0:00:00.000,0:00:01.536
[Translated by Marta-Sofiya Klakovych[br](KYBS2004 course assignment at JYU.FI)]

0:00:01.608,0:00:10.438
<i>музика</i>

0:00:10.521,0:00:14.714
Ласкаво просимо до цього хаотичного[br]року та заходу

0:00:14.714,0:00:17.182
Я Кара і я буду вашим диктором

0:00:17.182,0:00:20.052
Мені приємно оголосити доповідь

0:00:20.052,0:00:21.930
Пост-квантова криптографія:

0:00:21.930,0:00:23.390
обхідні шляхи, затримки та катастрофи

0:00:23.390,0:00:26.028
яку представляють Таня Ланге[br]та Д. Дж. Бернштейн

0:00:26.028,0:00:30.051
Таня Ланге — криптограф і математик,

0:00:30.051,0:00:33.121
яка спеціалізується на пост-квантовій криптографії

0:00:33.121,0:00:35.621
яка замінює ту криптографію,[br]яку ми використовуємо сьогодні

0:00:35.621,0:00:38.993
на варіанти, які є безпечними[br]проти атак квантових комп’ютерів

0:00:38.993,0:00:42.207
Вона є професоркою технічного

0:00:42.207,0:00:43.207
університету Ейндговена

0:00:43.207,0:00:46.770
і може пишатися численними[br]публікаціями та відзнаками

0:00:46.770,0:00:51.250
Вона також була координаторкою PQCrypto

0:00:51.250,0:00:53.013
що є загальноєвропейською ініціативою

0:00:53.013,0:00:56.556
для впровадження пост-квантової криптографії

0:00:57.153,0:01:00.083
Д. Дж. Б. є професором університету

0:01:00.083,0:01:01.083
Іллінойсу в Чикаго

0:01:01.083,0:01:06.559
а також професором Університету Бохума.[br]Він працює в галузі криптографії

0:01:06.559,0:01:09.187
і розробив шифрувальні системи, які використовуються

0:01:09.187,0:01:11.833
у криптографії з відкритим кодом,[br]можливо, ви зараз

0:01:11.833,0:01:13.812
використовуєте одну з них,[br]дивлячись цю доповідь

0:01:13.812,0:01:18.353
Разом вони реалізували вражаючу[br]кількість проєктів

0:01:18.353,0:01:22.594
від спрощення впровадження[br]безпечної криптографії

0:01:22.594,0:01:27.271
до створення безпечних[br]постквантових типів даних

0:01:27.271,0:01:30.086
обоє є активістами, які борються

0:01:30.086,0:01:33.145
за прозоріший процес[br]стандартизації криптографії

0:01:34.515,0:01:39.224
а тепер всі, плескайте своїми лапками

0:01:39.224,0:01:44.107
Давайте поаплодуємо[br]Тані Ланге та Д. Дж. Б.!

0:01:48.128,0:01:51.058
Добре, дякуємо за гарне представлення

0:01:51.212,0:01:54.782
давайте одразу перейдемо до справи —[br]почнемо з HTTPS

0:01:54.782,0:01:57.997
Коли ви заходите на сайт із HTTPS[br](або захищене з’єднання)

0:01:57.997,0:02:03.035
ви використовуєте TLS — протокол безпеки транспортного рівня —[br]щоб захистити ваше з’єднання

0:02:03.143,0:02:07.523
TLS використовує два типи криптографії[br]з кількох причин

0:02:07.553,0:02:10.409
по-перше, він покладається[br]на криптографію з відкритим ключем

0:02:10.509,0:02:14.406
вона виконує дві функції:[br]по-перше, вона забезпечує підписи.

0:02:14.406,0:02:18.784
Підписи з відкритим ключем —[br]вони гарантують, що зловмисник не зможе

0:02:18.784,0:02:21.827
підмінити дані сервера[br]своїми власними

0:02:21.827,0:02:23.873
і прикидатися сервером.

0:02:23.873,0:02:26.264
додатково TLS використовує[br]шифрування з відкритим ключем

0:02:26.264,0:02:31.123
наприклад, NIST P-256 або[br]RSA-4096 як систему підпису

0:02:31.123,0:02:36.318
NIST P-256 також можна використовувати[br]для шифрування, щоб ваші дані були захищені

0:02:36.590,0:02:39.080
щоб він (зловмисник) не міг її зрозуміти

0:02:39.080,0:02:43.691
через причини, пов’язані з продуктивністю,[br]криптографія складніша, ніж

0:02:43.782,0:02:48.082
просто криптографія з відкритим ключем —[br]вона також включає симетричну криптографію

0:02:48.114,0:02:50.704
іноді її називають[br]криптографією із секретним ключем

0:02:50.704,0:02:55.597
коли ви збираєте все разом у TLS,[br]ви отримуєте три основні складові

0:02:55.715,0:02:57.525
це шифрування з відкритим ключем

0:02:57.525,0:03:00.277
яке не шифрує всі ваші дані, а натомість

0:03:00.277,0:03:05.121
шифрує лише ключ,[br]щоб зловмисники не могли його зрозуміти

0:03:05.124,0:03:07.304
цей ключ надсилається[br]безпечно і конфіденційно

0:03:07.304,0:03:08.983
від однієї сторони до іншої

0:03:08.983,0:03:11.866
а підписи з відкритим ключем[br]використовуються, щоб переконатися,

0:03:11.866,0:03:14.499
що зловмисник не може підмінити[br]інший ключ

0:03:14.499,0:03:17.009
і в кінці цей ключ використовується

0:03:17.009,0:03:19.506
для захисту ваших даних[br]із використанням симетричної криптографії

0:03:19.729,0:03:24.269
усі інші протоколи, які ви використовуєте,

0:03:24.269,0:03:25.474
можна було б представити[br]у подібних слайдах

0:03:25.474,0:03:28.514
наприклад, SSH, але вони всі працюють[br]майже однаково

0:03:28.517,0:03:30.949
я зараз підкреслю два елементи на цьому слайді

0:03:30.949,0:03:33.735
RSA-4096 —[br]типова система для підпису

0:03:33.735,0:03:36.216
і типова система шифрування —[br]NIST P-256

0:03:36.290,0:03:40.850
тому що ці дві (системи) будуть зламані[br]через квантові комп’ютери

0:03:40.930,0:03:43.044
без квантових комп’ютерів[br]жодних відомих

0:03:43.044,0:03:44.915
загроз не існувало б, але

0:03:44.915,0:03:46.960
якщо в атакуючого буде[br]великий квантовий комп’ютер

0:03:46.960,0:03:49.165
а це, найімовірніше, станеться

0:03:49.165,0:03:51.696
хоча це не гарантовано —[br]може, спроби створити квантовий комп’ютер

0:03:51.696,0:03:53.015
зазнають невдачі з якихось причин

0:03:53.015,0:03:55.720
але зараз виглядає так,[br]що квантові комп’ютери

0:03:55.720,0:03:57.430
стають дедалі успішнішими

0:03:57.430,0:03:59.125
і як тільки вони стануть достатньо потужними

0:03:59.125,0:04:00.785
можливо, за десять років

0:04:00.785,0:04:04.089
Тоді нападники зможуть запустити[br]алгоритм атаки,

0:04:04.089,0:04:07.578
який називається алгоритмом Шора,[br]що знаходить ваші секретні RSA-ключі і

0:04:07.578,0:04:12.080
секретні ключі NIST P-256,[br]і тоді зловмисники зможуть

0:04:12.080,0:04:14.714
отримати доступ до інформації,[br]яку вони вже зараз зберігають

0:04:14.714,0:04:17.324
це загроза не лише майбутнім даним,[br]але і

0:04:17.324,0:04:21.005
конфіденційності ваших поточних даних

0:04:21.005,0:04:25.009
бо зловмисники вже зараз[br]зберігають все, що можуть, з Інтернету

0:04:25.009,0:04:27.416
і коли у них буде[br]великий квантовий комп’ютер

0:04:27.416,0:04:33.506
вони зможуть розшифрувати все заднім числом,[br]бо зламають RSA-4096

0:04:33.506,0:04:39.213
і NIST P-256,[br]а саме NIST P-256 забезпечує шифрування

0:04:39.213,0:04:42.947
і вони зможуть повернутися в минуле[br]і зламати шифрування, яке ви використовуєте сьогодні

0:04:42.947,0:04:45.688
Що ж нам із цим робити?

0:04:45.688,0:04:48.270
Стандартний підхід — це те,[br]що ми називаємо

0:04:48.270,0:04:50.562
постквантовою криптографією —[br]ви вже чули цю назву раніше, вона була

0:04:50.562,0:04:53.920
в назві нашої доповіді —[br]це криптографія, яка створена спеціально

0:04:53.920,0:04:57.168
з урахуванням того,[br]що атакуючий має квантовий комп’ютер

0:04:58.915,0:05:02.405
тож, як уже казав ведучий,

0:05:02.405,0:05:05.438
я була координаторкою проєкту PQCRYPTO

0:05:05.438,0:05:09.950
і це означає, що я об’їздила[br]світ із доповідями про постквантову криптографію

0:05:09.950,0:05:14.047
ось скріншот із виступу,[br]який я провела шість з половиною років тому

0:05:14.047,0:05:19.852
де я підкреслювала, як сьогодні це зробив Ден,[br]важливість постквантової криптографії

0:05:20.007,0:05:23.507
і наголошувала, що важливо давати рекомендації,

0:05:23.507,0:05:26.904
які визначають, які алгоритми[br]варто використовувати для заміни RSA та

0:05:26.904,0:05:31.078
NIST P-256, які[br]ви бачили на попередніх слайдах

0:05:31.275,0:05:36.656
і тоді я поставила питання —[br]чи варто нам стандартизувати зараз чи пізніше

0:05:37.120,0:05:43.110
аргументи існують з обох сторін,[br]і ну… якби ми стандартизували тоді,

0:05:43.110,0:05:46.575
шість років тому,[br]здавалося, що ще занадто багато роботи, і що ми отримаємо

0:05:46.575,0:05:49.095
набагато кращу систему,[br]якщо трохи зачекаємо

0:05:49.095,0:05:57.222
але з іншого боку існує занепокоєння[br]через дані, які збирають уряди та інші темні сили

0:05:57.256,0:06:03.836
і чим пізніше це буде опубліковано, тим більше даних і безпеки буде втрачено

0:06:03.836,0:06:09.148
тому важливо просуватися вперед,[br]і тоді нашою відповіддю було таке:

0:06:09.148,0:06:13.237
те, що я просувала у 2016 році —[br]це рекомендації, опубліковані у 2015 році, в яких

0:06:13.237,0:06:17.043
йшлося про те, що[br]стандартизація займає багато часу

0:06:17.043,0:06:21.018
ми ще не на тій стадії,[br]але якщо хтось хоче захистити себе.

0:06:21.018,0:06:23.532
Ось що ми… ну, тобто ціла група

0:06:23.532,0:06:28.872
дослідників, які підписали цю заяву[br]як частину проєкту PQCRYPTO

0:06:28.872,0:06:34.682
що ми рекомендували?[br]Наша рекомендація була у тому, що ми назвали

0:06:34.682,0:06:36.387
«обережною криптографією»

0:06:36.387,0:06:38.254
і це не означає[br]політичний консерватизм

0:06:38.254,0:06:42.178
це означає щось нудне,[br]щось, що вже давно відоме

0:06:42.178,0:06:46.730
багато людей його вже проаналізували,[br]і ми не очікуємо жодних змін

0:06:46.730,0:06:49.971
у сфері симетричних ключів, як уже казав Ден,

0:06:50.089,0:06:53.449
квантові комп’ютери на них не впливають

0:06:53.449,0:06:56.508
тому якщо використовувати достатньо великі ключі

0:06:56.508,0:07:01.474
256-бітові ключі,[br]то AES або Salsa20 є достатніми

0:07:01.474,0:07:07.148
те саме стосується аутентифікації —[br]якщо ви отримали ключ, його не підробити

0:07:07.148,0:07:13.139
але для шифрування і підписів[br]з відкритим ключем, RSA-4096

0:07:13.775,0:07:18.665
і ECC NIST P-256 — їх потрібно замінити[br]і ми маємо альтернативи. Ось

0:07:19.494,0:07:21.994
рекомендація з високим рівнем довіри:

0:07:22.064,0:07:26.614
використовуйте систему МакЕліса —[br]назва ще з’явиться пізніше

0:07:26.614,0:07:28.862
і використовуйте[br]сигнатури, засновані на хешах

0:07:30.587,0:07:34.607
ми також представили деякі алгоритми[br]як «перебувають у стадії оцінювання»

0:07:34.607,0:07:38.743
що означає — поки не варто їх використовувати

0:07:38.743,0:07:41.172
але згодом вони можуть виявитися придатними.

0:07:41.172,0:07:43.892
І для нас це нормально — ми вбили кілок у землю,

0:07:43.892,0:07:45.036
ми сказали: «Ось, це безпечно»

0:07:45.337,0:07:50.327
і люди повинні діяти відповідно,[br]і всі житимуть довго і щасливо

0:07:50.327,0:07:52.271
і наш виступ на цьому завершено

0:07:52.271,0:07:54.876
...чи всі дійсно[br]житимуть довго і щасливо?

0:07:54.876,0:07:55.973
до кінця свого життя?

0:07:55.973,0:07:57.900
Давайте подивимось,[br]що сталося насправді після цього

0:07:57.900,0:08:02.292
Організація… ну,[br]речі, які мали бути оприлюднені

0:08:02.292,0:08:04.991
насправді був один експеримент,[br]який Google проводив

0:08:04.991,0:08:09.666
у 2016 році Google Chrome[br]додав постквантовий варіант

0:08:09.666,0:08:11.440
це не означає, що кожен

0:08:11.440,0:08:14.252
вебсервер підтримував його —[br]це був просто експеримент

0:08:14.252,0:08:16.329
Google активував його лише на деяких

0:08:16.329,0:08:19.411
своїх серверах і сказав:[br]«Добре, подивимось,

0:08:19.411,0:08:21.963
як це працює», — і звучали[br]дуже натхненно у своєму блозі

0:08:21.963,0:08:24.545
де вони оголосили,[br]що допомагають користувачам захиститися

0:08:24.545,0:08:26.844
від квантових комп’ютерів —[br]подивимось, чи спрацює

0:08:26.844,0:08:30.191
Система, яку вони використовували,[br]називалася New Hope (NH)

0:08:30.191,0:08:34.779
Вони шифрували не лише за допомогою NH —[br]NH є постквантовою шифрувальною системою

0:08:34.779,0:08:38.852
Вони також шифрували[br]традиційною

0:08:38.852,0:08:41.600
криптографією — еліптичними кривими

0:08:41.600,0:08:44.679
як уже згадувала Таня —[br]NIST P-256 — приклад ECC

0:08:44.679,0:08:49.116
іншим прикладом ECC є x25519 —[br]ви, ймовірно, використовуєте це сьогодні

0:08:49.116,0:08:51.453
щоб шифрувати свої дані[br]і ось що зробив Google:

0:08:51.453,0:08:55.241
Він шифрував NH для[br]постквантового захисту

0:08:55.241,0:08:58.855
і одночасно шифрував[br]x25519, як вони роблять

0:08:58.855,0:09:02.254
зазвичай і сьогодні —[br]ідея була в тому, що якщо щось

0:09:02.254,0:09:07.829
піде не так із NH,[br]то ми все одно маємо звичайний захист

0:09:07.829,0:09:09.773
тобто, щонайменше,[br]немає негайної загрози

0:09:09.773,0:09:11.653
безпеці —[br]вони не погіршують ситуацію

0:09:11.848,0:09:14.888
звісно, якщо NH зламано,[br]то й не покращують

0:09:14.888,0:09:17.054
але основна ідея —[br]спробувати зробити краще і

0:09:17.090,0:09:20.450
в той же час переконатися,[br]що не стане гірше — шифруючи обома:

0:09:20.450,0:09:22.977
традиційним і постквантовим[br]методом

0:09:22.977,0:09:28.321
План «Б» дуже важливий,[br]бо NH — нова шифрувальна система

0:09:28.496,0:09:32.436
тобто у 2016 вона була новою,[br]ключові елементи NH були створені

0:09:32.596,0:09:37.676
у 2010, 2014 і 2015 роках —[br]а це не так багато часу для перевірки

0:09:37.836,0:09:43.216
в криптографії іноді минають роки,[br]поки знаходять вразливості

0:09:43.271,0:09:47.591
тому дуже важливо, щоб новим шифрувальним системам дали час дозріти

0:09:47.914,0:09:51.094
інша проблема з новими шифрувальними системами

0:09:51.094,0:09:55.487
— їх можуть запатентувати.[br]Патенти діють 20 років, і це сталося

0:09:55.487,0:10:01.164
з NH. Власник патенту звернувся[br]до Google і сказав: «Я хочу гроші за ваше

0:10:01.164,0:10:05.164
використання NH». Google[br]ніколи публічно не коментував цю

0:10:05.164,0:10:11.176
патентну загрозу,[br]але з якихось причин у листопаді 2016 року[br]вони прибрали NH

0:10:11.643,0:10:16.233
з Chrome і своїх серверів.[br]У 2016 році також сталися інші події:

0:10:16.590,0:10:22.550
в уряді США є установа — NIST,[br]яка має довгу історію співпраці

0:10:22.692,0:10:29.246
з Агентством нацбезпеки США (NSA).[br]NIST оголосив, що наприкінці 2017 року

0:10:30.026,0:10:33.546
вони хочуть, щоб криптографи подали[br]пропозиції

0:10:33.546,0:10:37.910
щодо постквантових алгоритмів —[br]для шифрування й підпису,

0:10:37.910,0:10:46.075
які згодом можна було б стандартизувати.[br]Цікавий момент з їхньої заявки:

0:10:46.290,0:10:50.790
не дозволено надсилати гібриди — тобто[br]системи, які шифрують і

0:10:50.790,0:10:55.453
за допомогою постквантових алгоритмів, і ECC,[br]або підписують чимось, що ви вже використовуєте, разом із

0:10:55.453,0:10:59.334
постквантовим рішенням.[br]Вони сказали, що алгоритми не повинні

0:10:59.541,0:11:03.671
включати ECC чи будь-який інший алгоритм,[br]який може бути зламаний квантовими комп’ютерами

0:11:03.688,0:11:07.467
З точки зору розробника додатків,[br]зручно мати ECC-шар окремо

0:11:07.529,0:11:10.749
і сказати: що б ви не робили[br]з постквантовим алгоритмом,

0:11:10.749,0:11:16.012
все одно поєднуєте його з x25519, наприклад.[br]Але вони не сказали, що треба

0:11:16.048,0:11:20.928
поєднувати все з ECC — наприклад,[br]x25519 як окремий шар. Вони сказали:

0:11:21.431,0:11:23.991
не подавайте нічого,[br]що поєднується з ECC

0:11:27.907,0:11:33.917
Провівши цей конкурс на постквантові системи,[br]NIST надіслав сигнал компаніям:

0:11:33.917,0:11:36.457
почекайте, не впроваджуйте[br]постквантову криптографію поки що

0:11:36.457,0:11:43.233
і тут був і батіг, і пряник.[br]Батіг — це патенти: Google щойно

0:11:43.327,0:11:47.095
втрапив у халепу через використання[br]чогось, на що раптом знайшовся патент

0:11:47.136,0:11:50.515
що ще може бути запатентоване?[br]А NIST сказав: у нас є процес,

0:11:50.515,0:11:54.906
який веде до криптографічних стандартів,[br]які можна реалізовувати вільно, тобто патенти

0:11:54.906,0:11:59.123
не завадять вам це використовувати.[br]І вони також сказали, що виберуть щось,

0:11:59.123,0:12:04.939
що буде досить надійним —[br]безпека буде головним критерієм у відборі

0:12:05.561,0:12:10.481
І отже, галузь сказала: «Добре,[br]чекаємо від NIST рішення», а інші

0:12:10.636,0:12:16.166
органи стандартизації — також.[br]У IETF є свій дослідницький підрозділ,

0:12:16.312,0:12:21.632
IRTF, який створює стандарти для Інтернету.[br]І криптографічна група в IRTF сказала:

0:12:21.700,0:12:28.744
ми стандартизуємо те, що вже є в роботі,[br]наприклад, геш-функції

0:12:28.744,0:12:34.898
але для всього іншого —[br]чекаємо NIST. ISO теж сказала, що чекає

0:12:34.898,0:12:40.833
NIST. Не всі організації сказали це —[br]наприклад, уряд Китаю

0:12:40.833,0:12:45.565
заявив, що проведе свій власний конкурс.[br]Але, ну… кого це цікавить?

0:12:46.205,0:12:53.195
Тож повертаємося до конкурсу NIST:[br]ось усі заявки. Наприкінці 2017 року

0:12:53.302,0:12:59.070
було 69 заявок від 260 криптографів.[br]Я не буду зачитувати всі імена, але це була

0:12:59.070,0:13:01.738
величезна кількість роботи[br]для аналітиків у криптографії.

0:13:03.459,0:13:08.979
Ми весело проводили час на початку 2017-го,[br]а ті, хто бачив нас на сцені у 2018-му,

0:13:08.979,0:13:12.857
знають, що ми розповідали про те,[br]як весело нам було зламувати ці пропозиції

0:13:12.857,0:13:16.558
але це була справжня купа роботи.[br]Подивимось, що зробив NIST з конкурсом.

0:13:16.558,0:13:21.803
У 2019-му, тобто через два роки —[br]ну, рік із чимось — вони почали

0:13:21.803,0:13:26.153
скорочувати кількість кандидатів[br]до 26. А в липні 2020-го

0:13:26.153,0:13:32.576
їх ще скоротили — до 15.[br]Мета була зосередитись на тому,

0:13:32.576,0:13:39.085
що має сенс, і пріоритет давали[br]найбезпечнішим кандидатам, за винятком

0:13:39.085,0:13:42.469
випадків, де застосування вимагало[br]більшої ефективності

0:13:43.254,0:13:48.924
Насправді ні — вони зовсім так не робили.[br]Якщо почитати звіт і подивитись,

0:13:48.924,0:13:51.623
яких кандидатів вони обрали —[br]щоразу, коли був вибір

0:13:51.623,0:13:54.966
між швидкістю і безпекою,[br]звісно, вони відсікали

0:13:54.966,0:13:59.683
алгоритми, які були повністю зламані,[br]і ті, що були дуже неефективні

0:13:59.683,0:14:04.105
але от вам приклад — SPHINCS,[br]який згадувала Таня раніше,

0:14:04.414,0:14:08.724
дуже обережний,[br]усі погоджуються, що це — найбезпечніша система підпису

0:14:09.588,0:14:21.858
Але NIST не сказав: «Використовуйте SPHINCS»,[br]а: «Ми зачекаємо стандартизації SPHINCS+,

0:14:21.858,0:14:27.194
хіба що стільки всього виявиться зламаним,[br]що доведеться взяти SPHINCS+»

0:14:27.566,0:14:36.526
І от у липні цього року NIST[br]оголосив, що обирає чотири стандарти

0:14:36.526,0:14:41.357
один із них — SPHINCS+, а ще чотири[br]кандидати залишаються під розглядом

0:14:41.559,0:14:46.689
виглядає так, ніби впевненість трохи похитнулась.[br]Тож що ж сталося?

0:14:47.057,0:14:55.102
Картинка з 69 заявками змінилася,[br]якщо перемотати час на 5,5 років вперед

0:14:55.962,0:15:01.686
Ось кольорове кодування: сині —[br]це ті, що залишаються в конкурсі NIST, тобто чотири

0:15:01.686,0:15:05.932
алгоритми, які мають стати стандартами,[br]і ще чотири кандидати четвертого раунду

0:15:07.257,0:15:12.764
сірі не пройшли далі —[br]це не означає, що вони були зламані,

0:15:13.010,0:15:17.550
але їх відсіяли настільки рано,[br]що ніхто вже не мав інтересу їх ламати

0:15:18.214,0:15:21.711
коричневий означає менш захищений,[br]ніж було заявлено; червоний —

0:15:21.845,0:15:24.525
означає справді зламаний,[br]а підкреслений червоний — це

0:15:24.525,0:15:29.774
повністю-повністю зламаний.

0:15:29.774,0:15:33.832
Як бачите, зламаних систем багато.

0:15:34.902,0:15:39.532
Є також цікавий фіолетовий у нижньому правому куті

0:15:40.502,0:15:46.802
якщо пам’ятаєте уроки малювання —[br]фіолетовий — це суміш червоного і синього.

0:15:46.825,0:15:49.095
SIKE було обрано

0:15:49.095,0:15:57.764
у липні, а вже в липні і зламано —[br]після 5 років аналізу, його зламали

0:15:57.764,0:16:02.581
за лічені секунди.[br]Це приклад того, коли щось справді пішло не так

0:16:02.581,0:16:06.760
і низка дрібних подій[br]похитнула впевненість

0:16:08.263,0:16:13.173
тому NIST хоча б обрав SPHINCS,[br]але це не призвело до обрання

0:16:13.173,0:16:16.415
інших обережних варіантів —[br]деякі з них ще «дозрівають»

0:16:16.696,0:16:21.736
але ця сфера поки що не зріла.

0:16:22.507,0:16:24.994
А що відбувалося тим часом[br]із боку впровадження?

0:16:24.994,0:16:28.226
Згадайте: було два моменти на слайдах Тані[br]ще з 2016 року. Вона сказала:

0:16:28.226,0:16:31.894
було б добре вже впровадити щось,[br]щоб захистити користувачів, бо

0:16:31.894,0:16:33.929
у нас є проблема з безпекою вже зараз —[br]зловмисники

0:16:33.929,0:16:37.249
вже записують все, і ми повинні[br]намагатися захиститися від цього, і

0:16:37.249,0:16:40.664
зробити це швидше, ніж[br]триває процес стандартизації. Google

0:16:40.664,0:16:47.451
почав це у 2016-му,[br]але злякався патентної загрози. До 2019-го

0:16:47.483,0:16:55.863
галузі й багато проєктів з відкритим кодом[br]подумали: можливо, вже час

0:16:55.863,0:16:59.084
впроваджувати нові рішення —[br]щось пішло не так у 2016-му,

0:16:59.084,0:17:04.643
але на той момент NIST уже зібрав[br]підтвердження від усіх учасників конкурсу

0:17:04.643,0:17:07.363
і з’ясував, які пропозиції[br]є запатентованими. Це дало нам

0:17:07.363,0:17:12.249
багато інформації, коли 260 криптографів[br]вказали, що саме захищено патентами

0:17:12.486,0:17:18.714
І вже у 2019-му стало ще очевидніше,[br]що квантові комп’ютери — на горизонті.

0:17:18.714,0:17:23.679
Тож приклади того, що сталося у 2019-му: OpenSSH версії 8, надихаючись TinySSH,

0:17:23.682,0:17:26.842
оголосив, що додасть гібридний варіант — поєднання алгоритму

0:17:26.842,0:17:33.328
на еліптичних кривих[br]і одного з постквантових кандидатів.

0:17:33.328,0:17:40.680
Він не активований за замовчуванням,[br]але якщо ви додасте рядок у налаштування. І на сервері, і на клієнті —[br]використовуватиметься постквантове шифрування.

0:17:40.680,0:17:45.759
А якщо постквантова частина буде зламана,[br]ви все одно маєте ECC як захист.

0:17:46.655,0:17:51.375
У липні 2019 року Google і Cloudflare[br]запустили експеримент із постквантовим шифруванням.

0:17:51.547,0:17:59.567
У ньому були дві версії:[br]деякі користувачі шифрували з ntruhrss

0:17:59.567,0:18:02.833
у поєднанні з ECC, звісно —[br]завжди використовуйте гібриди. Інша версія:

0:18:02.833,0:18:07.576
використовувала sikep і ECC.[br]Так, Таня сказала: «Ой».

0:18:07.729,0:18:14.534
Це приклад того, наскільки важливо[br]поєднувати все з ECC, щоб не втратити

0:18:14.689,0:18:19.079
поточний рівень безпеки —[br]усі ми зараз користуємось ECC.

0:18:19.079,0:18:26.207
Тож використовуйте і постквантові системи, і ECC,[br]щоб у гіршому випадку втратити лише час,

0:18:26.207,0:18:33.217
а в кращому — щось виграти.[br]Принаймні користувачі sikep мають захист ECC.

0:18:34.372,0:18:38.742
Також у жовтні 2019 року Google оголосив[br]про досягнення квантової переваги —

0:18:38.910,0:18:45.470
мається на увазі, що квантовий комп’ютер[br]виконав задачу швидше, ніж будь-який суперкомп’ютер.

0:18:45.512,0:18:49.612
Це було не щось практичне,[br]і мине ще багато років, перш ніж

0:18:49.612,0:18:52.462
з’являться реальні задачі, які[br]квантові комп’ютери вирішуватимуть швидше

0:18:52.462,0:18:56.431
за класичні комп’ютери.[br]Але навіть сама назва — «квантова перевага» —

0:18:56.431,0:19:01.094
вже вводить в оману,[br]хоч і є цікавим кроком уперед у квантових обчисленнях.

0:19:01.094,0:19:05.768
Ця назва, ймовірно, привернула багато[br]уваги та викликала тривогу.

0:19:07.842,0:19:18.172
У 2021–2022 роках OpenSSH, OpenBSD і Google[br]почали раптово оновлювати свої системи.

0:19:18.172,0:19:27.118
OpenSSH версії 9.0 уже включає sntrup і ECC[br]як стандарт — отже, якщо у вас

0:19:27.118,0:19:32.733
встановлено OpenSSH 9 на сервері[br]та на віддаленій машині

0:19:32.733,0:19:36.877
— використовується постквантовий алгоритм автоматично.

0:19:36.877,0:19:42.276
Насправді, ще версії OpenSSH до 8.5[br]теж це підтримують, але тоді

0:19:42.276,0:19:46.943
вам потрібно вручну його активувати,[br]щоб сервер і клієнт це використовували.

0:19:46.943,0:19:51.481
А в OpenSSH 9 це вже увімкнено за замовчуванням.[br]Так само і в Google:

0:19:51.481,0:19:56.009
з листопада, тобто з минулого місяця,[br]вони шифрують свою внутрішню

0:19:56.009,0:20:03.506
комунікацію за допомогою ntruhrss і ECC.[br]Тож сподіваємось, ntruhrss працює і

0:20:03.506,0:20:07.272
буде безпечним проти квантових комп’ютерів[br]у майбутньому.

0:20:07.272,0:20:12.362
Це також добре відповідає ідеї[br]так званого "cleansing code" — чистого коду.

0:20:12.362,0:20:16.629
Як уже згадувалося, чистий код[br]ще не стандартизований у криптографії,

0:20:16.629,0:20:22.250
але він заохочує дослідження[br]і адаптацію користувачів.

0:20:22.250,0:20:27.963
Наприклад, американський банківський стандарт[br]US ANSI NTX9 заявив, що

0:20:27.963,0:20:31.957
у майбутньому вони перейдуть[br]на постквантові стандарти.

0:20:32.036,0:20:35.426
Тобто вони очікують на спільне використання[br]класичної криптографії —

0:20:35.426,0:20:38.997
яку ще називають передквантовою —[br]і постквантової одночасно.

0:20:38.997,0:20:48.908
Одна — стандартизована і перевірена,[br]інша — ще нова і трохи незручна, але

0:20:48.908,0:20:53.047
нам вона потрібна для довготривалої безпеки.[br]І, можливо, в довгій перспективі

0:20:53.069,0:20:59.989
нам справді потрібна буде ця гібридна[br]комбінація. Далі — зі США до Франції:

0:20:59.989,0:21:07.300
від ANSI до ANSSI —[br]французьке агентство з кібербезпеки. Вони теж кажуть:

0:21:07.349,0:21:13.799
не використовуйте постквантові алгоритми[br]окремо, бо вони ще не дозріли.

0:21:14.315,0:21:18.755
Але ця незрілість — не привід[br]відкладати перші кроки впровадження.

0:21:19.062,0:21:29.562
ANSSI заохочує впроваджувати гібриди —[br]поєднуючи надійний класичний метод

0:21:29.562,0:21:32.146
із постквантовим алгоритмом.

0:21:32.906,0:21:37.736
Отже, все чудово йде за планом,[br]який Таня описувала на слайдах у 2016 році.

0:21:37.736,0:21:42.384
Стандартизація йде повільно,[br]але впровадження відбувається паралельно:

0:21:42.516,0:21:46.996
ми почали використовувати постквантове[br]шифрування разом з ECC — на випадок,

9:59:59.000,9:59:59.000
якщо щось піде не так —[br]і щоб захистити користувачів якомога раніше.

9:59:59.000,9:59:59.000
Що ж сказала на це влада США?[br]Починаючи з 2021 року уряд США

9:59:59.000,9:59:59.000
дуже чітко дав зрозуміти, чого він хоче.[br]Ви, мабуть, думаєте — вони хочуть,

9:59:59.000,9:59:59.000
щоб ви захищались від квантових атак?[br]Ні-ні — вони якраз НЕ хочуть, щоб ви

9:59:59.000,9:59:59.000
захищались від квантових комп’ютерів.[br]Ось, наприклад, цитата від NIST —

9:59:59.000,9:59:59.000
голови відділу кібербезпеки[br]Інформаційної лабораторії

9:59:59.000,9:59:59.000
яка і запустила конкурс[br]на постквантові алгоритми.

9:59:59.000,9:59:59.000
У липні 2021 року, невдовзі після того,[br]як OpenBSD і OpenSSH почали впровадження.

9:59:59.000,9:59:59.000
Він сказав: не дозволяйте людям купувати[br]і впроваджувати нестандартизовану постквантову

9:59:59.000,9:59:59.000
криптографію. І ще один приклад — АНБ,[br]яке тісно співпрацює з NIST, заявило:

9:59:59.000,9:59:59.000
не реалізовуйте й не використовуйте[br]нестандартизовану постквантову криптографію.

9:59:59.000,9:59:59.000
І щоб, бува, хтось не проігнорував це послання,[br]агентство безпеки

9:59:59.000,9:59:59.000
(ти думаєш, ці агентства між собою координуються?)

9:59:59.000,9:59:59.000
агентство безпеки заявило: не використовуйте[br]постквантові криптопродукти, доки

9:59:59.000,9:59:59.000
не завершено стандартизацію, впровадження[br]та тестування замінювальних програм

9:59:59.000,9:59:59.000
на основі затверджених алгоритмів від NIST.

9:59:59.000,9:59:59.000
Оце вже звучить як тривожний дзвіночок.[br]А ще дивно те, що вони кажуть:

9:59:59.000,9:59:59.000
якщо ви вже впроваджуєте[br]постквантову криптографію — не використовуйте гібриди.

9:59:59.000,9:59:59.000
І ти можеш подумати: я щось не так зрозумів?[br]Чи вони справді це сказали?

9:59:59.000,9:59:59.000
Ось слайд із конференції — фото Маркку Саарінена.[br]Я був там і можу підтвердити:

9:59:59.000,9:59:59.000
виступаючий чітко сказав: не варто[br]використовувати гібридні підходи.

9:59:59.000,9:59:59.000
Він неодноразово повторив:[br]не використовуйте нічого вже зараз. Вони також не

9:59:59.000,9:59:59.000
очікували затвердження постквантових алгоритмів[br]на основі логіки "на всяк випадок поєднуй усе".

9:59:59.000,9:59:59.000
Пізніше вони опублікували нові інструкції,[br]де сказано: буде однозначна заміна —

9:59:59.000,9:59:59.000
вимикаємо ECC і RSA,[br]вмикаємо постквантову криптографію.

9:59:59.000,9:59:59.000
І їхній аргумент був:[br]у ECC можуть бути помилки реалізації — тож вимикай

9:59:59.000,9:59:59.000
ECC. Погана ідея —[br]хіба що ти хакер, тоді це ідеально.

9:59:59.000,9:59:59.000
Тепер ти, можливо, думаєш:[br]"Ну ми ж усе одно будемо використовувати гібриди",[br]навіть якщо АНБ каже "не треба".

9:59:59.000,9:59:59.000
І ось це речення —[br]"не використовуйте нестандартизоване" —

9:59:59.000,9:59:59.000
мабуть, уже неактуальне, правда?[br]Адже NIST оголосив у липні: ми стандартизуємо Kyber.

9:59:59.000,9:59:59.000
Тобто: використовуйте Kyber.[br]Але ні. Насправді вони так не сказали.

9:59:59.000,9:59:59.000
Подивімося в деталі. Спершу —[br]пам’ятаєш, як Google мав проблеми з патентами для NH?

9:59:59.000,9:59:59.000
Ну так от, Kyber — це як син New Hope.[br]І вони, здається, переплутали Star Wars зі Star Trek:

9:59:59.000,9:59:59.000
ходили чутки, що Kyber внутрішньо[br]називали "New Hope: The Next Generation".

9:59:59.000,9:59:59.000
Пізніше знайшли кращу назву,[br]але по суті — Kyber дуже схожий на NH.

9:59:59.000,9:59:59.000
І має ті ж проблеми з патентами.[br]Це єдиний алгоритм шифрування, який обрав NIST.

9:59:59.000,9:59:59.000
Вони обрали SPHINCS+[br]і ще дві схеми підпису,

9:59:59.000,9:59:59.000
і лише одну схему шифрування — Kyber.[br]Це єдиний варіант захисту ваших даних

9:59:59.000,9:59:59.000
відповідно до стандартів NIST.[br]А Kyber, як і NH, перебуває

9:59:59.000,9:59:59.000
у полі з мін із семи патентів.

9:59:59.000,9:59:59.000
Це не означає, що всі сім — чинні.[br]Але це складна справа. Щоб оцінити патент,

9:59:59.000,9:59:59.000
треба розуміти патентне право,[br]і знати, як інтерпретувати пріоритети,

9:59:59.000,9:59:59.000
перекриття, розширення.[br]Все дуже заплутано.

9:59:59.000,9:59:59.000
Один із простих способів позбутись патентів —[br]викупити їх і зробити публічними.

9:59:59.000,9:59:59.000
І NIST у липні заявив:[br]ми ведемо переговори з третіми сторонами,

9:59:59.000,9:59:59.000
аби підписати угоди[br]і уникнути потенційних патентних проблем.

9:59:59.000,9:59:59.000
Чудово! Отже, можна використовувати Kyber?

9:59:59.000,9:59:59.000
Але компанії кажуть:

9:59:59.000,9:59:59.000
«Покажіть нам самі угоди, будь ласка».

9:59:59.000,9:59:59.000
Наприклад, Скотт Флюрер із Cisco заявив:

9:59:59.000,9:59:59.000
Cisco не зможе впровадити Kyber,[br]поки ми не побачимо текст ліцензій.

9:59:59.000,9:59:59.000
А потім виявилось: NIST узагалі[br]нічого не підписував у липні.

9:59:59.000,9:59:59.000
Але в листопаді вони нарешті сказали:[br]так, ми підписали дві ліцензійні угоди.

9:59:59.000,9:59:59.000
І ось трохи з їхнього змісту:

9:59:59.000,9:59:59.000
Але якщо уважно прочитати,[br]ліцензії стосуються лише стандарту, який описав NIST.

9:59:59.000,9:59:59.000
І будь-яке модифікування або використання[br]чогось, що не є цим стандартом, — заборонено.

9:59:59.000,9:59:59.000
Тобто, Kyber не можна змінювати або[br]використовувати поза стандартом NIST.

9:59:59.000,9:59:59.000
Можливо, ти думаєш: ну, вони ж уже обрали Kyber,[br]вони ж його стандартизували в липні?

9:59:59.000,9:59:59.000
Ні. Насправді в липні[br]вони лише заявили про наміри.

9:59:59.000,9:59:59.000
Вони планують стандартизувати Kyber —[br]а це не те саме, що «він уже стандартизований».[br]Планується, що стандартизацію Kyber[br]завершать у 2024 році.

9:59:59.000,9:59:59.000
Планується, що стандартизацію Kyber[br]завершать у 2024 році.

9:59:59.000,9:59:59.000
І проблема в тому, що ми досі не знаємо,[br]яким саме буде фінальний Kyber у 2024.

9:59:59.000,9:59:59.000
Бо досі пропонують зміни.[br]Тобто навіть якщо вийде стандарт у 2024...

9:59:59.000,9:59:59.000
...і якщо ліцензія дозволяє використовувати Kyber,[br]то...[br]...можливо, у 2023 вони вже визначили Kyber,[br]і, можливо, ті п’ять патентів...

9:59:59.000,9:59:59.000
...не зачеплять Kyber.[br]Буває, що люди проходять мінне поле — і не вибухають.

9:59:59.000,9:59:59.000
Іноді вдається не натиснути на жодну міну.

9:59:59.000,9:59:59.000
Отже, ми дійшли до кінця доповіді.[br]Ми вже достатньо розповіли про затримки та обхідні шляхи.

9:59:59.000,9:59:59.000
А тепер — що ми мали на увазі під словом «катастрофа»?[br]Звісно, якщо зламається те, що

9:59:59.000,9:59:59.000
було використано у тестах Google або Cloudflare,[br]це — катастрофа.

9:59:59.000,9:59:59.000
Але вони використовували резервний варіант —[br]використовували гібриди.

9:59:59.000,9:59:59.000
Тому це ще нормально.

9:59:59.000,9:59:59.000
Справжня катастрофа — це те,[br]що ми у 2022 році, а у нас

9:59:59.000,9:59:59.000
досі нема постквантової криптографії[br]на телефонах чи комп’ютерах.

9:59:59.000,9:59:59.000
Ми можемо вказати на приклади впровадження,[br]але загалом — це не масово.

9:59:59.000,9:59:59.000
Твої дані все ще зашифровані[br]алгоритмами, що можна зламати квантовим комп’ютером.

9:59:59.000,9:59:59.000
І це — справжня катастрофа.

9:59:59.000,9:59:59.000
Дякуємо за увагу!

9:59:59.000,9:59:59.000
Дякую, дякую!

9:59:59.000,9:59:59.000
Нерозбірливо

9:59:59.000,9:59:59.000
...або технології, які я використовую у фоновому режимі,[br]можливо, вже постквантові.

9:59:59.000,9:59:59.000
Я думаю, що моє SSH-з'єднання[br]вже використовує щось таке, тож, можливо, все не так погано.

9:59:59.000,9:59:59.000
Ми завжди можемо покладатися на OpenBSD.[br]Однозначно.

9:59:59.000,9:59:59.000
Подивимось, чи є запитання.[br]Ось одне: я розробник, створюю додаток...

9:59:59.000,9:59:59.000
...не обов'язково криптографічний —[br]як мені впевнитись, що алгоритм стійкий у постквантову еру?

9:59:59.000,9:59:59.000
Чи можу я вже зараз використовувати гібридний підхід,[br]щоб захистити своїх користувачів?

9:59:59.000,9:59:59.000
О! У нас є слайд саме для цього![br]Покажи слайд!

9:59:59.000,9:59:59.000
Ми передбачили це питання.[br]Так, це все виглядає депресивно — але ось що робити:

9:59:59.000,9:59:59.000
Ми маємо слайд з практичними діями,[br]які ти можеш зробити вже зараз.

9:59:59.000,9:59:59.000
І наша порада: використовуй гібриди.[br]Мені здається, я вже казала це у 2016-му...

9:59:59.000,9:59:59.000
Я тоді казала: «Ось, дивись, що ти можеш зробити[br]вже зараз, ось наші пропозиції».

9:59:59.000,9:59:59.000
Ми вважаємо ці варіанти дуже безпечними.[br]І ось я знову тут — у грудні 2022-го...

9:59:59.000,9:59:59.000
...і я кажу: McEliece — це дуже обережна система.[br]І вона не має тих патентних проблем, які має Kyber.

9:59:59.000,9:59:59.000
Що ж таке гібрид?[br]Це комбінація передквантової та постквантової криптографії.

9:59:59.000,9:59:59.000
У шифруванні обидва мають брати участь[br]у генерації ключа.

9:59:59.000,9:59:59.000
У цифровому підписі —[br]обидва підписи мають бути чинними окремо.

9:59:59.000,9:59:59.000
Тільки тоді гібридний підпис — справжній підпис.

9:59:59.000,9:59:59.000
Є багато бібліотек, які можна подивитись,[br]щоб отримати уявлення про різні системи.

9:59:59.000,9:59:59.000
Ти можеш спробувати реалізувати їх.[br]Якість бібліотек зараз вже набагато краща,

9:59:59.000,9:59:59.000
ніж кілька років тому.[br]Постквантові реалізації стають зрілими.

9:59:59.000,9:59:59.000
Люди вкладають багато зусиль[br]у їх вдосконалення. Але ризики залишаються.

9:59:59.000,9:59:59.000
Проте ризик нічого не робити —[br]набагато більший.

9:59:59.000,9:59:59.000
Бо якщо ти нічого не зробиш,[br]твоя інформація залишиться вразливою

9:59:59.000,9:59:59.000
для майбутніх атак[br]з боку квантових комп’ютерів, які вже

9:59:59.000,9:59:59.000
сьогодні записують ці дані.[br]Тож краще експериментуй.

9:59:59.000,9:59:59.000
Ось приклад бібліотеки,[br]яка реалізує кілька різних алгоритмів

9:59:59.000,9:59:59.000
називається Quantum Safe OQS. Є й інші бібліотеки,[br]які працюють із певними криптосистемами.

9:59:59.000,9:59:59.000
Тож у більшості розробників є якийсь застосунок,[br]але знову ж таки: потрібно оцінювати якість.

9:59:59.000,9:59:59.000
І потрібно подумати,[br]наскільки якісною є сама реалізація.

9:59:59.000,9:59:59.000
Нова бібліотека, яка з’являється — lib.js.[br]У неї вже є кілька перевірок, і я би сказав, що вона надійна.

9:59:59.000,9:59:59.000
Але, на жаль, єдиний постквантовий алгоритм[br]у ній — це Kyber.

9:59:59.000,9:59:59.000
І якщо ви плануєте на 2024 — добре.[br]Але на зараз — це ще не варіант.

9:59:59.000,9:59:59.000
Він ще не підходить для повноцінного використання прямо зараз.

9:59:59.000,9:59:59.000
Якщо хочете щось швидке —[br]подивіться, що використовують OpenSSH чи Google з ntruhrss.

9:59:59.000,9:59:59.000
Ця система хоча б частково протестована.

9:59:59.000,9:59:59.000
Можна спробувати. Але завжди — використовуйте гібриди з ECC.

9:59:59.000,9:59:59.000
На всяк випадок —[br]якщо постквантовий компонент раптом зламається.

9:59:59.000,9:59:59.000
Раптом усе піде не так.

9:59:59.000,9:59:59.000
Але ж складно створити власну систему об’єднання?[br]Має бути правильний спосіб поєднання.

9:59:59.000,9:59:59.000
Мені ж потрібно якось об’єднати класичний[br]і постквантовий метод.

9:59:59.000,9:59:59.000
Так, це можливо.[br]Іноді достатньо просто: підписати першим алгоритмом...

9:59:59.000,9:59:59.000
...підписати другим,[br]а потім перевірити обидва підписи.

9:59:59.000,9:59:59.000
Але ми бачили приклади, де все пішло не так.[br]Треба бути дуже обережними.

9:59:59.000,9:59:59.000
Для шифрування зазвичай використовують ECC для обміну ключем,[br]а потім постквантову систему для другого обміну.

9:59:59.000,9:59:59.000
І далі об’єднуєш два ключі[br]через улюблену хеш-функцію.

9:59:59.000,9:59:59.000
Стандартна криптографічна хеш-функція —[br]це завжди добре.

9:59:59.000,9:59:59.000
Але ти казав про поєднання —

9:59:59.000,9:59:59.000
є чимало досліджень на цю тему...

9:59:59.000,9:59:59.000
нерозбірливо

9:59:59.000,9:59:59.000
Перепрошую, можеш повторити?

9:59:59.000,9:59:59.000
Йдеться про криптографічну хеш-функцію.[br]Не використовуй просто якусь XX-функцію.

9:59:59.000,9:59:59.000
Використовуй ту, яка справді є криптографічною.

9:59:59.000,9:59:59.000
Наприклад, SHA-512 —[br]так, її створили в NSA, але...

9:59:59.000,9:59:59.000
...вона витримала безліч спроб зламати її[br]і все ще тримається.

9:59:59.000,9:59:59.000
Є ще SHA-3, який теж пройшов публічне оцінювання.

9:59:59.000,9:59:59.000
І в більшості випадків немає проблем з тим,[br]щоб взяти два 32-байтові рядки, з’єднати їх...

9:59:59.000,9:59:59.000
...та пропустити через хеш-функцію.[br]І це буде ваш симетричний ключ.

9:59:59.000,9:59:59.000
Є навіть пропозиції,[br]як саме це правильно зробити.

9:59:59.000,9:59:59.000
Наприклад, IRTF або точніше — CFRG RFC.[br]А також деякі рекомендації від NIST.

9:59:59.000,9:59:59.000
Щодо використання гібридів[br]у стандартних сценаріях.

9:59:59.000,9:59:59.000
І трохи самореклами —[br]у нас є слайд із попередніми дослідженнями.

9:59:59.000,9:59:59.000
Там ми детально описали[br]підходи до впровадження та об'єднання гібридів.

9:59:59.000,9:59:59.000
Як робити це правильно.[br]Звісно, є ще етап вибору системи.

9:59:59.000,9:59:59.000
Потрібно обрати свою систему.[br]І як бачиш — є багато ризиків у реальному світі.

9:59:59.000,9:59:59.000
Можу згадати Skype як приклад для експериментів —[br]але проблема в тому, якщо хочеш використати це реально.

9:59:59.000,9:59:59.000
Але якщо це лише для досліджень чи хобі —[br]то це не страшно.

9:59:59.000,9:59:59.000
Якщо ти просто граєшся з цим,[br]або хочеш написати статтю — все ок.

9:59:59.000,9:59:59.000
але для продакшену — треба бути обережним.

9:59:59.000,9:59:59.000
І от вам вибір:[br]або як Google — спробувати щось нове і перевірити, чи не вибухне.

9:59:59.000,9:59:59.000
І нам пощастило — воно не вибухнуло.[br]Тож Google міг далі використовувати

9:59:59.000,9:59:59.000
NH або потім NTRU разом із ECC.[br]Або можна піти іншим шляхом:

9:59:59.000,9:59:59.000
Пріоритет безпеці.[br]Готовність втратити трохи швидкості та пропускної здатності.

9:59:59.000,9:59:59.000
Взяти найобережніші постквантові системи[br]і поєднати їх із ECC або RSA.

9:59:59.000,9:59:59.000
Це — вибір, який доведеться зробити,[br]якщо ви плануєте реалізацію.

9:59:59.000,9:59:59.000
Вирішуєш: швидкість чи обережність?

9:59:59.000,9:59:59.000
Тож ти можеш почати експериментувати вже зараз.

9:59:59.000,9:59:59.000
То чи нормально використовувати алгоритм,[br]який ще бере участь у конкурсі?

9:59:59.000,9:59:59.000
Який ще не стандартизований[br]або можливо ніколи не буде?

9:59:59.000,9:59:59.000
Навіть якщо для нього ще немає[br]відомих атак?

9:59:59.000,9:59:59.000
Коли бачиш так багато червоних міток —[br]починаєш думати: ми, криптографи, взагалі щось тямимо?

9:59:59.000,9:59:59.000
Як може бути стільки поламаного?[br]Це реально тривожно.

9:59:59.000,9:59:59.000
Але факт вибору NIST не додає[br]дуже багато впевненості.

9:59:59.000,9:59:59.000
Окей, коментар?

9:59:59.000,9:59:59.000
Хочу сказати, що ті системи, які відкинули[br]на першому етапі, ніхто більше не досліджував.

9:59:59.000,9:59:59.000
Люди втратили інтерес.[br]Але ті, що пройшли далі — досліджувалися більше.

9:59:59.000,9:59:59.000
Наприклад, NTRU Prime і HRSS-KEM[br]вийшли в третій раунд.

9:59:59.000,9:59:59.000
Але не перемогли у «конкурсі краси»,[br]який влаштував NIST.

9:59:59.000,9:59:59.000
Я вважаю, вони не гірші за ті,[br]що залишилися в фіналі.

9:59:59.000,9:59:59.000
І взагалі всі тут — лякають.[br]Але Google і OpenSSH таки щось вибрали.

9:59:59.000,9:59:59.000
Але більшість із 69 пропозицій —[br]вже не мають

9:59:59.000,9:59:59.000
того рівня безпеки,[br]який вони мали п’ять років тому.

9:59:59.000,9:59:59.000
Атаки стали сильнішими,[br]а деякі системи не мали запасу міцності.

9:59:59.000,9:59:59.000
Щоб зробити обґрунтоване рішення,[br]треба розуміти історію кожної з них.

9:59:59.000,9:59:59.000
Як довго їх досліджували?[br]Наскільки вони вистояли?

9:59:59.000,9:59:59.000
Деякі досліджені мало,[br]деякі — трохи більше.

9:59:59.000,9:59:59.000
Це і формує ризик.

9:59:59.000,9:59:59.000
Three Bears — гарна система.[br]Але після другого етапу її покинули.

9:59:59.000,9:59:59.000
І відтоді її майже ніхто не досліджував.

9:59:59.000,9:59:59.000
Вона може бути хорошою —[br]але ми цього точно не знаємо.

9:59:59.000,9:59:59.000
Ті, що пройшли в третій тур — чорні та сірі на слайді —[br]переважно ок.

9:59:59.000,9:59:59.000
І, звісно, сині.

9:59:59.000,9:59:59.000
Отже, вибирай ті, що сині або чорні.[br]Можна вважати, вони найкращі.

9:59:59.000,9:59:59.000
І наостанок — швидке питання:

9:59:59.000,9:59:59.000
якщо я параноїк у фользяному капелюсі...

9:59:59.000,9:59:59.000
...що я можу зробити,[br]щоб захистити своє спілкування?

9:59:59.000,9:59:59.000
Пропускай усе через OpenSSH.

9:59:59.000,9:59:59.000
Це вже непоганий старт.

9:59:59.000,9:59:59.000
Але, звісно, треба мати

9:59:59.000,9:59:59.000
клієнта і сервер, які це підтримують.

9:59:59.000,9:59:59.000
І хоча є деякі експериментальні реалізації —

9:59:59.000,9:59:59.000
масового впровадження майже нема.

9:59:59.000,9:59:59.000
VPN — ще один приклад.[br]Так, є постквантові VPN-рішення.

9:59:59.000,9:59:59.000
У Movad є постквантова альтернатива —[br]вони використовують McEliece, вони використовують

9:59:59.000,9:59:59.000
WireGuard для VPN, і у WireGuard є[br]опція додавання додаткового ключа

9:59:59.000,9:59:59.000
попередньо узгодженого ключа, який[br]Movad використовує разом із McEliece, тобто ви завантажуєте

9:59:59.000,9:59:59.000
це через McEliece, щоб забезпечити[br]постквантовий захист у Movad

9:59:59.000,9:59:59.000
Тобто це VPN, який не просто між[br]двома точками — зазвичай ви хочете повністю

9:59:59.000,9:59:59.000
з'єднатися з сайтом, до якого підключаєтеся, і[br]якщо у вас наскрізний захист,

9:59:59.000,9:59:59.000
це означає, що і клієнт, і сервер повинні[br]підтримувати постквантову криптографію

9:59:59.000,9:59:59.000
а оскільки впровадження затягнулося,[br]то наразі вона не настільки поширена, як

9:59:59.000,9:59:59.000
я очікував кілька років тому, коли[br]навколо неї було багато

9:59:59.000,9:59:59.000
ентузіазму

9:59:59.000,9:59:59.000
<i>нерозбірливо</i>

9:59:59.000,9:59:59.000
Добре, Таня хоче, щоб я розповів про PQ Connect,[br]він незабаром вийде і, сподіваюся, спростить

9:59:59.000,9:59:59.000
впровадження постквантової криптографії[br]для захисту вашого з'єднання

9:59:59.000,9:59:59.000
від початку до кінця, але його ще не[br]випустили, тож я не можу сказати багато

9:59:59.000,9:59:59.000
Я з нетерпінням чекаю PQ Connect. Думаю,[br]це все, дякуємо, що були з нами

9:59:59.000,9:59:59.000
і ділилися своїми знаннями, оновленнями,[br]пов’язаними з постквантовою криптографією

9:59:59.000,9:59:59.000
Велике спасибі Тані Ланге[br]та D.J.B!

9:59:59.000,9:59:59.000
Дякуємо!

9:59:59.000,9:59:59.000
[Translated by Marta-Sofiya Klakovych[br](KYBS2004 course assignment at JYU.FI)]