9:59:59.000,9:59:59.000
[Translated by Marta-Sofiya Klakovych[br](KYBS2004 course assignment at JYU.FI)]

9:59:59.000,9:59:59.000
<i>музика</i>

9:59:59.000,9:59:59.000
Ласкаво просимо всі до цього хаотичного[br]року та заходу

9:59:59.000,9:59:59.000
Я Кара і я буду вашим диктором

9:59:59.000,9:59:59.000
Мені приємно оголосити доповідь

9:59:59.000,9:59:59.000
Пост-квантова криптографія:[br]обхідні шляхи, затримки та катастрофи

9:59:59.000,9:59:59.000
яку представляють Таня Ланге[br]та Д. Дж. Бернштейн

9:59:59.000,9:59:59.000
Таня Ланге — криптограф і математик,[br]яка спеціалізується на пост-квантовій криптографії

9:59:59.000,9:59:59.000
яка замінює ту криптографію,[br]яку ми використовуємо сьогодні

9:59:59.000,9:59:59.000
на варіанти, які є безпечними[br]проти атак квантових комп’ютерів

9:59:59.000,9:59:59.000
Вона є професоркою Технічного університету Ейндговена

9:59:59.000,9:59:59.000
і може пишатися численними[br]публікаціями та відзнаками

9:59:59.000,9:59:59.000
Вона також була координаторкою PQCrypto

9:59:59.000,9:59:59.000
що є загальноєвропейською ініціативою

9:59:59.000,9:59:59.000
для впровадження пост-квантової криптографії

9:59:59.000,9:59:59.000
Д. Дж. Б. є професором Університету Іллінойсу[br]в Чикаго

9:59:59.000,9:59:59.000
а також професором Університету Бохума.[br]Він працює в галузі криптографії

9:59:59.000,9:59:59.000
і розробив шифрувальні системи, які використовуються

9:59:59.000,9:59:59.000
у криптографії з відкритим кодом,[br]можливо, ви зараз

9:59:59.000,9:59:59.000
використовуєте одну з них,[br]дивлячись цю доповідь

9:59:59.000,9:59:59.000
Разом вони реалізували вражаючу[br]кількість проєктів

9:59:59.000,9:59:59.000
від спрощення впровадження[br]безпечної криптографії

9:59:59.000,9:59:59.000
до створення безпечних[br]постквантових типів даних

9:59:59.000,9:59:59.000
обоє є активістами, які борються

9:59:59.000,9:59:59.000
за прозоріший процес[br]стандартизації криптографії

9:59:59.000,9:59:59.000
а тепер всі, плескайте своїми лапками

9:59:59.000,9:59:59.000
давайте поаплодуємо[br]Тані Ланге та Д. Дж. Б.!

9:59:59.000,9:59:59.000
Добре, дякуємо за гарне представлення

9:59:59.000,9:59:59.000
давайте одразу перейдемо до справи —[br]почнемо з HTTPS

9:59:59.000,9:59:59.000
коли ви заходите на сайт із HTTPS[br]або захищене з’єднання

9:59:59.000,9:59:59.000
ви використовуєте TLS — протокол безпеки транспортного рівня —[br]щоб захистити ваше з’єднання

9:59:59.000,9:59:59.000
TLS використовує два типи криптографії[br]з кількох причин

9:59:59.000,9:59:59.000
по-перше, він покладається[br]на криптографію з відкритим ключем

9:59:59.000,9:59:59.000
вона виконує дві функції:[br]по-перше, вона забезпечує підписи

9:59:59.000,9:59:59.000
підписи з відкритим ключем —[br]вони гарантують, що зловмисник не зможе

9:59:59.000,9:59:59.000
підмінити дані сервера[br]своїми власними

9:59:59.000,9:59:59.000
і прикидатися сервером

9:59:59.000,9:59:59.000
додатково TLS використовує[br]шифрування з відкритим ключем

9:59:59.000,9:59:59.000
наприклад, NIST P-256 або[br]RSA-4096 як систему підпису

9:59:59.000,9:59:59.000
NIST P-256 також можна використовувати[br]для шифрування, щоб ваші дані були захищені

9:59:59.000,9:59:59.000
щоб він (зловмисник) не міг її зрозуміти

9:59:59.000,9:59:59.000
через причини, пов’язані з продуктивністю,[br]криптографія складніша, ніж

9:59:59.000,9:59:59.000
просто криптографія з відкритим ключем —[br]вона також включає симетричну криптографію

9:59:59.000,9:59:59.000
іноді її називають[br]криптографією із секретним ключем

9:59:59.000,9:59:59.000
коли ви збираєте все разом у TLS,[br]ви отримуєте три основні складові

9:59:59.000,9:59:59.000
це шифрування з відкритим ключем

9:59:59.000,9:59:59.000
яке не шифрує всі ваші дані, а натомість

9:59:59.000,9:59:59.000
шифрує лише ключ,[br]щоб зловмисники не могли його зрозуміти

9:59:59.000,9:59:59.000
цей ключ надсилається[br]безпечно і конфіденційно

9:59:59.000,9:59:59.000
від однієї сторони до іншої

9:59:59.000,9:59:59.000
а підписи з відкритим ключем[br]використовуються, щоб переконатися,

9:59:59.000,9:59:59.000
що зловмисник не може підмінити[br]інший ключ

9:59:59.000,9:59:59.000
і в кінці цей ключ використовується

9:59:59.000,9:59:59.000
для захисту ваших даних[br]із використанням симетричної криптографії

9:59:59.000,9:59:59.000
усі інші протоколи, які ви використовуєте,

9:59:59.000,9:59:59.000
можна було б представити[br]у подібних діаграмах

9:59:59.000,9:59:59.000
наприклад, SSH, але вони всі працюють[br]майже однаково

9:59:59.000,9:59:59.000
я зараз підкреслю два елементи на цій діаграмі

9:59:59.000,9:59:59.000
RSA-4096 —[br]типова система для підпису

9:59:59.000,9:59:59.000
і типова система шифрування —[br]NIST P-256

9:59:59.000,9:59:59.000
тому що ці дві (системи) будуть зламані[br]через квантові комп’ютери

9:59:59.000,9:59:59.000
без квантових комп’ютерів[br]жодних відомих

9:59:59.000,9:59:59.000
загроз не існувало б, але

9:59:59.000,9:59:59.000
якщо в атакуючого буде[br]великий квантовий комп’ютер

9:59:59.000,9:59:59.000
а це, найімовірніше, станеться

9:59:59.000,9:59:59.000
хоча це не гарантовано —[br]може, спроби створити квантовий комп’ютер

9:59:59.000,9:59:59.000
зазнають невдачі з якихось причин

9:59:59.000,9:59:59.000
але зараз виглядає так,[br]що квантові комп’ютери

9:59:59.000,9:59:59.000
стають дедалі успішнішими

9:59:59.000,9:59:59.000
і як тільки вони стануть достатньо потужними

9:59:59.000,9:59:59.000
можливо, за десять років

9:59:59.000,9:59:59.000
тоді атакуючі зможуть запустити[br]алгоритм атаки,

9:59:59.000,9:59:59.000
який називається алгоритмом Шора,[br]що знаходить ваші секретні RSA-ключі і

9:59:59.000,9:59:59.000
секретні ключі NIST P-256,[br]і тоді зловмисники зможуть

9:59:59.000,9:59:59.000
отримати доступ до інформації,[br]яку вони вже зараз зберігають

9:59:59.000,9:59:59.000
це загроза не лише майбутнім даним,[br]але і

9:59:59.000,9:59:59.000
конфіденційності ваших поточних даних

9:59:59.000,9:59:59.000
бо зловмисники вже зараз[br]зберігають все, що можуть, з Інтернету

9:59:59.000,9:59:59.000
і коли у них буде[br]великий квантовий комп’ютер

9:59:59.000,9:59:59.000
вони зможуть розшифрувати все заднім числом,[br]бо зламають RSA-4096

9:59:59.000,9:59:59.000
і NIST P-256,[br]а саме NIST P-256 забезпечує шифрування

9:59:59.000,9:59:59.000
і вони зможуть повернутися в минуле[br]і зламати шифрування, яке ви використовуєте сьогодні

9:59:59.000,9:59:59.000
Що ж нам із цим робити?

9:59:59.000,9:59:59.000
Стандартний підхід — це те,[br]що ми називаємо

9:59:59.000,9:59:59.000
постквантовою криптографією —[br]ви вже чули цю назву раніше, вона була

9:59:59.000,9:59:59.000
в назві нашої доповіді —[br]це криптографія, яка створена спеціально

9:59:59.000,9:59:59.000
з урахуванням того,[br]що атакуючий має квантовий комп’ютер

9:59:59.000,9:59:59.000
тож, як уже казав ведучий,

9:59:59.000,9:59:59.000
я була координаторкою проєкту PQCRYPTO

9:59:59.000,9:59:59.000
і це означає, що я об’їздила[br]світ із доповідями про постквантову криптографію

9:59:59.000,9:59:59.000
ось скріншот із виступу,[br]який я провела шість з половиною років тому

9:59:59.000,9:59:59.000
де я підкреслювала, як сьогодні це зробив Ден,[br]важливість постквантової криптографії

9:59:59.000,9:59:59.000
і наголошувала, що важливо давати рекомендації,

9:59:59.000,9:59:59.000
які визначають, які алгоритми[br]варто використовувати для заміни RSA та

9:59:59.000,9:59:59.000
NIST P-256, які[br]ви бачили на попередніх слайдах

9:59:59.000,9:59:59.000
і тоді я поставила питання —[br]чи варто нам стандартизувати зараз чи пізніше

9:59:59.000,9:59:59.000
аргументи існують з обох сторін,[br]і ну… якби ми стандартизували тоді,

9:59:59.000,9:59:59.000
шість років тому,[br]здавалося, що ще занадто багато роботи, і що ми отримаємо

9:59:59.000,9:59:59.000
набагато кращу систему,[br]якщо трохи зачекаємо

9:59:59.000,9:59:59.000
але з іншого боку існує занепокоєння[br]через дані, які збирають уряди та інші темні сили

9:59:59.000,9:59:59.000
і чим пізніше це буде опубліковано, тим більше даних і безпеки буде втрачено

9:59:59.000,9:59:59.000
тому важливо просуватися вперед,[br]і тоді нашою відповіддю було таке:

9:59:59.000,9:59:59.000
те, що я просувала у 2016 році —[br]це рекомендації, опубліковані у 2015 році, в яких

9:59:59.000,9:59:59.000
йшлося про те, що[br]стандартизація займає багато часу

9:59:59.000,9:59:59.000
ми ще не на тій стадії,[br]але якщо хтось хоче захистити себе

9:59:59.000,9:59:59.000
ось що ми… ну, ось ціла група

9:59:59.000,9:59:59.000
дослідників, які підписали цю заяву[br]як частину проєкту PQCRYPTO

9:59:59.000,9:59:59.000
що ми рекомендували?[br]Наша рекомендація була у тому, що ми назвали

9:59:59.000,9:59:59.000
«обережною криптографією»

9:59:59.000,9:59:59.000
і це не означає[br]політичний консерватизм

9:59:59.000,9:59:59.000
це означає щось нудне,[br]щось, що вже давно відоме

9:59:59.000,9:59:59.000
багато людей його вже проаналізували,[br]і ми не очікуємо жодних змін

9:59:59.000,9:59:59.000
у сфері симетричних ключів, як уже казав Ден,[br]квантові комп’ютери на них не впливають

9:59:59.000,9:59:59.000
тому якщо використовувати достатньо великі ключі

9:59:59.000,9:59:59.000
256-бітові ключі,[br]то AES або Salsa20 є достатніми

9:59:59.000,9:59:59.000
те саме стосується аутентифікації —[br]якщо ви отримали ключ, його не підробити

9:59:59.000,9:59:59.000
але для шифрування і підписів[br]з відкритим ключем, RSA-4096

9:59:59.000,9:59:59.000
і ECC NIST P-256 — їх потрібно замінити[br]і ми маємо альтернативи. Ось

9:59:59.000,9:59:59.000
рекомендація з високим рівнем довіри:

9:59:59.000,9:59:59.000
використовуйте систему МакЕліса —[br]назва ще з’явиться пізніше

9:59:59.000,9:59:59.000
і використовуйте[br]сигнатури, засновані на хешах

9:59:59.000,9:59:59.000
наприклад, SPHINCS —[br]ви захочете про неї дізнатися згодом

9:59:59.000,9:59:59.000
ми також представили деякі алгоритми[br]як «перебувають у стадії оцінювання»

9:59:59.000,9:59:59.000
що означає — поки не варто їх використовувати

9:59:59.000,9:59:59.000
але згодом вони можуть виявитися придатними.[br]І для нас це нормально — ми вбили кілок у землю,

9:59:59.000,9:59:59.000
ми сказали: «Ось, це безпечно»

9:59:59.000,9:59:59.000
і люди повинні діяти відповідно,[br]і всі житимуть довго і щасливо

9:59:59.000,9:59:59.000
і наш виступ на цьому завершено

9:59:59.000,9:59:59.000
...чи всі дійсно[br]житимуть довго і щасливо?

9:59:59.000,9:59:59.000
до кінця свого життя?

9:59:59.000,9:59:59.000
Давайте подивимось,[br]що сталося насправді після цього

9:59:59.000,9:59:59.000
Організація… ну,[br]речі, які мали бути оприлюднені

9:59:59.000,9:59:59.000
насправді був один експеримент,[br]який Google проводив

9:59:59.000,9:59:59.000
у 2016 році Google Chrome[br]додав постквантовий варіант

9:59:59.000,9:59:59.000
це не означає, що кожен

9:59:59.000,9:59:59.000
вебсервер підтримував його —[br]це був просто експеримент

9:59:59.000,9:59:59.000
Google активував його лише на деяких

9:59:59.000,9:59:59.000
своїх серверах і сказав:[br]«Добре, подивимось,

9:59:59.000,9:59:59.000
як це працює», — і звучали[br]дуже натхненно у своєму блозі

9:59:59.000,9:59:59.000
де вони оголосили,[br]що допомагають користувачам захиститися

9:59:59.000,9:59:59.000
від квантових комп’ютерів —[br]подивимось, чи спрацює

9:59:59.000,9:59:59.000
Система, яку вони використовували,[br]називалася New Hope (NH)

9:59:59.000,9:59:59.000
Вони шифрували не лише за допомогою NH —[br]NH є постквантовою шифрувальною системою

9:59:59.000,9:59:59.000
Вони також шифрували[br]традиційною криптографією — еліптичними кривими

9:59:59.000,9:59:59.000
як уже згадувала Таня —[br]NIST P-256 — приклад ECC

9:59:59.000,9:59:59.000
іншим прикладом ECC є x25519 —[br]ви, ймовірно, використовуєте це сьогодні

9:59:59.000,9:59:59.000
щоб шифрувати свої дані[br]і ось що зробив Google:

9:59:59.000,9:59:59.000
Він шифрував NH для[br]постквантового захисту

9:59:59.000,9:59:59.000
і одночасно шифрував[br]x25519, як вони роблять

9:59:59.000,9:59:59.000
зазвичай і сьогодні —[br]ідея була в тому, що якщо щось

9:59:59.000,9:59:59.000
піде не так із NH,[br]то ми все одно маємо звичайний захист

9:59:59.000,9:59:59.000
тобто, щонайменше,[br]немає негайної загрози безпеці —[br]вони не погіршують ситуацію

9:59:59.000,9:59:59.000
звісно, якщо NH зламано,[br]то й не покращують

9:59:59.000,9:59:59.000
але основна ідея —[br]спробувати зробити краще і

9:59:59.000,9:59:59.000
в той же час переконатися,[br]що не стане гірше — шифруючи обома:

9:59:59.000,9:59:59.000
традиційним і постквантовим[br]методом

9:59:59.000,9:59:59.000
План «Б» дуже важливий,[br]бо NH — нова шифрувальна система

9:59:59.000,9:59:59.000
тобто у 2016 вона була новою,[br]ключові елементи NH були створені

9:59:59.000,9:59:59.000
у 2010, 2014 і 2015 роках —[br]а це не так багато часу для перевірки

9:59:59.000,9:59:59.000
в криптографії іноді минають роки,[br]поки знаходять вразливості

9:59:59.000,9:59:59.000
тому дуже важливо, щоб новим шифрувальним системам дали час дозріти

9:59:59.000,9:59:59.000
інша проблема з новими шифрувальними системами

9:59:59.000,9:59:59.000
— їх можуть запатентувати.[br]Патенти діють 20 років, і це сталося

9:59:59.000,9:59:59.000
з NH. Власник патенту звернувся[br]до Google і сказав: «Я хочу гроші за ваше

9:59:59.000,9:59:59.000
використання NH». Google[br]ніколи публічно не коментував цю

9:59:59.000,9:59:59.000
патентну загрозу,[br]але з якихось причин у листопаді 2016 року[br]вони прибрали NH

9:59:59.000,9:59:59.000
з Chrome і своїх серверів.[br]У 2016 році також сталися інші події:

9:59:59.000,9:59:59.000
в уряді США є установа — NIST,[br]яка має довгу історію співпраці

9:59:59.000,9:59:59.000
з Агентством нацбезпеки США (NSA).[br]NIST оголосив, що наприкінці 2017 року

9:59:59.000,9:59:59.000
вони хочуть, щоб криптографи подали[br]пропозиції

9:59:59.000,9:59:59.000
щодо постквантових алгоритмів —[br]для шифрування й підпису,

9:59:59.000,9:59:59.000
які згодом можна було б стандартизувати.[br]Цікавий момент з їхньої заявки:

9:59:59.000,9:59:59.000
не дозволено надсилати гібриди — тобто[br]системи, які шифрують і

9:59:59.000,9:59:59.000
за допомогою постквантових алгоритмів, і ECC,[br]або підписують чимось, що ви вже використовуєте, разом із

9:59:59.000,9:59:59.000
постквантовим рішенням.[br]Вони сказали, що алгоритми не повинні

9:59:59.000,9:59:59.000
включати ECC чи будь-який інший алгоритм,[br]який може бути зламаний квантовими комп’ютерами

9:59:59.000,9:59:59.000
З точки зору розробника додатків,[br]зручно мати ECC-шар окремо

9:59:59.000,9:59:59.000
і сказати: що б ви не робили[br]з постквантовим алгоритмом,

9:59:59.000,9:59:59.000
все одно поєднуєте його з x25519, наприклад.[br]Але вони не сказали, що треба

9:59:59.000,9:59:59.000
поєднувати все з ECC — наприклад,[br]x25519 як окремий шар. Вони сказали:

9:59:59.000,9:59:59.000
не подавайте нічого,[br]що поєднується з ECC

9:59:59.000,9:59:59.000
Провівши цей конкурс на постквантові системи,[br]NIST надіслав сигнал компаніям:

9:59:59.000,9:59:59.000
почекайте, не впроваджуйте[br]постквантову криптографію поки що

9:59:59.000,9:59:59.000
і тут був і батіг, і пряник.[br]Батіг — це патенти: Google щойно

9:59:59.000,9:59:59.000
втрапив у халепу через використання[br]чогось, на що раптом знайшовся патент

9:59:59.000,9:59:59.000
що ще може бути запатентоване?[br]А NIST сказав: у нас є процес,

9:59:59.000,9:59:59.000
який веде до криптографічних стандартів,[br]які можна реалізовувати вільно, тобто патенти

9:59:59.000,9:59:59.000
не завадять вам це використовувати.[br]І вони також сказали, що виберуть щось,

9:59:59.000,9:59:59.000
що буде досить надійним —[br]безпека буде головним критерієм у відборі

9:59:59.000,9:59:59.000
І отже, галузь сказала: «Добре,[br]чекаємо від NIST рішення», а інші

9:59:59.000,9:59:59.000
органи стандартизації — також.[br]У IETF є свій дослідницький підрозділ,

9:59:59.000,9:59:59.000
IRTF, який створює стандарти для Інтернету.[br]І криптографічна група в IRTF сказала:

9:59:59.000,9:59:59.000
ми стандартизуємо те, що вже є в роботі,[br]наприклад, геш-функції

9:59:59.000,9:59:59.000
але для всього іншого —[br]чекаємо NIST. ISO теж сказала, що чекає

9:59:59.000,9:59:59.000
NIST. Не всі організації сказали це —[br]наприклад, уряд Китаю

9:59:59.000,9:59:59.000
заявив, що проведе свій власний конкурс.[br]Але, ну… кого це цікавить?

9:59:59.000,9:59:59.000
Тож повертаємося до конкурсу NIST:[br]ось усі заявки. Наприкінці 2017 року

9:59:59.000,9:59:59.000
було 69 заявок від 260 криптографів.[br]Я не буду зачитувати всі імена, але це була

9:59:59.000,9:59:59.000
величезна кількість роботи[br]для аналітиків у криптографії.

9:59:59.000,9:59:59.000
Ми весело проводили час на початку 2017-го,[br]а ті, хто бачив нас на сцені у 2018-му,

9:59:59.000,9:59:59.000
знають, що ми розповідали про те,[br]як весело нам було зламувати ці пропозиції

9:59:59.000,9:59:59.000
але це була справжня купа роботи.[br]Подивимось, що зробив NIST з конкурсом.

9:59:59.000,9:59:59.000
У 2019-му, тобто через два роки —[br]ну, рік із чимось — вони почали

9:59:59.000,9:59:59.000
скорочувати кількість кандидатів[br]до 26. А в липні 2020-го

9:59:59.000,9:59:59.000
їх ще скоротили — до 15.[br]Мета була зосередитись на тому,

9:59:59.000,9:59:59.000
що має сенс, і пріоритет давали[br]найбезпечнішим кандидатам, за винятком

9:59:59.000,9:59:59.000
випадків, де застосування вимагало[br]більшої ефективності

9:59:59.000,9:59:59.000
Насправді ні — вони зовсім так не робили.[br]Якщо почитати звіт і подивитись,

9:59:59.000,9:59:59.000
яких кандидатів вони обрали —[br]щоразу, коли був вибір

9:59:59.000,9:59:59.000
між швидкістю і безпекою,[br]звісно, вони відсікали

9:59:59.000,9:59:59.000
алгоритми, які були повністю зламані,[br]і ті, що були дуже неефективні

9:59:59.000,9:59:59.000
але от вам приклад — SPHINCS,[br]який згадувала Таня раніше,

9:59:59.000,9:59:59.000
дуже обережний,[br]усі погоджуються, що це — найбезпечніша система підпису

9:59:59.000,9:59:59.000
Але NIST не сказав: «Використовуйте SPHINCS»,[br]а: «Ми зачекаємо стандартизації SPHINCS+,

9:59:59.000,9:59:59.000
хіба що стільки всього виявиться зламаним,[br]що доведеться взяти SPHINCS»

9:59:59.000,9:59:59.000
І от у липні цього року NIST[br]оголосив, що обирає чотири стандарти

9:59:59.000,9:59:59.000
один із них — SPHINCS+, а ще три[br]кандидати залишаються під розглядом

9:59:59.000,9:59:59.000
виглядає так, ніби впевненість трохи похитнулась.[br]Тож що ж сталося?

9:59:59.000,9:59:59.000
Картинка з 69 заявками змінилася,[br]якщо перемотати час на 5,5 років вперед

9:59:59.000,9:59:59.000
Ось кольорове кодування: сині —[br]це ті, що залишаються в конкурсі NIST, тобто чотири

9:59:59.000,9:59:59.000
алгоритми, які мають стати стандартами,[br]і ще чотири кандидати четвертого раунду

9:59:59.000,9:59:59.000
сірі не пройшли далі —[br]це не означає, що вони були зламані,

9:59:59.000,9:59:59.000
але їх відсіяли настільки рано,[br]що ніхто вже не мав інтересу їх ламати

9:59:59.000,9:59:59.000
коричневий означає менш захищений,[br]ніж було заявлено; червоний —

9:59:59.000,9:59:59.000
означає справді зламаний,[br]а підкреслений червоний — це

9:59:59.000,9:59:59.000
повністю-повністю зламаний.[br]Як бачите, зламаних систем багато.

9:59:59.000,9:59:59.000
Є також цікавий фіолетовий у нижньому правому куті

9:59:59.000,9:59:59.000
якщо пам’ятаєте уроки малювання —[br]фіолетовий — це суміш червоного і синього.[br]SIKE було обрано

9:59:59.000,9:59:59.000
у липні, а вже в липні і зламано —[br]після 5 років аналізу, його зламали

9:59:59.000,9:59:59.000
за лічені секунди.[br]Це приклад того, коли щось справді пішло не так

9:59:59.000,9:59:59.000
і низка дрібних подій[br]похитнула впевненість

9:59:59.000,9:59:59.000
тому NIST хоча б обрав SPHINCS,[br]але це не призвело до обрання

9:59:59.000,9:59:59.000
інших обережних варіантів —[br]деякі з них ще «дозрівають»

9:59:59.000,9:59:59.000
але ця сфера поки що не зріла.

9:59:59.000,9:59:59.000
А що відбувалося тим часом[br]із боку впровадження?

9:59:59.000,9:59:59.000
Згадайте: було два моменти на слайдах Тані[br]ще з 2016 року. Вона сказала:

9:59:59.000,9:59:59.000
було б добре вже впровадити щось,[br]щоб захистити користувачів, бо

9:59:59.000,9:59:59.000
у нас є проблема з безпекою вже зараз —[br]зловмисники

9:59:59.000,9:59:59.000
вже записують все, і ми повинні[br]намагатися захиститися від цього, і

9:59:59.000,9:59:59.000
зробити це швидше, ніж[br]триває процес стандартизації. Google

9:59:59.000,9:59:59.000
почав це у 2016-му,[br]але злякався патентної загрози. До 2019-го

9:59:59.000,9:59:59.000
галузі й багато проєктів з відкритим кодом[br]подумали: можливо, вже час

9:59:59.000,9:59:59.000
впроваджувати нові рішення —[br]щось пішло не так у 2016-му,

9:59:59.000,9:59:59.000
але на той момент NIST уже зібрав[br]підтвердження від усіх учасників конкурсу

9:59:59.000,9:59:59.000
і з’ясував, які пропозиції[br]є запатентованими. Це дало нам

9:59:59.000,9:59:59.000
багато інформації, коли 260 криптографів[br]вказали, що саме захищено патентами

9:59:59.000,9:59:59.000
І вже у 2019-му стало ще очевидніше,[br]що квантові комп’ютери — на горизонті.

9:59:59.000,9:59:59.000
Тож приклади того, що сталося у 2019-му: OpenSSH версії 8, надихаючись TinySSH,

9:59:59.000,9:59:59.000
оголосив, що додасть гібридний варіант — поєднання алгоритму

9:59:59.000,9:59:59.000
на еліптичних кривих[br]і одного з постквантових кандидатів.

9:59:59.000,9:59:59.000
Він не активований за замовчуванням,[br]але якщо ви додасте рядок у налаштування. І на сервері, і на клієнті —[br]використовуватиметься постквантове шифрування.

9:59:59.000,9:59:59.000
А якщо постквантова частина буде зламана,[br]ви все одно маєте ECC як захист.

9:59:59.000,9:59:59.000
У липні 2019 року Google і Cloudflare[br]запустили експеримент із постквантовим шифруванням.

9:59:59.000,9:59:59.000
У ньому були дві версії:[br]деякі користувачі шифрували з ntruhrss

9:59:59.000,9:59:59.000
у поєднанні з ECC, звісно —[br]завжди використовуйте гібриди. Інша версія:

9:59:59.000,9:59:59.000
використовувала sikep і ECC.[br]Так, Таня сказала: «Ой».

9:59:59.000,9:59:59.000
Це приклад того, наскільки важливо[br]поєднувати все з ECC, щоб не втратити

9:59:59.000,9:59:59.000
поточний рівень безпеки —[br]усі ми зараз користуємось ECC.

9:59:59.000,9:59:59.000
Тож використовуйте і постквантові системи, і ECC,[br]щоб у гіршому випадку втратити лише час,

9:59:59.000,9:59:59.000
а в кращому — щось виграти.[br]Принаймні користувачі sikep мають захист ECC.

9:59:59.000,9:59:59.000
Також у жовтні 2019 року Google оголосив[br]про досягнення квантової переваги —

9:59:59.000,9:59:59.000
мається на увазі, що квантовий комп’ютер[br]виконав задачу швидше, ніж будь-який суперкомп’ютер.

9:59:59.000,9:59:59.000
Це було не щось практичне,[br]і мине ще багато років, перш ніж

9:59:59.000,9:59:59.000
з’являться реальні задачі, які[br]квантові комп’ютери вирішуватимуть швидше

9:59:59.000,9:59:59.000
за класичні комп’ютери.[br]Але навіть сама назва — «квантова перевага» —

9:59:59.000,9:59:59.000
вже вводить в оману,[br]хоч і є цікавим кроком уперед у квантових обчисленнях.

9:59:59.000,9:59:59.000
Ця назва, ймовірно, привернула багато[br]уваги та викликала тривогу.

9:59:59.000,9:59:59.000
У 2021–2022 роках OpenSSH, OpenBSD і Google[br]почали раптово оновлювати свої системи.

9:59:59.000,9:59:59.000
OpenSSH версії 9.0 уже включає sntrup і ECC[br]як стандарт — отже, якщо у вас

9:59:59.000,9:59:59.000
встановлено OpenSSH 9 на сервері[br]та на віддаленій машині

9:59:59.000,9:59:59.000
— використовується постквантовий алгоритм автоматично.

9:59:59.000,9:59:59.000
Насправді, ще версії OpenSSH до 8.5[br]теж це підтримують, але тоді

9:59:59.000,9:59:59.000
вам потрібно вручну його активувати,[br]щоб сервер і клієнт це використовували.

9:59:59.000,9:59:59.000
А в OpenSSH 9 це вже увімкнено за замовчуванням.[br]Так само і в Google:

9:59:59.000,9:59:59.000
з листопада, тобто з минулого місяця,[br]вони шифрують свою внутрішню

9:59:59.000,9:59:59.000
комунікацію за допомогою ntruhrss і ECC.[br]Тож сподіваємось, ntruhrss працює і

9:59:59.000,9:59:59.000
буде безпечним проти квантових комп’ютерів[br]у майбутньому.

9:59:59.000,9:59:59.000
Це також добре відповідає ідеї[br]так званого "cleansing code" — чистого коду.

9:59:59.000,9:59:59.000
Як уже згадувалося, чистий код[br]ще не стандартизований у криптографії,

9:59:59.000,9:59:59.000
але він заохочує дослідження[br]і адаптацію користувачів.

9:59:59.000,9:59:59.000
Наприклад, американський банківський стандарт[br]US ANSI NTX9 заявив, що

9:59:59.000,9:59:59.000
у майбутньому вони перейдуть[br]на постквантові стандарти.

9:59:59.000,9:59:59.000
Тобто вони очікують на спільне використання[br]класичної криптографії —

9:59:59.000,9:59:59.000
яку ще називають передквантовою —[br]і постквантової одночасно.

9:59:59.000,9:59:59.000
Одна — стандартизована і перевірена,[br]інша — ще нова і трохи незручна, але

9:59:59.000,9:59:59.000
нам вона потрібна для довготривалої безпеки.[br]І, можливо, в довгій перспективі

9:59:59.000,9:59:59.000
нам справді потрібна буде ця гібридна[br]комбінація. Далі — зі США до Франції:

9:59:59.000,9:59:59.000
від ANSI до ANSSI —[br]французьке агентство з кібербезпеки. Вони теж кажуть:

9:59:59.000,9:59:59.000
не використовуйте постквантові алгоритми[br]окремо, бо вони ще не дозріли.

9:59:59.000,9:59:59.000
Але ця незрілість — не привід[br]відкладати перші кроки впровадження.

9:59:59.000,9:59:59.000
ANSSI заохочує впроваджувати гібриди —[br]поєднуючи надійний класичний метод

9:59:59.000,9:59:59.000
із постквантовим алгоритмом.

9:59:59.000,9:59:59.000
Отже, все чудово йде за планом,[br]який Таня описувала на слайдах у 2016 році.

9:59:59.000,9:59:59.000
Стандартизація йде повільно,[br]але впровадження відбувається паралельно:

9:59:59.000,9:59:59.000
ми почали використовувати постквантове[br]шифрування разом з ECC — на випадок,

9:59:59.000,9:59:59.000
якщо щось піде не так —[br]і щоб захистити користувачів якомога раніше.

9:59:59.000,9:59:59.000
Що ж сказала на це влада США?[br]Починаючи з 2021 року уряд США

9:59:59.000,9:59:59.000
дуже чітко дав зрозуміти, чого він хоче.[br]Ви, мабуть, думаєте — вони хочуть,

9:59:59.000,9:59:59.000
щоб ви захищались від квантових атак?[br]Ні-ні — вони якраз НЕ хочуть, щоб ви

9:59:59.000,9:59:59.000
захищались від квантових комп’ютерів.[br]Ось, наприклад, цитата від NIST —

9:59:59.000,9:59:59.000
голови відділу кібербезпеки[br]Інформаційної лабораторії

9:59:59.000,9:59:59.000
яка і запустила конкурс[br]на постквантові алгоритми.

9:59:59.000,9:59:59.000
У липні 2021 року, невдовзі після того,[br]як OpenBSD і OpenSSH почали впровадження.

9:59:59.000,9:59:59.000
Він сказав: не дозволяйте людям купувати[br]і впроваджувати нестандартизовану постквантову

9:59:59.000,9:59:59.000
криптографію. І ще один приклад — АНБ,[br]яке тісно співпрацює з NIST, заявило:

9:59:59.000,9:59:59.000
не реалізовуйте й не використовуйте[br]нестандартизовану постквантову криптографію.

9:59:59.000,9:59:59.000
І щоб, бува, хтось не проігнорував це послання,[br]агентство безпеки

9:59:59.000,9:59:59.000
(ти думаєш, ці агентства між собою координуються?)

9:59:59.000,9:59:59.000
агентство безпеки заявило: не використовуйте[br]постквантові криптопродукти, доки

9:59:59.000,9:59:59.000
не завершено стандартизацію, впровадження[br]та тестування замінювальних програм

9:59:59.000,9:59:59.000
на основі затверджених алгоритмів від NIST.

9:59:59.000,9:59:59.000
Оце вже звучить як тривожний дзвіночок.[br]А ще дивно те, що вони кажуть:

9:59:59.000,9:59:59.000
якщо ви вже впроваджуєте[br]постквантову криптографію — не використовуйте гібриди.

9:59:59.000,9:59:59.000
І ти можеш подумати: я щось не так зрозумів?[br]Чи вони справді це сказали?

9:59:59.000,9:59:59.000
Ось слайд із конференції — фото Маркку Саарінена.[br]Я був там і можу підтвердити:

9:59:59.000,9:59:59.000
виступаючий чітко сказав: не варто[br]використовувати гібридні підходи.

9:59:59.000,9:59:59.000
Він неодноразово повторив:[br]не використовуйте нічого вже зараз. Вони також не

9:59:59.000,9:59:59.000
очікували затвердження постквантових алгоритмів[br]на основі логіки "на всяк випадок поєднуй усе".

9:59:59.000,9:59:59.000
Пізніше вони опублікували нові інструкції,[br]де сказано: буде однозначна заміна —

9:59:59.000,9:59:59.000
вимикаємо ECC і RSA,[br]вмикаємо постквантову криптографію.

9:59:59.000,9:59:59.000
І їхній аргумент був:[br]у ECC можуть бути помилки реалізації — тож вимикай

9:59:59.000,9:59:59.000
ECC. Погана ідея —[br]хіба що ти хакер, тоді це ідеально.

9:59:59.000,9:59:59.000
Тепер ти, можливо, думаєш:[br]"Ну ми ж усе одно будемо використовувати гібриди",[br]навіть якщо АНБ каже "не треба".

9:59:59.000,9:59:59.000
І ось це речення —[br]"не використовуйте нестандартизоване" —

9:59:59.000,9:59:59.000
мабуть, уже неактуальне, правда?[br]Адже NIST оголосив у липні: ми стандартизуємо Kyber.

9:59:59.000,9:59:59.000
Тобто: використовуйте Kyber.[br]Але ні. Насправді вони так не сказали.

9:59:59.000,9:59:59.000
Подивімося в деталі. Спершу —[br]пам’ятаєш, як Google мав проблеми з патентами для NH?

9:59:59.000,9:59:59.000
Ну так от, Kyber — це як син New Hope.[br]І вони, здається, переплутали Star Wars зі Star Trek:

9:59:59.000,9:59:59.000
ходили чутки, що Kyber внутрішньо[br]називали "New Hope: The Next Generation".

9:59:59.000,9:59:59.000
Пізніше знайшли кращу назву,[br]але по суті — Kyber дуже схожий на NH.

9:59:59.000,9:59:59.000
І має ті ж проблеми з патентами.[br]Це єдиний алгоритм шифрування, який обрав NIST.

9:59:59.000,9:59:59.000
Вони обрали SPHINCS+[br]і ще дві схеми підпису,

9:59:59.000,9:59:59.000
і лише одну схему шифрування — Kyber.[br]Це єдиний варіант захисту ваших даних

9:59:59.000,9:59:59.000
відповідно до стандартів NIST.[br]А Kyber, як і NH, перебуває

9:59:59.000,9:59:59.000
у полі з мін із семи патентів.

9:59:59.000,9:59:59.000
Це не означає, що всі сім — чинні.[br]Але це складна справа. Щоб оцінити патент,

9:59:59.000,9:59:59.000
треба розуміти патентне право,[br]і знати, як інтерпретувати пріоритети,

9:59:59.000,9:59:59.000
перекриття, розширення.[br]Все дуже заплутано.

9:59:59.000,9:59:59.000
Один із простих способів позбутись патентів —[br]викупити їх і зробити публічними.

9:59:59.000,9:59:59.000
І NIST у липні заявив:[br]ми ведемо переговори з третіми сторонами,

9:59:59.000,9:59:59.000
аби підписати угоди[br]і уникнути потенційних патентних проблем.

9:59:59.000,9:59:59.000
Чудово! Отже, можна використовувати Kyber?

9:59:59.000,9:59:59.000
Але компанії кажуть:

9:59:59.000,9:59:59.000
«Покажіть нам самі угоди, будь ласка».

9:59:59.000,9:59:59.000
Наприклад, Скотт Флюрер із Cisco заявив:

9:59:59.000,9:59:59.000
Cisco не зможе впровадити Kyber,[br]поки ми не побачимо текст ліцензій.

9:59:59.000,9:59:59.000
А потім виявилось: NIST узагалі[br]нічого не підписував у липні.

9:59:59.000,9:59:59.000
Але в листопаді вони нарешті сказали:[br]так, ми підписали дві ліцензійні угоди.

9:59:59.000,9:59:59.000
І ось трохи з їхнього змісту:

9:59:59.000,9:59:59.000
Але якщо уважно прочитати,[br]ліцензії стосуються лише стандарту, який описав NIST.

9:59:59.000,9:59:59.000
І будь-яке модифікування або використання[br]чогось, що не є цим стандартом, — заборонено.

9:59:59.000,9:59:59.000
Тобто, Kyber не можна змінювати або[br]використовувати поза стандартом NIST.

9:59:59.000,9:59:59.000
Можливо, ти думаєш: ну, вони ж уже обрали Kyber,[br]вони ж його стандартизували в липні?

9:59:59.000,9:59:59.000
Ні. Насправді в липні[br]вони лише заявили про наміри.

9:59:59.000,9:59:59.000
Вони планують стандартизувати Kyber —[br]а це не те саме, що «він уже стандартизований».[br]Планується, що стандартизацію Kyber[br]завершать у 2024 році.

9:59:59.000,9:59:59.000
Планується, що стандартизацію Kyber[br]завершать у 2024 році.

9:59:59.000,9:59:59.000
І проблема в тому, що ми досі не знаємо,[br]яким саме буде фінальний Kyber у 2024.

9:59:59.000,9:59:59.000
Бо досі пропонують зміни.[br]Тобто навіть якщо вийде стандарт у 2024...

9:59:59.000,9:59:59.000
...і якщо ліцензія дозволяє використовувати Kyber,[br]то...[br]...можливо, у 2023 вони вже визначили Kyber,[br]і, можливо, ті п’ять патентів...

9:59:59.000,9:59:59.000
...не зачеплять Kyber.[br]Буває, що люди проходять мінне поле — і не вибухають.

9:59:59.000,9:59:59.000
Іноді вдається не натиснути на жодну міну.

9:59:59.000,9:59:59.000
Отже, ми дійшли до кінця доповіді.[br]Ми вже достатньо розповіли про затримки та обхідні шляхи.

9:59:59.000,9:59:59.000
А тепер — що ми мали на увазі під словом «катастрофа»?[br]Звісно, якщо зламається те, що

9:59:59.000,9:59:59.000
було використано у тестах Google або Cloudflare,[br]це — катастрофа.

9:59:59.000,9:59:59.000
Але вони використовували резервний варіант —[br]використовували гібриди.

9:59:59.000,9:59:59.000
Тому це ще нормально.

9:59:59.000,9:59:59.000
Справжня катастрофа — це те,[br]що ми у 2022 році, а у нас

9:59:59.000,9:59:59.000
досі нема постквантової криптографії[br]на телефонах чи комп’ютерах.

9:59:59.000,9:59:59.000
Ми можемо вказати на приклади впровадження,[br]але загалом — це не масово.

9:59:59.000,9:59:59.000
Твої дані все ще зашифровані[br]алгоритмами, що можна зламати квантовим комп’ютером.

9:59:59.000,9:59:59.000
І це — справжня катастрофа.

9:59:59.000,9:59:59.000
Дякуємо за увагу!

9:59:59.000,9:59:59.000
Дякую, дякую!

9:59:59.000,9:59:59.000
Нерозбірливо

9:59:59.000,9:59:59.000
...або технології, які я використовую у фоновому режимі,[br]можливо, вже постквантові.

9:59:59.000,9:59:59.000
Я думаю, що моє SSH-з'єднання[br]вже використовує щось таке, тож, можливо, все не так погано.

9:59:59.000,9:59:59.000
Ми завжди можемо покладатися на OpenBSD.[br]Однозначно.

9:59:59.000,9:59:59.000
Подивимось, чи є запитання.[br]Ось одне: я розробник, створюю додаток...

9:59:59.000,9:59:59.000
...не обов'язково криптографічний —[br]як мені впевнитись, що алгоритм стійкий у постквантову еру?

9:59:59.000,9:59:59.000
Чи можу я вже зараз використовувати гібридний підхід,[br]щоб захистити своїх користувачів?

9:59:59.000,9:59:59.000
О! У нас є слайд саме для цього![br]Покажи слайд!

9:59:59.000,9:59:59.000
Ми передбачили це питання.[br]Так, це все виглядає депресивно — але ось що робити:

9:59:59.000,9:59:59.000
Ми маємо слайд з практичними діями,[br]які ти можеш зробити вже зараз.

9:59:59.000,9:59:59.000
І наша порада: використовуй гібриди.[br]Мені здається, я вже казала це у 2016-му...

9:59:59.000,9:59:59.000
Я тоді казала: «Ось, дивись, що ти можеш зробити[br]вже зараз, ось наші пропозиції».

9:59:59.000,9:59:59.000
Ми вважаємо ці варіанти дуже безпечними.[br]І ось я знову тут — у грудні 2022-го...

9:59:59.000,9:59:59.000
...і я кажу: McEliece — це дуже обережна система.[br]І вона не має тих патентних проблем, які має Kyber.

9:59:59.000,9:59:59.000
Що ж таке гібрид?[br]Це комбінація передквантової та постквантової криптографії.

9:59:59.000,9:59:59.000
У шифруванні обидва мають брати участь[br]у генерації ключа.

9:59:59.000,9:59:59.000
У цифровому підписі —[br]обидва підписи мають бути чинними окремо.

9:59:59.000,9:59:59.000
Тільки тоді гібридний підпис — справжній підпис.

9:59:59.000,9:59:59.000
Є багато бібліотек, які можна подивитись,[br]щоб отримати уявлення про різні системи.

9:59:59.000,9:59:59.000
Ти можеш спробувати реалізувати їх.[br]Якість бібліотек зараз вже набагато краща,

9:59:59.000,9:59:59.000
ніж кілька років тому.[br]Постквантові реалізації стають зрілими.

9:59:59.000,9:59:59.000
Люди вкладають багато зусиль[br]у їх вдосконалення. Але ризики залишаються.

9:59:59.000,9:59:59.000
Проте ризик нічого не робити —[br]набагато більший.

9:59:59.000,9:59:59.000
Бо якщо ти нічого не зробиш,[br]твоя інформація залишиться вразливою

9:59:59.000,9:59:59.000
для майбутніх атак[br]з боку квантових комп’ютерів, які вже

9:59:59.000,9:59:59.000
сьогодні записують ці дані.[br]Тож краще експериментуй.

9:59:59.000,9:59:59.000
Ось приклад бібліотеки,[br]яка реалізує кілька різних алгоритмів

9:59:59.000,9:59:59.000
називається Quantum Safe OQS. Є й інші бібліотеки,[br]які працюють із певними криптосистемами.

9:59:59.000,9:59:59.000
Тож у більшості розробників є якийсь застосунок,[br]але знову ж таки: потрібно оцінювати якість.

9:59:59.000,9:59:59.000
І потрібно подумати,[br]наскільки якісною є сама реалізація.

9:59:59.000,9:59:59.000
Нова бібліотека, яка з’являється — lib.js.[br]У неї вже є кілька перевірок, і я би сказав, що вона надійна.

9:59:59.000,9:59:59.000
Але, на жаль, єдиний постквантовий алгоритм[br]у ній — це Kyber.

9:59:59.000,9:59:59.000
І якщо ви плануєте на 2024 — добре.[br]Але на зараз — це ще не варіант.

9:59:59.000,9:59:59.000
Він ще не підходить для повноцінного використання прямо зараз.

9:59:59.000,9:59:59.000
Якщо хочете щось швидке —[br]подивіться, що використовують OpenSSH чи Google з ntruhrss.

9:59:59.000,9:59:59.000
Ця система хоча б частково протестована.

9:59:59.000,9:59:59.000
Можна спробувати. Але завжди — використовуйте гібриди з ECC.

9:59:59.000,9:59:59.000
На всяк випадок —[br]якщо постквантовий компонент раптом зламається.

9:59:59.000,9:59:59.000
Раптом усе піде не так.

9:59:59.000,9:59:59.000
Але ж складно створити власну систему об’єднання?[br]Має бути правильний спосіб поєднання.

9:59:59.000,9:59:59.000
Мені ж потрібно якось об’єднати класичний[br]і постквантовий метод.

9:59:59.000,9:59:59.000
Так, це можливо.[br]Іноді достатньо просто: підписати першим алгоритмом...

9:59:59.000,9:59:59.000
...підписати другим,[br]а потім перевірити обидва підписи.

9:59:59.000,9:59:59.000
Але ми бачили приклади, де все пішло не так.[br]Треба бути дуже обережними.

9:59:59.000,9:59:59.000
Для шифрування зазвичай використовують ECC для обміну ключем,[br]а потім постквантову систему для другого обміну.

9:59:59.000,9:59:59.000
І далі об’єднуєш два ключі[br]через улюблену хеш-функцію.

9:59:59.000,9:59:59.000
Стандартна криптографічна хеш-функція —[br]це завжди добре.

9:59:59.000,9:59:59.000
Але ти казав про поєднання —

9:59:59.000,9:59:59.000
є чимало досліджень на цю тему...

9:59:59.000,9:59:59.000
нерозбірливо

9:59:59.000,9:59:59.000
Перепрошую, можеш повторити?

9:59:59.000,9:59:59.000
Йдеться про криптографічну хеш-функцію.[br]Не використовуй просто якусь XX-функцію.

9:59:59.000,9:59:59.000
Використовуй ту, яка справді є криптографічною.

9:59:59.000,9:59:59.000
Наприклад, SHA-512 —[br]так, її створили в NSA, але...

9:59:59.000,9:59:59.000
...вона витримала безліч спроб зламати її[br]і все ще тримається.

9:59:59.000,9:59:59.000
Є ще SHA-3, який теж пройшов публічне оцінювання.

9:59:59.000,9:59:59.000
І в більшості випадків немає проблем з тим,[br]щоб взяти два 32-байтові рядки, з’єднати їх...

9:59:59.000,9:59:59.000
...та пропустити через хеш-функцію.[br]І це буде ваш симетричний ключ.

9:59:59.000,9:59:59.000
Є навіть пропозиції,[br]як саме це правильно зробити.

9:59:59.000,9:59:59.000
Наприклад, IRTF або точніше — CFRG RFC.[br]А також деякі рекомендації від NIST.

9:59:59.000,9:59:59.000
Щодо використання гібридів[br]у стандартних сценаріях.

9:59:59.000,9:59:59.000
І трохи самореклами —[br]у нас є слайд із попередніми дослідженнями.

9:59:59.000,9:59:59.000
Там ми детально описали[br]підходи до впровадження та об'єднання гібридів.

9:59:59.000,9:59:59.000
Як робити це правильно.[br]Звісно, є ще етап вибору системи.

9:59:59.000,9:59:59.000
Потрібно обрати свою систему.[br]І як бачиш — є багато ризиків у реальному світі.

9:59:59.000,9:59:59.000
Можу згадати Skype як приклад для експериментів —[br]але проблема в тому, якщо хочеш використати це реально.

9:59:59.000,9:59:59.000
Але якщо це лише для досліджень чи хобі —[br]то це не страшно.

9:59:59.000,9:59:59.000
Якщо ти просто граєшся з цим,[br]або хочеш написати статтю — все ок.

9:59:59.000,9:59:59.000
але для продакшену — треба бути обережним.

9:59:59.000,9:59:59.000
І от вам вибір:[br]або як Google — спробувати щось нове і перевірити, чи не вибухне.

9:59:59.000,9:59:59.000
І нам пощастило — воно не вибухнуло.[br]Тож Google міг далі використовувати

9:59:59.000,9:59:59.000
NH або потім NTRU разом із ECC.[br]Або можна піти іншим шляхом:

9:59:59.000,9:59:59.000
Пріоритет безпеці.[br]Готовність втратити трохи швидкості та пропускної здатності.

9:59:59.000,9:59:59.000
Взяти найобережніші постквантові системи[br]і поєднати їх із ECC або RSA.

9:59:59.000,9:59:59.000
Це — вибір, який доведеться зробити,[br]якщо ви плануєте реалізацію.

9:59:59.000,9:59:59.000
Вирішуєш: швидкість чи обережність?

9:59:59.000,9:59:59.000
Тож ти можеш почати експериментувати вже зараз.

9:59:59.000,9:59:59.000
То чи нормально використовувати алгоритм,[br]який ще бере участь у конкурсі?

9:59:59.000,9:59:59.000
Який ще не стандартизований[br]або можливо ніколи не буде?

9:59:59.000,9:59:59.000
Навіть якщо для нього ще немає[br]відомих атак?

9:59:59.000,9:59:59.000
Коли бачиш так багато червоних міток —[br]починаєш думати: ми, криптографи, взагалі щось тямимо?

9:59:59.000,9:59:59.000
Як може бути стільки поламаного?[br]Це реально тривожно.

9:59:59.000,9:59:59.000
Але факт вибору NIST не додає[br]дуже багато впевненості.

9:59:59.000,9:59:59.000
Окей, коментар?

9:59:59.000,9:59:59.000
Хочу сказати, що ті системи, які відкинули[br]на першому етапі, ніхто більше не досліджував.

9:59:59.000,9:59:59.000
Люди втратили інтерес.[br]Але ті, що пройшли далі — досліджувалися більше.

9:59:59.000,9:59:59.000
Наприклад, NTRU Prime і HRSS-KEM[br]вийшли в третій раунд.

9:59:59.000,9:59:59.000
Але не перемогли у «конкурсі краси»,[br]який влаштував NIST.

9:59:59.000,9:59:59.000
Я вважаю, вони не гірші за ті,[br]що залишилися в фіналі.

9:59:59.000,9:59:59.000
І взагалі всі тут — лякають.[br]Але Google і OpenSSH таки щось вибрали.

9:59:59.000,9:59:59.000
Але більшість із 69 пропозицій —[br]вже не мають

9:59:59.000,9:59:59.000
того рівня безпеки,[br]який вони мали п’ять років тому.

9:59:59.000,9:59:59.000
Атаки стали сильнішими,[br]а деякі системи не мали запасу міцності.

9:59:59.000,9:59:59.000
Щоб зробити обґрунтоване рішення,[br]треба розуміти історію кожної з них.

9:59:59.000,9:59:59.000
Як довго їх досліджували?[br]Наскільки вони вистояли?

9:59:59.000,9:59:59.000
Деякі досліджені мало,[br]деякі — трохи більше.

9:59:59.000,9:59:59.000
Це і формує ризик.

9:59:59.000,9:59:59.000
Three Bears — гарна система.[br]Але після другого етапу її покинули.

9:59:59.000,9:59:59.000
І відтоді її майже ніхто не досліджував.

9:59:59.000,9:59:59.000
Вона може бути хорошою —[br]але ми цього точно не знаємо.

9:59:59.000,9:59:59.000
Ті, що пройшли в третій тур — чорні та сірі на слайді —[br]переважно ок.

9:59:59.000,9:59:59.000
І, звісно, сині.

9:59:59.000,9:59:59.000
Отже, вибирай ті, що сині або чорні.[br]Можна вважати, вони найкращі.

9:59:59.000,9:59:59.000
І наостанок — швидке питання:

9:59:59.000,9:59:59.000
якщо я параноїк у фользяному капелюсі...

9:59:59.000,9:59:59.000
...що я можу зробити,[br]щоб захистити своє спілкування?

9:59:59.000,9:59:59.000
Пропускай усе через OpenSSH.

9:59:59.000,9:59:59.000
Це вже непоганий старт.

9:59:59.000,9:59:59.000
Але, звісно, треба мати

9:59:59.000,9:59:59.000
клієнта і сервер, які це підтримують.

9:59:59.000,9:59:59.000
І хоча є деякі експериментальні реалізації —

9:59:59.000,9:59:59.000
масового впровадження майже нема.

9:59:59.000,9:59:59.000
VPN — ще один приклад.[br]Так, є постквантові VPN-рішення.

9:59:59.000,9:59:59.000
У Movad є постквантова альтернатива —[br]вони використовують McEliece, вони використовують

9:59:59.000,9:59:59.000
WireGuard для VPN, і у WireGuard є[br]опція додавання додаткового ключа

9:59:59.000,9:59:59.000
попередньо узгодженого ключа, який[br]Movad використовує разом із McEliece, тобто ви завантажуєте

9:59:59.000,9:59:59.000
це через McEliece, щоб забезпечити[br]постквантовий захист у Movad

9:59:59.000,9:59:59.000
Тобто це VPN, який не просто між[br]двома точками — зазвичай ви хочете повністю

9:59:59.000,9:59:59.000
з'єднатися з сайтом, до якого підключаєтеся, і[br]якщо у вас наскрізний захист,

9:59:59.000,9:59:59.000
це означає, що і клієнт, і сервер повинні[br]підтримувати постквантову криптографію

9:59:59.000,9:59:59.000
а оскільки впровадження затягнулося,[br]то наразі вона не настільки поширена, як

9:59:59.000,9:59:59.000
я очікував кілька років тому, коли[br]навколо неї було багато

9:59:59.000,9:59:59.000
ентузіазму

9:59:59.000,9:59:59.000
<i>нерозбірливо</i>

9:59:59.000,9:59:59.000
Добре, Таня хоче, щоб я розповів про PQ Connect,[br]він незабаром вийде і, сподіваюся, спростить

9:59:59.000,9:59:59.000
впровадження постквантової криптографії[br]для захисту вашого з'єднання

9:59:59.000,9:59:59.000
від початку до кінця, але його ще не[br]випустили, тож я не можу сказати багато

9:59:59.000,9:59:59.000
Я з нетерпінням чекаю PQ Connect. Думаю,[br]це все, дякуємо, що були з нами

9:59:59.000,9:59:59.000
і ділилися своїми знаннями, оновленнями,[br]пов’язаними з постквантовою криптографією

9:59:59.000,9:59:59.000
Велике спасибі Тані Ланге[br]та D.J.B!

9:59:59.000,9:59:59.000
Дякуємо!

9:59:59.000,9:59:59.000
[Translated by Marta-Sofiya Klakovych[br](KYBS2004 course assignment at JYU.FI)]