-
Not Synced
[Translated by Marta-Sofiya Klakovych
(KYBS2004 course assignment at JYU.FI)]
-
Not Synced
музика
-
Not Synced
Ласкаво просимо всі до цього хаотичного
року та заходу
-
Not Synced
Я Кара і я буду вашим диктором
-
Not Synced
Мені приємно оголосити доповідь
-
Not Synced
Пост-квантова криптографія:
обхідні шляхи, затримки та катастрофи
-
Not Synced
яку представляють Таня Ланге
та Д. Дж. Бернштейн
-
Not Synced
Таня Ланге — криптограф і математик,
яка спеціалізується на пост-квантовій криптографії
-
Not Synced
яка замінює ту криптографію,
яку ми використовуємо сьогодні
-
Not Synced
на варіанти, які є безпечними
проти атак квантових комп’ютерів
-
Not Synced
Вона є професоркою Технічного університету Ейндговена
-
Not Synced
і може пишатися численними
публікаціями та відзнаками
-
Not Synced
Вона також була координаторкою PQCrypto
-
Not Synced
що є загальноєвропейською ініціативою
-
Not Synced
для впровадження пост-квантової криптографії
-
Not Synced
Д. Дж. Б. є професором Університету Іллінойсу
в Чикаго
-
Not Synced
а також професором Університету Бохума.
Він працює в галузі криптографії
-
Not Synced
і розробив шифрувальні системи, які використовуються
-
Not Synced
у криптографії з відкритим кодом,
можливо, ви зараз
-
Not Synced
використовуєте одну з них,
дивлячись цю доповідь
-
Not Synced
Разом вони реалізували вражаючу
кількість проєктів
-
Not Synced
від спрощення впровадження
безпечної криптографії
-
Not Synced
до створення безпечних
постквантових типів даних
-
Not Synced
обоє є активістами, які борються
-
Not Synced
за прозоріший процес
стандартизації криптографії
-
Not Synced
а тепер всі, плескайте своїми лапками
-
Not Synced
давайте поаплодуємо
Тані Ланге та Д. Дж. Б.!
-
Not Synced
Добре, дякуємо за гарне представлення
-
Not Synced
давайте одразу перейдемо до справи —
почнемо з HTTPS
-
Not Synced
коли ви заходите на сайт із HTTPS
або захищене з’єднання
-
Not Synced
ви використовуєте TLS — протокол безпеки транспортного рівня —
щоб захистити ваше з’єднання
-
Not Synced
TLS використовує два типи криптографії
з кількох причин
-
Not Synced
по-перше, він покладається
на криптографію з відкритим ключем
-
Not Synced
вона виконує дві функції:
по-перше, вона забезпечує підписи
-
Not Synced
підписи з відкритим ключем —
вони гарантують, що зловмисник не зможе
-
Not Synced
підмінити дані сервера
своїми власними
-
Not Synced
і прикидатися сервером
-
Not Synced
додатково TLS використовує
шифрування з відкритим ключем
-
Not Synced
наприклад, NIST P-256 або
RSA-4096 як систему підпису
-
Not Synced
NIST P-256 також можна використовувати
для шифрування, щоб ваші дані були захищені
-
Not Synced
щоб він (зловмисник) не міг її зрозуміти
-
Not Synced
через причини, пов’язані з продуктивністю,
криптографія складніша, ніж
-
Not Synced
просто криптографія з відкритим ключем —
вона також включає симетричну криптографію
-
Not Synced
іноді її називають
криптографією із секретним ключем
-
Not Synced
коли ви збираєте все разом у TLS,
ви отримуєте три основні складові
-
Not Synced
це шифрування з відкритим ключем
-
Not Synced
яке не шифрує всі ваші дані, а натомість
-
Not Synced
шифрує лише ключ,
щоб зловмисники не могли його зрозуміти
-
Not Synced
цей ключ надсилається
безпечно і конфіденційно
-
Not Synced
від однієї сторони до іншої
-
Not Synced
а підписи з відкритим ключем
використовуються, щоб переконатися,
-
Not Synced
що зловмисник не може підмінити
інший ключ
-
Not Synced
і в кінці цей ключ використовується
-
Not Synced
для захисту ваших даних
із використанням симетричної криптографії
-
Not Synced
усі інші протоколи, які ви використовуєте,
-
Not Synced
можна було б представити
у подібних діаграмах
-
Not Synced
наприклад, SSH, але вони всі працюють
майже однаково
-
Not Synced
я зараз підкреслю два елементи на цій діаграмі
-
Not Synced
RSA-4096 —
типова система для підпису
-
Not Synced
і типова система шифрування —
NIST P-256
-
Not Synced
тому що ці дві (системи) будуть зламані
через квантові комп’ютери
-
Not Synced
без квантових комп’ютерів
жодних відомих
-
Not Synced
загроз не існувало б, але
-
Not Synced
якщо в атакуючого буде
великий квантовий комп’ютер
-
Not Synced
а це, найімовірніше, станеться
-
Not Synced
хоча це не гарантовано —
може, спроби створити квантовий комп’ютер
-
Not Synced
зазнають невдачі з якихось причин
-
Not Synced
але зараз виглядає так,
що квантові комп’ютери
-
Not Synced
стають дедалі успішнішими
-
Not Synced
і як тільки вони стануть достатньо потужними
-
Not Synced
можливо, за десять років
-
Not Synced
тоді атакуючі зможуть запустити
алгоритм атаки,
-
Not Synced
який називається алгоритмом Шора,
що знаходить ваші секретні RSA-ключі і
-
Not Synced
секретні ключі NIST P-256,
і тоді зловмисники зможуть
-
Not Synced
отримати доступ до інформації,
яку вони вже зараз зберігають
-
Not Synced
це загроза не лише майбутнім даним,
але і
-
Not Synced
конфіденційності ваших поточних даних
-
Not Synced
бо зловмисники вже зараз
зберігають все, що можуть, з Інтернету
-
Not Synced
і коли у них буде
великий квантовий комп’ютер
-
Not Synced
вони зможуть розшифрувати все заднім числом,
бо зламають RSA-4096
-
Not Synced
і NIST P-256,
а саме NIST P-256 забезпечує шифрування
-
Not Synced
і вони зможуть повернутися в минуле
і зламати шифрування, яке ви використовуєте сьогодні
-
Not Synced
Що ж нам із цим робити?
-
Not Synced
Стандартний підхід — це те,
що ми називаємо
-
Not Synced
постквантовою криптографією —
ви вже чули цю назву раніше, вона була
-
Not Synced
в назві нашої доповіді —
це криптографія, яка створена спеціально
-
Not Synced
з урахуванням того,
що атакуючий має квантовий комп’ютер
-
Not Synced
тож, як уже казав ведучий,
-
Not Synced
я була координаторкою проєкту PQCRYPTO
-
Not Synced
і це означає, що я об’їздила
світ із доповідями про постквантову криптографію
-
Not Synced
ось скріншот із виступу,
який я провела шість з половиною років тому
-
Not Synced
де я підкреслювала, як сьогодні це зробив Ден,
важливість постквантової криптографії
-
Not Synced
і наголошувала, що важливо давати рекомендації,
-
Not Synced
які визначають, які алгоритми
варто використовувати для заміни RSA та
-
Not Synced
NIST P-256, які
ви бачили на попередніх слайдах
-
Not Synced
і тоді я поставила питання —
чи варто нам стандартизувати зараз чи пізніше
-
Not Synced
аргументи існують з обох сторін,
і ну… якби ми стандартизували тоді,
-
Not Synced
шість років тому,
здавалося, що ще занадто багато роботи, і що ми отримаємо
-
Not Synced
набагато кращу систему,
якщо трохи зачекаємо
-
Not Synced
але з іншого боку існує занепокоєння
через дані, які збирають уряди та інші темні сили
-
Not Synced
і чим пізніше це буде опубліковано, тим більше даних і безпеки буде втрачено
-
Not Synced
тому важливо просуватися вперед,
і тоді нашою відповіддю було таке:
-
Not Synced
те, що я просувала у 2016 році —
це рекомендації, опубліковані у 2015 році, в яких
-
Not Synced
йшлося про те, що
стандартизація займає багато часу
-
Not Synced
ми ще не на тій стадії,
але якщо хтось хоче захистити себе
-
Not Synced
ось що ми… ну, ось ціла група
-
Not Synced
дослідників, які підписали цю заяву
як частину проєкту PQCRYPTO
-
Not Synced
що ми рекомендували?
Наша рекомендація була у тому, що ми назвали
-
Not Synced
«обережною криптографією»
-
Not Synced
і це не означає
політичний консерватизм
-
Not Synced
це означає щось нудне,
щось, що вже давно відоме
-
Not Synced
багато людей його вже проаналізували,
і ми не очікуємо жодних змін
-
Not Synced
у сфері симетричних ключів, як уже казав Ден,
квантові комп’ютери на них не впливають
-
Not Synced
тому якщо використовувати достатньо великі ключі
-
Not Synced
256-бітові ключі,
то AES або Salsa20 є достатніми
-
Not Synced
те саме стосується аутентифікації —
якщо ви отримали ключ, його не підробити
-
Not Synced
але для шифрування і підписів
з відкритим ключем, RSA-4096
-
Not Synced
і ECC NIST P-256 — їх потрібно замінити
і ми маємо альтернативи. Ось
-
Not Synced
рекомендація з високим рівнем довіри:
-
Not Synced
використовуйте систему МакЕліса —
назва ще з’явиться пізніше
-
Not Synced
і використовуйте
сигнатури, засновані на хешах
-
Not Synced
наприклад, SPHINCS —
ви захочете про неї дізнатися згодом
-
Not Synced
ми також представили деякі алгоритми
як «перебувають у стадії оцінювання»
-
Not Synced
що означає — поки не варто їх використовувати
-
Not Synced
але згодом вони можуть виявитися придатними.
І для нас це нормально — ми вбили кілок у землю,
-
Not Synced
ми сказали: «Ось, це безпечно»
-
Not Synced
і люди повинні діяти відповідно,
і всі житимуть довго і щасливо
-
Not Synced
і наш виступ на цьому завершено
-
Not Synced
...чи всі дійсно
житимуть довго і щасливо?
-
Not Synced
до кінця свого життя?
-
Not Synced
Давайте подивимось,
що сталося насправді після цього
-
Not Synced
Організація… ну,
речі, які мали бути оприлюднені
-
Not Synced
насправді був один експеримент,
який Google проводив
-
Not Synced
у 2016 році Google Chrome
додав постквантовий варіант
-
Not Synced
це не означає, що кожен
-
Not Synced
вебсервер підтримував його —
це був просто експеримент
-
Not Synced
Google активував його лише на деяких
-
Not Synced
своїх серверах і сказав:
«Добре, подивимось,
-
Not Synced
як це працює», — і звучали
дуже натхненно у своєму блозі
-
Not Synced
де вони оголосили,
що допомагають користувачам захиститися
-
Not Synced
від квантових комп’ютерів —
подивимось, чи спрацює
-
Not Synced
Система, яку вони використовували,
називалася New Hope (NH)
-
Not Synced
Вони шифрували не лише за допомогою NH —
NH є постквантовою шифрувальною системою
-
Not Synced
Вони також шифрували
традиційною криптографією — еліптичними кривими
-
Not Synced
як уже згадувала Таня —
NIST P-256 — приклад ECC
-
Not Synced
іншим прикладом ECC є x25519 —
ви, ймовірно, використовуєте це сьогодні
-
Not Synced
щоб шифрувати свої дані
і ось що зробив Google:
-
Not Synced
Він шифрував NH для
постквантового захисту
-
Not Synced
і одночасно шифрував
x25519, як вони роблять
-
Not Synced
зазвичай і сьогодні —
ідея була в тому, що якщо щось
-
Not Synced
піде не так із NH,
то ми все одно маємо звичайний захист
-
Not Synced
тобто, щонайменше,
немає негайної загрози безпеці —
вони не погіршують ситуацію
-
Not Synced
звісно, якщо NH зламано,
то й не покращують
-
Not Synced
але основна ідея —
спробувати зробити краще і
-
Not Synced
в той же час переконатися,
що не стане гірше — шифруючи обома:
-
Not Synced
традиційним і постквантовим
методом
-
Not Synced
План «Б» дуже важливий,
бо NH — нова шифрувальна система
-
Not Synced
тобто у 2016 вона була новою,
ключові елементи NH були створені
-
Not Synced
у 2010, 2014 і 2015 роках —
а це не так багато часу для перевірки
-
Not Synced
в криптографії іноді минають роки,
поки знаходять вразливості
-
Not Synced
тому дуже важливо, щоб новим шифрувальним системам дали час дозріти
-
Not Synced
інша проблема з новими шифрувальними системами
-
Not Synced
— їх можуть запатентувати.
Патенти діють 20 років, і це сталося
-
Not Synced
з NH. Власник патенту звернувся
до Google і сказав: «Я хочу гроші за ваше
-
Not Synced
використання NH». Google
ніколи публічно не коментував цю
-
Not Synced
патентну загрозу,
але з якихось причин у листопаді 2016 року
вони прибрали NH
-
Not Synced
з Chrome і своїх серверів.
У 2016 році також сталися інші події:
-
Not Synced
в уряді США є установа — NIST,
яка має довгу історію співпраці
-
Not Synced
з Агентством нацбезпеки США (NSA).
NIST оголосив, що наприкінці 2017 року
-
Not Synced
вони хочуть, щоб криптографи подали
пропозиції
-
Not Synced
щодо постквантових алгоритмів —
для шифрування й підпису,
-
Not Synced
які згодом можна було б стандартизувати.
Цікавий момент з їхньої заявки:
-
Not Synced
не дозволено надсилати гібриди — тобто
системи, які шифрують і
-
Not Synced
за допомогою постквантових алгоритмів, і ECC,
або підписують чимось, що ви вже використовуєте, разом із
-
Not Synced
постквантовим рішенням.
Вони сказали, що алгоритми не повинні
-
Not Synced
включати ECC чи будь-який інший алгоритм,
який може бути зламаний квантовими комп’ютерами
-
Not Synced
З точки зору розробника додатків,
зручно мати ECC-шар окремо
-
Not Synced
і сказати: що б ви не робили
з постквантовим алгоритмом,
-
Not Synced
все одно поєднуєте його з x25519, наприклад.
Але вони не сказали, що треба
-
Not Synced
поєднувати все з ECC — наприклад,
x25519 як окремий шар. Вони сказали:
-
Not Synced
не подавайте нічого,
що поєднується з ECC
-
Not Synced
Провівши цей конкурс на постквантові системи,
NIST надіслав сигнал компаніям:
-
Not Synced
почекайте, не впроваджуйте
постквантову криптографію поки що
-
Not Synced
і тут був і батіг, і пряник.
Батіг — це патенти: Google щойно
-
Not Synced
втрапив у халепу через використання
чогось, на що раптом знайшовся патент
-
Not Synced
що ще може бути запатентоване?
А NIST сказав: у нас є процес,
-
Not Synced
який веде до криптографічних стандартів,
які можна реалізовувати вільно, тобто патенти
-
Not Synced
не завадять вам це використовувати.
І вони також сказали, що виберуть щось,
-
Not Synced
що буде досить надійним —
безпека буде головним критерієм у відборі
-
Not Synced
І отже, галузь сказала: «Добре,
чекаємо від NIST рішення», а інші
-
Not Synced
органи стандартизації — також.
У IETF є свій дослідницький підрозділ,
-
Not Synced
IRTF, який створює стандарти для Інтернету.
І криптографічна група в IRTF сказала:
-
Not Synced
ми стандартизуємо те, що вже є в роботі,
наприклад, геш-функції
-
Not Synced
але для всього іншого —
чекаємо NIST. ISO теж сказала, що чекає
-
Not Synced
NIST. Не всі організації сказали це —
наприклад, уряд Китаю
-
Not Synced
заявив, що проведе свій власний конкурс.
Але, ну… кого це цікавить?
-
Not Synced
Тож повертаємося до конкурсу NIST:
ось усі заявки. Наприкінці 2017 року
-
Not Synced
було 69 заявок від 260 криптографів.
Я не буду зачитувати всі імена, але це була
-
Not Synced
величезна кількість роботи
для аналітиків у криптографії.
-
Not Synced
Ми весело проводили час на початку 2017-го,
а ті, хто бачив нас на сцені у 2018-му,
-
Not Synced
знають, що ми розповідали про те,
як весело нам було зламувати ці пропозиції
-
Not Synced
але це була справжня купа роботи.
Подивимось, що зробив NIST з конкурсом.
-
Not Synced
У 2019-му, тобто через два роки —
ну, рік із чимось — вони почали
-
Not Synced
скорочувати кількість кандидатів
до 26. А в липні 2020-го
-
Not Synced
їх ще скоротили — до 15.
Мета була зосередитись на тому,
-
Not Synced
що має сенс, і пріоритет давали
найбезпечнішим кандидатам, за винятком
-
Not Synced
випадків, де застосування вимагало
більшої ефективності
-
Not Synced
Насправді ні — вони зовсім так не робили.
Якщо почитати звіт і подивитись,
-
Not Synced
яких кандидатів вони обрали —
щоразу, коли був вибір
-
Not Synced
між швидкістю і безпекою,
звісно, вони відсікали
-
Not Synced
алгоритми, які були повністю зламані,
і ті, що були дуже неефективні
-
Not Synced
але от вам приклад — SPHINCS,
який згадувала Таня раніше,
-
Not Synced
дуже обережний,
усі погоджуються, що це — найбезпечніша система підпису
-
Not Synced
Але NIST не сказав: «Використовуйте SPHINCS»,
а: «Ми зачекаємо стандартизації SPHINCS+,
-
Not Synced
хіба що стільки всього виявиться зламаним,
що доведеться взяти SPHINCS»
-
Not Synced
І от у липні цього року NIST
оголосив, що обирає чотири стандарти
-
Not Synced
один із них — SPHINCS+, а ще три
кандидати залишаються під розглядом
-
Not Synced
виглядає так, ніби впевненість трохи похитнулась.
Тож що ж сталося?
-
Not Synced
Картинка з 69 заявками змінилася,
якщо перемотати час на 5,5 років вперед
-
Not Synced
Ось кольорове кодування: сині —
це ті, що залишаються в конкурсі NIST, тобто чотири
-
Not Synced
алгоритми, які мають стати стандартами,
і ще чотири кандидати четвертого раунду
-
Not Synced
сірі не пройшли далі —
це не означає, що вони були зламані,
-
Not Synced
але їх відсіяли настільки рано,
що ніхто вже не мав інтересу їх ламати
-
Not Synced
коричневий означає менш захищений,
ніж було заявлено; червоний —
-
Not Synced
означає справді зламаний,
а підкреслений червоний — це
-
Not Synced
повністю-повністю зламаний.
Як бачите, зламаних систем багато.
-
Not Synced
Є також цікавий фіолетовий у нижньому правому куті
-
Not Synced
якщо пам’ятаєте уроки малювання —
фіолетовий — це суміш червоного і синього.
SIKE було обрано
-
Not Synced
у липні, а вже в липні і зламано —
після 5 років аналізу, його зламали
-
Not Synced
за лічені секунди.
Це приклад того, коли щось справді пішло не так
-
Not Synced
і низка дрібних подій
похитнула впевненість
-
Not Synced
тому NIST хоча б обрав SPHINCS,
але це не призвело до обрання
-
Not Synced
інших обережних варіантів —
деякі з них ще «дозрівають»
-
Not Synced
але ця сфера поки що не зріла.
-
Not Synced
А що відбувалося тим часом
із боку впровадження?
-
Not Synced
Згадайте: було два моменти на слайдах Тані
ще з 2016 року. Вона сказала:
-
Not Synced
було б добре вже впровадити щось,
щоб захистити користувачів, бо
-
Not Synced
у нас є проблема з безпекою вже зараз —
зловмисники
-
Not Synced
вже записують все, і ми повинні
намагатися захиститися від цього, і
-
Not Synced
зробити це швидше, ніж
триває процес стандартизації. Google
-
Not Synced
почав це у 2016-му,
але злякався патентної загрози. До 2019-го
-
Not Synced
галузі й багато проєктів з відкритим кодом
подумали: можливо, вже час
-
Not Synced
впроваджувати нові рішення —
щось пішло не так у 2016-му,
-
Not Synced
але на той момент NIST уже зібрав
підтвердження від усіх учасників конкурсу
-
Not Synced
і з’ясував, які пропозиції
є запатентованими. Це дало нам
-
Not Synced
багато інформації, коли 260 криптографів
вказали, що саме захищено патентами
-
Not Synced
І вже у 2019-му стало ще очевидніше,
що квантові комп’ютери — на горизонті.
-
Not Synced
Тож приклади того, що сталося у 2019-му: OpenSSH версії 8, надихаючись TinySSH,
-
Not Synced
оголосив, що додасть гібридний варіант — поєднання алгоритму
-
Not Synced
на еліптичних кривих
і одного з постквантових кандидатів.
-
Not Synced
Він не активований за замовчуванням,
але якщо ви додасте рядок у налаштування. І на сервері, і на клієнті —
використовуватиметься постквантове шифрування.
-
Not Synced
А якщо постквантова частина буде зламана,
ви все одно маєте ECC як захист.
-
Not Synced
У липні 2019 року Google і Cloudflare
запустили експеримент із постквантовим шифруванням.
-
Not Synced
У ньому були дві версії:
деякі користувачі шифрували з ntruhrss
-
Not Synced
у поєднанні з ECC, звісно —
завжди використовуйте гібриди. Інша версія:
-
Not Synced
використовувала sikep і ECC.
Так, Таня сказала: «Ой».
-
Not Synced
Це приклад того, наскільки важливо
поєднувати все з ECC, щоб не втратити
-
Not Synced
поточний рівень безпеки —
усі ми зараз користуємось ECC.
-
Not Synced
Тож використовуйте і постквантові системи, і ECC,
щоб у гіршому випадку втратити лише час,
-
Not Synced
а в кращому — щось виграти.
Принаймні користувачі sikep мають захист ECC.
-
Not Synced
Також у жовтні 2019 року Google оголосив
про досягнення квантової переваги —
-
Not Synced
мається на увазі, що квантовий комп’ютер
виконав задачу швидше, ніж будь-який суперкомп’ютер.
-
Not Synced
Це було не щось практичне,
і мине ще багато років, перш ніж
-
Not Synced
з’являться реальні задачі, які
квантові комп’ютери вирішуватимуть швидше
-
Not Synced
за класичні комп’ютери.
Але навіть сама назва — «квантова перевага» —
-
Not Synced
вже вводить в оману,
хоч і є цікавим кроком уперед у квантових обчисленнях.
-
Not Synced
Ця назва, ймовірно, привернула багато
уваги та викликала тривогу.
-
Not Synced
У 2021–2022 роках OpenSSH, OpenBSD і Google
почали раптово оновлювати свої системи.
-
Not Synced
OpenSSH версії 9.0 уже включає sntrup і ECC
як стандарт — отже, якщо у вас
-
Not Synced
встановлено OpenSSH 9 на сервері
та на віддаленій машині
-
Not Synced
— використовується постквантовий алгоритм автоматично.
-
Not Synced
Насправді, ще версії OpenSSH до 8.5
теж це підтримують, але тоді
-
Not Synced
вам потрібно вручну його активувати,
щоб сервер і клієнт це використовували.
-
Not Synced
А в OpenSSH 9 це вже увімкнено за замовчуванням.
Так само і в Google:
-
Not Synced
з листопада, тобто з минулого місяця,
вони шифрують свою внутрішню
-
Not Synced
комунікацію за допомогою ntruhrss і ECC.
Тож сподіваємось, ntruhrss працює і
-
Not Synced
буде безпечним проти квантових комп’ютерів
у майбутньому.
-
Not Synced
Це також добре відповідає ідеї
так званого "cleansing code" — чистого коду.
-
Not Synced
Як уже згадувалося, чистий код
ще не стандартизований у криптографії,
-
Not Synced
але він заохочує дослідження
і адаптацію користувачів.
-
Not Synced
Наприклад, американський банківський стандарт
US ANSI NTX9 заявив, що
-
Not Synced
у майбутньому вони перейдуть
на постквантові стандарти.
-
Not Synced
Тобто вони очікують на спільне використання
класичної криптографії —
-
Not Synced
яку ще називають передквантовою —
і постквантової одночасно.
-
Not Synced
Одна — стандартизована і перевірена,
інша — ще нова і трохи незручна, але
-
Not Synced
нам вона потрібна для довготривалої безпеки.
І, можливо, в довгій перспективі
-
Not Synced
нам справді потрібна буде ця гібридна
комбінація. Далі — зі США до Франції:
-
Not Synced
від ANSI до ANSSI —
французьке агентство з кібербезпеки. Вони теж кажуть:
-
Not Synced
не використовуйте постквантові алгоритми
окремо, бо вони ще не дозріли.
-
Not Synced
Але ця незрілість — не привід
відкладати перші кроки впровадження.
-
Not Synced
ANSSI заохочує впроваджувати гібриди —
поєднуючи надійний класичний метод
-
Not Synced
із постквантовим алгоритмом.
-
Not Synced
Отже, все чудово йде за планом,
який Таня описувала на слайдах у 2016 році.
-
Not Synced
Стандартизація йде повільно,
але впровадження відбувається паралельно:
-
Not Synced
ми почали використовувати постквантове
шифрування разом з ECC — на випадок,
-
Not Synced
якщо щось піде не так —
і щоб захистити користувачів якомога раніше.
-
Not Synced
Що ж сказала на це влада США?
Починаючи з 2021 року уряд США
-
Not Synced
дуже чітко дав зрозуміти, чого він хоче.
Ви, мабуть, думаєте — вони хочуть,
-
Not Synced
щоб ви захищались від квантових атак?
Ні-ні — вони якраз НЕ хочуть, щоб ви
-
Not Synced
захищались від квантових комп’ютерів.
Ось, наприклад, цитата від NIST —
-
Not Synced
голови відділу кібербезпеки
Інформаційної лабораторії
-
Not Synced
яка і запустила конкурс
на постквантові алгоритми.
-
Not Synced
У липні 2021 року, невдовзі після того,
як OpenBSD і OpenSSH почали впровадження.
-
Not Synced
Він сказав: не дозволяйте людям купувати
і впроваджувати нестандартизовану постквантову
-
Not Synced
криптографію. І ще один приклад — АНБ,
яке тісно співпрацює з NIST, заявило:
-
Not Synced
не реалізовуйте й не використовуйте
нестандартизовану постквантову криптографію.
-
Not Synced
І щоб, бува, хтось не проігнорував це послання,
агентство безпеки
-
Not Synced
(ти думаєш, ці агентства між собою координуються?)
-
Not Synced
агентство безпеки заявило: не використовуйте
постквантові криптопродукти, доки
-
Not Synced
не завершено стандартизацію, впровадження
та тестування замінювальних програм
-
Not Synced
на основі затверджених алгоритмів від NIST.
-
Not Synced
Оце вже звучить як тривожний дзвіночок.
А ще дивно те, що вони кажуть:
-
Not Synced
якщо ви вже впроваджуєте
постквантову криптографію — не використовуйте гібриди.
-
Not Synced
І ти можеш подумати: я щось не так зрозумів?
Чи вони справді це сказали?
-
Not Synced
Ось слайд із конференції — фото Маркку Саарінена.
Я був там і можу підтвердити:
-
Not Synced
виступаючий чітко сказав: не варто
використовувати гібридні підходи.
-
Not Synced
Він неодноразово повторив:
не використовуйте нічого вже зараз. Вони також не
-
Not Synced
очікували затвердження постквантових алгоритмів
на основі логіки "на всяк випадок поєднуй усе".
-
Not Synced
Пізніше вони опублікували нові інструкції,
де сказано: буде однозначна заміна —
-
Not Synced
вимикаємо ECC і RSA,
вмикаємо постквантову криптографію.
-
Not Synced
І їхній аргумент був:
у ECC можуть бути помилки реалізації — тож вимикай
-
Not Synced
ECC. Погана ідея —
хіба що ти хакер, тоді це ідеально.
-
Not Synced
Тепер ти, можливо, думаєш:
"Ну ми ж усе одно будемо використовувати гібриди",
навіть якщо АНБ каже "не треба".
-
Not Synced
І ось це речення —
"не використовуйте нестандартизоване" —
-
Not Synced
мабуть, уже неактуальне, правда?
Адже NIST оголосив у липні: ми стандартизуємо Kyber.
-
Not Synced
Тобто: використовуйте Kyber.
Але ні. Насправді вони так не сказали.
-
Not Synced
Подивімося в деталі. Спершу —
пам’ятаєш, як Google мав проблеми з патентами для NH?
-
Not Synced
Ну так от, Kyber — це як син New Hope.
І вони, здається, переплутали Star Wars зі Star Trek:
-
Not Synced
ходили чутки, що Kyber внутрішньо
називали "New Hope: The Next Generation".
-
Not Synced
Пізніше знайшли кращу назву,
але по суті — Kyber дуже схожий на NH.
-
Not Synced
І має ті ж проблеми з патентами.
Це єдиний алгоритм шифрування, який обрав NIST.
-
Not Synced
Вони обрали SPHINCS+
і ще дві схеми підпису,
-
Not Synced
і лише одну схему шифрування — Kyber.
Це єдиний варіант захисту ваших даних
-
Not Synced
відповідно до стандартів NIST.
А Kyber, як і NH, перебуває
-
Not Synced
у полі з мін із семи патентів.
-
Not Synced
Це не означає, що всі сім — чинні.
Але це складна справа. Щоб оцінити патент,
-
Not Synced
треба розуміти патентне право,
і знати, як інтерпретувати пріоритети,
-
Not Synced
перекриття, розширення.
Все дуже заплутано.
-
Not Synced
Один із простих способів позбутись патентів —
викупити їх і зробити публічними.
-
Not Synced
І NIST у липні заявив:
ми ведемо переговори з третіми сторонами,
-
Not Synced
аби підписати угоди
і уникнути потенційних патентних проблем.
-
Not Synced
Чудово! Отже, можна використовувати Kyber?
-
Not Synced
Але компанії кажуть:
«Покажіть нам самі угоди, будь ласка».
-
Not Synced
Наприклад, Скотт Флюрер із Cisco заявив:
Cisco не зможе впровадити Kyber,
-
Not Synced
поки ми не побачимо текст ліцензій.
-
Not Synced
А потім виявилось: NIST узагалі
нічого не підписував у липні.
-
Not Synced
Але в листопаді вони нарешті сказали:
так, ми підписали дві ліцензійні угоди.
-
Not Synced
І ось трохи з їхнього змісту:
-
Not Synced
Але якщо уважно прочитати,
ліцензії стосуються лише стандарту, який описав NIST.
