[Translated by Marta-Sofiya Klakovych
(KYBS2004 course assignment at JYU.FI)]

<i>музика</i>

Ласкаво просимо до цього хаотичного
року та заходу

Я Кара і я буду вашим диктором

Мені приємно оголосити доповідь

Пост-квантова криптографія:

обхідні шляхи, затримки та катастрофи,

яку представляють Таня Ланге
та Д. Дж. Бернштейн.

Таня Ланге — криптограф і математик,

яка спеціалізується на пост-квантовій криптографії,

яка замінює ту криптографію,
яку ми використовуємо сьогодні

на варіанти, які є безпечними
проти атак квантових комп’ютерів.

Вона є професоркою технічного

університету Ейндговена

і може пишатися численними
публікаціями та відзнаками.

Вона також була координаторкою PQCrypto,

що є загальноєвропейською ініціативою

для впровадження пост-квантової криптографії.

Д. Дж. Б. є професором університету

Іллінойсу в Чикаго

а також професором Університету Бохума.
Він працює в галузі криптографії

і розробив шифрувальні системи, які використовуються

у криптографії з відкритим кодом,
можливо, ви зараз

використовуєте одну з них,
дивлячись цю доповідь.

Разом вони реалізували вражаючу
кількість проєктів

від спрощення впровадження
безпечної криптографії

до створення безпечних
постквантових типів даних.

Обоє є активістами, які борються

за прозоріший процес
стандартизації криптографії.

А тепер всі, поплескайте своїми лапками

Давайте поаплодуємо
Тані Ланге та Д. Дж. Б.!

Добре, дякуємо за гарне представлення,

давайте одразу перейдемо до справи —
почнемо з HTTPS

Коли ви заходите на сайт із HTTPS
(або захищене з’єднання)

ви використовуєте TLS — протокол безпеки

транспортного рівня —
щоб захистити ваше з’єднання.

TLS використовує два типи криптографії
з кількох причин.

По-перше, він покладається
на криптографію з відкритим ключем.

Вона виконує дві функції:
по-перше, вона забезпечує підписи.

Підписи з відкритим ключем —
вони гарантують, що зловмисник не зможе

підмінити дані сервера
своїми власними

і прикидатися сервером.

Також TLS використовує
шифрування з відкритим ключем

наприклад, NIST P-256 або
RSA-4096 як систему підпису

NIST P-256 також можна використовувати
для шифрування, щоб ваші дані були захищені,

щоб він (зловмисник) не міг їх зрозуміти.

Через причини, пов’язані з продуктивністю,
криптографія складніша, ніж

просто криптографія з відкритим ключем —
вона також включає симетричну криптографію

іноді її називають
криптографією із секретним ключем.

Коли ви збираєте все разом у TLS,
ви отримуєте три основні складові:

це шифрування з відкритим ключем,

яке не шифрує всі ваші дані, а натомість

шифрує лише ключ,
щоб зловмисники не могли його зрозуміти.

Цей ключ надсилається
безпечно і конфіденційно

від однієї сторони до іншої,

а підписи з відкритим ключем
використовуються, щоб переконатися,

що зловмисник не може підмінити
інший ключ

і в кінці цей ключ використовується

для захисту ваших даних
із використанням симетричної криптографії

усі інші протоколи, які ви використовуєте,

можна було б представити
у подібних слайдах

наприклад, SSH, але вони всі працюють
майже однаково

я зараз підкреслю два елементи на цьому слайді

RSA-4096 —
типова система для підпису

і типова система шифрування —
NIST P-256.

Тому що ці дві (системи) будуть зламані
через квантові комп’ютери.

Без квантових комп’ютерів
жодних відомих

загроз не існувало б, але

якщо в атакуючого буде
великий квантовий комп’ютер

а це, найімовірніше, станеться

хоча це не гарантовано —
може, спроби створити квантовий комп’ютер

зазнають невдачі з якихось причин

але зараз виглядає так,
що квантові комп’ютери

стають дедалі успішнішими

і як тільки вони стануть достатньо потужними

можливо, за десять років.

Тоді нападники зможуть запустити
алгоритм атаки,

який називається алгоритмом Шора,
що знаходить ваші секретні RSA-ключі і

секретні ключі NIST P-256,
і тоді зловмисники зможуть

отримати доступ до інформації,
яку вони вже зараз зберігають

це загроза не лише майбутнім даним,

але і конфіденційності ваших поточних даних

бо зловмисники вже зараз
зберігають все, що можуть, з Інтернету

і коли у них буде
великий квантовий комп’ютер

вони зможуть розшифрувати все заднім числом,
бо зламають RSA-4096

і NIST P-256,
а саме NIST P-256 забезпечує шифрування

і вони зможуть повернутися в минуле

і зламати шифрування, яке ви використовуєте сьогодні.

Що ж нам із цим робити?

Стандартний підхід — це те,
що ми називаємо

постквантовою криптографією —
ви вже чули цю назву раніше, вона була

в назві нашої доповіді —
це криптографія, яка створена спеціально

з урахуванням того,
що атакуючий має квантовий комп’ютер.

Тож, як уже казав ведучий,

я була координаторкою проєкту PQCRYPTO

і це означає, що я об’їздила
світ із доповідями про постквантову криптографію.

Ось скріншот із виступу,
який я провела шість з половиною років тому

де я підкреслювала, як сьогодні це зробив Ден,
важливість постквантової криптографії

і наголошувала, що важливо давати рекомендації,

які визначають, які алгоритми
варто використовувати для заміни RSA та

NIST P-256, які
ви бачили на попередніх слайдах

і тоді я поставила питання —
чи варто нам стандартизувати зараз чи пізніше.

Аргументи існують з обох сторін,
і ну… якби ми стандартизували тоді,

шість років тому, здавалося, що

ще занадто багато роботи, і що ми отримаємо

набагато кращу систему,
якщо трохи зачекаємо,

але з іншого боку існує занепокоєння
через дані, які збирають уряди та інші темні сили.

І чим пізніше це буде опубліковано, тим більше даних і безпеки буде втрачено,

тому важливо просуватися вперед,
і тоді нашою відповіддю було таке:

те, що я просувала у 2016 році —
це рекомендації, опубліковані у 2015 році, в яких

йшлося про те, що
стандартизація займає багато часу

ми ще не на тій стадії,
але якщо хтось хоче захистити себе.

Ось що ми… ну, тобто ціла група дослідників,

які підписали цю заяву
як частину проєкту PQCRYPTO.

Що ми рекомендували?
Наша рекомендація була у тому, що ми назвали

«обережною криптографією»

і це не означає
політичний консерватизм

це означає щось нудне,
щось, що вже давно відоме

багато людей його вже проаналізували,
і ми не очікуємо жодних змін.

У сфері симетричних ключів, як уже казав Ден,

квантові комп’ютери на них не впливають

тому якщо використовувати достатньо великі ключі

256-бітові ключі,
то AES або Salsa20 є достатніми.

Те саме стосується аутентифікації —
якщо ви отримали ключ, його не підробити

але для шифрування і підписів
з відкритим ключем, RSA-4096

і ECC NIST P-256 — їх потрібно замінити
і ми маємо альтернативи.

Ось рекомендація з високим рівнем довіри:

використовуйте систему МакЕліса —
назва ще з’явиться пізніше

і використовуйте
сигнатури, засновані на хешах

ми також представили деякі алгоритми
як «перебувають у стадії оцінювання»

що означає — поки не варто їх використовувати

але згодом вони можуть виявитися придатними.

І для нас це нормально — ми вбили кілок у землю,

ми сказали: «Ось, це безпечно»

і люди повинні діяти відповідно,
і всі житимуть довго і щасливо

і наш виступ на цьому завершено.

...чи всі дійсно
житимуть довго і щасливо?

до кінця свого життя?

Давайте подивимось,
що сталося насправді після цього

Організація… ну,
речі, які мали бути оприлюднені

насправді був один експеримент,
який Google проводив.

у 2016 році Google Chrome
додав постквантовий варіант

це не означає, що кожен

вебсервер підтримував його —
це був просто експеримент

Google активував його лише на деяких своїх серверах і сказав:

«Добре, подивимось, як це працює»,

і звучали дуже натхненно у своєму блозі

де вони оголосили,
що допомагають користувачам захиститися

від квантових комп’ютерів —
подивимось, чи спрацює.

Система, яку вони використовували,
називалася New Hope (NH).

Вони шифрували не лише за допомогою NH

NH є постквантовою шифрувальною системою

Вони також шифрували традиційною криптографією

— еліптичними кривими ECC.

Як уже згадувала Таня —
NIST P-256 — приклад ECC

іншим прикладом ECC є x25519 —
ви, ймовірно, використовуєте це сьогодні

щоб шифрувати свої дані. 
І ось що зробив Google:

Він шифрував NH для
постквантового захисту

і одночасно шифрував
x25519, як вони роблять

зазвичай і сьогодні —
ідея була в тому, що якщо щось

піде не так із NH,
то ми все одно маємо звичайний захист.

Тобто, щонайменше,
немає негайної загрози

безпеці — вони не погіршують ситуацію

звісно, якщо NH зламано,
то й не покращують

але основна ідея —
спробувати зробити краще і

в той же час переконатися,
що не стане гірше — шифруючи обома:

традиційним і постквантовим методом

План «Б» дуже важливий,
бо NH — нова шифрувальна система,

тобто у 2016 вона була новою. 
Ключові елементи NH були створені

у 2010, 2014 і 2015 роках —
а це не так багато часу для перевірки

в криптографії іноді минають роки,
поки знаходять вразливості

тому дуже важливо, щоб новим шифрувальним системам дали час дозріти.

Інша проблема з новими шифрувальними системами

— їх можуть запатентувати.
Патенти діють 20 років, і це сталося

з NH. Власник патенту звернувся
до Google і сказав: «Я хочу гроші за ваше

використання NH». Google
ніколи публічно не коментував цю

патентну загрозу, але з якихось причин

у листопаді 2016 року вони прибрали NH

з Chrome і своїх серверів.
У 2016 році також сталися інші події:

в уряді США є установа — NIST,
яка має довгу історію співпраці

з Агентством нацбезпеки США (NSA).
NIST оголосив, що наприкінці 2017 року

вони хочуть, щоб криптографи подали
пропозиції

щодо постквантових алгоритмів —
для шифрування й підпису,

які згодом можна було б стандартизувати.
Цікавий момент з їхньої заявки:

не дозволено надсилати гібриди — тобто
системи, які шифрують і

за допомогою постквантових алгоритмів, і ECC,
або підписують чимось, що ви вже використовуєте, разом із

постквантовим рішенням.
Вони сказали, що алгоритми не повинні

включати ECC чи будь-який інший алгоритм,

який може бути зламаний квантовими комп’ютерами.

З точки зору розробника додатків,
зручно мати ECC-шар окремо

і сказати: що б ви не робили
з постквантовим алгоритмом,

все одно поєднуєте його з x25519, наприклад.
Але вони не сказали, що треба

поєднувати все з ECC — наприклад,
x25519 як окремий шар. Вони сказали:

не подавайте нічого,
що поєднується з ECC

Провівши цей конкурс на постквантові системи,
NIST надіслав сигнал компаніям:

почекайте, не впроваджуйте
постквантову криптографію поки що

і тут був і батіг, і пряник.
Батіг — це патенти: Google щойно

втрапив у халепу через використання
чогось, на що раптом знайшовся патент

що ще може бути запатентоване?
А NIST сказав: у нас є процес,

який веде до криптографічних стандартів,
які можна реалізовувати вільно,

тобто патенти не завадять вам це використовувати.

І вони також сказали, що виберуть щось,

що буде досить надійним —
безпека буде головним критерієм у відборі.

І отже, галузь сказала: «Добре,
чекаємо від NIST рішення», а інші

органи стандартизації — також.
У IETF є свій дослідницький підрозділ,

IRTF, який створює стандарти для Інтернету.
І криптографічна група в IRTF сказала:

ми стандартизуємо те, що вже є в роботі,
наприклад, геш-функції,

але для всього іншого —
чекаємо NIST. ISO теж сказала, що чекає

NIST. Не всі організації сказали це —
наприклад, уряд Китаю

заявив, що проведе свій власний конкурс.
Але, ну… кого це цікавить?

Тож повертаємося до конкурсу NIST:
ось усі заявки. Наприкінці 2017 року

було 69 заявок від 260 криптографів.
Я не буду зачитувати всі імена, але це була

величезна кількість роботи
для аналітиків у криптографії.

Ми весело проводили час на початку 2017-го,
а ті, хто бачив нас на сцені у 2018-му,

знають, що ми розповідали про те,
як весело нам було зламувати ці пропозиції

але це була справжня купа роботи.
Подивимось, що зробив NIST з конкурсом.

У 2019-му, тобто через два роки —
ну, рік із чимось — вони почали

скорочувати кількість кандидатів
до 26. А в липні 2020-го

їх ще скоротили — до 15.
Мета була зосередитись на тому,

що має сенс, і пріоритет давали
найбезпечнішим кандидатам, за винятком

випадків, де застосування вимагало
більшої ефективності

Насправді ні — вони зовсім так не робили.
Якщо почитати звіт і подивитись,

яких кандидатів вони обрали —
щоразу, коли був вибір

між швидкістю і безпекою,
звісно, вони відсікали

алгоритми, які були повністю зламані,
і ті, що були дуже неефективні

але от вам приклад — SPHINCS,
який згадувала Таня раніше,

дуже обережний, усі погоджуються, що це — найбезпечніша система підпису

Але NIST не сказав: «Використовуйте SPHINCS»,

а: «Ми зачекаємо стандартизації SPHINCS+,

хіба що стільки всього виявиться зламаним,
що доведеться взяти SPHINCS+»

І от у липні цього року NIST
оголосив, що обирає чотири стандарти

один із них — SPHINCS+, а ще чотири
кандидати залишаються під розглядом

виглядає так, ніби впевненість трохи похитнулась.

Тож що ж сталося?

Картинка з 69 заявками змінилася,
якщо перемотати час на 5,5 років вперед

Ось кольорове кодування:

сині — це ті, що залишаються в конкурсі NIST,

тобто чотири алгоритми, які 
мають стати стандартами,

і ще чотири кандидати четвертого раунду.

Сірі не пройшли далі —
це не означає, що вони були зламані,

але їх відсіяли настільки рано,
що ніхто вже не мав інтересу їх ламати.

Коричневий означає менш захищений,
ніж було заявлено;

червоний — означає справді зламаний,
а підкреслений червоний — це

повністю-повністю зламаний.

Як бачите, зламаних систем багато.

Є також цікавий фіолетовий у 
нижньому правому куті

якщо пам’ятаєте уроки малювання —
фіолетовий — це суміш червоного і синього.

SIKE було обраноу липні,

а вже в липні і зламано —
після 5 років аналізу,

його зламали за лічені секунди.

Це приклад того, коли щось справді пішло не так

і низка дрібних подій
похитнула впевненість

тому NIST хоча б обрав SPHINCS,
але це не призвело до обрання

інших обережних варіантів —
деякі з них ще «дозрівають»,

але ця сфера поки що не зріла.

А що відбувалося тим часом
із боку впровадження?

Згадайте: було два моменти на слайдах Тані
ще з 2016 року. Вона сказала:

було б добре вже впровадити щось,
щоб захистити користувачів, бо

у нас є проблема з безпекою вже зараз —
зловмисники

вже записують все, і ми повинні
намагатися захиститися від цього, і

зробити це швидше, ніж
триває процес стандартизації.

Google почав це у 2016-му,
але злякався патентної загрози.

До 2019-го галузі й багато проєктів з 
відкритим кодом

подумали: можливо, вже час впроваджувати нові рішення.

Щось пішло не так у 2016-му,

але на той момент NIST уже зібрав
підтвердження від усіх учасників конкурсу

і з’ясував, які пропозиції
є запатентованими. Це дало нам

багато інформації, коли 260 криптографів
вказали, що саме захищено патентами

І вже у 2019-му стало ще очевидніше,
що квантові комп’ютери — на горизонті.

Тож приклади того, що сталося у 2019-му: OpenSSH версії 8, надихаючись TinySSH,

оголосив, що додасть гібридний варіант — поєднання алгоритму

на еліптичних кривих
і одного з постквантових кандидатів.

Він не активований за замовчуванням,
але якщо ви додасте рядок у налаштування.

І на сервері, і на клієнті —
використовуватиметься постквантове шифрування.

А якщо постквантова частина буде зламана,
ви все одно маєте ECC як захист.

У липні 2019 року Google і Cloudflare
запустили експеримент

із постквантовим шифруванням.

У ньому були дві версії:
деякі користувачі шифрували з NTRU-HRSS

у поєднанні з ECC, звісно —
завжди використовуйте гібриди. Інша версія:

використовувала SIKE-p і ECC.
Так, Таня сказала: «Ой».

Це приклад того, наскільки важливо
поєднувати все з ECC, щоб не втратити

поточний рівень безпеки —
усі ми зараз користуємось ECC.

Тож використовуйте і постквантові системи, і ECC,

щоб у гіршому випадку втратити лише час,

а в кращому — щось виграти.

Принаймні користувачі SIKE-p мають захист ECC.

Також у жовтні 2019 року Google оголосив
про досягнення квантової переваги —

мається на увазі, що квантовий комп’ютер
виконав задачу швидше,

ніж будь-який суперкомп’ютер.

Це було не щось практичне,
і мине ще багато років, перш ніж

з’являться реальні задачі, які
квантові комп’ютери вирішуватимуть

швидше за класичні комп’ютери.

Але навіть сама назва — «квантова перевага» —

вже вводить в оману, хоч і є цікавим 
кроком уперед у квантових обчисленнях.

Ця назва, ймовірно, привернула багато
уваги та викликала тривогу.

У 2021–2022 роках OpenSSH, OpenBSD і Google
почали раптово оновлювати свої системи.

OpenSSH версії 9.0 уже включає sntrup 
і ECC за замовчуванням.

Отже, якщо у вас встановлено OpenSSH 9 
на сервері та на клієнті

використовується постквантовий 
алгоритм автоматично.

Насправді, ще версії OpenSSH до 8.5
теж це підтримують, але тоді

вам потрібно вручну його активувати,
щоб сервер і клієнт це використовували.

А в OpenSSH 9 це вже увімкнено за замовчуванням.

Так само і в Google:

з листопада, тобто з минулого місяця,
вони шифрують свою внутрішню

комунікацію за допомогою ntruhrss і ECC.
Тож сподіваємось, ntruhrss працює і

буде безпечним проти квантових 
комп’ютерів у майбутньому.

Це також добре відповідає ідеї
так званого "cleansing code" — чистого коду.

Як уже згадувалося, чистий код
ще не стандартизований у криптографії,

але він заохочує дослідження
і адаптацію користувачів.

Наприклад, американський банківський стандарт
US ANSI NTX9 заявив, що

у майбутньому вони перейдуть
на постквантові стандарти.

Тобто вони очікують на спільне використання
класичної криптографії

яку ще називають передквантовою —
і постквантової одночасно.

Одна — стандартизована і перевірена,
інша — ще нова і трохи незручна, але

нам вона потрібна для довготривалої безпеки.

І, можливо, в довгій перспективі

нам справді потрібна буде ця 
гібридна комбінація.

Далі — зі США до Франції:

від ANSI до ANSSI —
французьке агентство з кібербезпеки.

Вони теж кажуть: не використовуйте постквантові

алгоритми окремо, бо вони ще не дозріли.

Але ця незрілість — не привід
відкладати перші кроки впровадження.

ANSSI заохочує впроваджувати гібриди —
поєднуючи надійний класичний метод

із постквантовим алгоритмом.

Отже, все чудово йде за планом,
який Таня описувала на слайдах у 2016 році.

Стандартизація йде повільно,
але впровадження відбувається паралельно:

ми почали використовувати постквантове
шифрування разом з ECC — на випадок,

якщо щось піде не так —
і щоб захистити користувачів якомога раніше.

Що ж сказала на це влада США?
Починаючи з 2021 року уряд США

дуже чітко дав зрозуміти, чого він хоче.
Ви, мабуть, думаєте — вони хочуть,

щоб ви захищались від квантових атак?
Ні-ні — вони якраз НЕ хочуть, щоб ви

захищались від квантових комп’ютерів.
Ось, наприклад, цитата від NIST —

голови відділу кібербезпеки
Інформаційної лабораторії,

яка і запустила конкурс
на постквантові алгоритми.

У липні 2021 року, невдовзі після того,
як OpenBSD і OpenSSH почали впровадження.

Він сказав: не дозволяйте людям купувати
і впроваджувати нестандартизовану постквантову

криптографію. І ще один приклад — NSA,
яке тісно співпрацює з NIST, заявило:

не реалізовуйте й не використовуйте
нестандартизовану постквантову криптографію.

І щоб, бува, хтось не проігнорував це послання,
агентство безпеки

(ти думаєш, ці агентства між 
собою координуються?)

агентство безпеки заявило: не використовуйте
постквантові криптопродукти, доки

не завершено стандартизацію, впровадження
та тестування замінювальних програм

на основі затверджених алгоритмів від NIST.

Оце вже звучить як тривожний дзвіночок.

А ще дивно те, що вони кажуть:

якщо ви вже впроваджуєте
постквантову криптографію —

не використовуйте гібриди.

І ти можеш подумати: я щось не так зрозумів?
Чи вони справді це сказали?

Ось слайд із конференції — фото 
Маркку Саарінена.

Я була там і можу підтвердити:

виступаючий чітко сказав: не варто
використовувати гібридні підходи.

Він неодноразово повторив:
не використовуйте нічого вже зараз.

Вони також не очікували затвердження
постквантових алгоритмів

на основі логіки "на всяк випадок поєднуй усе".

Пізніше вони опублікували нові інструкції,
де сказано: буде однозначна заміна —

вимикаємо ECC і RSA,
вмикаємо постквантову криптографію.

І їхній аргумент був:
у ECC можуть бути помилки реалізації,

тож вимикай ECC. Погана ідея —
хіба що ти хакер, тоді це ідеально.

Тепер ти, можливо, думаєш:
"Ну ми ж усе одно будемо використовувати

гібриди", навіть якщо NSA каже "не треба".

І ось це речення —
"не використовуйте нестандартизоване"

мабуть, уже неактуальне, правда?

Адже NIST оголосив у липні: 
ми стандартизуємо Kyber.

Тобто: використовуйте Kyber.

Але ні. Насправді вони так не сказали.

Подивімося в деталі.

Пам’ятаєш, як Google 
мав проблеми з патентами для NH?

Ну так от, Kyber — це як син New Hope.

І вони, здається, переплутали Star Wars 
зі Star Trek:

ходили чутки, що Kyber внутрішньо
називали "New Hope: The Next Generation".

Пізніше знайшли кращу назву,
але по суті — Kyber дуже схожий на NH.

І має ті ж проблеми з патентами.
Це єдиний алгоритм шифрування, який обрав NIST.

Вони обрали SPHINCS+
і ще дві схеми підпису,

і лише одну схему шифрування — Kyber.
Це єдиний варіант захисту ваших даних

відповідно до стандартів NIST.
А Kyber, як і NH, перебуває

у полі з мін із семи патентів.

Це не означає, що всі сім — чинні.
Але це складна справа. Щоб оцінити патент,

треба розуміти патентне право,
і знати, як інтерпретувати пріоритети,

перекриття, розширення.
Все дуже заплутано.

Один із простих способів позбутись патентів —
викупити їх і зробити публічними.

І NIST у липні заявив: ми ведемо 
переговори з третіми сторонами,

аби підписати угоди і уникнути 
потенційних патентних проблем.

Чудово! Отже, можна використовувати Kyber?

Але компанії кажуть:

«Покажіть нам самі угоди, будь ласка».

Наприклад, Скотт Флюрер із Cisco заявив:

Cisco не зможе впровадити Kyber,
поки ми не побачимо текст ліцензій.

А потім виявилось: NIST узагалі
нічого не підписував у липні.

Але в листопаді вони нарешті сказали:
так, ми підписали дві ліцензійні угоди.

І ось трохи з їхнього змісту.

Ура, супер, можна використовувати Kyber

Але якщо уважно прочитати,
ліцензії стосуються лише стандарту,

який описав NIST.

І будь-яке модифікування або використання
чогось, що не є цим стандартом, — заборонено.

Тобто, Kyber не можна змінювати або
використовувати поза стандартом NIST.

Можливо, ти думаєш: ну, вони ж уже обрали Kyber,
вони ж його стандартизували в липні?

Ні. Насправді в липні
вони лише заявили про наміри.

Вони планують стандартизувати Kyber —
а це не те саме, що «він уже стандартизований».

Планується, що стандартизацію Kyber
завершать у 2024 році.

І проблема в тому, що ми досі не знаємо,
яким саме буде фінальний Kyber у 2024.

Бо досі пропонують зміни.
Тобто навіть якщо вийде стандарт у 2024

і якщо ліцензія дозволяє використовувати Kyber,

то, можливо, у 2023 вони 
вже визначили Kyber,

І можливо інші 5 сімей патернів 
не зачеплять Kyber.

Буває, що люди проходять мінне 
поле — і не вибухають.

Отже, ми дійшли до кінця доповіді.

Ми вже достатньо розповіли про 
затримки та обхідні шляхи.

А тепер — що ми мали на увазі під словом «катастрофа»?

Звісно, якщо зламається те, що

було використано у тестах Google 
або Cloudflare, це — катастрофа.

Але вони використовували резервний варіант —
використовували гібриди.

Тому це ще нормально.

Справжня катастрофа — це те,
що ми у 2022 році, а у нас

досі нема постквантової криптографії
на телефонах чи комп’ютерах.

Ми можемо вказати на 
приклади впровадження,

але загалом — це не масово.

Твої дані все ще зашифровані
алгоритмами,

що можна зламати квантовим комп’ютером.

І це — справжня катастрофа.

Дякуємо за увагу!

Дякую, дякую!

<i>Нерозбірливо</i>

...або технології, які я використовую
у фоновому режимі,

можливо, вже постквантові.

Я думаю, що моє SSH-з'єднання
вже використовує щось таке,

тож, можливо, все не так погано.

Ми завжди можемо покладатися 
на OpenBSD.

Однозначно

Подивимось, чи є запитання.

Ось одне: я розробник, створюю додаток.

не обов'язково криптографічний —

як мені впевнитись, що алгоритм стійкий
у постквантову еру?

Чи можу я вже зараз використовувати 
гібридний підхід,

щоб захистити своїх користувачів?

О! У нас є слайд саме для цього!
Покажи слайд!

Ми передбачили це питання.

Так, це все виглядає депресивно —
але ось що робити:

Ми маємо слайд з практичними діями,
які ти можеш зробити вже зараз.

І наша порада: використовуй гібриди.
Мені здається, я вже казала це у 2016-му.

Я тоді казала: «Ось, дивись, що ти можеш зробити
вже зараз, ось наші пропозиції».

Ми вважаємо ці варіанти дуже безпечними.
І ось я знову тут — у грудні 2022-го.

і я кажу: McEliece — це дуже обережна система.
І вона не має тих патентних проблем, які має Kyber.

Що ж таке гібрид?

Це комбінація передквантової та 
постквантової криптографії.

У шифруванні обидва мають брати 
участь у генерації ключа.

У цифровому підписі —
обидва підписи мають бути чинними окремо.

Тільки тоді гібридний підпис — справжній підпис.

Є багато бібліотек, які можна подивитись,
щоб отримати уявлення про різні системи.

Ти можеш спробувати реалізувати їх.
Якість бібліотек зараз вже набагато краща,

ніж кілька років тому.
Постквантові реалізації стають зрілими.

Люди вкладають багато зусиль
у їх вдосконалення. Але ризики залишаються.

Проте ризик нічого не робити —
набагато більший.

Бо якщо ти нічого не зробиш,
твоя інформація залишиться вразливою

для майбутніх атак
з боку квантових комп’ютерів, які вже

сьогодні записують ці дані.
Тож краще експериментуй.

Ось приклад бібліотеки,
яка реалізує кілька різних алгоритмів

називається Quantum Safe OQS.

Є й інші бібліотеки, які працюють
із певними криптосистемами.

Тож у більшості розробників є якийсь застосунок,
але знову ж таки: потрібно оцінювати якість.

Нова бібліотека, яка з’являється — lib.js.

У неї вже є кілька перевірок, і я би 
сказав, що вона надійна.

Але, на жаль, єдиний постквантовий 
алгоритм у ній — це Kyber.

І якщо ви плануєте на 2024 — добре.
Але на зараз — це ще не варіант.

Він ще не підходить для повноцінного використання прямо зараз.

Якщо хочете щось швидке — подивіться,

що використовують OpenSSH чи 
Google з NTRU-HRSS.

Ця система хоча б частково протестована.

Можна спробувати. Але завжди — 
використовуйте гібриди з ECC.

На всяк випадок —якщо постквантовий 
компонент раптом зламається.

Але ж складно створити власну 
систему об’єднання?

Має бути правильний спосіб поєднання.

Мені ж потрібно якось об’єднати класичний
і постквантовий метод.

Так, це можливо.

Іноді достатньо просто: підписати
першим алгоритмом,

підписати другим,
а потім перевірити обидва підписи.

Але ми бачили приклади, де все пішло не так.
Треба бути дуже обережними.

Для шифрування зазвичай використовують 
ECC для обміну ключем,

а потім постквантову систему для другого обміну.

І далі об’єднуєш два ключі
через улюблену хеш-функцію.

Стандартна криптографічна хеш-функція —
це завжди добре.

Але ти казав про поєднання —

є чимало досліджень на цю тему...

Йдеться про криптографічну хеш-функцію.
Не використовуй просто якусь xx hash-функцію.

Використовуй ту, яка справді є криптографічною.

Наприклад, SHA-512 —
так, її створили в NSA, але

вона витримала безліч спроб зламати її
і все ще тримається.

Є ще SHA-3, який теж пройшов 
публічне оцінювання.

І в більшості випадків немає проблем з тим,
щоб взяти два 32-байтові рядки, з’єднати їх

та пропустити через хеш-функцію.
І це буде ваш симетричний ключ.

Є навіть пропозиції,
як саме це правильно зробити.

Наприклад, IRTF або точніше — CFRG RFC.
А також деякі рекомендації від NIST.

Щодо використання гібридів
у стандартних сценаріях.

І трохи самореклами —
у нас є слайд із попередніми дослідженнями.

Там ми детально описали
підходи до впровадження та об'єднання гібридів.

Як робити це правильно.
Звісно, є ще етап вибору системи.

Потрібно обрати свою систему.
І як бачиш — є багато ризиків у реальному світі.

Можу згадати Skype як приклад для експериментів

але проблема в тому, якщо хочеш 
запустити продакшн.

Але якщо це лише для досліджень чи хобі —
то це не страшно.

Якщо ти просто граєшся з цим,
або хочеш написати статтю — все ок.

але для продакшену — треба бути обережним.

І от вам вибір: або як Google — спробувати 
щось нове і перевірити, чи не вибухне.

І нам пощастило — воно не вибухнуло.
Тож Google міг далі використовувати

NH або потім NTRU разом із ECC.
Або можна піти іншим шляхом:

Пріоритет безпеці.

Готовність втратити трохи швидкості та пропускної здатності.

Взяти найобережніші постквантові системи
і поєднати їх із ECC або RSA.

Це — вибір, який доведеться зробити,
якщо ви плануєте реалізацію.

То чи нормально використовувати алгоритм,
який ще бере участь у конкурсі?

Який ще не стандартизований
або можливо ніколи не буде?

Навіть якщо для нього ще немає
відомих атак?

Коли бачиш так багато червоних міток —
починаєш думати:

ми, криптографи, взагалі щось тямимо?

Як може бути стільки поламаного?
Це реально ризиковано.

Але факт вибору NIST не додає
дуже багато впевненості.

Окей, хочеш прокоментувати?

Хочу сказати, що ті системи, які відкинули
на першому етапі, ніхто більше не досліджував.

Люди втратили інтерес.
Але ті, що пройшли далі — досліджувалися більше.

Наприклад, NTRU Prime і HRSS-KEM
вийшли в третій раунд.

Але не перемогли у «конкурсі краси»,
який влаштував NIST.

Я вважаю, вони не гірші за ті,
що залишилися в фіналі.

І взагалі всі тут — лякають.
Але Google і OpenSSH таки щось вибрали.

Але більшість із 69 пропозицій —
вже не мають

того рівня безпеки,
який вони мали п’ять років тому.

Атаки стали сильнішими,
а деякі системи не мали запасу міцності.

Щоб зробити обґрунтоване рішення,
треба розуміти історію кожної з них і подумати:

Як довго їх досліджували?
Наскільки вони вистояли?

Деякі досліджені мало,
деякі — трохи більше.

Це і формує ризик.

Three Bears — гарна система.
Але після другого етапу її покинули.

І відтоді її майже ніхто не досліджував.

Вона може бути хорошою —
але ми цього точно не знаємо.

Ті, що пройшли в третій тур — 
чорні та сірі на слайді — переважно ок.

І, звісно, сині.

Отже, вибирай ті, що сині або чорні.
Можна вважати, вони найкращі.

І наостанок — швидке питання:

якщо я параноїк у фользяному капелюсі

що я можу зробити,
щоб захистити своє спілкування?

Пропускай усе через OpenSSH.

Це вже непоганий старт.

Але, звісно, треба мати

клієнта і сервер, які це підтримують.

І хоча є деякі експериментальні реалізації —

масового впровадження майже нема.

VPN — ще один приклад.
Так, є постквантові VPN-рішення.

У Movad є постквантова альтернатива —

вони використовують McEliece, вони використовують

WireGuard для VPN, і у WireGuard є
опція додавання додаткового ключа

попередньо узгодженого ключа, який
Movad використовує разом із McEliece,

тобто ви завантажуєте це через McEliece, щоб 
забезпечити постквантовий захист у Movad

Тобто це VPN, який не просто між
двома точками — зазвичай ви хочете повністю

з'єднатися з сайтом, до якого підключаєтеся, і
якщо у вас наскрізний захист,

це означає, що і клієнт, і сервер повинні
підтримувати постквантову криптографію

а оскільки впровадження затягнулося,
то наразі вона не настільки поширена, як

я очікував кілька років тому, коли
навколо неї було багато

ентузіазму

<i>нерозбірливо</i>

Добре, Таня хоче, щоб я розповів про PQ Connect,
він незабаром вийде і, сподіваюся, спростить

впровадження постквантової криптографії
для захисту вашого з'єднання

від початку до кінця, але його ще не
випустили, тож я не можу сказати багато

Я з нетерпінням чекаю PQ Connect. Думаю,
це все, дякуємо, що були з нами

і ділилися своїми знаннями, оновленнями,
пов’язаними з постквантовою криптографією

Велике спасибі Тані Ланге
та D.J.B!

Дякуємо!

[Translated by Marta-Sofiya Klakovych
(KYBS2004 course assignment at JYU.FI)]