-
Not Synced
[Translated by Marta-Sofiya Klakovych
(KYBS2004 course assignment at JYU.FI)]
-
Not Synced
музика
-
Not Synced
Ласкаво просимо всі до цього хаотичного
року та заходу
-
Not Synced
Я Кара і я буду вашим диктором
-
Not Synced
Мені приємно оголосити доповідь
-
Not Synced
Пост-квантова криптографія:
обхідні шляхи, затримки та катастрофи
-
Not Synced
яку представляють Таня Ланге
та Д. Дж. Бернштейн
-
Not Synced
Таня Ланге — криптограф і математик,
яка спеціалізується на пост-квантовій криптографії
-
Not Synced
яка замінює ту криптографію,
яку ми використовуємо сьогодні
-
Not Synced
на варіанти, які є безпечними
проти атак квантових комп’ютерів
-
Not Synced
Вона є професоркою Технічного університету Ейндговена
-
Not Synced
і може пишатися численними
публікаціями та відзнаками
-
Not Synced
Вона також була координаторкою PQCrypto
-
Not Synced
що є загальноєвропейською ініціативою
-
Not Synced
для впровадження пост-квантової криптографії
-
Not Synced
Д. Дж. Б. є професором Університету Іллінойсу
в Чикаго
-
Not Synced
а також професором Університету Бохума.
Він працює в галузі криптографії
-
Not Synced
і розробив шифрувальні системи, які використовуються
-
Not Synced
у криптографії з відкритим кодом,
можливо, ви зараз
-
Not Synced
використовуєте одну з них,
дивлячись цю доповідь
-
Not Synced
Разом вони реалізували вражаючу
кількість проєктів
-
Not Synced
від спрощення впровадження
безпечної криптографії
-
Not Synced
до створення безпечних
постквантових типів даних
-
Not Synced
обоє є активістами, які борються
-
Not Synced
за прозоріший процес
стандартизації криптографії
-
Not Synced
а тепер всі, плескайте своїми лапками
-
Not Synced
давайте поаплодуємо
Тані Ланге та Д. Дж. Б.!
-
Not Synced
Добре, дякуємо за гарне представлення
-
Not Synced
давайте одразу перейдемо до справи —
почнемо з HTTPS
-
Not Synced
коли ви заходите на сайт із HTTPS
або захищене з’єднання
-
Not Synced
ви використовуєте TLS — протокол безпеки транспортного рівня —
щоб захистити ваше з’єднання
-
Not Synced
TLS використовує два типи криптографії
з кількох причин
-
Not Synced
по-перше, він покладається
на криптографію з відкритим ключем
-
Not Synced
вона виконує дві функції:
по-перше, вона забезпечує підписи
-
Not Synced
підписи з відкритим ключем —
вони гарантують, що зловмисник не зможе
-
Not Synced
підмінити дані сервера
своїми власними
-
Not Synced
і прикидатися сервером
-
Not Synced
додатково TLS використовує
шифрування з відкритим ключем
-
Not Synced
наприклад, NIST P-256 або
RSA-4096 як систему підпису
-
Not Synced
NIST P-256 також можна використовувати
для шифрування, щоб ваші дані були захищені
-
Not Synced
щоб він (зловмисник) не міг її зрозуміти
-
Not Synced
через причини, пов’язані з продуктивністю,
криптографія складніша, ніж
-
Not Synced
просто криптографія з відкритим ключем —
вона також включає симетричну криптографію
-
Not Synced
іноді її називають
криптографією із секретним ключем
-
Not Synced
коли ви збираєте все разом у TLS,
ви отримуєте три основні складові
-
Not Synced
це шифрування з відкритим ключем
-
Not Synced
яке не шифрує всі ваші дані, а натомість
-
Not Synced
шифрує лише ключ,
щоб зловмисники не могли його зрозуміти
-
Not Synced
цей ключ надсилається
безпечно і конфіденційно
-
Not Synced
від однієї сторони до іншої
-
Not Synced
а підписи з відкритим ключем
використовуються, щоб переконатися,
-
Not Synced
що зловмисник не може підмінити
інший ключ
-
Not Synced
і в кінці цей ключ використовується
-
Not Synced
для захисту ваших даних
із використанням симетричної криптографії
-
Not Synced
усі інші протоколи, які ви використовуєте,
-
Not Synced
можна було б представити
у подібних діаграмах
-
Not Synced
наприклад, SSH, але вони всі працюють
майже однаково
-
Not Synced
я зараз підкреслю два елементи на цій діаграмі
-
Not Synced
RSA-4096 —
типова система для підпису
-
Not Synced
і типова система шифрування —
NIST P-256
-
Not Synced
тому що ці дві (системи) будуть зламані
через квантові комп’ютери
-
Not Synced
без квантових комп’ютерів
жодних відомих
-
Not Synced
загроз не існувало б, але
-
Not Synced
якщо в атакуючого буде
великий квантовий комп’ютер
-
Not Synced
а це, найімовірніше, станеться
-
Not Synced
хоча це не гарантовано —
може, спроби створити квантовий комп’ютер
-
Not Synced
зазнають невдачі з якихось причин
-
Not Synced
але зараз виглядає так,
що квантові комп’ютери
-
Not Synced
стають дедалі успішнішими
-
Not Synced
і як тільки вони стануть достатньо потужними
-
Not Synced
можливо, за десять років
-
Not Synced
тоді атакуючі зможуть запустити
алгоритм атаки,
-
Not Synced
який називається алгоритмом Шора,
що знаходить ваші секретні RSA-ключі і
-
Not Synced
секретні ключі NIST P-256,
і тоді зловмисники зможуть
-
Not Synced
отримати доступ до інформації,
яку вони вже зараз зберігають
-
Not Synced
це загроза не лише майбутнім даним,
але і
-
Not Synced
конфіденційності ваших поточних даних
-
Not Synced
бо зловмисники вже зараз
зберігають все, що можуть, з Інтернету
-
Not Synced
і коли у них буде
великий квантовий комп’ютер
-
Not Synced
вони зможуть розшифрувати все заднім числом,
бо зламають RSA-4096
-
Not Synced
і NIST P-256,
а саме NIST P-256 забезпечує шифрування
-
Not Synced
і вони зможуть повернутися в минуле
і зламати шифрування, яке ви використовуєте сьогодні
-
Not Synced
Що ж нам із цим робити?
-
Not Synced
Стандартний підхід — це те,
що ми називаємо
-
Not Synced
постквантовою криптографією —
ви вже чули цю назву раніше, вона була
-
Not Synced
в назві нашої доповіді —
це криптографія, яка створена спеціально
-
Not Synced
з урахуванням того,
що атакуючий має квантовий комп’ютер
-
Not Synced
тож, як уже казав ведучий,
-
Not Synced
я була координаторкою проєкту PQCRYPTO
-
Not Synced
і це означає, що я об’їздила
світ із доповідями про постквантову криптографію
-
Not Synced
ось скріншот із виступу,
який я провела шість з половиною років тому
-
Not Synced
де я підкреслювала, як сьогодні це зробив Ден,
важливість постквантової криптографії
-
Not Synced
і наголошувала, що важливо давати рекомендації,
-
Not Synced
які визначають, які алгоритми
варто використовувати для заміни RSA та
-
Not Synced
NIST P-256, які
ви бачили на попередніх слайдах
-
Not Synced
і тоді я поставила питання —
чи варто нам стандартизувати зараз чи пізніше
-
Not Synced
аргументи існують з обох сторін,
і ну… якби ми стандартизували тоді,
-
Not Synced
шість років тому,
здавалося, що ще занадто багато роботи, і що ми отримаємо
-
Not Synced
набагато кращу систему,
якщо трохи зачекаємо
-
Not Synced
але з іншого боку існує занепокоєння
через дані, які збирають уряди та інші темні сили
-
Not Synced
і чим пізніше це буде опубліковано, тим більше даних і безпеки буде втрачено
-
Not Synced
тому важливо просуватися вперед,
і тоді нашою відповіддю було таке:
-
Not Synced
те, що я просувала у 2016 році —
це рекомендації, опубліковані у 2015 році, в яких
-
Not Synced
йшлося про те, що
стандартизація займає багато часу
-
Not Synced
ми ще не на тій стадії,
але якщо хтось хоче захистити себе
-
Not Synced
ось що ми… ну, ось ціла група
-
Not Synced
дослідників, які підписали цю заяву
як частину проєкту PQCRYPTO
-
Not Synced
що ми рекомендували?
Наша рекомендація була у тому, що ми назвали
-
Not Synced
«обережною криптографією»
-
Not Synced
і це не означає
політичний консерватизм
-
Not Synced
це означає щось нудне,
щось, що вже давно відоме
-
Not Synced
багато людей його вже проаналізували,
і ми не очікуємо жодних змін
-
Not Synced
у сфері симетричних ключів, як уже казав Ден,
квантові комп’ютери на них не впливають
-
Not Synced
тому якщо використовувати достатньо великі ключі
-
Not Synced
256-бітові ключі,
то AES або Salsa20 є достатніми
-
Not Synced
те саме стосується аутентифікації —
якщо ви отримали ключ, його не підробити
-
Not Synced
але для шифрування і підписів
з відкритим ключем, RSA-4096
-
Not Synced
і ECC NIST P-256 — їх потрібно замінити
і ми маємо альтернативи. Ось
-
Not Synced
рекомендація з високим рівнем довіри:
-
Not Synced
використовуйте систему МакЕліса —
назва ще з’явиться пізніше
-
Not Synced
і використовуйте
сигнатури, засновані на хешах
-
Not Synced
наприклад, SPHINCS —
ви захочете про неї дізнатися згодом
-
Not Synced
ми також представили деякі алгоритми
як «перебувають у стадії оцінювання»
-
Not Synced
що означає — поки не варто їх використовувати
-
Not Synced
але згодом вони можуть виявитися придатними.
І для нас це нормально — ми вбили кілок у землю,
-
Not Synced
ми сказали: «Ось, це безпечно»
-
Not Synced
і люди повинні діяти відповідно,
і всі житимуть довго і щасливо
-
Not Synced
і наш виступ на цьому завершено
-
Not Synced
...чи всі дійсно
житимуть довго і щасливо?
-
Not Synced
до кінця свого життя?
-
Not Synced
Давайте подивимось,
що сталося насправді після цього
-
Not Synced
Організація… ну,
речі, які мали бути оприлюднені
-
Not Synced
насправді був один експеримент,
який Google проводив
-
Not Synced
у 2016 році Google Chrome
додав постквантовий варіант
-
Not Synced
це не означає, що кожен
-
Not Synced
вебсервер підтримував його —
це був просто експеримент
-
Not Synced
Google активував його лише на деяких
-
Not Synced
своїх серверах і сказав:
«Добре, подивимось,
-
Not Synced
як це працює», — і звучали
дуже натхненно у своєму блозі
-
Not Synced
де вони оголосили,
що допомагають користувачам захиститися
-
Not Synced
від квантових комп’ютерів —
подивимось, чи спрацює
-
Not Synced
Система, яку вони використовували,
називалася New Hope (NH)
-
Not Synced
Вони шифрували не лише за допомогою NH —
NH є постквантовою шифрувальною системою
-
Not Synced
Вони також шифрували
традиційною криптографією — еліптичними кривими
-
Not Synced
як уже згадувала Таня —
NIST P-256 — приклад ECC
-
Not Synced
іншим прикладом ECC є x25519 —
ви, ймовірно, використовуєте це сьогодні
-
Not Synced
щоб шифрувати свої дані
і ось що зробив Google:
-
Not Synced
Він шифрував NH для
постквантового захисту
-
Not Synced
і одночасно шифрував
x25519, як вони роблять
-
Not Synced
зазвичай і сьогодні —
ідея була в тому, що якщо щось
-
Not Synced
піде не так із NH,
то ми все одно маємо звичайний захист
-
Not Synced
тобто, щонайменше,
немає негайної загрози безпеці —
вони не погіршують ситуацію
-
Not Synced
звісно, якщо NH зламано,
то й не покращують
-
Not Synced
але основна ідея —
спробувати зробити краще і
-
Not Synced
в той же час переконатися,
що не стане гірше — шифруючи обома:
-
Not Synced
традиційним і постквантовим
методом
-
Not Synced
План «Б» дуже важливий,
бо NH — нова шифрувальна система
-
Not Synced
тобто у 2016 вона була новою,
ключові елементи NH були створені
-
Not Synced
у 2010, 2014 і 2015 роках —
а це не так багато часу для перевірки
-
Not Synced
в криптографії іноді минають роки,
поки знаходять вразливості
-
Not Synced
тому дуже важливо, щоб новим шифрувальним системам дали час дозріти
-
Not Synced
інша проблема з новими шифрувальними системами
-
Not Synced
— їх можуть запатентувати.
Патенти діють 20 років, і це сталося
-
Not Synced
з NH. Власник патенту звернувся
до Google і сказав: «Я хочу гроші за ваше
-
Not Synced
використання NH». Google
ніколи публічно не коментував цю
-
Not Synced
патентну загрозу,
але з якихось причин у листопаді 2016 року
вони прибрали NH
-
Not Synced
з Chrome і своїх серверів.
У 2016 році також сталися інші події:
-
Not Synced
в уряді США є установа — NIST,
яка має довгу історію співпраці
-
Not Synced
з Агентством нацбезпеки США (NSA).
NIST оголосив, що наприкінці 2017 року
-
Not Synced
вони хочуть, щоб криптографи подали
пропозиції
-
Not Synced
щодо постквантових алгоритмів —
для шифрування й підпису,
-
Not Synced
які згодом можна було б стандартизувати.
Цікавий момент з їхньої заявки:
-
Not Synced
не дозволено надсилати гібриди — тобто
системи, які шифрують і
-
Not Synced
за допомогою постквантових алгоритмів, і ECC,
або підписують чимось, що ви вже використовуєте, разом із
-
Not Synced
постквантовим рішенням.
Вони сказали, що алгоритми не повинні
-
Not Synced
включати ECC чи будь-який інший алгоритм,
який може бути зламаний квантовими комп’ютерами
-
Not Synced
З точки зору розробника додатків,
зручно мати ECC-шар окремо
-
Not Synced
і сказати: що б ви не робили
з постквантовим алгоритмом,
-
Not Synced
все одно поєднуєте його з x25519, наприклад.
Але вони не сказали, що треба
-
Not Synced
поєднувати все з ECC — наприклад,
x25519 як окремий шар. Вони сказали:
-
Not Synced
не подавайте нічого,
що поєднується з ECC
-
Not Synced
Провівши цей конкурс на постквантові системи,
NIST надіслав сигнал компаніям:
-
Not Synced
почекайте, не впроваджуйте
постквантову криптографію поки що
-
Not Synced
і тут був і батіг, і пряник.
Батіг — це патенти: Google щойно
-
Not Synced
втрапив у халепу через використання
чогось, на що раптом знайшовся патент
-
Not Synced
що ще може бути запатентоване?
А NIST сказав: у нас є процес,
-
Not Synced
який веде до криптографічних стандартів,
які можна реалізовувати вільно, тобто патенти
-
Not Synced
не завадять вам це використовувати.
І вони також сказали, що виберуть щось,
-
Not Synced
що буде досить надійним —
безпека буде головним критерієм у відборі
-
Not Synced
І отже, галузь сказала: «Добре,
чекаємо від NIST рішення», а інші
-
Not Synced
органи стандартизації — також.
У IETF є свій дослідницький підрозділ,
-
Not Synced
IRTF, який створює стандарти для Інтернету.
І криптографічна група в IRTF сказала:
-
Not Synced
ми стандартизуємо те, що вже є в роботі,
наприклад, геш-функції
-
Not Synced
але для всього іншого —
чекаємо NIST. ISO теж сказала, що чекає
-
Not Synced
NIST. Не всі організації сказали це —
наприклад, уряд Китаю
-
Not Synced
заявив, що проведе свій власний конкурс.
Але, ну… кого це цікавить?
-
Not Synced
Тож повертаємося до конкурсу NIST:
ось усі заявки. Наприкінці 2017 року
-
Not Synced
було 69 заявок від 260 криптографів.
Я не буду зачитувати всі імена, але це була
-
Not Synced
величезна кількість роботи
для аналітиків у криптографії.
-
Not Synced
Ми весело проводили час на початку 2017-го,
а ті, хто бачив нас на сцені у 2018-му,
-
Not Synced
знають, що ми розповідали про те,
як весело нам було зламувати ці пропозиції
-
Not Synced
але це була справжня купа роботи.
Подивимось, що зробив NIST з конкурсом.
-
Not Synced
У 2019-му, тобто через два роки —
ну, рік із чимось — вони почали
-
Not Synced
скорочувати кількість кандидатів
до 26. А в липні 2020-го
-
Not Synced
їх ще скоротили — до 15.
Мета була зосередитись на тому,
-
Not Synced
що має сенс, і пріоритет давали
найбезпечнішим кандидатам, за винятком
-
Not Synced
випадків, де застосування вимагало
більшої ефективності
-
Not Synced
Насправді ні — вони зовсім так не робили.
Якщо почитати звіт і подивитись,
-
Not Synced
яких кандидатів вони обрали —
щоразу, коли був вибір
-
Not Synced
між швидкістю і безпекою,
звісно, вони відсікали
-
Not Synced
алгоритми, які були повністю зламані,
і ті, що були дуже неефективні
-
Not Synced
але от вам приклад — SPHINCS,
який згадувала Таня раніше,
-
Not Synced
дуже обережний,
усі погоджуються, що це — найбезпечніша система підпису
-
Not Synced
Але NIST не сказав: «Використовуйте SPHINCS»,
а: «Ми зачекаємо стандартизації SPHINCS+,
-
Not Synced
хіба що стільки всього виявиться зламаним,
що доведеться взяти SPHINCS»
-
Not Synced
І от у липні цього року NIST
оголосив, що обирає чотири стандарти
-
Not Synced
один із них — SPHINCS+, а ще три
кандидати залишаються під розглядом
-
Not Synced
виглядає так, ніби впевненість трохи похитнулась.
Тож що ж сталося?
-
Not Synced
Картинка з 69 заявками змінилася,
якщо перемотати час на 5,5 років вперед
-
Not Synced
Ось кольорове кодування: сині —
це ті, що залишаються в конкурсі NIST, тобто чотири
-
Not Synced
алгоритми, які мають стати стандартами,
і ще чотири кандидати четвертого раунду
-
Not Synced
сірі не пройшли далі —
це не означає, що вони були зламані,
-
Not Synced
але їх відсіяли настільки рано,
що ніхто вже не мав інтересу їх ламати
-
Not Synced
коричневий означає менш захищений,
ніж було заявлено; червоний —
-
Not Synced
означає справді зламаний,
а підкреслений червоний — це
-
Not Synced
повністю-повністю зламаний.
Як бачите, зламаних систем багато.
-
Not Synced
Є також цікавий фіолетовий у нижньому правому куті
-
Not Synced
якщо пам’ятаєте уроки малювання —
фіолетовий — це суміш червоного і синього.
SIKE було обрано
-
Not Synced
у липні, а вже в липні і зламано —
після 5 років аналізу, його зламали
-
Not Synced
за лічені секунди.
Це приклад того, коли щось справді пішло не так
-
Not Synced
і низка дрібних подій
похитнула впевненість
-
Not Synced
тому NIST хоча б обрав SPHINCS,
але це не призвело до обрання
-
Not Synced
інших обережних варіантів —
деякі з них ще «дозрівають»
-
Not Synced
але ця сфера поки що не зріла.
-
Not Synced
А що відбувалося тим часом
із боку впровадження?
-
Not Synced
Згадайте: було два моменти на слайдах Тані
ще з 2016 року. Вона сказала:
-
Not Synced
було б добре вже впровадити щось,
щоб захистити користувачів, бо
-
Not Synced
у нас є проблема з безпекою вже зараз —
зловмисники
-
Not Synced
вже записують все, і ми повинні
намагатися захиститися від цього, і
-
Not Synced
зробити це швидше, ніж
триває процес стандартизації. Google
-
Not Synced
почав це у 2016-му,
але злякався патентної загрози. До 2019-го
-
Not Synced
галузі й багато проєктів з відкритим кодом
подумали: можливо, вже час
-
Not Synced
впроваджувати нові рішення —
щось пішло не так у 2016-му,
-
Not Synced
але на той момент NIST уже зібрав
підтвердження від усіх учасників конкурсу
-
Not Synced
і з’ясував, які пропозиції
є запатентованими. Це дало нам
-
Not Synced
багато інформації, коли 260 криптографів
вказали, що саме захищено патентами
-
Not Synced
І вже у 2019-му стало ще очевидніше,
що квантові комп’ютери — на горизонті
-
Not Synced
Тож приклади того, що сталося у 2019-му:
-
Not Synced
OpenSSH версії 8, надихаючись TinySSH,
оголосив, що додасть гібридний варіант —
-
Not Synced
поєднання алгоритму на еліптичних кривих
і одного з постквантових кандидатів
-
Not Synced
Він не активований за замовчуванням,
але якщо ви додасте рядок
