< Return to Video

Post-Quantum Cryptography: Detours, delays, and disasters

  • 0:00 - 0:05
    [Translated by Timo Broström
    (KYBS2004 course assignment at JYU.FI)]
  • 0:05 - 0:07
    musiikkia
  • 0:11 - 0:15
    Tervetuloa kaikki tähän kaaoottiseen
    vuoteen sekä tapahtumaan
  • 0:15 - 0:17
    olen Karra ja tulen olemaan teidän tiedottaja
  • 0:17 - 0:20
    on ilo pystyä kuuluttamaan puhe
  • 0:20 - 0:24
    kvantti-jälkeinen kryptografia:
    kiertotiet, viivästykset ja katastrofit
  • 0:24 - 0:26
    jonka pitävät Tanja Lange
    ja D.J. Bernstein
  • 0:26 - 0:33
    Tanja Lange on kryptograafikko ja matemaatikko
    joka erikoistuu kantti-jälkeiseen krytografiaan
  • 0:33 - 0:35
    joka on korvaamassa kryptografiaa
    jota käytämme nykypäivänä
  • 0:35 - 0:39
    sellaisilla versiolla jotka ovat turvassa
    kvanttitietokoneilla toteutetuilta hyökkäyksiltä
  • 0:39 - 0:43
    hän on professori Einhovenin
    teknillisessä yliopistossa
  • 0:43 - 0:47
    ja hänellä on ylpeilee useilla
    eri julkaisuilla ja erityksillä
  • 0:47 - 0:51
    hän oli myös PQ crypton koordinaattori
  • 0:51 - 0:53
    joka on yleiseurooppalainen liitto
  • 0:53 - 0:55
    kvantti-jälkeisen kryptografian
    käyttöönottamiseksi
  • 0:55 - 1:01
    D. J. B. on professori Illinoisin
    yliopistossa Chicagossa
  • 1:01 - 1:07
    sekä professori Bochumin yliopistossa.
    hän työskentelee kryptografian parissa ja
  • 1:07 - 1:09
    hän on kehittänyt
    salakirjoitusjärjestelmiä joita käytetään
  • 1:09 - 1:12
    avoimen lähdekoodin kryptografiassa,
    mahdollisesti käytät jotain
  • 1:12 - 1:16
    sellaista salakirjoitusjärjestelmää
    katsoessasi tätä puhetta juuri nyt
  • 1:16 - 1:19
    yhdessä he kehittivät vaikuttavan
    määrän projekteja
  • 1:19 - 1:24
    aina turvallisen kryptografian
    käyttöönoton yksinkertaistamisesta
  • 1:24 - 1:27
    turvallisien kvantti-jälkeisten
    tietotyyppien rakentamiseen
  • 1:27 - 1:30
    molemmat heistä ovat
    aktivisteja jotka taistelevat
  • 1:30 - 1:33
    läpinäkyvämmän kryptografian
    standardisointiprosessin puolesta
  • 1:33 - 1:40
    nyt kaikki laittakaa räpylänne yhteen
  • 1:40 - 1:43
    laittakaa kätenne yhteen
    Tanja Longelle ja D.J.B:lle!
  • 1:43 - 1:51
    selvä, kiitos kivasta esipuheesta
  • 1:51 - 1:55
    sukelletaan heti asiaan
    aloitetaan HTTPS:llä
  • 1:55 - 1:58
    kun menet HTTPS-sivulle
    tai suojatulle sivulle
  • 1:58 - 2:03
    käytät TLS:ä, kuljetuskerroksen turvaa
    turvataksesi kommunikaatiosi
  • 2:03 - 2:07
    TLS käyttää kahdenlaista
    kryptografiaa muutamista eri syistä
  • 2:07 - 2:10
    ensinnäkin, se turvautuu
    julkisen avaimen kryptografiaan
  • 2:10 - 2:14
    se tekee kahta asiaa
    ensiksi, se tarjoaa allekirjoituksia
  • 2:14 - 2:18
    julkisen avaimen allekirjoituksia
    se varmistaa että hyökkääjä ei pysty
  • 2:18 - 2:22
    korvaamaan palvelimen
    dataa hyökkääjän datalla
  • 2:22 - 2:24
    ja teeskennellä olevansa palvelin
  • 2:24 - 2:26
    lisäksi TLS käyttää
    julkisen avaimen salausta
  • 2:26 - 2:31
    esimerkiksi NIST P-256,
    RSA-4096 on allekirjoittajajärjestelmä
  • 2:31 - 2:37
    NIST P-256:ta voidaan käyttää salaukseen
    ja tämä salaa datasi niin ettei hyökkääjä
  • 2:37 - 2:39
    voi ymmärtää sitä
  • 2:39 - 2:44
    suoritustehoon liityvistä syistä
    kryptografia on monimutkaisempi kuin
  • 2:44 - 2:48
    vain tämä julkisen avaimen kryptografia
    se sisältää myös symmetrisen kryptografian
  • 2:48 - 2:51
    joskus sitä nimitetään
    salaisen avaimen kryptografiaksi
  • 2:51 - 2:55
    kun kokoat kaiken yhteen TLS:n
    saat kolme peruspalikkaa
  • 2:55 - 2:57
    on julkisen avaimen salaus
  • 2:57 - 3:00
    joka sen sijaan että
    se salaisi datasi niin
  • 3:00 - 3:05
    etteivät hyökkääjät voi ymmärtää sitä
    se salaa vain avaimen
  • 3:05 - 3:08
    se lähettää avaimen
    turvallisesti ja salassa
  • 3:08 - 3:09
    päästä toiseen
  • 3:09 - 3:12
    ja julkisen avaimen allekirjoituksia
    käytetään sen varmistamiseksi
  • 3:12 - 3:14
    ettei hyökkääjä pysty korvaamaan
    toista avainta
  • 3:14 - 3:17
    ja lopuksi avainta käytetään
  • 3:17 - 3:19
    datasi suojaamiseen
    symmetrisen kryptografian avulla
  • 3:19 - 3:23
    kaikista muistakin
    protokollista joita käytät
  • 3:23 - 3:25
    olisi mahdollista tehdä
    tämän tyyppiset diat
  • 3:25 - 3:28
    kuten SSH:sta mutta ne kaikki toimivat
    varsin samalla tavalla
  • 3:28 - 3:31
    korostan nyt kaksi osaa tästä diasta
  • 3:31 - 3:34
    RSA-4096
    tyypillinen allekirjoitusjärjestelmä
  • 3:34 - 3:36
    ja tyypillinen salausjärjestelmä
    NIST P-256
  • 3:36 - 3:41
    koska nämä kaksi tullaan murtamaan
    kvanttitietokoneiden takia
  • 3:41 - 3:43
    ilman kvanttitietokoneita
    mitään tiedossa olevia
  • 3:43 - 3:45
    uhkia ei olisi mutta
  • 3:45 - 3:47
    kunhan hyökkääjällä on
    iso kvanttitietokone
  • 3:47 - 3:49
    mikä luultavasti tapahtuu
  • 3:49 - 3:52
    se ei ole varmaa
    ehkä panostukset kvanttitietokoneisiin
  • 3:52 - 3:53
    epäonnistuvat jostain syystä
  • 3:53 - 3:56
    mutta näyttää siltä
    että kvanttitietokoneet
  • 3:56 - 3:57
    ovat yhä menestyvämpiä
  • 3:57 - 3:59
    ja kunhan kvanttitietokoneet
    ovat tarpeeksi isoja
  • 3:59 - 4:01
    ehkä kymmenen vuoden päästä
  • 4:01 - 4:04
    sen jälkeen hyökkääjät
    voivat ajaa hyökkäysalgoritmin
  • 4:04 - 4:08
    jota kutsutaan Shorin algoritmiksi
    joka löytää salaiset RSA-avaimesi ja
  • 4:08 - 4:13
    salaiset NIST P-256 avaimesi
    ja tässä vaiheessa hyökkääjät voivat
  • 4:13 - 4:15
    tarkastella tietoja
    joita he tallentavat nyt
  • 4:15 - 4:18
    se ei ole uhka vain tulevaisuuden datalle
    vaan se on myös uhka
  • 4:18 - 4:21
    nykyhetken tietojesi
    luottamuksellisuudelle
  • 4:21 - 4:25
    koska hyökkääjät tallentavat jo
    nyt kaiken minkä he voivat Internetissä
  • 4:25 - 4:28
    ja sitten kun heillä on
    iso kvanttitietokone
  • 4:28 - 4:34
    he voivat takautuvasti purkaa salaukset
    koska he voivat murtaa RSA-4096:n
  • 4:34 - 4:39
    ja NIST P-256:n
    nimenomaan NIST P-256 tarjoaa salauksen
  • 4:39 - 4:43
    ja he voivat palata ajassa taaksepäin
    ja murtaa salauksen jota käytät tänään
  • 4:43 - 4:45
    mitä me teemme tälle?
  • 4:45 - 4:48
    Norminmukainen lähestymistapa
    on mitä me kutsumme
  • 4:48 - 4:51
    kvantti-jälkeiseksi kryptografiaksi
    kuulit sen jo aiemmin se oli meidän
  • 4:51 - 4:55
    otsikossamme se on korvaava kryptografia
    joka on suunniteltu se mielessä pitäen
  • 4:55 - 4:58
    että hyökkääjällä on
    käytössä kvanttitietokone
  • 4:58 - 5:02
    joten eli kuten airue
    jo aiemmin mainitsikin
  • 5:02 - 5:06
    olin koordinaattorina PQCRYPTO projektissa
    ja se tarkoittaa että olen nipistellyt
  • 5:06 - 5:10
    ympäri maailmaa ja pitänyt puheita
    kvantti-jälkeisestä kryptografiasta
  • 5:10 - 5:14
    tässä on kuvankaappaus puheesta jonka
    pidin kuusi ja puoli vuotta sitten
  • 5:14 - 5:20
    missä korostin kuten Dan teki tänään
    kvantti-jälkeisen kryptogragian tärkeyttä
  • 5:20 - 5:23
    ja korostin
    että on tärkeää tehdä suositukset
  • 5:23 - 5:27
    jotka kertovat mitä algoritmeja meidän
    pitäisi käyttää korvataksemme RSA:n ja
  • 5:27 - 5:31
    NIST P-256:n jotka
    näitte edellisillä dioilla
  • 5:31 - 5:37
    ja sitten käsittelin kysymystä pitäisikö
    meidän standardisoida nyt vai myöhemmin
  • 5:37 - 5:43
    argumentteja löytyy molemmilta puolilta
    ja, no, jos stardardisoitaisiin nyt,
  • 5:43 - 5:47
    kuusi vuotta sitten tuntui että vielä on
    niin paljon tehtävää ja meillä on paljon
  • 5:47 - 5:49
    parempi järjestelmä
    jos odotamme vähän pidempään
  • 5:49 - 5:57
    toistaalta on huoli virastojen ja muiden
    pimeyden voimien keräämästä datasta
  • 5:57 - 6:03
    ja mitä myöhempään se julkaistaan
    sitä enemmän dataa ja turvallisuutta
  • 6:03 - 6:08
    menetetään joten olisi tärkeää saada
    asioita eteenpäin ja ratkaisumme silloin
  • 6:08 - 6:14
    mitä olin mainostamassa vuonna 2016 oli
    vuonna 2015 julkaistut suositukset jossa
  • 6:14 - 6:17
    sanottiin että
    keskittäminen vie paljon aikaa
  • 6:17 - 6:21
    me emme ole siinä vaiheessa vielä
    mutta jos joku haluaa suojella itseään
  • 6:21 - 6:24
    tässä mitä me,
    no tässä on aikamoinen määrä
  • 6:24 - 6:29
    tutkijoita jotka ilmoittautuivat tähän
    lausuntoon osana PQCRYPTO projektia
  • 6:29 - 6:35
    mitä me suosittelemme?
    meidän suosittelumme olivat mitä kutsumme
  • 6:35 - 6:37
    varovaiseksi kryptografiassa
  • 6:37 - 6:38
    se ei tarkoita
    poliittisesti konservatiivinen
  • 6:38 - 6:43
    vaan se tarkoittaa tylsää se tarkoittaa
    että jokin on ollut jo pitkään ilmoilla
  • 6:43 - 6:47
    monet ihmiset ovat analysoineet sen
    ja emme odota mitään muutoksia siihen
  • 6:47 - 6:53
    symmetrisen avaimen puolella, kuten Dan
    oli jo sanonut, niihin kvanttitietokoneet
  • 6:53 - 6:56
    eivät vaikuta joten jos käytät tarpeeksi
    suuria kokoja
  • 6:56 - 7:02
    256-bittisten avainten kanssa
    niin AES tai Salsa20 ovat riittäviä
  • 7:02 - 7:07
    myös todentamisessa, kun saat avaimen,
    siihen ei voi vaikuttaa
  • 7:07 - 7:14
    julkisen avaimen salauksen ja
    allekirjoituksen RSA-4096:n ja
  • 7:14 - 7:19
    ECC NIST P-256:n me juodumme korvaamaan
    niitä varten meillä on korvikkeet ja tässä
  • 7:19 - 7:22
    me annoimme
    korkean luottamuksen suosituksen
  • 7:22 - 7:24
    eli käytä
    McEliecen järjestelmää minkä nimi
  • 7:24 - 7:27
    saattaa näkyä hieman myöhemmin
  • 7:27 - 7:29
    ja käytä
    tiivistepohjaisia allekirjoituksia
  • 7:29 - 7:34
    ja SPHINCS:n haluat tutusta myöhemmin
    me myös julkistimme joitain arvioinnin
  • 7:34 - 7:37
    alaisena olevia kohteina mikä tarkoittaa
    että niitä ei kannata käyttää juuri nyt
  • 7:37 - 7:44
    mutta tulevaisuudessa ne voivat olla ok
    ja meille tämä oli ok, me iskemme seipään
  • 7:44 - 7:45
    maahan, me sanomme
    että nämä ovat turvallisia
  • 7:45 - 7:50
    ja ihmisten tulisi toimia niin ja kaikki
    elävät onnelisina elämän loppuun asti
  • 7:50 - 7:52
    ja me olemme valmiita puheemme kanssa
  • 7:52 - 7:55
    vai elivätkö sittenkään
    kaikki onnellisesti
  • 7:55 - 7:56
    elämänsä loppuun asti?
  • 7:56 - 7:59
    Katsotaan mitä oikeasti
    tapahtui tämän jälkeen
  • 7:59 - 8:01
    järjestely, no,
    asiat jotka pitäisi julkistaa
  • 8:01 - 8:05
    itse asiassa oli eräs kokeilu
    jota Google piti käynnissä
  • 8:05 - 8:09
    joka sanoi että vuonna 2016 Google Chrome
    lisäsi kvantti-jälkeisen vaihtoehdon
  • 8:09 - 8:11
    nyt, se ei tarkoita että jokainen
  • 8:11 - 8:14
    verkkopalvelin tuki sitä
    se oli vain kokeilu
  • 8:14 - 8:16
    missä Google laittoi sen päälle joillain
  • 8:16 - 8:19
    heidän palvelimillaan
    ja sanoi ok katsotaan
  • 8:19 - 8:22
    miten hyvin tämä toimii ja kuulostivat
    todella innostuineilta heidän blogissaan
  • 8:22 - 8:25
    jossa he julkistivat sen että he auttavat
    käyttäjiä suojautumaan
  • 8:25 - 8:27
    kvanttitietokoneilta
    katsotaan toimiiko tämä
  • 8:27 - 8:29
    järjestelmä jota he käyttivät kutsuttiin
    nimellä New Hope (NH)
  • 8:29 - 8:35
    he eivät pelkästään salanneet NH:lla,
    NH on kvantti-jälkeinen salausjärjestelmä
  • 8:35 - 8:40
    he myöskin salasivat kvanttia-edeltävällä
    salauksella, elliptisten käyrien
  • 8:40 - 8:42
    salausmenetelmällä, ECC
    kuten Tanja aikaisemmin
  • 8:42 - 8:47
    mainitsi NIST P-256
    on esimerkki ECC:stä, x25519 on toinen
  • 8:47 - 8:50
    esimerkki ECC:stä, tämä on jotain mitä
    käytät tänä päivänä salataksesi datasi
  • 8:50 - 8:55
    ja mitä Google teki, se salasi NH:lla
    kvantti-jälkeisen turvallisuuden
  • 8:55 - 8:59
    takaamiseksi ja salasi myös
    x25519:lla kuten he tekevät
  • 8:59 - 9:02
    normaalisti myös tänä päivänä
    asian ydin on että jos jotain menee
  • 9:02 - 9:08
    pahasti pieleen NH:n kanssa niin meillä
    silti on kvanttia-edeltävä turvallisuus
  • 9:08 - 9:11
    joten ainakaan välitöntä turvallisuusuhkaa
    ei ole, he eivät ole pahentamassa asioita
  • 9:11 - 9:14
    tietysti jos NH on rikki niin he eivät ole
    myöskään parantamassa
  • 9:14 - 9:17
    asioita mutta pääasia
    oli yrittää saada asioita paremmaksi ja
  • 9:17 - 9:21
    varmistaa samalla ettei asiat mene
    pahemmaksi salaamalla molemmilla sekä
  • 9:21 - 9:23
    kvanttia-edeltävällä
    että kvantti-jälkseisellä
  • 9:23 - 9:28
    asioilla ja varasuunnitelma on todella
    tärkeää olla olemassa koska NH on uusi
  • 9:28 - 9:33
    salausjärjestelmä, no, oli vuonna 2016
    pääpalat NH:n suunnittelussa tulivat
  • 9:33 - 9:38
    vuosilta 2010, 2014 ja 2015 ja se ei ole
    paljon aikaa asioiden läpikäymiseen ja
  • 9:38 - 9:42
    kryptografiassa asiat voivat välillä olla
    maisemissa vuosia ennen kuin niistä
  • 9:42 - 9:45
    löydetään turvallisuusongelmia
    on todella tärkeää että uusille
  • 9:45 - 9:51
    salausjärjestelmille annetaan aikaa kypsyä
    toinen ongelma uusien salausjärjestelmien
  • 9:51 - 9:56
    kanssa on että joskus ne patentoidaan
    patenit säilyvät 20 vuotta ja tämä tapahtui
  • 9:56 - 10:01
    NH:lle, patentin haltija otti yhteyttä
    Googleen ja sanoi että haluan rahaa teidän
  • 10:01 - 10:07
    NH kokeilusta. Google ei koskaan
    antanut julkista lausuntoa tästä patentti-
  • 10:07 - 10:11
    uhkasta, mutta jostain syystä
    marraskuussa 2016 he poistivat NH
  • 10:11 - 10:16
    mahdollisuuden Chromesta ja palvelimiltaan
    muitakin asioita tapahtui vuonna 2016
  • 10:16 - 10:22
    Yhdysvaltain hallinnolla on virasto, NIST,
    jolla on pitkä historia yhteistyöstä
  • 10:22 - 10:28
    kansallisen turvallisuusviraston (NSA)
    kanssa ja NIST sanoi että vuoden päästä
  • 10:28 - 10:33
    loppuvuodesta 2017 he haluaisivat
    kryptograafikkojen toimittavan ehdotuksia
  • 10:33 - 10:37
    kvantti-jälkeiselle salausjärjestelmälle,
    salausjärjestelmät ja allekirjoitusjärjestelmät
  • 10:37 - 10:45
    joka standardisoitaisiin aikanaan
    yksi mielenkiintoinen asia jonka he sanoivat
  • 10:45 - 10:50
    pyynnössään oli että et saa toimittaa
    sekamuotoja, eli salata molemmilla
  • 10:50 - 10:56
    kvantti järjestelmillä ja ECC:llä tai
    allekirjoittaa jollain mitä käytät nyt ja
  • 10:56 - 10:59
    jollain kvantti-jälkeisellä ratkaisulla
    he sanoivat että algoritmit eivät saa
  • 10:59 - 11:03
    sisältää ECC:tä tai mitään muuta joka
    voidaan murtaa kvanttitietokoneilla
  • 11:03 - 11:08
    sovelluskehittäjän näkökulmasta on hyvä
    olla ECC kerros erillään kaikesta muusta
  • 11:08 - 11:11
    ja sanoa että mitä tahansa teetkään
    kvantti-jälkeisellä järjestelmällä se
  • 11:11 - 11:16
    yhdistetään x25519 kanssa esimerkiksi.
    Mutta he eivät sanoneet että sinun täytyisi
  • 11:16 - 11:21
    yhdistää kaikki ECC:n kanssa, esimerkiksi
    x25519 erillisenä kerroksena, he sanoivat
  • 11:21 - 11:24
    älä toimita mitään mikä on
    yhdistetty ECC:n kanssa
  • 11:24 - 11:33
    järjestämällä tämän kilpailun kvantti-
    jälkeisille järjestelmille NIST viestititti
  • 11:33 - 11:36
    yrityksille että odottakaa, älkää ottako
    käyttöön kvantti-jälkeisiä salauksia
  • 11:36 - 11:44
    ja tässä oli sekä keppi että porkkana,
    keppi oli patentit, Google joutui juuri
  • 11:44 - 11:47
    ongelmiin ottamalla jotain käyttöön
    ja hupsista sillä olikin patentti
  • 11:47 - 11:52
    mikä muu on patentoitu? ja NIST sanoi että
    meillä on prosessi joka johtaa
  • 11:52 - 11:56
    kryptografisiin standardeihin jotka voi
    vapaasti toteuttaa eli patentit eivät estä
  • 11:56 - 11:59
    sinua ottamasta käyttöön asioita ja he myös
    sanoivat että he aikovat valita jotain
  • 11:59 - 12:05
    mikä on tarpeeksi vahva, turvallisuus on
    kaikkein tärkein tekijä arvioinnissa
  • 12:05 - 12:11
    joten toimialat katsovat tätä ja sanoivat
    ok odotetaan NIST:ä ja muut
  • 12:11 - 12:16
    standardisointi organisaatiot odottavat
    myös. IETF:llä on oma tutkimusorganisaatio
  • 12:16 - 12:22
    IRTF asettaa Internetin standardeja ja
    kryptoryhmä IRTF:ssä pohti että me
  • 12:22 - 12:29
    standardisoimme ne jotka ovat jo meidän
    pöydällämme, kuten tiivistejärjestelmiä
  • 12:29 - 12:36
    mutta kaiken muun osalta me odotamme
    NIST:ä. ISO sanoi myös että he odottavat
  • 12:36 - 12:41
    NIST:ä. Ihan kaikki organisaatiot eivät
    sanoneet näin, esimerkiksi Kiinan hallitus
  • 12:41 - 12:46
    sanoi että he järjestävät heidän oman
    kilpailunsa mutta, no, ketä kiinnostaa?
  • 12:46 - 12:53
    Joten takaisin NIST kilpailuun, tässä on
    kaikki ehdotukset, joten loppuvuodesta 2017
  • 12:53 - 12:59
    oli 69 ehdotusta 260 eri kryptograafikolta
    en aio lukea kaikki nimiä mutta tämä oli
  • 12:59 - 13:01
    aikamoinen työkuorma kryptografian
    analyytikoille.
  • 13:01 - 13:09
    me pidettiin hauskaa alkuvuodesta 2017, he
    jotka näkivät meidät lavalla vuonna 2018
  • 13:09 - 13:13
    tietävät että pidimme puheita siitä kuinka
    hauskaa meillä oli rikkoa näitä ehdotuksia
  • 13:13 - 13:17
    mutta se oli aikamoinen taakka. Katsotaan
    mitä NIST teki kilpailulla.
  • 13:17 - 13:21
    vuonna 2019 eli kaksi vuotta myöhemmin, no
    vuosi ja vähän myöhemmin he olivat
  • 13:21 - 13:27
    rajaamassa ehdotuksia 26 ehdokkaaseen
    ja vuonna 2020 heinäkuussa he rajasivat
  • 13:27 - 13:33
    ehdokkaita lisää, he ottivat 15 ehdokasta
    26:sta. Tarkoitus oli keskittyä johonkin
  • 13:33 - 13:40
    missä on järkeä ja he priorisoivat
    vahvimpia ehdokkaita paitsi silloin jos
  • 13:40 - 13:44
    sovellus todella tarvitsee jotain
    tehokkaampaa
  • 13:44 - 13:49
    itse asiassa ei, he eivät ollenkaan
    tehneet näin. Jos luet raportin ja katsot
  • 13:49 - 13:52
    mitkä ehdokkaat he valitsivat, milloin
    tahansa kun heillä oli vaihtoehto
  • 13:52 - 13:56
    nopeuden ja turvallisuuden välillä,
    tarkoitat he totta kai karsivat pois asiat
  • 13:56 - 14:02
    jotka olivat todella rikki ja karsivat
    asiat jotka olivat todella tehottomia
  • 14:02 - 14:05
    mutta ottakaapa esimerkiksi SPHINCS jonka
    Tanja mainitsi aikaisemmin, todella
  • 14:05 - 14:09
    varovainen kaikki ovat samaa mieltä että
    tämä on turvallisin allekirjoitusjärjestelmä
  • 14:09 - 14:22
    no, NIST ei sanonut että käytä SPHINCS:iä
    vaan että me odotetaan SPHINCS+:n
  • 14:22 - 14:27
    standardisoimista ellei niin moni asia
    ole rikki että meidän pitää käyttää SPHINCS:ä
  • 14:27 - 14:36
    Niin ja tämän vuoden heinäkuussa NIST
    sanoi että he valitsevat neljä standardia
  • 14:36 - 14:43
    yksi oli SPHINCS+ ja neljää muuta ehdotusta
    tutkittiin yhä. Tämä vaikuttaa siltä
  • 14:43 - 14:47
    että ehkä heidän itseluottamuksensa horjui
    Joten mitä tapahtui?
  • 14:47 - 14:56
    Kuva 69 ehdotuksesta muuttuu kun menemme
    ajassa viisi ja puoli vuotta eteenpäin
  • 14:56 - 15:01
    tässä on värikoodaus. Siniset ovat edelleen
    mukana NIST:n kilpailussa, eli neljä
  • 15:01 - 15:06
    standardisoitavaa järjestelmää ja neljä
    neljännen kierroksen ehdokasta
  • 15:06 - 15:13
    harmaat eivät päässeet eteenpäin ja
    tarkoittaa ettei niitä ole murrettu mutta
  • 15:13 - 15:18
    ne putosivat niin aikaisin ettei ketään
    enää kiinnostanut niiden murtaminen
  • 15:18 - 15:21
    ruskea väri tarkoittaa vähemmänen
    turvallinen kuin väitetty, punainen
  • 15:21 - 15:25
    tarkoittaa todella murrettua ja punainen
    joka on alleviivattu tarkoittaa
  • 15:25 - 15:34
    todella todella murrettua.
    Mitä voit nähdä tässä on se että murrettuja
  • 15:34 - 15:40
    järjestelmiä on paljon. On myös
    mielenkiintoinen violetti oikeassa alakulmassa
  • 15:40 - 15:49
    Jos muistat vesivärit niin violetti on
    punaisen ja sinisen sekoitus. SIKE valittiin
  • 15:49 - 15:58
    heinäkuussa sekä murrettiin heinäkuussa
    viiden vuoden analyysin jälkeen hyökkäyksellä
  • 15:58 - 16:03
    joka voidaan ajaa sekunneissa joten SIKE
    on tapaus jossa jotain meni todella väärin
  • 16:03 - 16:08
    ja voidaan sanoa että useat pienet asiat
    horjuttivat vähän itseluottamusta
  • 16:08 - 16:13
    jonka jälkeen NIST valitsi sentään edes
    SPHINCS:n, tämä ei johtanut muiden
  • 16:13 - 16:18
    varovaisten vaihtoehtojen valitsemiseen
    jotkut niistä ovat edelleen hautumassa
  • 16:18 - 16:21
    mutta tämä ei olekaan kypsä ala.
  • 16:21 - 16:26
    Mitäs tapahtui sillä välin käyttöönoton
    puolella? Muistakaa, on kaksi osaa Tanjan
  • 16:26 - 16:31
    dioista vuodelta 2016. Hän sanoi että
    olisi hyvä ottaa käyttöön jotain nyt
  • 16:31 - 16:34
    suojellaksesi käyttäjiä koska meillä on
    turvallisuusongelma nyt, hyökkääjät
  • 16:34 - 16:38
    tallentavat asioita nyt ja meidän pitää
    yrittää suojautua siltä ja meidän pitää
  • 16:38 - 16:41
    pystyä tekemään se nopeammin kuin
    standardisaatioprosessi joka Google oli
  • 16:41 - 16:49
    aloittamassa vuonna 2016 mutta pelästyivät
    patenttiongelmaa. Vuoteen 2019 mennessä
  • 16:49 - 16:53
    toimialat ja useat avoimen lähdekoodin
    projektit katsoivat tätä ja pohtivat että
  • 16:53 - 16:59
    ehkä olisi hyvä aika ottaa käyttöön asioita
    sillä jotain meni väärin vuonna 2016
  • 16:59 - 17:04
    mutta tässä vaiheessa NIST on kerännyt
    lausuntoja kaikilta ehdokkailta tässä
  • 17:04 - 17:08
    kilpailussa todeten mitkä ehdotukset ovat
    patentoituja ja se antaa meille paljon
  • 17:08 - 17:12
    tietoa kun 260 kryptograafikkoa kertoo
    mitkä ovat patentoituja
  • 17:12 - 17:18
    ja vuonna 2019 oli yhä selkeämpää että
    kvanttitietokoneet ovat tulossa
  • 17:18 - 17:21
    joten esimerkkejä siitä mitä tapahtui
    vuonna 2019
  • 17:21 - 17:27
    OpenSSH version 8, kopioiden TinySSH:ta
    kertoi että he lisäävät sekamuodon joka
  • 17:27 - 17:33
    koostuu elliptisten käyrien
    salausmenetelmästä sekä yhdestä
  • 17:33 - 17:37
    kvantti-jälkeisestä ehotuksesta. Sitä ei
    käytetä oletuksena mutta jos lisäät rivin
  • 17:37 - 17:40
    palvelimen sekä asiakasohjelman
    konfiguraatioon niin se käyttää kvantti-
  • 17:40 - 17:45
    jälkeistä salausta, ja jos kvantti-jälkeinen
    osa murretaan niin siellä on silti vielä ECC
  • 17:45 - 17:52
    Heinäkuussa 2019 Google ja Cloudflare
    kokeilivat kvantti-jälkeistä salausta
  • 17:52 - 17:59
    kaksiosaisessa kokeessa. Jotkin käyttäjät
    salasivat toisella versiolla, ntruhrss:lla
  • 17:59 - 18:03
    ja ECC:llä totta kai, käytä aina
    sekamuotoja. Ja toinen versio oli
  • 18:03 - 18:09
    salaaminen sikep:llä ja ECC:llä. Joo
    Tanja sanoi hups. Tämä on esimerkki siitä
  • 18:09 - 18:15
    miten tärkeää on varmistaa että yhdistät
    kaiken ECC:n kanssa jotta et kadota
  • 18:15 - 18:19
    turvallisuutta verrattuna tähän päivään
    jossa kaikki käytämme ECC:tä. Kokeile
  • 18:19 - 18:24
    kvantti-jälkeisiä järjestelmiä sekä ECC:tä
    samaan aikaan jotta pahimmassa tapauksessa
  • 18:24 - 18:29
    hukkaat vain aikaa mutta toivottavasti
    jokin paranee ja ainakin sikep käyttäjillä
  • 18:29 - 18:39
    on ECC turva. Myös vuonna 2019 lokakuussa
    Google väitti omaavansa kvanttiylemmyyden
  • 18:39 - 18:44
    tarkoittaen että heillä oli kvanttitietokone
    tekemässä jotain nopeammin kuin mikään
  • 18:44 - 18:49
    tavallinen supertietokone. Se ei ole
    hyödyllinen laskenta ja menee silti vuosia
  • 18:49 - 18:53
    ennen kuin meillä on hyödyllisiä laskelmia
    pyörimässä kvanttitietokoneilla nopeammin
  • 18:53 - 18:56
    kuin tavallisilla tietokoneilla mutta silti
    pelkästään nimi kvanttiylemmyys on
  • 18:56 - 19:00
    harhaanjohtava mutta se silti
    mielenkiintoinen askel eteenpäin kvantti-
  • 19:00 - 19:07
    laskennassa ja nimi varmaankin herätti
    huomiota sekä huolta
  • 19:07 - 19:18
    vuonna 2021 ja 2022 OpenSSH, OpenBSD ja Google
    kaikki päivittivät yhtäkkiä
  • 19:18 - 19:28
    no, openSSH versio 9.0 tarjoaa sntrup:n ja
    ECC:n oletuksena joten jos sinulla on
  • 19:28 - 19:31
    OpenSSH 9 asennettuna palvelimellesi sekä
    siihen palvelimeen mihin otat yhteyttä
  • 19:31 - 19:36
    sekä asiakasohjelmaasi niin se käyttää
    automaattisesti kvantti-jälkeistä vaihtoehtoa
  • 19:36 - 19:42
    ja itse asiassa OpenSSH versiot aina 8.5 asti
    tukevat täysin samaa asiaa, mutta silloin
  • 19:42 - 19:47
    sinun täytyy ottaa se käyttöön manuaalisesti
    jotta palvelin ja asiakasohjelma käyttäisivät
  • 19:47 - 19:51
    sitä mutta OpenSSH 9:ssä se tapahtuu
    oletuksena ja sama juttu Googlen suhteen
  • 19:51 - 19:56
    he ovat marraskuusta, eli viime kuusta
    lähtien salanneet heidän sisäisen
  • 19:56 - 20:04
    kommunikaationsa ntruhrss:llä ja ECC:llä
    joten toivottavasti ntruhrss toimii ja se
  • 20:04 - 20:07
    on turvallinen kvanttitietokoneita vastaan
    tulevaisuudessa
  • 20:07 - 20:11
    Tämä on myös hienosti linjassa
    puhdistamiskoodin sanoman kanssa
  • 20:11 - 20:17
    kuten jo sanottu puhdistamiskoodit eivät
    ole vielä stardardisoituja kryptografisiin
  • 20:17 - 20:22
    järjestelmiin itsessään mutta he kannustavat
    ihmisiä tutkimaan asioita ja totuttelemaan
  • 20:22 - 20:31
    siihen, esimerkiksi US ANSI joka on pankki-
    standardi NTX9, totesivat että he siirtyvät
  • 20:31 - 20:36
    aikanaan kvantti-jälkeisiin stardardeihin
    joten he odottavat klassisen kryptografian
  • 20:36 - 20:38
    jota kutsutaan kvanttia edeltäväksi
    kryptografiaksi ja kvantti-jälkeinen
  • 20:38 - 20:43
    kryptografian samanaikaista käyttöä
    joten he ajattelevat että yksi asia on
  • 20:43 - 20:49
    standardisoitu ja auditoitu ja toinen on
    silti vielä vähän uusi ja epämukava mutta
  • 20:49 - 20:53
    me tarvitsemme sitä pitkän ajan
    turvallisuutta varten ja ehkä se vaativat
  • 20:53 - 21:00
    tätä sekamuoto yhdistelmää pitkässä
    juoksussa. Sitten, Yhdysvalloista Ranskaan
  • 21:00 - 21:07
    eli ANSI:sta ANSSI:n, joka on Ranskan
    turvallisuusvirasto. He sanovat myös että
  • 21:07 - 21:15
    älkää käyttäkö kvantti-jälkeisiä järjestelmiä
    yksinään koska ne ovat vielä kypsymättömiä
  • 21:15 - 21:19
    mutta, kypsymättömyys ei tarvitse olla syy
    ensimmäisten käyttöönottojen viivyttämiselle
  • 21:19 - 21:27
    joten ANSSI kannustaa ihmisiä ottamaan
    sekamuodot käyttöön käyttäen jotain hyvää
  • 21:27 - 21:32
    kvanttia edeltävää ratkaisua yhdessä
    kvantti-jälkseisen ratkaisun kanssa
  • 21:32 - 21:37
    Noniin kiva eli kaikki etenee hienosti
    niiden linjausten mukaan mitkä olivat Tanjan
  • 21:37 - 21:43
    dioissa vuonna 2016. Standardisaatio
    etenee hitaasti mutta saman aikaan
  • 21:43 - 21:47
    olemme ottamassa käyttöön kvantti-jälkeistä
    salausta yhdessä ECC:n kanssa siltä varalta
  • 21:47 - 21:52
    jos jokin menee pieleen ja saada käyttäjät
    suojatuksi niin nopeasti kuin mahdollista
  • 21:52 - 21:59
    Mitä Yhdysvaltojen hallinto sanoi tästä?
    Vuodesta 2021 lähtien Yhdysvaltojen hallinto
  • 21:59 - 22:03
    teki erittäin selväksi että se haluaa sinun
    nyt saatat miettiä että he haluavat sinun
  • 22:03 - 22:07
    suojatuvan kvanttitietokoneita vastaan mutta
    eijei ei, he eivät halua että suojaudut
  • 22:07 - 22:14
    kvanttitietokoneita vastaan. Esimerkiksi,
    tässä on sitaatti NIST:n
  • 22:14 - 22:18
    kyberturvallisuusosaston päälliköltä
    informaatioteknologian laboratoriosta
  • 22:18 - 22:21
    joka käynnisti kvantti-jälkeisen krypto-
    järjestelmien kilpailutuksen.
  • 22:21 - 22:27
    Heinäkuussa 2021, pian OpenBSD:n projektien
    ja OpenSSH:n käyttöönottojen jälkeen
  • 22:27 - 22:32
    hän sanoi, älkää antako ihmisten ostaa ja
    jalkauttaa epästandardisoituja kvantti-
  • 22:32 - 22:39
    jälkeisiä kryptografioita. Ja sitten, toinen
    esimerkki, NSA, joka toimii läheisesti
  • 22:39 - 22:44
    NIST:n kanssa sanoi, älä toteuta tai käytä
    epästandardisoituja kvantti-jälkeisiä krypto-
  • 22:44 - 22:49
    grafioita. Ja siltä varalta ettei ihmiset
    tajunneet viestiä, turvallisuusvirasto,
  • 22:49 - 22:52
    luuletko että nämä virastot keskustelevat
    keskenään?
  • 22:52 - 22:57
    turvallisuusvirasto sanoi, älä käytä kvantti-
    jälkeisiä kryptografiatuotteita ennen kuin
  • 22:57 - 23:03
    korvattavien ohjelmien standardisaatio,
    toteutus ja testaus hyväksytyillä
  • 23:03 - 23:05
    algoritmeilla on tehty NIST:n toimesta.
  • 23:05 - 23:16
    Tässä jo hieman huonoja uutisia. Toinen
    juttu mikä on outoa tässä on että he sanovat
  • 23:16 - 23:19
    että jos olet ottamassa käyttöön kvantti-
    jälkeistä kryptografiaa, niin sinun ei tule
  • 23:19 - 23:24
    käyttää sekamuotoja, ja saatat ehkä ajatella
    ymmärsinkö väärin ein kyllänä tai jotain
  • 23:24 - 23:30
    tässä oli NSA:n kaveri konferenssissa ja
    tämä dia on Markku Saarisen kuvankaappaus
  • 23:30 - 23:36
    mutta olin tilaisuudessa ja voin vahvistaa
    että hän totesi että sinun ei tulisi käyttää
  • 23:36 - 23:45
    sekamuotoja. Hän myös toisti useasti että
    älä käytä mitään tällä hetkellä. He eivät
  • 23:45 - 23:49
    myöskään odottaneet kvantti-jälkeisten
    algoritmien hyväksymistä minkään
  • 23:49 - 23:53
    "varmuuden vuoksi yhdistä algoritmit"
    ohjeiden pohjalta.
  • 23:53 - 23:59
    Myöhemmin he julkaisivat lisää ohjeita jossa
    sanottiin että se tulee olemaan kahdenkeskinen
  • 23:59 - 24:03
    korvike, ECC ja RSA irti, kvantti-
    jälkeinen kryptografia sisään.
  • 24:03 - 24:09
    ja heidän argumenttinsa oli että ECC:ssä
    voi olla ohjelmointivirheitä joten sammuta
  • 24:09 - 24:16
    ECC. Ei hyvä idea. Ellet ole hyökkääjä
    silloin se on huippuidea.
  • 24:16 - 24:22
    nyt ehkä ajattelet että totta kai me käytämme
    sekamuotoja vaikka NSA kannustaa ihmisiä
  • 24:22 - 24:29
    olemaan käyttämättä niitä, ja sitten tämä
    lause, älä käytä jotain epästandardisoitua
  • 24:29 - 24:36
    se lykkäys on nyt korjattu, vai mitä? NIST
    kertoi heinäkuussa Kyberin standardisoinnista
  • 24:36 - 24:43
    ja se tarkoittaa, ota Kyber käyttöön.
    noh, ei, oikeastaan he eivät sano niin
  • 24:43 - 24:50
    Tarkastellaanpa yksityiskohtia. Ensinnäkin
    muistatteko Googlen patenttiongelman NH:n
  • 24:50 - 24:59
    kanssa? No, NH:n poika on nimeltään Kyber.
    He kai sekoittivat Star Trekin
  • 24:59 - 25:02
    ja Tähtien Sodan keskenään joten
    sisäisesti heidän huhuttiin nimeävän
  • 25:02 - 25:08
    Kyberin New Hope the Next Generation
    mutta sitten he keksivät paremman nimen
  • 25:08 - 25:11
    sille myöhemmin. mutta joka tapauksessa
    Kyber muistuttaa paljon NH:ta sillä sillä
  • 25:11 - 25:16
    on patenttiongelmia ja tämä on ainoa
    salausjärjestelmä, NIST valitsi SPHINCS+:n
  • 25:16 - 25:20
    ja valitsi kaksi muuta
    allekirjoitusmahdollisuutta ja valitsi yhden
  • 25:20 - 25:24
    salausmenetelän, Kyberin. Se on ainoa tapa
    datasi turvaamiseksi NIST:n valitsemien
  • 25:24 - 25:32
    standardien mukaan. Kyber in NH:n tavoin
    keskellä seitsemän eri patentin miinakenttää
  • 25:32 - 25:37
    Se ei tarkoita että kaikki seitsemän pätevät
    se on varsin monimutkainen asia. Kun
  • 25:37 - 25:40
    tarkastelet patenttia sinun täytyy ymmärtää
    miten patenttilaki toimii ja analysoida mitä
  • 25:40 - 25:48
    patentti tarkoittaa tärkeysjärjestyksen ja
    laajentamisen näkökulmasta. Se on monimutkaista
  • 25:48 - 25:51
    Yksi helppo tapa päästä eroon patenteista
    on ostaa ne ja antaa ne jakoon ilmaiseksi
  • 25:51 - 25:56
    Niinpä NIST sanoi heinäkuussa neuvottelevansa
    useiden kolmansien osapuolten kanssa
  • 25:56 - 25:59
    heidän mukaan liittymisestä useisiin
    sopimuksiin jotta mahdolliset haasteet
  • 25:59 - 26:04
    liityen patentteihin voitaisiin välttää.
    Ok, hyvä, nyt voidaan käyttää Kyberiä
  • 26:04 - 26:09
    Paitsi että, yritykset katsovat tätä ja
    sanovat että hei voitteko näyttää sopimukset
  • 26:09 - 26:13
    jotta me tiedämme mitä kaikkea
    allekirjoititte. Esimerkiksi Scott Fluhrer
  • 26:13 - 26:17
    Ciscolta sanoi, Cisco ei voi käyttää Kyberiä
    ennen kuin me saamme lisenssien tekstit
  • 26:17 - 26:26
    No, sittenpä kävi ilmi että NIST ei ollut
    allekirjoittanut mitään heinäkuussa mutta
  • 26:26 - 26:31
    he sanoivat että he aikovat ja marraskuussa
    he viimein sanoivat, kyllä, me olemme
  • 26:31 - 26:36
    allekirjoittaneet kaksi lisenssisopimusta
    ja tässä hieman tekstiä niistä lisensseistä
  • 26:36 - 26:43
    Mutta jos katsot katsot tekstiä, niin
    lisenssit ovat NIST:n kuvaamalle standardille
  • 26:43 - 26:49
    ja minkäänlaisten muokkausten käyttö tai
    minkään muun kuin NIST:n standardisoitujen
  • 26:49 - 26:55
    asioiden käyttö Kyberissä ei ole sallittua
    tämän lisenssin mukaan
  • 26:55 - 27:00
    Nyt ehkä ajattelet että no he valitsivat
    Kyberin, he standardisoivat sen heinäkuussa
  • 27:00 - 27:05
    mutta ei, he eivät tehneet niin. Mitä he
    sanoivat heinäkuussa oli että he
  • 27:05 - 27:10
    suunnittelevat Kyberin standardisoimista
    mikä ei ole sama asia kuin että Kyber olisi
  • 27:10 - 27:18
    standardisoitu. He suunnittelevat Kyberin
    standardoinnin olevan valmis vuonna 2024
  • 27:18 - 27:24
    Ja tilannetta pahentaa se että me emme tiedä
    minkälainen Kyber tulee olemaan vuonna 2024
  • 27:24 - 27:32
    koska he vieläkin ehdottavat muutoksia siihen
    Eli, yhteenvetona, vuonna 2024, jos he
  • 27:32 - 27:38
    tuolloin julkistavat standardin, niin
    lisenssi antaa sinun käyttää Kyberiä
  • 27:38 - 27:45
    ja ehkä vuonna 2023 he vakiintavat Kyberin
    ja ehkä ne viisi muuta patenttia eivät
  • 27:45 - 27:51
    vaikuta Kyberiin. On olemassa tapauksia
    joissa ihmiset ovat kävelleet miinakentän
  • 27:51 - 27:54
    läpi räjähtämättä.
  • 27:54 - 28:00
    Tämä tuo meidät puuhemme loppuun, me selitimme
    tarpeeksi viivästyksistä ja kiertoteistä
  • 28:00 - 28:05
    mutta, mitä tarkoitamme katastrofilla?
    Totta kai jos jokin menee rikki joka on
  • 28:05 - 28:10
    otettu käyttöön Googlen ja Cloudflaren
    kokeilussa, niin kyllähän se on katastrofi
  • 28:10 - 28:15
    mutta he käyttivät varasuunnitelmaa, he
    käyttivät sekamuotoa joten se on ok
  • 28:15 - 28:20
    Mikä oikeasti on katastrofi on se että
    olemme täällä vuonna 2022 ja meillä
  • 28:20 - 28:24
    ei vieläkään ole käytössä kvantti-jälkeistä
    kryptografiaa puhelimissa tai tietokoneissa
  • 28:24 - 28:28
    se ei ole vieläkään laajasti käyttöön otettua
    Voimme ilomielin osoittaa esimerkkejä joissa
  • 28:28 - 28:33
    sitä käytetään mutta sitä ei käytetä laajasti
    Datasi on edelleen kvanttia edeltävillä
  • 28:33 - 28:38
    algoritmeilla salattua ja siksi mahdollista
    purkaa kvanttitietokoneella. Se on se oikea
  • 28:38 - 28:42
    katastrofi. Kiitos huomiostanne!
  • 28:46 - 28:47
    Kiitos, kiitos
  • 28:47 - 28:53
    Epäselvää
  • 28:53 - 28:57
    tai teknologia mitä käytän taustalla
    käyttävät kvantti-jälkeistä kryptografiaa
  • 28:57 - 29:02
    luulen että minun SSH yhteys käyttää
    vähintään, joten on se varmaan jotain
  • 29:02 - 29:10
    voimme aina luottaa OpenBSD:n.
    Ehdottomasti.
  • 29:10 - 29:21
    Tarkistetaan onko kysymyksiä. Yksi kysymys
    Kehittäjänä, joka kehittää jotain
  • 29:21 - 29:25
    sovellusta, ei välttämättä kryptografista,
    varmistanko että käyttämäni salaus on
  • 29:25 - 29:29
    turvallinen kvantti-jälkeiseen aikaan
    käyttämällä sekamuotoa nyt?
  • 29:29 - 29:36
    Hei, sinullahan on dia juuri tätä varten!
    Näytä dia!
  • 29:36 - 29:41
    Me ennustimme joitain kysymyksiä kuten, no
    tämä oli aika masentava mitä voimme tehdä
  • 29:41 - 29:47
    nyt joten meillä on dia valmiina ratkaisu-
    keinoista joita voit käyttää nyt ja kyllä
  • 29:47 - 29:53
    meidän ehdotus on että käyttäkää sekamuotoja
    Tunnen kuin tämä olisi takautuma vuoteen 2016
  • 29:53 - 29:57
    milloin sanoin hei voit tehdä jotain juuri
    nyt tässä ovat meidän ehdotuksemme
  • 29:57 - 30:02
    jotka ovat mielestämme todella turvallisia
    ja silti täällä olen joulukuussa vuonna 2022
  • 30:02 - 30:08
    sanomassa että McEliecen on todella varovainen
    järjestelmä ja meillä ei ole samaa patentti
  • 30:08 - 30:13
    ongelmaa jota Kyber menee tällä hetkellä
    läpi. Mitä sekamuoto tarkoittaa?
  • 30:13 - 30:17
    Se tarkoittaa kvanttia edeltävän ja kvantti-
    jälkeisen järjestelmän yhdistämistä
  • 30:17 - 30:24
    Salauksessa haluat niiden yhdessä luovan
    avaimen ja julkisen avaimen allekirjoituksessa
  • 30:24 - 30:27
    haluat tietysti varmistaa että molemmat
    allekirjoitukset yksinään ovat päteviä
  • 30:27 - 30:35
    jotta sekamuotoinen allekirjoitus toimii
    On olemassa useita eri ohjelmistokirjastoja
  • 30:35 - 30:39
    joita voit tarkastella ja saada siten
    laajempaa kuvaa eri järjestelmistä
  • 30:39 - 30:43
    joita voit yrittää ottaa käyttöön. Kun
    katsot kirjastoja niin sovelluksien laatu
  • 30:43 - 30:49
    ei ole niin huono kuin se oli pari vuotta
    sitten kvantti-jälkeisille sovelluksille
  • 30:49 - 30:55
    Ihmiset käyttävät paljon aikaa näiden
    parantamiseen. Siellä on silti paljon riskejä
  • 30:55 - 31:02
    mutta riski verrattuna siihen ettei tee mitään
    ja siten varmistamalla että data on
  • 31:02 - 31:05
    tulevaisuudessa suojaton tulevaisuuden
    hyökkääjiä vastaan jotka käyttävät
  • 31:05 - 31:08
    kvanttitietokoneita ja jotka tallentavat
    dataa juuri nyt niin haluat todellakin
  • 31:08 - 31:13
    kokeilla eri asioita. Esimerkiksi yksi kirjasto
    joka on toteuttanut pari eri järjestelmää
  • 31:13 - 31:19
    on nimeltään Quantum safe oqs. On olemassa
    muita kirjastoja jotka käyttävät tiettyjä
  • 31:19 - 31:22
    salausjärjestelmiä joten useimmilla
    järjestelmäsuunnittelijoilla on jonkinlainen
  • 31:22 - 31:25
    sovellus mutta jälleen kerran sinun täytyy
    miettiä kuinka hyvä sovelluksen laatu on
  • 31:25 - 31:35
    Uusi kirjasto on tulossa nimeltään lib.js
    jolla on useita verifikaatteja, joten sanoisin
  • 31:35 - 31:40
    että se on hyvänlaatuinen mutta valitettavasti
    ainoa kvantti-jälkeinen salausjärjestelmä
  • 31:40 - 31:44
    jota se tarjoaa tällä hetkellä on Kyber,
    joka on no, jos suunnittelet eteenpäin
  • 31:44 - 31:49
    vuoteen 2024 jolloin se tulee käyttöön mutta
    juuri nyt se ei ole käyttökelpoinen
  • 31:49 - 31:58
    Joten jos haluat jotain joka on nopea,
    niin jos katsot mitä OpenSSH tai Google
  • 31:58 - 32:03
    tekevät ntruhrss:lla joten se sovellus
    on ainakin jotenkin testattu
  • 32:03 - 32:08
    joten voit kokeilla sitä mutta muista
    aina käyttää sekamuotoja ECC:n kanssa
  • 32:08 - 32:11
    varmuuden vuoksi jos jokin sattuukin
    menemään pahasti pieleen kvantti-jälkeisen
  • 32:11 - 32:14
    osan kanssa.
  • 32:14 - 32:21
    Eikö ole kuitenkin aika hankalaa luoda oma
    yhdistäjä? Minulla pitää silti olla oikea tapa
  • 32:21 - 32:24
    yhdistää kaksi järjestelmää, kvanttia
    edeltävä ja kvantti-jälkeinen
  • 32:24 - 32:31
    Kyllä ja se on mahdollista, joten jopa niin
    yksinkertainen juttu kuin allekirjoita
  • 32:31 - 32:34
    tällä järjestelmällä, allekirjoita toisella
    järjestelmällä, tarkista molemmat
  • 32:34 - 32:38
    allekirjoitukset. Me olemme nähneet
    sovelluksia joissa tämä on mennyt väärin
  • 32:38 - 32:47
    On todella tärkeää käydä se läpi
    varovaisesti. Salaamiseen sinulla yleensä
  • 32:47 - 32:51
    on ECC joka vaihtaa avaimen ja sitten sinun
    kvantti-jälkeinen järjestelmä vaihtaa avaimen
  • 32:51 - 32:58
    ja tiivistät molemmat avaimet yhteen suosikki-
    tiivistefunktiollasi. Standardisoitu
  • 32:58 - 33:02
    tiivistefunktio on hyvä. Mutta jälleen kerran,
    mainitsit yhdistämisen, on olemassa useita
  • 33:02 - 33:03
    tutkimuksia
  • 33:03 - 33:05
    epäselvää
  • 33:05 - 33:07
    Anteeksi, sanotko uudestaan?
  • 33:07 - 33:12
    Standardi tarkoittaa kryptografista tiiviste-
    funktiota. Älä käytä jotain XX-tiivistettä
  • 33:12 - 33:14
    vaan käytä jotain joka on kryptografista.
  • 33:14 - 33:21
    Kyllä, eli esimerkiksi SHA-512 joka on
    NSA:n suunnittelema mutta ihmiset ovat
  • 33:21 - 33:26
    lyöneet sitä jo pitkän aikaa rikkomatta
    sitä. Jotain mikä on käynyt läpi julkista
  • 33:26 - 33:32
    arviota, on SHA-3 järjestelmät ja yleensä
    se ei ole suorituskykyongelma tiivistää
  • 33:32 - 33:37
    kaksi 32 tavuista merkkijonoa yhteen,
    ketjuta ja tiivistä ne ja sinulla on
  • 33:37 - 33:41
    uusi merkkijono joka on sinun symmetrisen
    kryptografian avain
  • 33:41 - 33:51
    On olemassa ehdotuksia miten tehdä tämä
    esimerkiksi IRTF:n tai tarkemmin CFRG:n RFC
  • 33:51 - 33:55
    sitten on jotain NIST:n stardardeissa
    liittyen sekamuotojen käyttöön
  • 33:55 - 34:01
    lopuksi hieman itsemainontaa, meillä on
    yksi dia jonka julkaisemme ja siellä on
  • 34:01 - 34:08
    joitain alustavia tutkimuksia joissa käymme
    läpi yksityiskohtaisemmin sekamuotojen
  • 34:08 - 34:12
    käyttöönottoa ja yhdistämistä. Eli miten voit
    turvallisesti tehdä tämän. Tieysti on
  • 34:12 - 34:21
    asentamisen valinta, eli valitset sinun oman
    järjestelmäsi, ja kuten näet niin on huolia
  • 34:21 - 34:27
    mallitilanteen suhteen, lisäksi mainitsen
    kokeilututkimuksia varten voit käyttää Skypeä
  • 34:27 - 34:30
    se on vain ongelma silloin jos haluat
    ottaa sen käyttöön
  • 34:30 - 34:35
    yleinen varoitus on mutta jos olet vain
    harrastelija tai haluat tökkiä sitä tai
  • 34:35 - 34:38
    haluat kirjoittaa tutkimuksen aiheesta
    niin se ei ole ongelma
  • 34:38 - 34:43
    mutta yleisesti sinulla on valinta tehokkaiden
    järjestelmien kuten mitä Google on tehnyt
  • 34:43 - 34:48
    kokeilemalla jotain uutta ja katsomalla
    räjähtääkö se meidän tietokoneillamme
  • 34:48 - 34:53
    onneksemme se ei räjähtänyt, joten Google
    pystyi jatkamaan sen käyttöä yhdistämällä
  • 34:53 - 35:00
    NH:n tai myöhemmin NTRU:n ja ECC:n
    tai sitten voit sanoa että tärkeintä on se
  • 35:00 - 35:05
    että järjestelmä pysyy turvassa, ja olemme
    valmiita uhraamaan hieman nopeutta ja kaistaa
  • 35:05 - 35:09
    joten ottamalla kaikkein varovaisimmat
    kvantti-jälkeiset järjestelmät ja yhdistamällä
  • 35:09 - 35:14
    ne ECC:n tai RSA:n kanssa. Se on myös
    valinta jonka joudut tekemään
  • 35:14 - 35:16
    jos haluat ottaa sen käyttöön
  • 35:19 - 35:26
    Eli olisiko ok ottaa käyttöön salakirjoitus-
    järjestelmä joka on vielä mukana kilpailussa
  • 35:26 - 35:30
    joka ei ole vielä tai jota ei tulla
    standardisoimaan NIST:n toimesta?
  • 35:30 - 35:34
    Vaikka ei olisi tiedossa olevia hyökkäyksiä?
    No, yleisesti, kun katsot tällaista kuvaa
  • 35:34 - 35:47
    jossa on niin paljon punaista niin sinä
    mahdat ajatella ettemme me kryptograafikot
  • 35:47 - 35:51
    tiedä mitä me teemme. Miten meillä voi olla
    niin moni asia rikki? Se on todella todella
  • 35:51 - 36:00
    vaarallista. Sanoisin että sillä onko jokin
    NIST:n valitsema vai ei ei lisää paljoa
  • 36:00 - 36:04
    informaatiota tässä. Ok haluat kommentoida
    tähän.
  • 36:04 - 36:08
    Haluan mainita että asiat jotka pudotettiin
    ensimmäisellä kierroksella eivät saaneet
  • 36:08 - 36:13
    paljoa huomiota. Ihmiset menettivät
    kiinnostuksensa. Asiat jotka selvisivät
  • 36:13 - 36:15
    kolmannelle kierrokselle ja sitten eivät
    selvinneet neljännelle kierrokselle
  • 36:15 - 36:20
    esimerkiksi kaksi Android muunnelmaa,
    NTRU Prime ja NTRU-HRSS-KEM jotka ovat
  • 36:20 - 36:27
    mainittuina tässä, ne pääsivät kolmannelle
    kierrokselle mutta eivät voittaneet kauneus-
  • 36:27 - 36:31
    kilpailua jota NIST pyöritti. Luulen että
    ne ovat aivan yhtä hyviä kuin ne jotka
  • 36:31 - 36:34
    ovat tässä kuvassa sinisellä.
  • 36:34 - 36:42
    Yleisesti kaikki tässä ovat pelottavia.
    Eli NTRU ja NTRU-HRSS ovat Googlen
  • 36:42 - 36:48
    käyttöönottamia ja OpenSSH mutta todella
    harva näistä 69:stä ehdotuksesta omaa
  • 36:48 - 36:52
    samaa turvallisuustasoa nyt tiedettyjä
    hyökkäyksiä vastaan kuin mitä niillä oli
  • 36:52 - 36:58
    viisi vuotta sitten kun ne ensin toimitettiin
    Turvallisuutta ollaan aina menetetty koska
  • 36:58 - 37:03
    hyökkäykset ovat kehittyneet paremmiksi
    jollain oli turvallisuusmarginaalia niistä
  • 37:03 - 37:11
    selviytymiseen. Tehdäksesi turvallisen
    päätöksen sinun valitettavasti täytyy
  • 37:11 - 37:16
    tutustua näiden historiaan ja kysyä kuinka
    hyvin nämä ovat kestäneet kuinka hyvin
  • 37:16 - 37:20
    näitä on tutkittu. Mitä Tanja korosti oli
    se että joitain näistä on tutkittu todella
  • 37:20 - 37:25
    vähän ja joitain hieman enemmän, ja se
    kuinka hyvin nämä järjestelmät kestivät
  • 37:25 - 37:29
    tutkimuksen aikana määrittelee sen kuinka
    vaarallisia ne ovat loppujen lopuksi
  • 37:29 - 37:34
    Esimerkiksi Three Bears on kaunis
    järjestelmä mutta se pudotettiin toisen
  • 37:34 - 37:38
    kierroksen jälkeen ja sen jälkeen ihmiset
    lopettivat sen tutkimisen eikä se saanut
  • 37:38 - 37:44
    paljoa analyysia. Tuntuu siltä että se on
    hyvä mutta sitä ei ole toisaalta tutkittu
  • 37:44 - 37:49
    melkein yhtään. Mutta jos tarkastelet
    kolmannen kierroksen valikoimaa jotka ovat
  • 37:49 - 37:53
    mustia tai harmaita tässä sanoisin että
    ne ovat suurimmaksi osaksi ok.
  • 37:53 - 37:59
    Ja tietysti siniset.
  • 37:59 - 38:04
    Ok eli valitse se joka on joko sininen tai
    musta dialla. Luulen että ne ovat varsin
  • 38:04 - 38:11
    tiettyjä asioita. Nopea viimeinen kysymys
    jos olen tinapaperihattu, voinko tehdä
  • 38:11 - 38:14
    jotain oman kommunikaationi suojaamiseksi?
  • 38:14 - 38:24
    Käytä kaikki OpenSSH:n läpi, se on hyvä
    alku. Tilanne on se että tietysti tarvitset
  • 38:24 - 38:28
    asiakasohjelman sekä palvelimen
    jotka tukevat asioita ja on olemassa
  • 38:28 - 38:32
    useita kokeiluja mutta vain vähäistä
    käyttöönottoa
  • 38:32 - 38:40
    on olemassa VPN:n käyttöönottoa esimerkiksi
    Joo on olemassa kvantti-jälkeistä VPN:ä
  • 38:40 - 38:48
    Movadilla on kvantti-jälkeinen vaihtoehto,
    he käyttävät McElieceä, he käyttävät
  • 38:48 - 38:53
    WireGuardia VPN:ä varten ja WireGuardilla
    on vaihtoehto ylimääräisen avaimen
  • 38:53 - 38:58
    syöttämiseksi, ennalta jaettu avain jota
    movad käyttää McEliecen kanssa eli lataat
  • 38:58 - 39:01
    sen McEliecen läpi kvantti-jälkeisen
    turvan saamiseksi movadiin
  • 39:01 - 39:08
    Tämä on siis VPN jossa et mene päästä
    toiseen, haluat yleensä mennä koko tien
  • 39:08 - 39:11
    siihen sivustoon johon otat yhteyttä, ja
    jos sinulla on päästä päähän turva käytössä
  • 39:11 - 39:15
    se tarkoittaa että asiakasohjelmiston ja
    palvelimen pitää tukea kvantti-jälkeistä
  • 39:15 - 39:20
    kryptografiaa ja kun se on nyt viivästynyt
    niin se ei ole niin yleisesti käytössä kuin
  • 39:20 - 39:23
    olisin kuvitellut sen olevan vuosia sitten
    kun sitä kohtaan tuntui olevan paljon
  • 39:23 - 39:25
    innostusta
  • 39:25 - 39:27
    epäselvää
  • 39:27 - 39:35
    Ok Tanja haluaa että kerron PQ Connectista,
    tulossa pian joka toivottavasti helpottaa
  • 39:35 - 39:38
    kvantti-jälkeisen kryptografian
    käyttöönottoa yhteytesi turvaamiseksi
  • 39:38 - 39:43
    päästä päähän mutta sitä ei ole julkaistu
    vielä joten en voi sanoa paljoa siitä
  • 39:43 - 39:50
    odotan innolla PQ Connectia. Luulisin että
    tämä oli tässä, kiitos että olitte täällä
  • 39:50 - 39:55
    ja jaoitte tietojanne jaoitte päivityksiä
    liityen kvantti-jälkeiseen kryptografiaan
  • 39:55 - 39:59
    Kiitos todella paljon Tanja Lange
    ja D.J.B!
  • 39:59 - 40:01
    Kiitos!
  • 40:03 - 40:12
    [Translated by Timo Broström
    (KYBS2004 course assignment at JYU.FI)]
Title:
Post-Quantum Cryptography: Detours, delays, and disasters
Description:

more » « less
Video Language:
English
Duration:
40:17

Finnish subtitles

Revisions Compare revisions