-
[Translated by Timo Broström
(KYBS2004 course assignment at JYU.FI)]
-
musiikkia
-
Tervetuloa kaikki tähän kaaoottiseen
vuoteen sekä tapahtumaan
-
olen Karra ja tulen olemaan teidän tiedottaja
-
on ilo pystyä kuuluttamaan puhe
-
kvantti-jälkeinen kryptografia:
kiertotiet, viivästykset ja katastrofit
-
jonka pitävät Tanja Lange
ja D.J. Bernstein
-
Tanja Lange on kryptograafikko ja matemaatikko
joka erikoistuu kantti-jälkeiseen krytografiaan
-
joka on korvaamassa kryptografiaa
jota käytämme nykypäivänä
-
sellaisilla versiolla jotka ovat turvassa
kvanttitietokoneilla toteutetuilta hyökkäyksiltä
-
hän on professori Einhovenin
teknillisessä yliopistossa
-
ja hänellä on ylpeilee useilla
eri julkaisuilla ja erityksillä
-
hän oli myös PQ crypton koordinaattori
-
joka on yleiseurooppalainen liitto
-
kvantti-jälkeisen kryptografian
käyttöönottamiseksi
-
D. J. B. on professori Illinoisin
yliopistossa Chicagossa
-
sekä professori Bochumin yliopistossa.
hän työskentelee kryptografian parissa ja
-
hän on kehittänyt
salakirjoitusjärjestelmiä joita käytetään
-
avoimen lähdekoodin kryptografiassa,
mahdollisesti käytät jotain
-
sellaista salakirjoitusjärjestelmää
katsoessasi tätä puhetta juuri nyt
-
yhdessä he kehittivät vaikuttavan
määrän projekteja
-
aina turvallisen kryptografian
käyttöönoton yksinkertaistamisesta
-
turvallisien kvantti-jälkeisten
tietotyyppien rakentamiseen
-
molemmat heistä ovat
aktivisteja jotka taistelevat
-
läpinäkyvämmän kryptografian
standardisointiprosessin puolesta
-
nyt kaikki laittakaa räpylänne yhteen
-
laittakaa kätenne yhteen
Tanja Longelle ja D.J.B:lle!
-
selvä, kiitos kivasta esipuheesta
-
sukelletaan heti asiaan
aloitetaan HTTPS:llä
-
kun menet HTTPS-sivulle
tai suojatulle sivulle
-
käytät TLS:ä, kuljetuskerroksen turvaa
turvataksesi kommunikaatiosi
-
TLS käyttää kahdenlaista
kryptografiaa muutamista eri syistä
-
ensinnäkin, se turvautuu
julkisen avaimen kryptografiaan
-
se tekee kahta asiaa
ensiksi, se tarjoaa allekirjoituksia
-
julkisen avaimen allekirjoituksia
se varmistaa että hyökkääjä ei pysty
-
korvaamaan palvelimen
dataa hyökkääjän datalla
-
ja teeskennellä olevansa palvelin
-
lisäksi TLS käyttää
julkisen avaimen salausta
-
esimerkiksi NIST P-256,
RSA-4096 on allekirjoittajajärjestelmä
-
NIST P-256:ta voidaan käyttää salaukseen
ja tämä salaa datasi niin ettei hyökkääjä
-
voi ymmärtää sitä
-
suoritustehoon liityvistä syistä
kryptografia on monimutkaisempi kuin
-
vain tämä julkisen avaimen kryptografia
se sisältää myös symmetrisen kryptografian
-
joskus sitä nimitetään
salaisen avaimen kryptografiaksi
-
kun kokoat kaiken yhteen TLS:n
saat kolme peruspalikkaa
-
on julkisen avaimen salaus
-
joka sen sijaan että
se salaisi datasi niin
-
etteivät hyökkääjät voi ymmärtää sitä
se salaa vain avaimen
-
se lähettää avaimen
turvallisesti ja salassa
-
päästä toiseen
-
ja julkisen avaimen allekirjoituksia
käytetään sen varmistamiseksi
-
ettei hyökkääjä pysty korvaamaan
toista avainta
-
ja lopuksi avainta käytetään
-
datasi suojaamiseen
symmetrisen kryptografian avulla
-
kaikista muistakin
protokollista joita käytät
-
olisi mahdollista tehdä
tämän tyyppiset diat
-
kuten SSH:sta mutta ne kaikki toimivat
varsin samalla tavalla
-
korostan nyt kaksi osaa tästä diasta
-
RSA-4096
tyypillinen allekirjoitusjärjestelmä
-
ja tyypillinen salausjärjestelmä
NIST P-256
-
koska nämä kaksi tullaan murtamaan
kvanttitietokoneiden takia
-
ilman kvanttitietokoneita
mitään tiedossa olevia
-
uhkia ei olisi mutta
-
kunhan hyökkääjällä on
iso kvanttitietokone
-
mikä luultavasti tapahtuu
-
se ei ole varmaa
ehkä panostukset kvanttitietokoneisiin
-
epäonnistuvat jostain syystä
-
mutta näyttää siltä
että kvanttitietokoneet
-
ovat yhä menestyvämpiä
-
ja kunhan kvanttitietokoneet
ovat tarpeeksi isoja
-
ehkä kymmenen vuoden päästä
-
sen jälkeen hyökkääjät
voivat ajaa hyökkäysalgoritmin
-
jota kutsutaan Shorin algoritmiksi
joka löytää salaiset RSA-avaimesi ja
-
salaiset NIST P-256 avaimesi
ja tässä vaiheessa hyökkääjät voivat
-
tarkastella tietoja
joita he tallentavat nyt
-
se ei ole uhka vain tulevaisuuden datalle
vaan se on myös uhka
-
nykyhetken tietojesi
luottamuksellisuudelle
-
koska hyökkääjät tallentavat jo
nyt kaiken minkä he voivat Internetissä
-
ja sitten kun heillä on
iso kvanttitietokone
-
he voivat takautuvasti purkaa salaukset
koska he voivat murtaa RSA-4096:n
-
ja NIST P-256:n
nimenomaan NIST P-256 tarjoaa salauksen
-
ja he voivat palata ajassa taaksepäin
ja murtaa salauksen jota käytät tänään
-
mitä me teemme tälle?
-
Norminmukainen lähestymistapa
on mitä me kutsumme
-
kvantti-jälkeiseksi kryptografiaksi
kuulit sen jo aiemmin se oli meidän
-
otsikossamme se on korvaava kryptografia
joka on suunniteltu se mielessä pitäen
-
että hyökkääjällä on
käytössä kvanttitietokone
-
joten eli kuten airue
jo aiemmin mainitsikin
-
olin koordinaattorina PQCRYPTO projektissa
ja se tarkoittaa että olen nipistellyt
-
ympäri maailmaa ja pitänyt puheita
kvantti-jälkeisestä kryptografiasta
-
tässä on kuvankaappaus puheesta jonka
pidin kuusi ja puoli vuotta sitten
-
missä korostin kuten Dan teki tänään
kvantti-jälkeisen kryptogragian tärkeyttä
-
ja korostin
että on tärkeää tehdä suositukset
-
jotka kertovat mitä algoritmeja meidän
pitäisi käyttää korvataksemme RSA:n ja
-
NIST P-256:n jotka
näitte edellisillä dioilla
-
ja sitten käsittelin kysymystä pitäisikö
meidän standardisoida nyt vai myöhemmin
-
argumentteja löytyy molemmilta puolilta
ja, no, jos stardardisoitaisiin nyt,
-
kuusi vuotta sitten tuntui että vielä on
niin paljon tehtävää ja meillä on paljon
-
parempi järjestelmä
jos odotamme vähän pidempään
-
toistaalta on huoli virastojen ja muiden
pimeyden voimien keräämästä datasta
-
ja mitä myöhempään se julkaistaan
sitä enemmän dataa ja turvallisuutta
-
menetetään joten olisi tärkeää saada
asioita eteenpäin ja ratkaisumme silloin
-
mitä olin mainostamassa vuonna 2016 oli
vuonna 2015 julkaistut suositukset jossa
-
sanottiin että
keskittäminen vie paljon aikaa
-
me emme ole siinä vaiheessa vielä
mutta jos joku haluaa suojella itseään
-
tässä mitä me,
no tässä on aikamoinen määrä
-
tutkijoita jotka ilmoittautuivat tähän
lausuntoon osana PQCRYPTO projektia
-
mitä me suosittelemme?
meidän suosittelumme olivat mitä kutsumme
-
varovaiseksi kryptografiassa
-
se ei tarkoita
poliittisesti konservatiivinen
-
vaan se tarkoittaa tylsää se tarkoittaa
että jokin on ollut jo pitkään ilmoilla
-
monet ihmiset ovat analysoineet sen
ja emme odota mitään muutoksia siihen
-
symmetrisen avaimen puolella, kuten Dan
oli jo sanonut, niihin kvanttitietokoneet
-
eivät vaikuta joten jos käytät tarpeeksi
suuria kokoja
-
256-bittisten avainten kanssa
niin AES tai Salsa20 ovat riittäviä
-
myös todentamisessa, kun saat avaimen,
siihen ei voi vaikuttaa
-
julkisen avaimen salauksen ja
allekirjoituksen RSA-4096:n ja
-
ECC NIST P-256:n me juodumme korvaamaan
niitä varten meillä on korvikkeet ja tässä
-
me annoimme
korkean luottamuksen suosituksen
-
eli käytä
McEliecen järjestelmää minkä nimi
-
saattaa näkyä hieman myöhemmin
-
ja käytä
tiivistepohjaisia allekirjoituksia
-
ja SPHINCS:n haluat tutusta myöhemmin
me myös julkistimme joitain arvioinnin
-
alaisena olevia kohteina mikä tarkoittaa
että niitä ei kannata käyttää juuri nyt
-
mutta tulevaisuudessa ne voivat olla ok
ja meille tämä oli ok, me iskemme seipään
-
maahan, me sanomme
että nämä ovat turvallisia
-
ja ihmisten tulisi toimia niin ja kaikki
elävät onnelisina elämän loppuun asti
-
ja me olemme valmiita puheemme kanssa
-
vai elivätkö sittenkään
kaikki onnellisesti
-
elämänsä loppuun asti?
-
Katsotaan mitä oikeasti
tapahtui tämän jälkeen
-
järjestely, no,
asiat jotka pitäisi julkistaa
-
itse asiassa oli eräs kokeilu
jota Google piti käynnissä
-
joka sanoi että vuonna 2016 Google Chrome
lisäsi kvantti-jälkeisen vaihtoehdon
-
nyt, se ei tarkoita että jokainen
-
verkkopalvelin tuki sitä
se oli vain kokeilu
-
missä Google laittoi sen päälle joillain
-
heidän palvelimillaan
ja sanoi ok katsotaan
-
miten hyvin tämä toimii ja kuulostivat
todella innostuineilta heidän blogissaan
-
jossa he julkistivat sen että he auttavat
käyttäjiä suojautumaan
-
kvanttitietokoneilta
katsotaan toimiiko tämä
-
järjestelmä jota he käyttivät kutsuttiin
nimellä New Hope (NH)
-
he eivät pelkästään salanneet NH:lla,
NH on kvantti-jälkeinen salausjärjestelmä
-
he myöskin salasivat kvanttia-edeltävällä
salauksella, elliptisten käyrien
-
salausmenetelmällä, ECC
kuten Tanja aikaisemmin
-
mainitsi NIST P-256
on esimerkki ECC:stä, x25519 on toinen
-
esimerkki ECC:stä, tämä on jotain mitä
käytät tänä päivänä salataksesi datasi
-
ja mitä Google teki, se salasi NH:lla
kvantti-jälkeisen turvallisuuden
-
takaamiseksi ja salasi myös
x25519:lla kuten he tekevät
-
normaalisti myös tänä päivänä
asian ydin on että jos jotain menee
-
pahasti pieleen NH:n kanssa niin meillä
silti on kvanttia-edeltävä turvallisuus
-
joten ainakaan välitöntä turvallisuusuhkaa
ei ole, he eivät ole pahentamassa asioita
-
tietysti jos NH on rikki niin he eivät ole
myöskään parantamassa
-
asioita mutta pääasia
oli yrittää saada asioita paremmaksi ja
-
varmistaa samalla ettei asiat mene
pahemmaksi salaamalla molemmilla sekä
-
kvanttia-edeltävällä
että kvantti-jälkseisellä
-
asioilla ja varasuunnitelma on todella
tärkeää olla olemassa koska NH on uusi
-
salausjärjestelmä, no, oli vuonna 2016
pääpalat NH:n suunnittelussa tulivat
-
vuosilta 2010, 2014 ja 2015 ja se ei ole
paljon aikaa asioiden läpikäymiseen ja
-
kryptografiassa asiat voivat välillä olla
maisemissa vuosia ennen kuin niistä
-
löydetään turvallisuusongelmia
on todella tärkeää että uusille
-
salausjärjestelmille annetaan aikaa kypsyä
toinen ongelma uusien salausjärjestelmien
-
kanssa on että joskus ne patentoidaan
patenit säilyvät 20 vuotta ja tämä tapahtui
-
NH:lle, patentin haltija otti yhteyttä
Googleen ja sanoi että haluan rahaa teidän
-
NH kokeilusta. Google ei koskaan
antanut julkista lausuntoa tästä patentti-
-
uhkasta, mutta jostain syystä
marraskuussa 2016 he poistivat NH
-
mahdollisuuden Chromesta ja palvelimiltaan
muitakin asioita tapahtui vuonna 2016
-
Yhdysvaltain hallinnolla on virasto, NIST,
jolla on pitkä historia yhteistyöstä
-
kansallisen turvallisuusviraston (NSA)
kanssa ja NIST sanoi että vuoden päästä
-
loppuvuodesta 2017 he haluaisivat
kryptograafikkojen toimittavan ehdotuksia
-
kvantti-jälkeiselle salausjärjestelmälle,
salausjärjestelmät ja allekirjoitusjärjestelmät
-
joka standardisoitaisiin aikanaan
yksi mielenkiintoinen asia jonka he sanoivat
-
pyynnössään oli että et saa toimittaa
sekamuotoja, eli salata molemmilla
-
kvantti järjestelmillä ja ECC:llä tai
allekirjoittaa jollain mitä käytät nyt ja
-
jollain kvantti-jälkeisellä ratkaisulla
he sanoivat että algoritmit eivät saa
-
sisältää ECC:tä tai mitään muuta joka
voidaan murtaa kvanttitietokoneilla
-
sovelluskehittäjän näkökulmasta on hyvä
olla ECC kerros erillään kaikesta muusta
-
ja sanoa että mitä tahansa teetkään
kvantti-jälkeisellä järjestelmällä se
-
yhdistetään x25519 kanssa esimerkiksi.
Mutta he eivät sanoneet että sinun täytyisi
-
yhdistää kaikki ECC:n kanssa, esimerkiksi
x25519 erillisenä kerroksena, he sanoivat
-
älä toimita mitään mikä on
yhdistetty ECC:n kanssa
-
järjestämällä tämän kilpailun kvantti-
jälkeisille järjestelmille NIST viestititti
-
yrityksille että odottakaa, älkää ottako
käyttöön kvantti-jälkeisiä salauksia
-
ja tässä oli sekä keppi että porkkana,
keppi oli patentit, Google joutui juuri
-
ongelmiin ottamalla jotain käyttöön
ja hupsista sillä olikin patentti
-
mikä muu on patentoitu? ja NIST sanoi että
meillä on prosessi joka johtaa
-
kryptografisiin standardeihin jotka voi
vapaasti toteuttaa eli patentit eivät estä
-
sinua ottamasta käyttöön asioita ja he myös
sanoivat että he aikovat valita jotain
-
mikä on tarpeeksi vahva, turvallisuus on
kaikkein tärkein tekijä arvioinnissa
-
joten toimialat katsovat tätä ja sanoivat
ok odotetaan NIST:ä ja muut
-
standardisointi organisaatiot odottavat
myös. IETF:llä on oma tutkimusorganisaatio
-
IRTF asettaa Internetin standardeja ja
kryptoryhmä IRTF:ssä pohti että me
-
standardisoimme ne jotka ovat jo meidän
pöydällämme, kuten tiivistejärjestelmiä
-
mutta kaiken muun osalta me odotamme
NIST:ä. ISO sanoi myös että he odottavat
-
NIST:ä. Ihan kaikki organisaatiot eivät
sanoneet näin, esimerkiksi Kiinan hallitus
-
sanoi että he järjestävät heidän oman
kilpailunsa mutta, no, ketä kiinnostaa?
-
Joten takaisin NIST kilpailuun, tässä on
kaikki ehdotukset, joten loppuvuodesta 2017
-
oli 69 ehdotusta 260 eri kryptograafikolta
en aio lukea kaikki nimiä mutta tämä oli
-
aikamoinen työkuorma kryptografian
analyytikoille.
-
me pidettiin hauskaa alkuvuodesta 2017, he
jotka näkivät meidät lavalla vuonna 2018
-
tietävät että pidimme puheita siitä kuinka
hauskaa meillä oli rikkoa näitä ehdotuksia
-
mutta se oli aikamoinen taakka. Katsotaan
mitä NIST teki kilpailulla.
-
vuonna 2019 eli kaksi vuotta myöhemmin, no
vuosi ja vähän myöhemmin he olivat
-
rajaamassa ehdotuksia 26 ehdokkaaseen
ja vuonna 2020 heinäkuussa he rajasivat
-
ehdokkaita lisää, he ottivat 15 ehdokasta
26:sta. Tarkoitus oli keskittyä johonkin
-
missä on järkeä ja he priorisoivat
vahvimpia ehdokkaita paitsi silloin jos
-
sovellus todella tarvitsee jotain
tehokkaampaa
-
itse asiassa ei, he eivät ollenkaan
tehneet näin. Jos luet raportin ja katsot
-
mitkä ehdokkaat he valitsivat, milloin
tahansa kun heillä oli vaihtoehto
-
nopeuden ja turvallisuuden välillä,
tarkoitat he totta kai karsivat pois asiat
-
jotka olivat todella rikki ja karsivat
asiat jotka olivat todella tehottomia
-
mutta ottakaapa esimerkiksi SPHINCS jonka
Tanja mainitsi aikaisemmin, todella
-
varovainen kaikki ovat samaa mieltä että
tämä on turvallisin allekirjoitusjärjestelmä
-
no, NIST ei sanonut että käytä SPHINCS:iä
vaan että me odotetaan SPHINCS+:n
-
standardisoimista ellei niin moni asia
ole rikki että meidän pitää käyttää SPHINCS:ä
-
Niin ja tämän vuoden heinäkuussa NIST
sanoi että he valitsevat neljä standardia
-
yksi oli SPHINCS+ ja neljää muuta ehdotusta
tutkittiin yhä. Tämä vaikuttaa siltä
-
että ehkä heidän itseluottamuksensa horjui
Joten mitä tapahtui?
-
Kuva 69 ehdotuksesta muuttuu kun menemme
ajassa viisi ja puoli vuotta eteenpäin
-
tässä on värikoodaus. Siniset ovat edelleen
mukana NIST:n kilpailussa, eli neljä
-
standardisoitavaa järjestelmää ja neljä
neljännen kierroksen ehdokasta
-
harmaat eivät päässeet eteenpäin ja
tarkoittaa ettei niitä ole murrettu mutta
-
ne putosivat niin aikaisin ettei ketään
enää kiinnostanut niiden murtaminen
-
ruskea väri tarkoittaa vähemmänen
turvallinen kuin väitetty, punainen
-
tarkoittaa todella murrettua ja punainen
joka on alleviivattu tarkoittaa
-
todella todella murrettua.
Mitä voit nähdä tässä on se että murrettuja
-
järjestelmiä on paljon. On myös
mielenkiintoinen violetti oikeassa alakulmassa
-
Jos muistat vesivärit niin violetti on
punaisen ja sinisen sekoitus. SIKE valittiin
-
heinäkuussa sekä murrettiin heinäkuussa
viiden vuoden analyysin jälkeen hyökkäyksellä
-
joka voidaan ajaa sekunneissa joten SIKE
on tapaus jossa jotain meni todella väärin
-
ja voidaan sanoa että useat pienet asiat
horjuttivat vähän itseluottamusta
-
jonka jälkeen NIST valitsi sentään edes
SPHINCS:n, tämä ei johtanut muiden
-
varovaisten vaihtoehtojen valitsemiseen
jotkut niistä ovat edelleen hautumassa
-
mutta tämä ei olekaan kypsä ala.
-
Mitäs tapahtui sillä välin käyttöönoton
puolella? Muistakaa, on kaksi osaa Tanjan
-
dioista vuodelta 2016. Hän sanoi että
olisi hyvä ottaa käyttöön jotain nyt
-
suojellaksesi käyttäjiä koska meillä on
turvallisuusongelma nyt, hyökkääjät
-
tallentavat asioita nyt ja meidän pitää
yrittää suojautua siltä ja meidän pitää
-
pystyä tekemään se nopeammin kuin
standardisaatioprosessi joka Google oli
-
aloittamassa vuonna 2016 mutta pelästyivät
patenttiongelmaa. Vuoteen 2019 mennessä
-
toimialat ja useat avoimen lähdekoodin
projektit katsoivat tätä ja pohtivat että
-
ehkä olisi hyvä aika ottaa käyttöön asioita
sillä jotain meni väärin vuonna 2016
-
mutta tässä vaiheessa NIST on kerännyt
lausuntoja kaikilta ehdokkailta tässä
-
kilpailussa todeten mitkä ehdotukset ovat
patentoituja ja se antaa meille paljon
-
tietoa kun 260 kryptograafikkoa kertoo
mitkä ovat patentoituja
-
ja vuonna 2019 oli yhä selkeämpää että
kvanttitietokoneet ovat tulossa
-
joten esimerkkejä siitä mitä tapahtui
vuonna 2019
-
OpenSSH version 8, kopioiden TinySSH:ta
kertoi että he lisäävät sekamuodon joka
-
koostuu elliptisten käyrien
salausmenetelmästä sekä yhdestä
-
kvantti-jälkeisestä ehotuksesta. Sitä ei
käytetä oletuksena mutta jos lisäät rivin
-
palvelimen sekä asiakasohjelman
konfiguraatioon niin se käyttää kvantti-
-
jälkeistä salausta, ja jos kvantti-jälkeinen
osa murretaan niin siellä on silti vielä ECC
-
Heinäkuussa 2019 Google ja Cloudflare
kokeilivat kvantti-jälkeistä salausta
-
kaksiosaisessa kokeessa. Jotkin käyttäjät
salasivat toisella versiolla, ntruhrss:lla
-
ja ECC:llä totta kai, käytä aina
sekamuotoja. Ja toinen versio oli
-
salaaminen sikep:llä ja ECC:llä. Joo
Tanja sanoi hups. Tämä on esimerkki siitä
-
miten tärkeää on varmistaa että yhdistät
kaiken ECC:n kanssa jotta et kadota
-
turvallisuutta verrattuna tähän päivään
jossa kaikki käytämme ECC:tä. Kokeile
-
kvantti-jälkeisiä järjestelmiä sekä ECC:tä
samaan aikaan jotta pahimmassa tapauksessa
-
hukkaat vain aikaa mutta toivottavasti
jokin paranee ja ainakin sikep käyttäjillä
-
on ECC turva. Myös vuonna 2019 lokakuussa
Google väitti omaavansa kvanttiylemmyyden
-
tarkoittaen että heillä oli kvanttitietokone
tekemässä jotain nopeammin kuin mikään
-
tavallinen supertietokone. Se ei ole
hyödyllinen laskenta ja menee silti vuosia
-
ennen kuin meillä on hyödyllisiä laskelmia
pyörimässä kvanttitietokoneilla nopeammin
-
kuin tavallisilla tietokoneilla mutta silti
pelkästään nimi kvanttiylemmyys on
-
harhaanjohtava mutta se silti
mielenkiintoinen askel eteenpäin kvantti-
-
laskennassa ja nimi varmaankin herätti
huomiota sekä huolta
-
vuonna 2021 ja 2022 OpenSSH, OpenBSD ja Google
kaikki päivittivät yhtäkkiä
-
no, openSSH versio 9.0 tarjoaa sntrup:n ja
ECC:n oletuksena joten jos sinulla on
-
OpenSSH 9 asennettuna palvelimellesi sekä
siihen palvelimeen mihin otat yhteyttä
-
sekä asiakasohjelmaasi niin se käyttää
automaattisesti kvantti-jälkeistä vaihtoehtoa
-
ja itse asiassa OpenSSH versiot aina 8.5 asti
tukevat täysin samaa asiaa, mutta silloin
-
sinun täytyy ottaa se käyttöön manuaalisesti
jotta palvelin ja asiakasohjelma käyttäisivät
-
sitä mutta OpenSSH 9:ssä se tapahtuu
oletuksena ja sama juttu Googlen suhteen
-
he ovat marraskuusta, eli viime kuusta
lähtien salanneet heidän sisäisen
-
kommunikaationsa ntruhrss:llä ja ECC:llä
joten toivottavasti ntruhrss toimii ja se
-
on turvallinen kvanttitietokoneita vastaan
tulevaisuudessa
-
Tämä on myös hienosti linjassa
puhdistamiskoodin sanoman kanssa
-
kuten jo sanottu puhdistamiskoodit eivät
ole vielä stardardisoituja kryptografisiin
-
järjestelmiin itsessään mutta he kannustavat
ihmisiä tutkimaan asioita ja totuttelemaan
-
siihen, esimerkiksi US ANSI joka on pankki-
standardi NTX9, totesivat että he siirtyvät
-
aikanaan kvantti-jälkeisiin stardardeihin
joten he odottavat klassisen kryptografian
-
jota kutsutaan kvanttia edeltäväksi
kryptografiaksi ja kvantti-jälkeinen
-
kryptografian samanaikaista käyttöä
joten he ajattelevat että yksi asia on
-
standardisoitu ja auditoitu ja toinen on
silti vielä vähän uusi ja epämukava mutta
-
me tarvitsemme sitä pitkän ajan
turvallisuutta varten ja ehkä se vaativat
-
tätä sekamuoto yhdistelmää pitkässä
juoksussa. Sitten, Yhdysvalloista Ranskaan
-
eli ANSI:sta ANSSI:n, joka on Ranskan
turvallisuusvirasto. He sanovat myös että
-
älkää käyttäkö kvantti-jälkeisiä järjestelmiä
yksinään koska ne ovat vielä kypsymättömiä
-
mutta, kypsymättömyys ei tarvitse olla syy
ensimmäisten käyttöönottojen viivyttämiselle
-
joten ANSSI kannustaa ihmisiä ottamaan
sekamuodot käyttöön käyttäen jotain hyvää
-
kvanttia edeltävää ratkaisua yhdessä
kvantti-jälkseisen ratkaisun kanssa
-
Noniin kiva eli kaikki etenee hienosti
niiden linjausten mukaan mitkä olivat Tanjan
-
dioissa vuonna 2016. Standardisaatio
etenee hitaasti mutta saman aikaan
-
olemme ottamassa käyttöön kvantti-jälkeistä
salausta yhdessä ECC:n kanssa siltä varalta
-
jos jokin menee pieleen ja saada käyttäjät
suojatuksi niin nopeasti kuin mahdollista
-
Mitä Yhdysvaltojen hallinto sanoi tästä?
Vuodesta 2021 lähtien Yhdysvaltojen hallinto
-
teki erittäin selväksi että se haluaa sinun
nyt saatat miettiä että he haluavat sinun
-
suojatuvan kvanttitietokoneita vastaan mutta
eijei ei, he eivät halua että suojaudut
-
kvanttitietokoneita vastaan. Esimerkiksi,
tässä on sitaatti NIST:n
-
kyberturvallisuusosaston päälliköltä
informaatioteknologian laboratoriosta
-
joka käynnisti kvantti-jälkeisen krypto-
järjestelmien kilpailutuksen.
-
Heinäkuussa 2021, pian OpenBSD:n projektien
ja OpenSSH:n käyttöönottojen jälkeen
-
hän sanoi, älkää antako ihmisten ostaa ja
jalkauttaa epästandardisoituja kvantti-
-
jälkeisiä kryptografioita. Ja sitten, toinen
esimerkki, NSA, joka toimii läheisesti
-
NIST:n kanssa sanoi, älä toteuta tai käytä
epästandardisoituja kvantti-jälkeisiä krypto-
-
grafioita. Ja siltä varalta ettei ihmiset
tajunneet viestiä, turvallisuusvirasto,
-
luuletko että nämä virastot keskustelevat
keskenään?
-
turvallisuusvirasto sanoi, älä käytä kvantti-
jälkeisiä kryptografiatuotteita ennen kuin
-
korvattavien ohjelmien standardisaatio,
toteutus ja testaus hyväksytyillä
-
algoritmeilla on tehty NIST:n toimesta.
-
Tässä jo hieman huonoja uutisia. Toinen
juttu mikä on outoa tässä on että he sanovat
-
että jos olet ottamassa käyttöön kvantti-
jälkeistä kryptografiaa, niin sinun ei tule
-
käyttää sekamuotoja, ja saatat ehkä ajatella
ymmärsinkö väärin ein kyllänä tai jotain
-
tässä oli NSA:n kaveri konferenssissa ja
tämä dia on Markku Saarisen kuvankaappaus
-
mutta olin tilaisuudessa ja voin vahvistaa
että hän totesi että sinun ei tulisi käyttää
-
sekamuotoja. Hän myös toisti useasti että
älä käytä mitään tällä hetkellä. He eivät
-
myöskään odottaneet kvantti-jälkeisten
algoritmien hyväksymistä minkään
-
"varmuuden vuoksi yhdistä algoritmit"
ohjeiden pohjalta.
-
Myöhemmin he julkaisivat lisää ohjeita jossa
sanottiin että se tulee olemaan kahdenkeskinen
-
korvike, ECC ja RSA irti, kvantti-
jälkeinen kryptografia sisään.
-
ja heidän argumenttinsa oli että ECC:ssä
voi olla ohjelmointivirheitä joten sammuta
-
ECC. Ei hyvä idea. Ellet ole hyökkääjä
silloin se on huippuidea.
-
nyt ehkä ajattelet että totta kai me käytämme
sekamuotoja vaikka NSA kannustaa ihmisiä
-
olemaan käyttämättä niitä, ja sitten tämä
lause, älä käytä jotain epästandardisoitua
-
se lykkäys on nyt korjattu, vai mitä? NIST
kertoi heinäkuussa Kyberin standardisoinnista
-
ja se tarkoittaa, ota Kyber käyttöön.
noh, ei, oikeastaan he eivät sano niin
-
Tarkastellaanpa yksityiskohtia. Ensinnäkin
muistatteko Googlen patenttiongelman NH:n
-
kanssa? No, NH:n poika on nimeltään Kyber.
He kai sekoittivat Star Trekin
-
ja Tähtien Sodan keskenään joten
sisäisesti heidän huhuttiin nimeävän
-
Kyberin New Hope the Next Generation
mutta sitten he keksivät paremman nimen
-
sille myöhemmin. mutta joka tapauksessa
Kyber muistuttaa paljon NH:ta sillä sillä
-
on patenttiongelmia ja tämä on ainoa
salausjärjestelmä, NIST valitsi SPHINCS+:n
-
ja valitsi kaksi muuta
allekirjoitusmahdollisuutta ja valitsi yhden
-
salausmenetelän, Kyberin. Se on ainoa tapa
datasi turvaamiseksi NIST:n valitsemien
-
standardien mukaan. Kyber in NH:n tavoin
keskellä seitsemän eri patentin miinakenttää
-
Se ei tarkoita että kaikki seitsemän pätevät
se on varsin monimutkainen asia. Kun
-
tarkastelet patenttia sinun täytyy ymmärtää
miten patenttilaki toimii ja analysoida mitä
-
patentti tarkoittaa tärkeysjärjestyksen ja
laajentamisen näkökulmasta. Se on monimutkaista
-
Yksi helppo tapa päästä eroon patenteista
on ostaa ne ja antaa ne jakoon ilmaiseksi
-
Niinpä NIST sanoi heinäkuussa neuvottelevansa
useiden kolmansien osapuolten kanssa
-
heidän mukaan liittymisestä useisiin
sopimuksiin jotta mahdolliset haasteet
-
liityen patentteihin voitaisiin välttää.
Ok, hyvä, nyt voidaan käyttää Kyberiä
-
Paitsi että, yritykset katsovat tätä ja
sanovat että hei voitteko näyttää sopimukset
-
jotta me tiedämme mitä kaikkea
allekirjoititte. Esimerkiksi Scott Fluhrer
-
Ciscolta sanoi, Cisco ei voi käyttää Kyberiä
ennen kuin me saamme lisenssien tekstit
-
No, sittenpä kävi ilmi että NIST ei ollut
allekirjoittanut mitään heinäkuussa mutta
-
he sanoivat että he aikovat ja marraskuussa
he viimein sanoivat, kyllä, me olemme
-
allekirjoittaneet kaksi lisenssisopimusta
ja tässä hieman tekstiä niistä lisensseistä
-
Mutta jos katsot katsot tekstiä, niin
lisenssit ovat NIST:n kuvaamalle standardille
-
ja minkäänlaisten muokkausten käyttö tai
minkään muun kuin NIST:n standardisoitujen
-
asioiden käyttö Kyberissä ei ole sallittua
tämän lisenssin mukaan
-
Nyt ehkä ajattelet että no he valitsivat
Kyberin, he standardisoivat sen heinäkuussa
-
mutta ei, he eivät tehneet niin. Mitä he
sanoivat heinäkuussa oli että he
-
suunnittelevat Kyberin standardisoimista
mikä ei ole sama asia kuin että Kyber olisi
-
standardisoitu. He suunnittelevat Kyberin
standardoinnin olevan valmis vuonna 2024
-
Ja tilannetta pahentaa se että me emme tiedä
minkälainen Kyber tulee olemaan vuonna 2024
-
koska he vieläkin ehdottavat muutoksia siihen
Eli, yhteenvetona, vuonna 2024, jos he
-
tuolloin julkistavat standardin, niin
lisenssi antaa sinun käyttää Kyberiä
-
ja ehkä vuonna 2023 he vakiintavat Kyberin
ja ehkä ne viisi muuta patenttia eivät
-
vaikuta Kyberiin. On olemassa tapauksia
joissa ihmiset ovat kävelleet miinakentän
-
läpi räjähtämättä.
-
Tämä tuo meidät puuhemme loppuun, me selitimme
tarpeeksi viivästyksistä ja kiertoteistä
-
mutta, mitä tarkoitamme katastrofilla?
Totta kai jos jokin menee rikki joka on
-
otettu käyttöön Googlen ja Cloudflaren
kokeilussa, niin kyllähän se on katastrofi
-
mutta he käyttivät varasuunnitelmaa, he
käyttivät sekamuotoa joten se on ok
-
Mikä oikeasti on katastrofi on se että
olemme täällä vuonna 2022 ja meillä
-
ei vieläkään ole käytössä kvantti-jälkeistä
kryptografiaa puhelimissa tai tietokoneissa
-
se ei ole vieläkään laajasti käyttöön otettua
Voimme ilomielin osoittaa esimerkkejä joissa
-
sitä käytetään mutta sitä ei käytetä laajasti
Datasi on edelleen kvanttia edeltävillä
-
algoritmeilla salattua ja siksi mahdollista
purkaa kvanttitietokoneella. Se on se oikea
-
katastrofi. Kiitos huomiostanne!
-
Kiitos, kiitos
-
Epäselvää
-
tai teknologia mitä käytän taustalla
käyttävät kvantti-jälkeistä kryptografiaa
-
luulen että minun SSH yhteys käyttää
vähintään, joten on se varmaan jotain
-
voimme aina luottaa OpenBSD:n.
Ehdottomasti.
-
Tarkistetaan onko kysymyksiä. Yksi kysymys
Kehittäjänä, joka kehittää jotain
-
sovellusta, ei välttämättä kryptografista,
varmistanko että käyttämäni salaus on
-
turvallinen kvantti-jälkeiseen aikaan
käyttämällä sekamuotoa nyt?
-
Hei, sinullahan on dia juuri tätä varten!
Näytä dia!
-
Me ennustimme joitain kysymyksiä kuten, no
tämä oli aika masentava mitä voimme tehdä
-
nyt joten meillä on dia valmiina ratkaisu-
keinoista joita voit käyttää nyt ja kyllä
-
meidän ehdotus on että käyttäkää sekamuotoja
Tunnen kuin tämä olisi takautuma vuoteen 2016
-
milloin sanoin hei voit tehdä jotain juuri
nyt tässä ovat meidän ehdotuksemme
-
jotka ovat mielestämme todella turvallisia
ja silti täällä olen joulukuussa vuonna 2022
-
sanomassa että McEliecen on todella varovainen
järjestelmä ja meillä ei ole samaa patentti
-
ongelmaa jota Kyber menee tällä hetkellä
läpi. Mitä sekamuoto tarkoittaa?
-
Se tarkoittaa kvanttia edeltävän ja kvantti-
jälkeisen järjestelmän yhdistämistä
-
Salauksessa haluat niiden yhdessä luovan
avaimen ja julkisen avaimen allekirjoituksessa
-
haluat tietysti varmistaa että molemmat
allekirjoitukset yksinään ovat päteviä
-
jotta sekamuotoinen allekirjoitus toimii
On olemassa useita eri ohjelmistokirjastoja
-
joita voit tarkastella ja saada siten
laajempaa kuvaa eri järjestelmistä
-
joita voit yrittää ottaa käyttöön. Kun
katsot kirjastoja niin sovelluksien laatu
-
ei ole niin huono kuin se oli pari vuotta
sitten kvantti-jälkeisille sovelluksille
-
Ihmiset käyttävät paljon aikaa näiden
parantamiseen. Siellä on silti paljon riskejä
-
mutta riski verrattuna siihen ettei tee mitään
ja siten varmistamalla että data on
-
tulevaisuudessa suojaton tulevaisuuden
hyökkääjiä vastaan jotka käyttävät
-
kvanttitietokoneita ja jotka tallentavat
dataa juuri nyt niin haluat todellakin
-
kokeilla eri asioita. Esimerkiksi yksi kirjasto
joka on toteuttanut pari eri järjestelmää
-
on nimeltään Quantum safe oqs. On olemassa
muita kirjastoja jotka käyttävät tiettyjä
-
salausjärjestelmiä joten useimmilla
järjestelmäsuunnittelijoilla on jonkinlainen
-
sovellus mutta jälleen kerran sinun täytyy
miettiä kuinka hyvä sovelluksen laatu on
-
Uusi kirjasto on tulossa nimeltään lib.js
jolla on useita verifikaatteja, joten sanoisin
-
että se on hyvänlaatuinen mutta valitettavasti
ainoa kvantti-jälkeinen salausjärjestelmä
-
jota se tarjoaa tällä hetkellä on Kyber,
joka on no, jos suunnittelet eteenpäin
-
vuoteen 2024 jolloin se tulee käyttöön mutta
juuri nyt se ei ole käyttökelpoinen
-
Joten jos haluat jotain joka on nopea,
niin jos katsot mitä OpenSSH tai Google
-
tekevät ntruhrss:lla joten se sovellus
on ainakin jotenkin testattu
-
joten voit kokeilla sitä mutta muista
aina käyttää sekamuotoja ECC:n kanssa
-
varmuuden vuoksi jos jokin sattuukin
menemään pahasti pieleen kvantti-jälkeisen
-
osan kanssa.
-
Eikö ole kuitenkin aika hankalaa luoda oma
yhdistäjä? Minulla pitää silti olla oikea tapa
-
yhdistää kaksi järjestelmää, kvanttia
edeltävä ja kvantti-jälkeinen
-
Kyllä ja se on mahdollista, joten jopa niin
yksinkertainen juttu kuin allekirjoita
-
tällä järjestelmällä, allekirjoita toisella
järjestelmällä, tarkista molemmat
-
allekirjoitukset. Me olemme nähneet
sovelluksia joissa tämä on mennyt väärin
-
On todella tärkeää käydä se läpi
varovaisesti. Salaamiseen sinulla yleensä
-
on ECC joka vaihtaa avaimen ja sitten sinun
kvantti-jälkeinen järjestelmä vaihtaa avaimen
-
ja tiivistät molemmat avaimet yhteen suosikki-
tiivistefunktiollasi. Standardisoitu
-
tiivistefunktio on hyvä. Mutta jälleen kerran,
mainitsit yhdistämisen, on olemassa useita
-
tutkimuksia
-
epäselvää
-
Anteeksi, sanotko uudestaan?
-
Standardi tarkoittaa kryptografista tiiviste-
funktiota. Älä käytä jotain XX-tiivistettä
-
vaan käytä jotain joka on kryptografista.
-
Kyllä, eli esimerkiksi SHA-512 joka on
NSA:n suunnittelema mutta ihmiset ovat
-
lyöneet sitä jo pitkän aikaa rikkomatta
sitä. Jotain mikä on käynyt läpi julkista
-
arviota, on SHA-3 järjestelmät ja yleensä
se ei ole suorituskykyongelma tiivistää
-
kaksi 32 tavuista merkkijonoa yhteen,
ketjuta ja tiivistä ne ja sinulla on
-
uusi merkkijono joka on sinun symmetrisen
kryptografian avain
-
On olemassa ehdotuksia miten tehdä tämä
esimerkiksi IRTF:n tai tarkemmin CFRG:n RFC
-
sitten on jotain NIST:n stardardeissa
liittyen sekamuotojen käyttöön
-
lopuksi hieman itsemainontaa, meillä on
yksi dia jonka julkaisemme ja siellä on
-
joitain alustavia tutkimuksia joissa käymme
läpi yksityiskohtaisemmin sekamuotojen
-
käyttöönottoa ja yhdistämistä. Eli miten voit
turvallisesti tehdä tämän. Tieysti on
-
asentamisen valinta, eli valitset sinun oman
järjestelmäsi, ja kuten näet niin on huolia
-
mallitilanteen suhteen, lisäksi mainitsen
kokeilututkimuksia varten voit käyttää Skypeä
-
se on vain ongelma silloin jos haluat
ottaa sen käyttöön
-
yleinen varoitus on mutta jos olet vain
harrastelija tai haluat tökkiä sitä tai
-
haluat kirjoittaa tutkimuksen aiheesta
niin se ei ole ongelma
-
mutta yleisesti sinulla on valinta tehokkaiden
järjestelmien kuten mitä Google on tehnyt
-
kokeilemalla jotain uutta ja katsomalla
räjähtääkö se meidän tietokoneillamme
-
onneksemme se ei räjähtänyt, joten Google
pystyi jatkamaan sen käyttöä yhdistämällä
-
NH:n tai myöhemmin NTRU:n ja ECC:n
tai sitten voit sanoa että tärkeintä on se
-
että järjestelmä pysyy turvassa, ja olemme
valmiita uhraamaan hieman nopeutta ja kaistaa
-
joten ottamalla kaikkein varovaisimmat
kvantti-jälkeiset järjestelmät ja yhdistamällä
-
ne ECC:n tai RSA:n kanssa. Se on myös
valinta jonka joudut tekemään
-
jos haluat ottaa sen käyttöön
-
Eli olisiko ok ottaa käyttöön salakirjoitus-
järjestelmä joka on vielä mukana kilpailussa
-
joka ei ole vielä tai jota ei tulla
standardisoimaan NIST:n toimesta?
-
Vaikka ei olisi tiedossa olevia hyökkäyksiä?
No, yleisesti, kun katsot tällaista kuvaa
-
jossa on niin paljon punaista niin sinä
mahdat ajatella ettemme me kryptograafikot
-
tiedä mitä me teemme. Miten meillä voi olla
niin moni asia rikki? Se on todella todella
-
vaarallista. Sanoisin että sillä onko jokin
NIST:n valitsema vai ei ei lisää paljoa
-
informaatiota tässä. Ok haluat kommentoida
tähän.
-
Haluan mainita että asiat jotka pudotettiin
ensimmäisellä kierroksella eivät saaneet
-
paljoa huomiota. Ihmiset menettivät
kiinnostuksensa. Asiat jotka selvisivät
-
kolmannelle kierrokselle ja sitten eivät
selvinneet neljännelle kierrokselle
-
esimerkiksi kaksi Android muunnelmaa,
NTRU Prime ja NTRU-HRSS-KEM jotka ovat
-
mainittuina tässä, ne pääsivät kolmannelle
kierrokselle mutta eivät voittaneet kauneus-
-
kilpailua jota NIST pyöritti. Luulen että
ne ovat aivan yhtä hyviä kuin ne jotka
-
ovat tässä kuvassa sinisellä.
-
Yleisesti kaikki tässä ovat pelottavia.
Eli NTRU ja NTRU-HRSS ovat Googlen
-
käyttöönottamia ja OpenSSH mutta todella
harva näistä 69:stä ehdotuksesta omaa
-
samaa turvallisuustasoa nyt tiedettyjä
hyökkäyksiä vastaan kuin mitä niillä oli
-
viisi vuotta sitten kun ne ensin toimitettiin
Turvallisuutta ollaan aina menetetty koska
-
hyökkäykset ovat kehittyneet paremmiksi
jollain oli turvallisuusmarginaalia niistä
-
selviytymiseen. Tehdäksesi turvallisen
päätöksen sinun valitettavasti täytyy
-
tutustua näiden historiaan ja kysyä kuinka
hyvin nämä ovat kestäneet kuinka hyvin
-
näitä on tutkittu. Mitä Tanja korosti oli
se että joitain näistä on tutkittu todella
-
vähän ja joitain hieman enemmän, ja se
kuinka hyvin nämä järjestelmät kestivät
-
tutkimuksen aikana määrittelee sen kuinka
vaarallisia ne ovat loppujen lopuksi
-
Esimerkiksi Three Bears on kaunis
järjestelmä mutta se pudotettiin toisen
-
kierroksen jälkeen ja sen jälkeen ihmiset
lopettivat sen tutkimisen eikä se saanut
-
paljoa analyysia. Tuntuu siltä että se on
hyvä mutta sitä ei ole toisaalta tutkittu
-
melkein yhtään. Mutta jos tarkastelet
kolmannen kierroksen valikoimaa jotka ovat
-
mustia tai harmaita tässä sanoisin että
ne ovat suurimmaksi osaksi ok.
-
Ja tietysti siniset.
-
Ok eli valitse se joka on joko sininen tai
musta dialla. Luulen että ne ovat varsin
-
tiettyjä asioita. Nopea viimeinen kysymys
jos olen tinapaperihattu, voinko tehdä
-
jotain oman kommunikaationi suojaamiseksi?
-
Käytä kaikki OpenSSH:n läpi, se on hyvä
alku. Tilanne on se että tietysti tarvitset
-
asiakasohjelman sekä palvelimen
jotka tukevat asioita ja on olemassa
-
useita kokeiluja mutta vain vähäistä
käyttöönottoa
-
on olemassa VPN:n käyttöönottoa esimerkiksi
Joo on olemassa kvantti-jälkeistä VPN:ä
-
Movadilla on kvantti-jälkeinen vaihtoehto,
he käyttävät McElieceä, he käyttävät
-
WireGuardia VPN:ä varten ja WireGuardilla
on vaihtoehto ylimääräisen avaimen
-
syöttämiseksi, ennalta jaettu avain jota
movad käyttää McEliecen kanssa eli lataat
-
sen McEliecen läpi kvantti-jälkeisen
turvan saamiseksi movadiin
-
Tämä on siis VPN jossa et mene päästä
toiseen, haluat yleensä mennä koko tien
-
siihen sivustoon johon otat yhteyttä, ja
jos sinulla on päästä päähän turva käytössä
-
se tarkoittaa että asiakasohjelmiston ja
palvelimen pitää tukea kvantti-jälkeistä
-
kryptografiaa ja kun se on nyt viivästynyt
niin se ei ole niin yleisesti käytössä kuin
-
olisin kuvitellut sen olevan vuosia sitten
kun sitä kohtaan tuntui olevan paljon
-
innostusta
-
epäselvää
-
Ok Tanja haluaa että kerron PQ Connectista,
tulossa pian joka toivottavasti helpottaa
-
kvantti-jälkeisen kryptografian
käyttöönottoa yhteytesi turvaamiseksi
-
päästä päähän mutta sitä ei ole julkaistu
vielä joten en voi sanoa paljoa siitä
-
odotan innolla PQ Connectia. Luulisin että
tämä oli tässä, kiitos että olitte täällä
-
ja jaoitte tietojanne jaoitte päivityksiä
liityen kvantti-jälkeiseen kryptografiaan
-
Kiitos todella paljon Tanja Lange
ja D.J.B!
-
Kiitos!
-
[Translated by Timo Broström
(KYBS2004 course assignment at JYU.FI)]
