-
[Translated by Marta-Sofiya Klakovych
(KYBS2004 course assignment at JYU.FI)]
-
музика
-
Ласкаво просимо до цього хаотичного
року та заходу
-
Я Кара і я буду вашим диктором
-
Мені приємно оголосити доповідь
-
Пост-квантова криптографія:
-
обхідні шляхи, затримки та катастрофи,
-
яку представляють Таня Ланге
та Д. Дж. Бернштейн.
-
Таня Ланге — криптограф і математик,
-
яка спеціалізується на пост-квантовій криптографії,
-
яка замінює ту криптографію,
яку ми використовуємо сьогодні
-
на варіанти, які є безпечними
проти атак квантових комп’ютерів.
-
Вона є професоркою технічного
-
університету Ейндговена
-
і може пишатися численними
публікаціями та відзнаками.
-
Вона також була координаторкою PQCrypto,
-
що є загальноєвропейською ініціативою
-
для впровадження пост-квантової криптографії.
-
Д. Дж. Б. є професором університету
-
Іллінойсу в Чикаго
-
а також професором Університету Бохума.
Він працює в галузі криптографії
-
і розробив шифрувальні системи, які використовуються
-
у криптографії з відкритим кодом,
можливо, ви зараз
-
використовуєте одну з них,
дивлячись цю доповідь.
-
Разом вони реалізували вражаючу
кількість проєктів
-
від спрощення впровадження
безпечної криптографії
-
до створення безпечних
постквантових типів даних.
-
Обоє є активістами, які борються
-
за прозоріший процес
стандартизації криптографії.
-
А тепер всі, поплескайте своїми лапками
-
Давайте поаплодуємо
Тані Ланге та Д. Дж. Б.!
-
Добре, дякуємо за гарне представлення,
-
давайте одразу перейдемо до справи —
почнемо з HTTPS
-
Коли ви заходите на сайт із HTTPS
(або захищене з’єднання)
-
ви використовуєте TLS — протокол безпеки
-
транспортного рівня —
щоб захистити ваше з’єднання.
-
TLS використовує два типи криптографії
з кількох причин.
-
По-перше, він покладається
на криптографію з відкритим ключем.
-
Вона виконує дві функції:
по-перше, вона забезпечує підписи.
-
Підписи з відкритим ключем —
вони гарантують, що зловмисник не зможе
-
підмінити дані сервера
своїми власними
-
і прикидатися сервером.
-
Також TLS використовує
шифрування з відкритим ключем
-
наприклад, NIST P-256 або
RSA-4096 як систему підпису
-
NIST P-256 також можна використовувати
для шифрування, щоб ваші дані були захищені,
-
щоб він (зловмисник) не міг їх зрозуміти.
-
Через причини, пов’язані з продуктивністю,
криптографія складніша, ніж
-
просто криптографія з відкритим ключем —
вона також включає симетричну криптографію
-
іноді її називають
криптографією із секретним ключем.
-
Коли ви збираєте все разом у TLS,
ви отримуєте три основні складові:
-
це шифрування з відкритим ключем,
-
яке не шифрує всі ваші дані, а натомість
-
шифрує лише ключ,
щоб зловмисники не могли його зрозуміти.
-
Цей ключ надсилається
безпечно і конфіденційно
-
від однієї сторони до іншої,
-
а підписи з відкритим ключем
використовуються, щоб переконатися,
-
що зловмисник не може підмінити
інший ключ
-
і в кінці цей ключ використовується
-
для захисту ваших даних
із використанням симетричної криптографії
-
усі інші протоколи, які ви використовуєте,
-
можна було б представити
у подібних слайдах
-
наприклад, SSH, але вони всі працюють
майже однаково
-
я зараз підкреслю два елементи на цьому слайді
-
RSA-4096 —
типова система для підпису
-
і типова система шифрування —
NIST P-256.
-
Тому що ці дві (системи) будуть зламані
через квантові комп’ютери.
-
Без квантових комп’ютерів
жодних відомих
-
загроз не існувало б, але
-
якщо в атакуючого буде
великий квантовий комп’ютер
-
а це, найімовірніше, станеться
-
хоча це не гарантовано —
може, спроби створити квантовий комп’ютер
-
зазнають невдачі з якихось причин
-
але зараз виглядає так,
що квантові комп’ютери
-
стають дедалі успішнішими
-
і як тільки вони стануть достатньо потужними
-
можливо, за десять років.
-
Тоді нападники зможуть запустити
алгоритм атаки,
-
який називається алгоритмом Шора,
що знаходить ваші секретні RSA-ключі і
-
секретні ключі NIST P-256,
і тоді зловмисники зможуть
-
отримати доступ до інформації,
яку вони вже зараз зберігають
-
це загроза не лише майбутнім даним,
-
але і конфіденційності ваших поточних даних
-
бо зловмисники вже зараз
зберігають все, що можуть, з Інтернету
-
і коли у них буде
великий квантовий комп’ютер
-
вони зможуть розшифрувати все заднім числом,
бо зламають RSA-4096
-
і NIST P-256,
а саме NIST P-256 забезпечує шифрування
-
і вони зможуть повернутися в минуле
-
і зламати шифрування, яке ви використовуєте сьогодні.
-
Що ж нам із цим робити?
-
Стандартний підхід — це те,
що ми називаємо
-
постквантовою криптографією —
ви вже чули цю назву раніше, вона була
-
в назві нашої доповіді —
це криптографія, яка створена спеціально
-
з урахуванням того,
що атакуючий має квантовий комп’ютер.
-
Тож, як уже казав ведучий,
-
я була координаторкою проєкту PQCRYPTO
-
і це означає, що я об’їздила
світ із доповідями про постквантову криптографію.
-
Ось скріншот із виступу,
який я провела шість з половиною років тому
-
де я підкреслювала, як сьогодні це зробив Ден,
важливість постквантової криптографії
-
і наголошувала, що важливо давати рекомендації,
-
які визначають, які алгоритми
варто використовувати для заміни RSA та
-
NIST P-256, які
ви бачили на попередніх слайдах
-
і тоді я поставила питання —
чи варто нам стандартизувати зараз чи пізніше.
-
Аргументи існують з обох сторін,
і ну… якби ми стандартизували тоді,
-
шість років тому, здавалося, що
-
ще занадто багато роботи, і що ми отримаємо
-
набагато кращу систему,
якщо трохи зачекаємо,
-
але з іншого боку існує занепокоєння
через дані, які збирають уряди та інші темні сили.
-
І чим пізніше це буде опубліковано, тим більше даних і безпеки буде втрачено,
-
тому важливо просуватися вперед,
і тоді нашою відповіддю було таке:
-
те, що я просувала у 2016 році —
це рекомендації, опубліковані у 2015 році, в яких
-
йшлося про те, що
стандартизація займає багато часу
-
ми ще не на тій стадії,
але якщо хтось хоче захистити себе.
-
Ось що ми… ну, тобто ціла група дослідників,
-
які підписали цю заяву
як частину проєкту PQCRYPTO.
-
Що ми рекомендували?
Наша рекомендація була у тому, що ми назвали
-
«обережною криптографією»
-
і це не означає
політичний консерватизм
-
це означає щось нудне,
щось, що вже давно відоме
-
багато людей його вже проаналізували,
і ми не очікуємо жодних змін.
-
У сфері симетричних ключів, як уже казав Ден,
-
квантові комп’ютери на них не впливають
-
тому якщо використовувати достатньо великі ключі
-
256-бітові ключі,
то AES або Salsa20 є достатніми.
-
Те саме стосується аутентифікації —
якщо ви отримали ключ, його не підробити
-
але для шифрування і підписів
з відкритим ключем, RSA-4096
-
і ECC NIST P-256 — їх потрібно замінити
і ми маємо альтернативи.
-
Ось рекомендація з високим рівнем довіри:
-
використовуйте систему МакЕліса —
назва ще з’явиться пізніше
-
і використовуйте
сигнатури, засновані на хешах
-
ми також представили деякі алгоритми
як «перебувають у стадії оцінювання»
-
що означає — поки не варто їх використовувати
-
але згодом вони можуть виявитися придатними.
-
І для нас це нормально — ми вбили кілок у землю,
-
ми сказали: «Ось, це безпечно»
-
і люди повинні діяти відповідно,
і всі житимуть довго і щасливо
-
і наш виступ на цьому завершено.
-
...чи всі дійсно
житимуть довго і щасливо?
-
до кінця свого життя?
-
Давайте подивимось,
що сталося насправді після цього
-
Організація… ну,
речі, які мали бути оприлюднені
-
насправді був один експеримент,
який Google проводив.
-
у 2016 році Google Chrome
додав постквантовий варіант
-
це не означає, що кожен
-
вебсервер підтримував його —
це був просто експеримент
-
Google активував його лише на деяких своїх серверах і сказав:
-
«Добре, подивимось, як це працює»,
-
і звучали дуже натхненно у своєму блозі
-
де вони оголосили,
що допомагають користувачам захиститися
-
від квантових комп’ютерів —
подивимось, чи спрацює.
-
Система, яку вони використовували,
називалася New Hope (NH).
-
Вони шифрували не лише за допомогою NH
-
NH є постквантовою шифрувальною системою
-
Вони також шифрували традиційною криптографією
-
— еліптичними кривими ECC.
-
Як уже згадувала Таня —
NIST P-256 — приклад ECC
-
іншим прикладом ECC є x25519 —
ви, ймовірно, використовуєте це сьогодні
-
щоб шифрувати свої дані.
І ось що зробив Google:
-
Він шифрував NH для
постквантового захисту
-
і одночасно шифрував
x25519, як вони роблять
-
зазвичай і сьогодні —
ідея була в тому, що якщо щось
-
піде не так із NH,
то ми все одно маємо звичайний захист.
-
Тобто, щонайменше,
немає негайної загрози
-
безпеці — вони не погіршують ситуацію
-
звісно, якщо NH зламано,
то й не покращують
-
але основна ідея —
спробувати зробити краще і
-
в той же час переконатися,
що не стане гірше — шифруючи обома:
-
традиційним і постквантовим методом
-
План «Б» дуже важливий,
бо NH — нова шифрувальна система,
-
тобто у 2016 вона була новою.
Ключові елементи NH були створені
-
у 2010, 2014 і 2015 роках —
а це не так багато часу для перевірки
-
в криптографії іноді минають роки,
поки знаходять вразливості
-
тому дуже важливо, щоб новим шифрувальним системам дали час дозріти.
-
Інша проблема з новими шифрувальними системами
-
— їх можуть запатентувати.
Патенти діють 20 років, і це сталося
-
з NH. Власник патенту звернувся
до Google і сказав: «Я хочу гроші за ваше
-
використання NH». Google
ніколи публічно не коментував цю
-
патентну загрозу, але з якихось причин
-
у листопаді 2016 року вони прибрали NH
-
з Chrome і своїх серверів.
У 2016 році також сталися інші події:
-
в уряді США є установа — NIST,
яка має довгу історію співпраці
-
з Агентством нацбезпеки США (NSA).
NIST оголосив, що наприкінці 2017 року
-
вони хочуть, щоб криптографи подали
пропозиції
-
щодо постквантових алгоритмів —
для шифрування й підпису,
-
які згодом можна було б стандартизувати.
Цікавий момент з їхньої заявки:
-
не дозволено надсилати гібриди — тобто
системи, які шифрують і
-
за допомогою постквантових алгоритмів, і ECC,
або підписують чимось, що ви вже використовуєте, разом із
-
постквантовим рішенням.
Вони сказали, що алгоритми не повинні
-
включати ECC чи будь-який інший алгоритм,
-
який може бути зламаний квантовими комп’ютерами.
-
З точки зору розробника додатків,
зручно мати ECC-шар окремо
-
і сказати: що б ви не робили
з постквантовим алгоритмом,
-
все одно поєднуєте його з x25519, наприклад.
Але вони не сказали, що треба
-
поєднувати все з ECC — наприклад,
x25519 як окремий шар. Вони сказали:
-
не подавайте нічого,
що поєднується з ECC
-
Провівши цей конкурс на постквантові системи,
NIST надіслав сигнал компаніям:
-
почекайте, не впроваджуйте
постквантову криптографію поки що
-
і тут був і батіг, і пряник.
Батіг — це патенти: Google щойно
-
втрапив у халепу через використання
чогось, на що раптом знайшовся патент
-
що ще може бути запатентоване?
А NIST сказав: у нас є процес,
-
який веде до криптографічних стандартів,
які можна реалізовувати вільно,
-
тобто патенти не завадять вам це використовувати.
-
І вони також сказали, що виберуть щось,
-
що буде досить надійним —
безпека буде головним критерієм у відборі.
-
І отже, галузь сказала: «Добре,
чекаємо від NIST рішення», а інші
-
органи стандартизації — також.
У IETF є свій дослідницький підрозділ,
-
IRTF, який створює стандарти для Інтернету.
І криптографічна група в IRTF сказала:
-
ми стандартизуємо те, що вже є в роботі,
наприклад, геш-функції,
-
але для всього іншого —
чекаємо NIST. ISO теж сказала, що чекає
-
NIST. Не всі організації сказали це —
наприклад, уряд Китаю
-
заявив, що проведе свій власний конкурс.
Але, ну… кого це цікавить?
-
Тож повертаємося до конкурсу NIST:
ось усі заявки. Наприкінці 2017 року
-
було 69 заявок від 260 криптографів.
Я не буду зачитувати всі імена, але це була
-
величезна кількість роботи
для аналітиків у криптографії.
-
Ми весело проводили час на початку 2017-го,
а ті, хто бачив нас на сцені у 2018-му,
-
знають, що ми розповідали про те,
як весело нам було зламувати ці пропозиції
-
але це була справжня купа роботи.
Подивимось, що зробив NIST з конкурсом.
-
У 2019-му, тобто через два роки —
ну, рік із чимось — вони почали
-
скорочувати кількість кандидатів
до 26. А в липні 2020-го
-
їх ще скоротили — до 15.
Мета була зосередитись на тому,
-
що має сенс, і пріоритет давали
найбезпечнішим кандидатам, за винятком
-
випадків, де застосування вимагало
більшої ефективності
-
Насправді ні — вони зовсім так не робили.
Якщо почитати звіт і подивитись,
-
яких кандидатів вони обрали —
щоразу, коли був вибір
-
між швидкістю і безпекою,
звісно, вони відсікали
-
алгоритми, які були повністю зламані,
і ті, що були дуже неефективні
-
але от вам приклад — SPHINCS,
який згадувала Таня раніше,
-
дуже обережний, усі погоджуються, що це — найбезпечніша система підпису
-
Але NIST не сказав: «Використовуйте SPHINCS»,
-
а: «Ми зачекаємо стандартизації SPHINCS+,
-
хіба що стільки всього виявиться зламаним,
що доведеться взяти SPHINCS+»
-
І от у липні цього року NIST
оголосив, що обирає чотири стандарти
-
один із них — SPHINCS+, а ще чотири
кандидати залишаються під розглядом
-
виглядає так, ніби впевненість трохи похитнулась.
-
Тож що ж сталося?
-
Картинка з 69 заявками змінилася,
якщо перемотати час на 5,5 років вперед
-
Ось кольорове кодування:
-
сині — це ті, що залишаються в конкурсі NIST,
-
тобто чотири алгоритми, які
мають стати стандартами,
-
і ще чотири кандидати четвертого раунду.
-
Сірі не пройшли далі —
це не означає, що вони були зламані,
-
але їх відсіяли настільки рано,
що ніхто вже не мав інтересу їх ламати.
-
Коричневий означає менш захищений,
ніж було заявлено;
-
червоний — означає справді зламаний,
а підкреслений червоний — це
-
повністю-повністю зламаний.
-
Як бачите, зламаних систем багато.
-
Є також цікавий фіолетовий у
нижньому правому куті
-
якщо пам’ятаєте уроки малювання —
фіолетовий — це суміш червоного і синього.
-
SIKE було обраноу липні,
-
а вже в липні і зламано —
після 5 років аналізу,
-
його зламали за лічені секунди.
-
Це приклад того, коли щось справді пішло не так
-
і низка дрібних подій
похитнула впевненість
-
тому NIST хоча б обрав SPHINCS,
але це не призвело до обрання
-
інших обережних варіантів —
деякі з них ще «дозрівають»,
-
але ця сфера поки що не зріла.
-
А що відбувалося тим часом
із боку впровадження?
-
Згадайте: було два моменти на слайдах Тані
ще з 2016 року. Вона сказала:
-
було б добре вже впровадити щось,
щоб захистити користувачів, бо
-
у нас є проблема з безпекою вже зараз —
зловмисники
-
вже записують все, і ми повинні
намагатися захиститися від цього, і
-
зробити це швидше, ніж
триває процес стандартизації.
-
Google почав це у 2016-му,
але злякався патентної загрози.
-
До 2019-го галузі й багато проєктів з
відкритим кодом
-
подумали: можливо, вже час впроваджувати нові рішення.
-
Щось пішло не так у 2016-му,
-
але на той момент NIST уже зібрав
підтвердження від усіх учасників конкурсу
-
і з’ясував, які пропозиції
є запатентованими. Це дало нам
-
багато інформації, коли 260 криптографів
вказали, що саме захищено патентами
-
І вже у 2019-му стало ще очевидніше,
що квантові комп’ютери — на горизонті.
-
Тож приклади того, що сталося у 2019-му: OpenSSH версії 8, надихаючись TinySSH,
-
оголосив, що додасть гібридний варіант — поєднання алгоритму
-
на еліптичних кривих
і одного з постквантових кандидатів.
-
Він не активований за замовчуванням,
але якщо ви додасте рядок у налаштування.
-
І на сервері, і на клієнті —
використовуватиметься постквантове шифрування.
-
А якщо постквантова частина буде зламана,
ви все одно маєте ECC як захист.
-
У липні 2019 року Google і Cloudflare
запустили експеримент
-
із постквантовим шифруванням.
-
У ньому були дві версії:
деякі користувачі шифрували з NTRU-HRSS
-
у поєднанні з ECC, звісно —
завжди використовуйте гібриди. Інша версія:
-
використовувала SIKE-p і ECC.
Так, Таня сказала: «Ой».
-
Це приклад того, наскільки важливо
поєднувати все з ECC, щоб не втратити
-
поточний рівень безпеки —
усі ми зараз користуємось ECC.
-
Тож використовуйте і постквантові системи, і ECC,
-
щоб у гіршому випадку втратити лише час,
-
а в кращому — щось виграти.
-
Принаймні користувачі SIKE-p мають захист ECC.
-
Також у жовтні 2019 року Google оголосив
про досягнення квантової переваги —
-
мається на увазі, що квантовий комп’ютер
виконав задачу швидше,
-
ніж будь-який суперкомп’ютер.
-
Це було не щось практичне,
і мине ще багато років, перш ніж
-
з’являться реальні задачі, які
квантові комп’ютери вирішуватимуть
-
швидше за класичні комп’ютери.
-
Але навіть сама назва — «квантова перевага» —
-
вже вводить в оману, хоч і є цікавим
кроком уперед у квантових обчисленнях.
-
Ця назва, ймовірно, привернула багато
уваги та викликала тривогу.
-
У 2021–2022 роках OpenSSH, OpenBSD і Google
почали раптово оновлювати свої системи.
-
OpenSSH версії 9.0 уже включає sntrup
і ECC за замовчуванням.
-
Отже, якщо у вас встановлено OpenSSH 9
на сервері та на клієнті
-
використовується постквантовий
алгоритм автоматично.
-
Насправді, ще версії OpenSSH до 8.5
теж це підтримують, але тоді
-
вам потрібно вручну його активувати,
щоб сервер і клієнт це використовували.
-
А в OpenSSH 9 це вже увімкнено за замовчуванням.
-
Так само і в Google:
-
з листопада, тобто з минулого місяця,
вони шифрують свою внутрішню
-
комунікацію за допомогою ntruhrss і ECC.
Тож сподіваємось, ntruhrss працює і
-
буде безпечним проти квантових
комп’ютерів у майбутньому.
-
Це також добре відповідає ідеї
так званого "cleansing code" — чистого коду.
-
Як уже згадувалося, чистий код
ще не стандартизований у криптографії,
-
але він заохочує дослідження
і адаптацію користувачів.
-
Наприклад, американський банківський стандарт
US ANSI NTX9 заявив, що
-
у майбутньому вони перейдуть
на постквантові стандарти.
-
Тобто вони очікують на спільне використання
класичної криптографії
-
яку ще називають передквантовою —
і постквантової одночасно.
-
Одна — стандартизована і перевірена,
інша — ще нова і трохи незручна, але
-
нам вона потрібна для довготривалої безпеки.
-
І, можливо, в довгій перспективі
-
нам справді потрібна буде ця
гібридна комбінація.
-
Далі — зі США до Франції:
-
від ANSI до ANSSI —
французьке агентство з кібербезпеки.
-
Вони теж кажуть: не використовуйте постквантові
-
алгоритми окремо, бо вони ще не дозріли.
-
Але ця незрілість — не привід
відкладати перші кроки впровадження.
-
ANSSI заохочує впроваджувати гібриди —
поєднуючи надійний класичний метод
-
із постквантовим алгоритмом.
-
Отже, все чудово йде за планом,
який Таня описувала на слайдах у 2016 році.
-
Стандартизація йде повільно,
але впровадження відбувається паралельно:
-
ми почали використовувати постквантове
шифрування разом з ECC — на випадок,
-
якщо щось піде не так —
і щоб захистити користувачів якомога раніше.
-
Що ж сказала на це влада США?
Починаючи з 2021 року уряд США
-
дуже чітко дав зрозуміти, чого він хоче.
Ви, мабуть, думаєте — вони хочуть,
-
щоб ви захищались від квантових атак?
Ні-ні — вони якраз НЕ хочуть, щоб ви
-
захищались від квантових комп’ютерів.
Ось, наприклад, цитата від NIST —
-
голови відділу кібербезпеки
Інформаційної лабораторії,
-
яка і запустила конкурс
на постквантові алгоритми.
-
У липні 2021 року, невдовзі після того,
як OpenBSD і OpenSSH почали впровадження.
-
Він сказав: не дозволяйте людям купувати
і впроваджувати нестандартизовану постквантову
-
криптографію. І ще один приклад — NSA,
яке тісно співпрацює з NIST, заявило:
-
не реалізовуйте й не використовуйте
нестандартизовану постквантову криптографію.
-
І щоб, бува, хтось не проігнорував це послання,
агентство безпеки
-
(ти думаєш, ці агентства між
собою координуються?)
-
агентство безпеки заявило: не використовуйте
постквантові криптопродукти, доки
-
не завершено стандартизацію, впровадження
та тестування замінювальних програм
-
на основі затверджених алгоритмів від NIST.
-
Оце вже звучить як тривожний дзвіночок.
-
А ще дивно те, що вони кажуть:
-
якщо ви вже впроваджуєте
постквантову криптографію —
-
не використовуйте гібриди.
-
І ти можеш подумати: я щось не так зрозумів?
Чи вони справді це сказали?
-
Ось слайд із конференції — фото
Маркку Саарінена.
-
Я була там і можу підтвердити:
-
виступаючий чітко сказав: не варто
використовувати гібридні підходи.
-
Він неодноразово повторив:
не використовуйте нічого вже зараз.
-
Вони також не очікували затвердження
постквантових алгоритмів
-
на основі логіки "на всяк випадок поєднуй усе".
-
Пізніше вони опублікували нові інструкції,
де сказано: буде однозначна заміна —
-
вимикаємо ECC і RSA,
вмикаємо постквантову криптографію.
-
І їхній аргумент був:
у ECC можуть бути помилки реалізації,
-
тож вимикай ECC. Погана ідея —
хіба що ти хакер, тоді це ідеально.
-
Тепер ти, можливо, думаєш:
"Ну ми ж усе одно будемо використовувати
-
гібриди", навіть якщо NSA каже "не треба".
-
І ось це речення —
"не використовуйте нестандартизоване"
-
мабуть, уже неактуальне, правда?
-
Адже NIST оголосив у липні:
ми стандартизуємо Kyber.
-
Тобто: використовуйте Kyber.
-
Але ні. Насправді вони так не сказали.
-
Подивімося в деталі.
-
Пам’ятаєш, як Google
мав проблеми з патентами для NH?
-
Ну так от, Kyber — це як син New Hope.
-
І вони, здається, переплутали Star Wars
зі Star Trek:
-
ходили чутки, що Kyber внутрішньо
називали "New Hope: The Next Generation".
-
Пізніше знайшли кращу назву,
але по суті — Kyber дуже схожий на NH.
-
І має ті ж проблеми з патентами.
Це єдиний алгоритм шифрування, який обрав NIST.
-
Вони обрали SPHINCS+
і ще дві схеми підпису,
-
і лише одну схему шифрування — Kyber.
Це єдиний варіант захисту ваших даних
-
відповідно до стандартів NIST.
А Kyber, як і NH, перебуває
-
у полі з мін із семи патентів.
-
Це не означає, що всі сім — чинні.
Але це складна справа. Щоб оцінити патент,
-
треба розуміти патентне право,
і знати, як інтерпретувати пріоритети,
-
перекриття, розширення.
Все дуже заплутано.
-
Один із простих способів позбутись патентів —
викупити їх і зробити публічними.
-
І NIST у липні заявив: ми ведемо
переговори з третіми сторонами,
-
аби підписати угоди і уникнути
потенційних патентних проблем.
-
Чудово! Отже, можна використовувати Kyber?
-
Але компанії кажуть:
-
«Покажіть нам самі угоди, будь ласка».
-
Наприклад, Скотт Флюрер із Cisco заявив:
-
Cisco не зможе впровадити Kyber,
поки ми не побачимо текст ліцензій.
-
А потім виявилось: NIST узагалі
нічого не підписував у липні.
-
Але в листопаді вони нарешті сказали:
так, ми підписали дві ліцензійні угоди.
-
І ось трохи з їхнього змісту.
-
Ура, супер, можна використовувати Kyber
-
Але якщо уважно прочитати,
ліцензії стосуються лише стандарту,
-
який описав NIST.
-
І будь-яке модифікування або використання
чогось, що не є цим стандартом, — заборонено.
-
Тобто, Kyber не можна змінювати або
використовувати поза стандартом NIST.
-
Можливо, ти думаєш: ну, вони ж уже обрали Kyber,
вони ж його стандартизували в липні?
-
Ні. Насправді в липні
вони лише заявили про наміри.
-
Вони планують стандартизувати Kyber —
а це не те саме, що «він уже стандартизований».
-
Планується, що стандартизацію Kyber
завершать у 2024 році.
-
І проблема в тому, що ми досі не знаємо,
яким саме буде фінальний Kyber у 2024.
-
Бо досі пропонують зміни.
Тобто навіть якщо вийде стандарт у 2024
-
і якщо ліцензія дозволяє використовувати Kyber,
-
то, можливо, у 2023 вони
вже визначили Kyber,
-
І можливо інші 5 сімей патернів
не зачеплять Kyber.
-
Буває, що люди проходять мінне
поле — і не вибухають.
-
Отже, ми дійшли до кінця доповіді.
-
Ми вже достатньо розповіли про
затримки та обхідні шляхи.
-
А тепер — що ми мали на увазі під словом «катастрофа»?
-
Звісно, якщо зламається те, що
-
було використано у тестах Google
або Cloudflare, це — катастрофа.
-
Але вони використовували резервний варіант —
використовували гібриди.
-
Тому це ще нормально.
-
Справжня катастрофа — це те,
що ми у 2022 році, а у нас
-
досі нема постквантової криптографії
на телефонах чи комп’ютерах.
-
Ми можемо вказати на
приклади впровадження,
-
але загалом — це не масово.
-
Твої дані все ще зашифровані
алгоритмами,
-
що можна зламати квантовим комп’ютером.
-
І це — справжня катастрофа.
-
Дякуємо за увагу!
-
Дякую, дякую!
-
Нерозбірливо
-
...або технології, які я використовую
у фоновому режимі,
-
можливо, вже постквантові.
-
Я думаю, що моє SSH-з'єднання
вже використовує щось таке,
-
тож, можливо, все не так погано.
-
Ми завжди можемо покладатися
на OpenBSD.
-
Однозначно
-
Подивимось, чи є запитання.
-
Ось одне: я розробник, створюю додаток.
-
не обов'язково криптографічний —
-
як мені впевнитись, що алгоритм стійкий
у постквантову еру?
-
Чи можу я вже зараз використовувати
гібридний підхід,
-
щоб захистити своїх користувачів?
-
О! У нас є слайд саме для цього!
Покажи слайд!
-
Ми передбачили це питання.
-
Так, це все виглядає депресивно —
але ось що робити:
-
Ми маємо слайд з практичними діями,
які ти можеш зробити вже зараз.
-
І наша порада: використовуй гібриди.
Мені здається, я вже казала це у 2016-му.
-
Я тоді казала: «Ось, дивись, що ти можеш зробити
вже зараз, ось наші пропозиції».
-
Ми вважаємо ці варіанти дуже безпечними.
І ось я знову тут — у грудні 2022-го.
-
і я кажу: McEliece — це дуже обережна система.
І вона не має тих патентних проблем, які має Kyber.
-
Що ж таке гібрид?
-
Це комбінація передквантової та
постквантової криптографії.
-
У шифруванні обидва мають брати
участь у генерації ключа.
-
У цифровому підписі —
обидва підписи мають бути чинними окремо.
-
Тільки тоді гібридний підпис — справжній підпис.
-
Є багато бібліотек, які можна подивитись,
щоб отримати уявлення про різні системи.
-
Ти можеш спробувати реалізувати їх.
Якість бібліотек зараз вже набагато краща,
-
ніж кілька років тому.
Постквантові реалізації стають зрілими.
-
Люди вкладають багато зусиль
у їх вдосконалення. Але ризики залишаються.
-
Проте ризик нічого не робити —
набагато більший.
-
Бо якщо ти нічого не зробиш,
твоя інформація залишиться вразливою
-
для майбутніх атак
з боку квантових комп’ютерів, які вже
-
сьогодні записують ці дані.
Тож краще експериментуй.
-
Ось приклад бібліотеки,
яка реалізує кілька різних алгоритмів
-
називається Quantum Safe OQS.
-
Є й інші бібліотеки, які працюють
із певними криптосистемами.
-
Тож у більшості розробників є якийсь застосунок,
але знову ж таки: потрібно оцінювати якість.
-
Нова бібліотека, яка з’являється — lib.js.
-
У неї вже є кілька перевірок, і я би
сказав, що вона надійна.
-
Але, на жаль, єдиний постквантовий
алгоритм у ній — це Kyber.
-
І якщо ви плануєте на 2024 — добре.
Але на зараз — це ще не варіант.
-
Він ще не підходить для повноцінного використання прямо зараз.
-
Якщо хочете щось швидке — подивіться,
-
що використовують OpenSSH чи
Google з NTRU-HRSS.
-
Ця система хоча б частково протестована.
-
Можна спробувати. Але завжди —
використовуйте гібриди з ECC.
-
На всяк випадок —якщо постквантовий
компонент раптом зламається.
-
Але ж складно створити власну
систему об’єднання?
-
Має бути правильний спосіб поєднання.
-
Мені ж потрібно якось об’єднати класичний
і постквантовий метод.
-
Так, це можливо.
-
Іноді достатньо просто: підписати
першим алгоритмом,
-
підписати другим,
а потім перевірити обидва підписи.
-
Але ми бачили приклади, де все пішло не так.
Треба бути дуже обережними.
-
Для шифрування зазвичай використовують
ECC для обміну ключем,
-
а потім постквантову систему для другого обміну.
-
І далі об’єднуєш два ключі
через улюблену хеш-функцію.
-
Стандартна криптографічна хеш-функція —
це завжди добре.
-
Але ти казав про поєднання —
-
є чимало досліджень на цю тему...
-
Йдеться про криптографічну хеш-функцію.
Не використовуй просто якусь xx hash-функцію.
-
Використовуй ту, яка справді є криптографічною.
-
Наприклад, SHA-512 —
так, її створили в NSA, але
-
вона витримала безліч спроб зламати її
і все ще тримається.
-
Є ще SHA-3, який теж пройшов
публічне оцінювання.
-
І в більшості випадків немає проблем з тим,
щоб взяти два 32-байтові рядки, з’єднати їх
-
та пропустити через хеш-функцію.
І це буде ваш симетричний ключ.
-
Є навіть пропозиції,
як саме це правильно зробити.
-
Наприклад, IRTF або точніше — CFRG RFC.
А також деякі рекомендації від NIST.
-
Щодо використання гібридів
у стандартних сценаріях.
-
І трохи самореклами —
у нас є слайд із попередніми дослідженнями.
-
Там ми детально описали
підходи до впровадження та об'єднання гібридів.
-
Як робити це правильно.
Звісно, є ще етап вибору системи.
-
Потрібно обрати свою систему.
І як бачиш — є багато ризиків у реальному світі.
-
Можу згадати Skype як приклад для експериментів
-
але проблема в тому, якщо хочеш
запустити продакшн.
-
Але якщо це лише для досліджень чи хобі —
то це не страшно.
-
Якщо ти просто граєшся з цим,
або хочеш написати статтю — все ок.
-
але для продакшену — треба бути обережним.
-
І от вам вибір: або як Google — спробувати
щось нове і перевірити, чи не вибухне.
-
І нам пощастило — воно не вибухнуло.
Тож Google міг далі використовувати
-
NH або потім NTRU разом із ECC.
Або можна піти іншим шляхом:
-
Пріоритет безпеці.
-
Готовність втратити трохи швидкості та пропускної здатності.
-
Взяти найобережніші постквантові системи
і поєднати їх із ECC або RSA.
-
Це — вибір, який доведеться зробити,
якщо ви плануєте реалізацію.
-
То чи нормально використовувати алгоритм,
який ще бере участь у конкурсі?
-
Який ще не стандартизований
або можливо ніколи не буде?
-
Навіть якщо для нього ще немає
відомих атак?
-
Коли бачиш так багато червоних міток —
починаєш думати:
-
ми, криптографи, взагалі щось тямимо?
-
Як може бути стільки поламаного?
Це реально ризиковано.
-
Але факт вибору NIST не додає
дуже багато впевненості.
-
Окей, хочеш прокоментувати?
-
Хочу сказати, що ті системи, які відкинули
на першому етапі, ніхто більше не досліджував.
-
Люди втратили інтерес.
Але ті, що пройшли далі — досліджувалися більше.
-
Наприклад, NTRU Prime і HRSS-KEM
вийшли в третій раунд.
-
Але не перемогли у «конкурсі краси»,
який влаштував NIST.
-
Я вважаю, вони не гірші за ті,
що залишилися в фіналі.
-
І взагалі всі тут — лякають.
Але Google і OpenSSH таки щось вибрали.
-
Але більшість із 69 пропозицій —
вже не мають
-
того рівня безпеки,
який вони мали п’ять років тому.
-
Атаки стали сильнішими,
а деякі системи не мали запасу міцності.
-
Щоб зробити обґрунтоване рішення,
треба розуміти історію кожної з них і подумати:
-
Як довго їх досліджували?
Наскільки вони вистояли?
-
Деякі досліджені мало,
деякі — трохи більше.
-
Це і формує ризик.
-
Three Bears — гарна система.
Але після другого етапу її покинули.
-
І відтоді її майже ніхто не досліджував.
-
Вона може бути хорошою —
але ми цього точно не знаємо.
-
Ті, що пройшли в третій тур —
чорні та сірі на слайді — переважно ок.
-
І, звісно, сині.
-
Отже, вибирай ті, що сині або чорні.
Можна вважати, вони найкращі.
-
І наостанок — швидке питання:
-
якщо я параноїк у фользяному капелюсі
-
що я можу зробити,
щоб захистити своє спілкування?
-
Пропускай усе через OpenSSH.
-
Це вже непоганий старт.
-
Але, звісно, треба мати
-
клієнта і сервер, які це підтримують.
-
І хоча є деякі експериментальні реалізації —
-
масового впровадження майже нема.
-
VPN — ще один приклад.
Так, є постквантові VPN-рішення.
-
У Movad є постквантова альтернатива —
-
вони використовують McEliece, вони використовують
-
WireGuard для VPN, і у WireGuard є
опція додавання додаткового ключа
-
попередньо узгодженого ключа, який
Movad використовує разом із McEliece,
-
тобто ви завантажуєте це через McEliece, щоб
забезпечити постквантовий захист у Movad
-
Тобто це VPN, який не просто між
двома точками — зазвичай ви хочете повністю
-
з'єднатися з сайтом, до якого підключаєтеся, і
якщо у вас наскрізний захист,
-
це означає, що і клієнт, і сервер повинні
підтримувати постквантову криптографію
-
а оскільки впровадження затягнулося,
то наразі вона не настільки поширена, як
-
я очікував кілька років тому, коли
навколо неї було багато
-
ентузіазму
-
нерозбірливо
-
Добре, Таня хоче, щоб я розповів про PQ Connect,
він незабаром вийде і, сподіваюся, спростить
-
впровадження постквантової криптографії
для захисту вашого з'єднання
-
від початку до кінця, але його ще не
випустили, тож я не можу сказати багато
-
Я з нетерпінням чекаю PQ Connect. Думаю,
це все, дякуємо, що були з нами
-
і ділилися своїми знаннями, оновленнями,
пов’язаними з постквантовою криптографією
-
Велике спасибі Тані Ланге
та D.J.B!
-
Дякуємо!
-
[Translated by Marta-Sofiya Klakovych
(KYBS2004 course assignment at JYU.FI)]
