:04.082
тобто чотири алгоритми, які [br]мають стати стандартами,
0:15:04.082,0:15:06.474
і ще чотири кандидати четвертого раунду.
0:15:07.257,0:15:12.764
Сірі не пройшли далі —[br]це не означає, що вони були зламані,
0:15:12.764,0:15:17.550
але їх відсіяли настільки рано,[br]що ніхто вже не мав інтересу їх ламати.
0:15:18.214,0:15:21.140
Коричневий означає менш захищений,[br]ніж було заявлено;
0:15:21.140,0:15:24.525
червоний — означає справді зламаний,[br]а підкреслений червоний — це
0:15:24.525,0:15:29.774
повністю-повністю зламаний.
0:15:29.774,0:15:33.832
Як бачите, зламаних систем багато.
0:15:34.902,0:15:39.532
Є також цікавий фіолетовий у [br]нижньому правому куті
0:15:40.502,0:15:46.802
якщо пам’ятаєте уроки малювання —[br]фіолетовий — це суміш червоного і синього.
0:15:46.825,0:15:49.095
SIKE було обраноу липні,
0:15:49.095,0:15:56.384
а вже в липні і зламано —[br]після 5 років аналізу,
0:15:56.384,0:15:59.661
його зламали за лічені секунди.
0:15:59.661,0:16:02.581
Це приклад того, коли щось справді пішло не так
0:16:02.581,0:16:06.760
і низка дрібних подій[br]похитнула впевненість
0:16:08.263,0:16:13.173
тому NIST хоча б обрав SPHINCS,[br]але це не призвело до обрання
0:16:13.173,0:16:16.415
інших обережних варіантів —[br]деякі з них ще «дозрівають»,
0:16:16.696,0:16:21.736
але ця сфера поки що не зріла.
0:16:21.827,0:16:24.994
А що відбувалося тим часом[br]із боку впровадження?
0:16:24.994,0:16:28.226
Згадайте: було два моменти на слайдах Тані[br]ще з 2016 року. Вона сказала:
0:16:28.226,0:16:31.894
було б добре вже впровадити щось,[br]щоб захистити користувачів, бо
0:16:31.894,0:16:33.929
у нас є проблема з безпекою вже зараз —[br]зловмисники
0:16:33.929,0:16:37.249
вже записують все, і ми повинні[br]намагатися захиститися від цього, і
0:16:37.249,0:16:40.184
зробити це швидше, ніж[br]триває процес стандартизації.
0:16:40.184,0:16:45.371
Google почав це у 2016-му,[br]але злякався патентної загрози.
0:16:46.333,0:16:52.893
До 2019-го галузі й багато проєктів з [br]відкритим кодом
0:16:52.893,0:16:56.950
подумали: можливо, вже час впроваджувати нові рішення.
0:16:56.950,0:16:59.840
Щось пішло не так у 2016-му,
0:16:59.840,0:17:04.643
але на той момент NIST уже зібрав[br]підтвердження від усіх учасників конкурсу
0:17:04.643,0:17:07.363
і з’ясував, які пропозиції[br]є запатентованими. Це дало нам
0:17:07.363,0:17:12.249
багато інформації, коли 260 криптографів[br]вказали, що саме захищено патентами
0:17:12.486,0:17:18.714
І вже у 2019-му стало ще очевидніше,[br]що квантові комп’ютери — на горизонті.
0:17:18.714,0:17:23.679
Тож приклади того, що сталося у 2019-му: OpenSSH версії 8, надихаючись TinySSH,
0:17:23.682,0:17:26.842
оголосив, що додасть гібридний варіант — поєднання алгоритму
0:17:26.842,0:17:33.328
на еліптичних кривих[br]і одного з постквантових кандидатів.
0:17:33.328,0:17:37.013
Він не активований за замовчуванням,[br]але якщо ви додасте рядок у налаштування.
0:17:37.013,0:17:40.680
І на сервері, і на клієнті —[br]використовуватиметься постквантове шифрування.
0:17:40.680,0:17:45.759
А якщо постквантова частина буде зламана,[br]ви все одно маєте ECC як захист.
0:17:46.655,0:17:50.547
У липні 2019 року Google і Cloudflare[br]запустили експеримент
0:17:50.547,0:17:51.547
із постквантовим шифруванням.
0:17:51.547,0:17:59.567
У ньому були дві версії:[br]деякі користувачі шифрували з NTRU-HRSS
0:17:59.567,0:18:02.833
у поєднанні з ECC, звісно —[br]завжди використовуйте гібриди. Інша версія:
0:18:02.833,0:18:07.576
використовувала SIKE-p і ECC.[br]Так, Таня сказала: «Ой».
0:18:07.729,0:18:14.534
Це приклад того, наскільки важливо[br]поєднувати все з ECC, щоб не втратити
0:18:14.689,0:18:19.790
поточний рівень безпеки —[br]усі ми зараз користуємось ECC.
0:18:19.790,0:18:23.317
Тож використовуйте і постквантові системи, і ECC,
0:18:23.317,0:18:26.207
щоб у гіршому випадку втратити лише час,
0:18:26.207,0:18:28.447
а в кращому — щось виграти.
0:18:28.447,0:18:34.372
Принаймні користувачі SIKE-p мають захист ECC.
0:18:34.372,0:18:38.742
Також у жовтні 2019 року Google оголосив[br]про досягнення квантової переваги —
0:18:38.910,0:18:42.443
мається на увазі, що квантовий комп’ютер[br]виконав задачу швидше,
0:18:42.443,0:18:45.512
ніж будь-який суперкомп’ютер.
0:18:45.512,0:18:49.612
Це було не щось практичне,[br]і мине ще багато років, перш ніж
0:18:49.612,0:18:52.462
з’являться реальні задачі, які[br]квантові комп’ютери вирішуватимуть
0:18:52.462,0:18:54.135
швидше за класичні комп’ютери.
0:18:54.135,0:18:56.431
Але навіть сама назва — «квантова перевага» —
0:18:56.431,0:19:01.940
вже вводить в оману, хоч і є цікавим [br]кроком уперед у квантових обчисленнях.
0:19:01.940,0:19:05.768
Ця назва, ймовірно, привернула багато[br]уваги та викликала тривогу.
0:19:07.842,0:19:18.172
У 2021–2022 роках OpenSSH, OpenBSD і Google[br]почали раптово оновлювати свої системи.
0:19:18.172,0:19:27.118
OpenSSH версії 9.0 уже включає sntrup [br]і ECC за замовчуванням.
0:19:27.118,0:19:32.733
Отже, якщо у вас встановлено OpenSSH 9 [br]на сервері та на клієнті
0:19:32.733,0:19:36.877
використовується постквантовий [br]алгоритм автоматично.
0:19:36.877,0:19:42.276
Насправді, ще версії OpenSSH до 8.5[br]теж це підтримують, але тоді
0:19:42.276,0:19:46.943
вам потрібно вручну його активувати,[br]щоб сервер і клієнт це використовували.
0:19:46.943,0:19:49.681
А в OpenSSH 9 це вже увімкнено за замовчуванням.
0:19:49.681,0:19:51.481
Так само і в Google:
0:19:51.481,0:19:56.110
з листопада, тобто з минулого місяця,[br]вони шифрують свою внутрішню
0:19:56.110,0:20:03.506
комунікацію за допомогою ntruhrss і ECC.[br]Тож сподіваємось, ntruhrss працює і
0:20:03.506,0:20:07.272
буде безпечним проти квантових [br]комп’ютерів у майбутньому.
0:20:07.272,0:20:12.362
Це також добре відповідає ідеї[br]так званого "cleansing code" — чистого коду.
0:20:12.362,0:20:16.629
Як уже згадувалося, чистий код[br]ще не стандартизований у криптографії,
0:20:16.629,0:20:22.250
але він заохочує дослідження[br]і адаптацію користувачів.
0:20:22.250,0:20:27.963
Наприклад, американський банківський стандарт[br]US ANSI NTX9 заявив, що
0:20:27.963,0:20:31.957
у майбутньому вони перейдуть[br]на постквантові стандарти.
0:20:32.360,0:20:35.426
Тобто вони очікують на спільне використання[br]класичної криптографії
0:20:35.426,0:20:38.997
яку ще називають передквантовою —[br]і постквантової одночасно.
0:20:38.997,0:20:48.908
Одна — стандартизована і перевірена,[br]інша — ще нова і трохи незручна, але
0:20:48.908,0:20:52.030
нам вона потрібна для довготривалої безпеки.
0:20:52.030,0:20:53.690
І, можливо, в довгій перспективі
0:20:53.690,0:20:57.379
нам справді потрібна буде ця [br]гібридна комбінація.
0:20:57.379,0:20:59.989
Далі — зі США до Франції:
0:20:59.989,0:21:06.030
від ANSI до ANSSI —[br]французьке агентство з кібербезпеки.
0:21:06.030,0:21:09.055
Вони теж кажуть: не використовуйте постквантові
0:21:09.055,0:21:14.315
алгоритми окремо, бо вони ще не дозріли.
0:21:14.315,0:21:18.755
Але ця незрілість — не привід[br]відкладати перші кроки впровадження.
0:21:19.000,0:21:29.562
ANSSI заохочує впроваджувати гібриди —[br]поєднуючи надійний класичний метод
0:21:29.562,0:21:32.146
із постквантовим алгоритмом.
0:21:32.906,0:21:37.736
Отже, все чудово йде за планом,[br]який Таня описувала на слайдах у 2016 році.
0:21:37.736,0:21:42.384
Стандартизація йде повільно,[br]але впровадження відбувається паралельно:
0:21:42.516,0:21:46.996
ми почали використовувати постквантове[br]шифрування разом з ECC — на випадок,
0:21:46.996,0:21:51.686
якщо щось піде не так —[br]і щоб захистити користувачів якомога раніше.
0:21:51.686,0:21:58.793
Що ж сказала на це влада США?[br]Починаючи з 2021 року уряд США
0:21:58.923,0:22:02.673
дуже чітко дав зрозуміти, чого він хоче.[br]Ви, мабуть, думаєте — вони хочуть,
0:22:03.170,0:22:07.707
щоб ви захищались від квантових атак?[br]Ні-ні — вони якраз НЕ хочуть, щоб ви
0:22:07.707,0:22:14.154
захищались від квантових комп’ютерів.[br]Ось, наприклад, цитата від NIST —
0:22:14.154,0:22:18.411
голови відділу кібербезпеки[br]Інформаційної лабораторії,
0:22:18.411,0:22:21.550
яка і запустила конкурс[br]на постквантові алгоритми.
0:22:21.550,0:22:27.119
У липні 2021 року, невдовзі після того,[br]як OpenBSD і OpenSSH почали впровадження.
0:22:27.119,0:22:32.409
Він сказав: не дозволяйте людям купувати[br]і впроваджувати нестандартизовану постквантову
0:22:32.409,0:22:40.100
криптографію. І ще один приклад — NSA,[br]яке тісно співпрацює з NIST, заявило:
0:22:40.444,0:22:45.940
не реалізовуйте й не використовуйте[br]нестандартизовану постквантову криптографію.
0:22:45.544,0:22:48.904
І щоб, бува, хтось не проігнорував це послання,[br]агентство безпеки
0:22:48.904,0:22:52.168
(ти думаєш, ці агентства між [br]собою координуються?)
0:22:52.168,0:22:57.690
агентство безпеки заявило: не використовуйте[br]постквантові криптопродукти, доки
0:22:57.251,0:23:01.471
не завершено стандартизацію, впровадження[br]та тестування замінювальних програм
0:23:01.494,0:23:04.914
на основі затверджених алгоритмів від NIST.
0:23:06.837,0:23:13.061
Оце вже звучить як тривожний дзвіночок.
0:23:13.061,0:23:15.371
А ще дивно те, що вони кажуть:
0:23:15.371,0:23:17.551
якщо ви вже впроваджуєте[br]постквантову криптографію —
0:23:17.551,0:23:20.441
не використовуйте гібриди.
0:23:20.441,0:23:25.642
І ти можеш подумати: я щось не так зрозумів?[br]Чи вони справді це сказали?
0:23:26.010,0:23:30.257
Ось слайд із конференції — фото [br]Маркку Саарінена.
0:23:30.257,0:23:31.257
Я була там і можу підтвердити:
0:23:31.257,0:23:36.717
виступаючий чітко сказав: не варто[br]використовувати гібридні підходи.
0:23:36.717,0:23:42.256
Він неодноразово повторив:[br]не використовуйте нічого вже зараз.
0:23:42.256,0:23:47.318
Вони також не очікували затвердження[br]постквантових алгоритмів
0:23:47.318,0:23:51.445
на основі логіки "на всяк випадок поєднуй усе".
0:23:51.445,0:23:58.890
Пізніше вони опублікували нові інструкції,[br]де сказано: буде однозначна заміна —
0:23:58.890,0:24:03.487
вимикаємо ECC і RSA,[br]вмикаємо постквантову криптографію.
0:24:04.130,0:24:08.450
І їхній аргумент був:[br]у ECC можуть бути помилки реалізації,
0:24:08.450,0:24:15.256
тож вимикай ECC. Погана ідея —[br]хіба що ти хакер, тоді це ідеально.
0:24:15.518,0:24:20.320
Тепер ти, можливо, думаєш:[br]"Ну ми ж усе одно будемо використовувати
0:24:20.320,0:24:23.250
гібриди", навіть якщо NSA каже "не треба".
0:24:23.250,0:24:29.370
І ось це речення —[br]"не використовуйте нестандартизоване"
0:24:29.370,0:24:33.266
мабуть, уже неактуальне, правда?
0:24:33.266,0:24:36.536
Адже NIST оголосив у липні: [br]ми стандартизуємо Kyber.
0:24:36.536,0:24:40.677
Тобто: використовуйте Kyber.
0:24:40.677,0:24:43.827
Але ні. Насправді вони так не сказали.
0:24:43.827,0:24:46.240
Подивімося в деталі.
0:24:46.240,0:24:49.870
Пам’ятаєш, як Google [br]мав проблеми з патентами для NH?
0:24:49.870,0:24:54.530
Ну так от, Kyber — це як син New Hope.
0:24:54.530,0:24:58.803
І вони, здається, переплутали Star Wars [br]зі Star Trek:
0:24:58.803,0:25:04.388
ходили чутки, що Kyber внутрішньо[br]називали "New Hope: The Next Generation".
0:25:04.994,0:25:09.784
Пізніше знайшли кращу назву,[br]але по суті — Kyber дуже схожий на NH.
0:25:09.784,0:25:15.280
І має ті ж проблеми з патентами.[br]Це єдиний алгоритм шифрування, який обрав NIST.
0:25:15.627,0:25:19.327
Вони обрали SPHINCS+[br]і ще дві схеми підпису,
0:25:19.566,0:25:23.716
і лише одну схему шифрування — Kyber.[br]Це єдиний варіант захисту ваших даних
0:25:23.842,0:25:28.752
відповідно до стандартів NIST.[br]А Kyber, як і NH, перебуває
0:25:28.917,0:25:33.617
у полі з мін із семи патентів.
0:25:33.801,0:25:37.331
Це не означає, що всі сім — чинні.[br]Але це складна справа. Щоб оцінити патент,
0:25:37.331,0:25:43.639
треба розуміти патентне право,[br]і знати, як інтерпретувати пріоритети,
0:25:43.666,0:25:47.226
перекриття, розширення.[br]Все дуже заплутано.
0:25:47.226,0:25:51.511
Один із простих способів позбутись патентів —[br]викупити їх і зробити публічними.
0:25:51.565,0:25:57.175
І NIST у липні заявив: ми ведемо [br]переговори з третіми сторонами,
0:25:57.175,0:26:01.130
аби підписати угоди і уникнути [br]потенційних патентних проблем.
0:26:01.130,0:26:04.650
Чудово! Отже, можна використовувати Kyber?
0:26:04.650,0:26:06.771
Але компанії кажуть:
0:26:06.771,0:26:11.721
«Покажіть нам самі угоди, будь ласка».
0:26:12.154,0:26:14.504
Наприклад, Скотт Флюрер із Cisco заявив:
0:26:14.627,0:26:17.627
Cisco не зможе впровадити Kyber,[br]поки ми не побачимо текст ліцензій.
0:26:18.647,0:26:26.217
А потім виявилось: NIST узагалі[br]нічого не підписував у липні.
0:26:26.217,0:26:32.841
Але в листопаді вони нарешті сказали:[br]так, ми підписали дві ліцензійні угоди.
0:26:33.661,0:26:35.648
І ось трохи з їхнього змісту.
0:26:35.648,0:26:37.908
Ура, супер, можна використовувати Kyber
0:26:37.908,0:26:42.107
Але якщо уважно прочитати,[br]ліцензії стосуються лише стандарту,
0:26:42.107,0:26:43.527
який описав NIST.
0:26:43.527,0:26:50.359
І будь-яке модифікування або використання[br]чогось, що не є цим стандартом, — заборонено.
0:26:50.781,0:26:54.621
Тобто, Kyber не можна змінювати або[br]використовувати поза стандартом NIST.
0:26:54.864,0:27:00.874
Можливо, ти думаєш: ну, вони ж уже обрали Kyber,[br]вони ж його стандартизували в липні?
0:27:00.874,0:27:06.192
Ні. Насправді в липні[br]вони лише заявили про наміри.
0:27:06.192,0:27:12.035
Вони планують стандартизувати Kyber —[br]а це не те саме, що «він уже стандартизований».
0:27:12.035,0:27:18.421
Планується, що стандартизацію Kyber[br]завершать у 2024 році.
0:27:18.631,0:27:24.571
І проблема в тому, що ми досі не знаємо,[br]яким саме буде фінальний Kyber у 2024.
0:27:24.571,0:27:32.629
Бо досі пропонують зміни.[br]Тобто навіть якщо вийде стандарт у 2024
0:27:32.814,0:27:38.465
і якщо ліцензія дозволяє використовувати Kyber,
0:27:38.465,0:27:42.985
то, можливо, у 2023 вони [br]вже визначили Kyber,
0:27:43.386,0:27:47.895
І можливо інші 5 сімей патернів [br]не зачеплять Kyber.
0:27:48.640,0:27:52.994
Буває, що люди проходять мінне [br]поле — і не вибухають.
0:27:53.995,0:27:57.285
Отже, ми дійшли до кінця доповіді.
0:27:57.285,0:28:00.525
Ми вже достатньо розповіли про [br]затримки та обхідні шляхи.
0:28:00.525,0:28:01.970
А тепер — що ми мали на увазі під словом «катастрофа»?
0:28:01.970,0:28:05.269
Звісно, якщо зламається те, що
0:28:05.269,0:28:10.442
було використано у тестах Google [br]або Cloudflare, це — катастрофа.
0:28:10.442,0:28:13.569
Але вони використовували резервний варіант —[br]використовували гібриди.
0:28:13.569,0:28:15.247
Тому це ще нормально.
0:28:15.247,0:28:19.170
Справжня катастрофа — це те,[br]що ми у 2022 році, а у нас
0:28:19.170,0:28:24.770
досі нема постквантової криптографії[br]на телефонах чи комп’ютерах.
0:28:24.770,0:28:28.374
Ми можемо вказати на [br]приклади впровадження,
0:28:28.374,0:28:30.594
але загалом — це не масово.
0:28:30.594,0:28:34.216
Твої дані все ще зашифровані[br]алгоритмами,
0:28:34.216,0:28:37.430
що можна зламати квантовим комп’ютером.
0:28:37.430,0:28:38.923
І це — справжня катастрофа.
0:28:38.923,0:28:42.761
Дякуємо за увагу!
0:28:45.844,0:28:47.114
Дякую, дякую!
0:28:47.114,0:28:53.395
Нерозбірливо
0:28:53.395,0:28:57.444
...або технології, які я використовую[br]у фоновому режимі,
0:28:57.444,0:28:58.444
можливо, вже постквантові.
0:28:58.444,0:29:01.750
Я думаю, що моє SSH-з'єднання[br]вже використовує щось таке,
0:29:01.750,0:29:02.750
тож, можливо, все не так погано.
0:29:02.750,0:29:05.868
Ми завжди можемо покладатися [br]на OpenBSD.
0:29:06.593,0:29:07.833
Однозначно
0:29:10.769,0:29:15.182
Подивимось, чи є запитання.
0:29:15.182,0:29:21.182
Ось одне: я розробник, створюю додаток.
0:29:21.182,0:29:22.958
не обов'язково криптографічний —
0:29:22.958,0:29:26.936
як мені впевнитись, що алгоритм стійкий[br]у постквантову еру?
0:29:26.936,0:29:28.652
Чи можу я вже зараз використовувати [br]гібридний підхід,
0:29:28.652,0:29:31.947
щоб захистити своїх користувачів?
0:29:32.293,0:29:35.753
О! У нас є слайд саме для цього![br]Покажи слайд!
0:29:36.154,0:29:39.494
Ми передбачили це питання.
0:29:39.494,0:29:41.964
Так, це все виглядає депресивно —[br]але ось що робити:
0:29:41.964,0:29:45.954
Ми маємо слайд з практичними діями,[br]які ти можеш зробити вже зараз.
0:29:45.954,0:29:53.748
І наша порада: використовуй гібриди.[br]Мені здається, я вже казала це у 2016-му.
0:29:53.748,0:29:57.720
Я тоді казала: «Ось, дивись, що ти можеш зробити[br]вже зараз, ось наші пропозиції».
0:29:57.721,0:30:02.241
Ми вважаємо ці варіанти дуже безпечними.[br]І ось я знову тут — у грудні 2022-го.
0:30:02.241,0:30:07.958
і я кажу: McEliece — це дуже обережна система.[br]І вона не має тих патентних проблем, які має Kyber.
0:30:08.665,0:30:13.595
Що ж таке гібрид?
0:30:13.595,0:30:17.305
Це комбінація передквантової та [br]постквантової криптографії.
0:30:17.305,0:30:21.232
У шифруванні обидва мають брати [br]участь у генерації ключа.
0:30:21.970,0:30:26.590
У цифровому підписі —[br]обидва підписи мають бути чинними окремо.
0:30:26.590,0:30:30.259
Тільки тоді гібридний підпис — справжній підпис.
0:30:32.764,0:30:39.684
Є багато бібліотек, які можна подивитись,[br]щоб отримати уявлення про різні системи.
0:30:39.684,0:30:45.306
Ти можеш спробувати реалізувати їх.[br]Якість бібліотек зараз вже набагато краща,
0:30:45.306,0:30:50.890
ніж кілька років тому.[br]Постквантові реалізації стають зрілими.
0:30:50.890,0:30:55.844
Люди вкладають багато зусиль[br]у їх вдосконалення. Але ризики залишаються.
0:30:55.844,0:31:01.738
Проте ризик нічого не робити —[br]набагато більший.
0:31:01.738,0:31:03.887
Бо якщо ти нічого не зробиш,[br]твоя інформація залишиться вразливою
0:31:03.887,0:31:05.914
для майбутніх атак[br]з боку квантових комп’ютерів, які вже
0:31:05.914,0:31:08.731
сьогодні записують ці дані.[br]Тож краще експериментуй.
0:31:08.731,0:31:13.104
Ось приклад бібліотеки,[br]яка реалізує кілька різних алгоритмів
0:31:13.104,0:31:15.805
називається Quantum Safe OQS.
0:31:15.805,0:31:19.314
Є й інші бібліотеки, які працюють[br]із певними криптосистемами.
0:31:19.314,0:31:26.352
Тож у більшості розробників є якийсь застосунок,[br]але знову ж таки: потрібно оцінювати якість.
0:31:26.352,0:31:31.798
Нова бібліотека, яка з’являється — lib.js.
0:31:31.798,0:31:35.822
У неї вже є кілька перевірок, і я би [br]сказав, що вона надійна.
0:31:35.822,0:31:42.109
Але, на жаль, єдиний постквантовий [br]алгоритм у ній — це Kyber.
0:31:42.532,0:31:47.272
І якщо ви плануєте на 2024 — добре.[br]Але на зараз — це ще не варіант.
0:31:47.272,0:31:48.874
Він ще не підходить для повноцінного використання прямо зараз.
0:31:48.874,0:31:56.830
Якщо хочете щось швидке — подивіться,
0:31:56.830,0:32:00.900
що використовують OpenSSH чи [br]Google з NTRU-HRSS.
0:32:00.900,0:32:03.790
Ця система хоча б частково протестована.
0:32:03.790,0:32:08.336
Можна спробувати. Але завжди — [br]використовуйте гібриди з ECC.
0:32:08.338,0:32:13.448
На всяк випадок —якщо постквантовий [br]компонент раптом зламається.
0:32:14.120,0:32:18.621
Але ж складно створити власну [br]систему об’єднання?
0:32:18.621,0:32:21.551
Має бути правильний спосіб поєднання.
0:32:21.551,0:32:24.851
Мені ж потрібно якось об’єднати класичний[br]і постквантовий метод.
0:32:25.295,0:32:28.590
Так, це можливо.
0:32:28.590,0:32:32.860
Іноді достатньо просто: підписати[br]першим алгоритмом,
0:32:32.860,0:32:34.824
підписати другим,[br]а потім перевірити обидва підписи.
0:32:35.314,0:32:42.884
Але ми бачили приклади, де все пішло не так.[br]Треба бути дуже обережними.
0:32:43.375,0:32:48.873
Для шифрування зазвичай використовують [br]ECC для обміну ключем,
0:32:48.873,0:32:52.405
а потім постквантову систему для другого обміну.
0:32:52.405,0:32:57.350
І далі об’єднуєш два ключі[br]через улюблену хеш-функцію.
0:32:57.217,0:32:59.670
Стандартна криптографічна хеш-функція —[br]це завжди добре.
0:32:59.670,0:33:01.960
Але ти казав про поєднання —
0:33:01.960,0:33:04.833
є чимало досліджень на цю тему...
0:33:06.936,0:33:10.916
Йдеться про криптографічну хеш-функцію.[br]Не використовуй просто якусь xx hash-функцію.
0:33:10.916,0:33:13.699
Використовуй ту, яка справді є криптографічною.
0:33:13.699,0:33:20.316
Наприклад, SHA-512 —[br]так, її створили в NSA, але
0:33:20.316,0:33:23.700
вона витримала безліч спроб зламати її[br]і все ще тримається.
0:33:23.700,0:33:28.633
Є ще SHA-3, який теж пройшов [br]публічне оцінювання.
0:33:28.633,0:33:35.580
І в більшості випадків немає проблем з тим,[br]щоб взяти два 32-байтові рядки, з’єднати їх
0:33:35.580,0:33:40.345
та пропустити через хеш-функцію.[br]І це буде ваш симетричний ключ.
0:33:42.526,0:33:45.960
Є навіть пропозиції,[br]як саме це правильно зробити.
0:33:45.980,0:33:50.188
Наприклад, IRTF або точніше — CFRG RFC.[br]А також деякі рекомендації від NIST.
0:33:50.278,0:33:54.658
Щодо використання гібридів[br]у стандартних сценаріях.
0:33:54.658,0:34:00.360
І трохи самореклами —[br]у нас є слайд із попередніми дослідженнями.
0:34:00.366,0:34:05.646
Там ми детально описали[br]підходи до впровадження та об'єднання гібридів.
0:34:06.268,0:34:15.518
Як робити це правильно.[br]Звісно, є ще етап вибору системи.
0:34:15.706,0:34:22.868
Потрібно обрати свою систему.[br]І як бачиш — є багато ризиків у реальному світі.
0:34:22.868,0:34:27.096
Можу згадати Skype як приклад для експериментів
0:34:27.096,0:34:30.346
але проблема в тому, якщо хочеш [br]запустити продакшн.
0:34:30.346,0:34:36.697
Але якщо це лише для досліджень чи хобі —[br]то це не страшно.
0:34:36.697,0:34:37.398
Якщо ти просто граєшся з цим,[br]або хочеш написати статтю — все ок.
0:34:37.398,0:34:41.268
але для продакшену — треба бути обережним.
0:34:41.268,0:34:47.380
І от вам вибір: або як Google — спробувати [br]щось нове і перевірити, чи не вибухне.
0:34:47.380,0:34:52.890
І нам пощастило — воно не вибухнуло.[br]Тож Google міг далі використовувати
0:34:52.890,0:34:57.637
NH або потім NTRU разом із ECC.[br]Або можна піти іншим шляхом:
0:34:57.637,0:35:02.013
Пріоритет безпеці.
0:35:02.013,0:35:05.773
Готовність втратити трохи швидкості та пропускної здатності.
0:35:05.773,0:35:10.433
Взяти найобережніші постквантові системи[br]і поєднати їх із ECC або RSA.
0:35:10.656,0:35:15.866
Це — вибір, який доведеться зробити,[br]якщо ви плануєте реалізацію.
0:35:18.750,0:35:26.899
То чи нормально використовувати алгоритм,[br]який ще бере участь у конкурсі?
0:35:26.899,0:35:29.948
Який ще не стандартизований[br]або можливо ніколи не буде?
0:35:29.948,0:35:33.636
Навіть якщо для нього ще немає[br]відомих атак?
0:35:34.242,0:35:45.292
Коли бачиш так багато червоних міток —[br]починаєш думати:
0:35:45.292,0:35:47.502
ми, криптографи, взагалі щось тямимо?
0:35:47.502,0:35:52.533
Як може бути стільки поламаного?[br]Це реально ризиковано.
0:35:52.533,0:36:00.725
Але факт вибору NIST не додає[br]дуже багато впевненості.
0:36:00.866,0:36:03.526
Окей, хочеш прокоментувати?
0:36:03.730,0:36:08.910
Хочу сказати, що ті системи, які відкинули[br]на першому етапі, ніхто більше не досліджував.
0:36:08.910,0:36:15.973
Люди втратили інтерес.[br]Але ті, що пройшли далі — досліджувалися більше.
0:36:15.973,0:36:26.669
Наприклад, NTRU Prime і HRSS-KEM[br]вийшли в третій раунд.
0:36:26.669,0:36:29.579
Але не перемогли у «конкурсі краси»,[br]який влаштував NIST.
0:36:29.579,0:36:32.696
Я вважаю, вони не гірші за ті,[br]що залишилися в фіналі.
0:36:32.762,0:36:42.932
І взагалі всі тут — лякають.[br]Але Google і OpenSSH таки щось вибрали.
0:36:44.410,0:36:48.811
Але більшість із 69 пропозицій —[br]вже не мають
0:36:48.811,0:36:52.990
того рівня безпеки,[br]який вони мали п’ять років тому.
0:36:54.605,0:37:02.715
Атаки стали сильнішими,[br]а деякі системи не мали запасу міцності.
0:37:02.715,0:37:12.424
Щоб зробити обґрунтоване рішення,[br]треба розуміти історію кожної з них і подумати:
0:37:12.424,0:37:17.344
Як довго їх досліджували?[br]Наскільки вони вистояли?
0:37:17.965,0:37:22.665
Деякі досліджені мало,[br]деякі — трохи більше.
0:37:22.665,0:37:28.514
Це і формує ризик.
0:37:29.865,0:37:34.565
Three Bears — гарна система.[br]Але після другого етапу її покинули.
0:37:34.565,0:37:38.665
І відтоді її майже ніхто не досліджував.
0:37:39.731,0:37:44.351
Вона може бути хорошою —[br]але ми цього точно не знаємо.
0:37:45.820,0:37:54.770
Ті, що пройшли в третій тур — [br]чорні та сірі на слайді — переважно ок.
0:37:56.460,0:37:59.474
І, звісно, сині.
0:38:00.302,0:38:05.492
Отже, вибирай ті, що сині або чорні.[br]Можна вважати, вони найкращі.
0:38:05.541,0:38:08.910
І наостанок — швидке питання:
0:38:08.910,0:38:10.984
якщо я параноїк у фользяному капелюсі
0:38:10.984,0:38:13.830
що я можу зробити,[br]щоб захистити своє спілкування?
0:38:16.718,0:38:18.878
Пропускай усе через OpenSSH.
0:38:18.878,0:38:20.703
Це вже непоганий старт.
0:38:20.703,0:38:23.409
Але, звісно, треба мати
0:38:23.409,0:38:27.787
клієнта і сервер, які це підтримують.
0:38:27.787,0:38:31.464
І хоча є деякі експериментальні реалізації —
0:38:32.143,0:38:35.603
масового впровадження майже нема.
0:38:35.808,0:38:40.258
VPN — ще один приклад.[br]Так, є постквантові VPN-рішення.
0:38:40.258,0:38:43.390
У Movad є постквантова альтернатива —
0:38:43.390,0:38:46.530
вони використовують McEliece, вони використовують
0:38:46.530,0:38:54.230
WireGuard для VPN, і у WireGuard є[br]опція додавання додаткового ключа
0:38:54.230,0:38:57.042
попередньо узгодженого ключа, який[br]Movad використовує разом із McEliece,
0:38:57.042,0:39:00.662
тобто ви завантажуєте це через McEliece, щоб [br]забезпечити постквантовий захист у Movad
0:39:00.662,0:39:06.940
Тобто це VPN, який не просто між[br]двома точками — зазвичай ви хочете повністю
0:39:06.940,0:39:11.296
з'єднатися з сайтом, до якого підключаєтеся, і[br]якщо у вас наскрізний захист,
0:39:11.296,0:39:14.744
це означає, що і клієнт, і сервер повинні[br]підтримувати постквантову криптографію
0:39:14.802,0:39:19.162
а оскільки впровадження затягнулося,[br]то наразі вона не настільки поширена, як
0:39:19.540,0:39:23.220
я очікував кілька років тому, коли[br]навколо неї було багато
0:39:23.420,0:39:24.410
ентузіазму
0:39:24.410,0:39:28.176
нерозбірливо
0:39:28.176,0:39:33.879
Добре, Таня хоче, щоб я розповів про PQ Connect,[br]він незабаром вийде і, сподіваюся, спростить
0:39:33.879,0:39:38.109
впровадження постквантової криптографії[br]для захисту вашого з'єднання
0:39:38.164,0:39:43.440
від початку до кінця, але його ще не[br]випустили, тож я не можу сказати багато
0:39:44.903,0:39:50.673
Я з нетерпінням чекаю PQ Connect. Думаю,[br]це все, дякуємо, що були з нами
0:39:50.690,0:39:55.380
і ділилися своїми знаннями, оновленнями,[br]пов’язаними з постквантовою криптографією
0:39:56.278,0:39:59.868
Велике спасибі Тані Ланге[br]та D.J.B!
0:40:00.412,0:40:02.188
Дякуємо!
0:40:02.188,0:40:12.595
[Translated by Marta-Sofiya Klakovych[br](KYBS2004 course assignment at JYU.FI)]