-
Not Synced
[Translated by Marta-Sofiya Klakovych
(KYBS2004 course assignment at JYU.FI)]
-
Not Synced
музика
-
Not Synced
Ласкаво просимо всі до цього хаотичного
року та заходу
-
Not Synced
Я Кара і я буду вашим диктором
-
Not Synced
Мені приємно оголосити доповідь
-
Not Synced
Пост-квантова криптографія:
обхідні шляхи, затримки та катастрофи
-
Not Synced
яку представляють Таня Ланге
та Д. Дж. Бернштейн
-
Not Synced
Таня Ланге — криптограф і математик,
яка спеціалізується на пост-квантовій криптографії
-
Not Synced
яка замінює ту криптографію,
яку ми використовуємо сьогодні
-
Not Synced
на варіанти, які є безпечними
проти атак квантових комп’ютерів
-
Not Synced
Вона є професоркою Технічного університету Ейндговена
-
Not Synced
і може пишатися численними
публікаціями та відзнаками
-
Not Synced
Вона також була координаторкою PQCrypto
-
Not Synced
що є загальноєвропейською ініціативою
-
Not Synced
для впровадження пост-квантової криптографії
-
Not Synced
Д. Дж. Б. є професором Університету Іллінойсу
в Чикаго
-
Not Synced
а також професором Університету Бохума.
Він працює в галузі криптографії
-
Not Synced
і розробив шифрувальні системи, які використовуються
-
Not Synced
у криптографії з відкритим кодом,
можливо, ви зараз
-
Not Synced
використовуєте одну з них,
дивлячись цю доповідь
-
Not Synced
Разом вони реалізували вражаючу
кількість проєктів
-
Not Synced
від спрощення впровадження
безпечної криптографії
-
Not Synced
до створення безпечних
постквантових типів даних
-
Not Synced
обоє є активістами, які борються
-
Not Synced
за прозоріший процес
стандартизації криптографії
-
Not Synced
а тепер всі, плескайте своїми лапками
-
Not Synced
давайте поаплодуємо
Тані Ланге та Д. Дж. Б.!
-
Not Synced
Добре, дякуємо за гарне представлення
-
Not Synced
давайте одразу перейдемо до справи —
почнемо з HTTPS
-
Not Synced
коли ви заходите на сайт із HTTPS
або захищене з’єднання
-
Not Synced
ви використовуєте TLS — протокол безпеки транспортного рівня —
щоб захистити ваше з’єднання
-
Not Synced
TLS використовує два типи криптографії
з кількох причин
-
Not Synced
по-перше, він покладається
на криптографію з відкритим ключем
-
Not Synced
вона виконує дві функції:
по-перше, вона забезпечує підписи
-
Not Synced
підписи з відкритим ключем —
вони гарантують, що зловмисник не зможе
-
Not Synced
підмінити дані сервера
своїми власними
-
Not Synced
і прикидатися сервером
-
Not Synced
додатково TLS використовує
шифрування з відкритим ключем
-
Not Synced
наприклад, NIST P-256 або
RSA-4096 як систему підпису
-
Not Synced
NIST P-256 також можна використовувати
для шифрування, щоб ваші дані були захищені
-
Not Synced
щоб він (зловмисник) не міг її зрозуміти
-
Not Synced
через причини, пов’язані з продуктивністю,
криптографія складніша, ніж
-
Not Synced
просто криптографія з відкритим ключем —
вона також включає симетричну криптографію
-
Not Synced
іноді її називають
криптографією із секретним ключем
-
Not Synced
коли ви збираєте все разом у TLS,
ви отримуєте три основні складові
-
Not Synced
це шифрування з відкритим ключем
-
Not Synced
яке не шифрує всі ваші дані, а натомість
-
Not Synced
шифрує лише ключ,
щоб зловмисники не могли його зрозуміти
-
Not Synced
цей ключ надсилається
безпечно і конфіденційно
-
Not Synced
від однієї сторони до іншої
-
Not Synced
а підписи з відкритим ключем
використовуються, щоб переконатися,
-
Not Synced
що зловмисник не може підмінити
інший ключ
-
Not Synced
і в кінці цей ключ використовується
-
Not Synced
для захисту ваших даних
із використанням симетричної криптографії
-
Not Synced
усі інші протоколи, які ви використовуєте,
-
Not Synced
можна було б представити
у подібних діаграмах
-
Not Synced
наприклад, SSH, але вони всі працюють
майже однаково
-
Not Synced
я зараз підкреслю два елементи на цій діаграмі
-
Not Synced
RSA-4096 —
типова система для підпису
-
Not Synced
і типова система шифрування —
NIST P-256
-
Not Synced
тому що ці дві (системи) будуть зламані
через квантові комп’ютери
-
Not Synced
без квантових комп’ютерів
жодних відомих
-
Not Synced
загроз не існувало б, але
-
Not Synced
якщо в атакуючого буде
великий квантовий комп’ютер
-
Not Synced
а це, найімовірніше, станеться
-
Not Synced
хоча це не гарантовано —
може, спроби створити квантовий комп’ютер
-
Not Synced
зазнають невдачі з якихось причин
-
Not Synced
але зараз виглядає так,
що квантові комп’ютери
-
Not Synced
стають дедалі успішнішими
-
Not Synced
і як тільки вони стануть достатньо потужними
-
Not Synced
можливо, за десять років
-
Not Synced
тоді атакуючі зможуть запустити
алгоритм атаки,
-
Not Synced
який називається алгоритмом Шора,
що знаходить ваші секретні RSA-ключі і
-
Not Synced
секретні ключі NIST P-256,
і тоді зловмисники зможуть
-
Not Synced
отримати доступ до інформації,
яку вони вже зараз зберігають
-
Not Synced
це загроза не лише майбутнім даним,
але і
-
Not Synced
конфіденційності ваших поточних даних
-
Not Synced
бо зловмисники вже зараз
зберігають все, що можуть, з Інтернету
-
Not Synced
і коли у них буде
великий квантовий комп’ютер
-
Not Synced
вони зможуть розшифрувати все заднім числом,
бо зламають RSA-4096
-
Not Synced
і NIST P-256,
а саме NIST P-256 забезпечує шифрування
-
Not Synced
і вони зможуть повернутися в минуле
і зламати шифрування, яке ви використовуєте сьогодні
-
Not Synced
Що ж нам із цим робити?
-
Not Synced
Стандартний підхід — це те,
що ми називаємо
-
Not Synced
постквантовою криптографією —
ви вже чули цю назву раніше, вона була
-
Not Synced
в назві нашої доповіді —
це криптографія, яка створена спеціально
-
Not Synced
з урахуванням того,
що атакуючий має квантовий комп’ютер
-
Not Synced
тож, як уже казав ведучий,
-
Not Synced
я була координаторкою проєкту PQCRYPTO
-
Not Synced
і це означає, що я об’їздила
світ із доповідями про постквантову криптографію
-
Not Synced
ось скріншот із виступу,
який я провела шість з половиною років тому
-
Not Synced
де я підкреслювала, як сьогодні це зробив Ден,
важливість постквантової криптографії
-
Not Synced
і наголошувала, що важливо давати рекомендації,
-
Not Synced
які визначають, які алгоритми
варто використовувати для заміни RSA та
-
Not Synced
NIST P-256, які
ви бачили на попередніх слайдах
-
Not Synced
і тоді я поставила питання —
чи варто нам стандартизувати зараз чи пізніше
-
Not Synced
аргументи існують з обох сторін,
і ну… якби ми стандартизували тоді,
-
Not Synced
шість років тому,
здавалося, що ще занадто багато роботи, і що ми отримаємо
-
Not Synced
набагато кращу систему,
якщо трохи зачекаємо
-
Not Synced
але з іншого боку існує занепокоєння
через дані, які збирають уряди та інші темні сили
-
Not Synced
і чим пізніше це буде опубліковано, тим більше даних і безпеки буде втрачено
-
Not Synced
тому важливо просуватися вперед,
і тоді нашою відповіддю було таке:
-
Not Synced
те, що я просувала у 2016 році —
це рекомендації, опубліковані у 2015 році, в яких
-
Not Synced
йшлося про те, що
стандартизація займає багато часу
-
Not Synced
ми ще не на тій стадії,
але якщо хтось хоче захистити себе
-
Not Synced
ось що ми… ну, ось ціла група
-
Not Synced
дослідників, які підписали цю заяву
як частину проєкту PQCRYPTO
-
Not Synced
що ми рекомендували?
Наша рекомендація була у тому, що ми назвали
-
Not Synced
«обережною криптографією»
-
Not Synced
і це не означає
політичний консерватизм
-
Not Synced
це означає щось нудне,
щось, що вже давно відоме
-
Not Synced
багато людей його вже проаналізували,
і ми не очікуємо жодних змін
-
Not Synced
у сфері симетричних ключів, як уже казав Ден,
квантові комп’ютери на них не впливають
-
Not Synced
тому якщо використовувати достатньо великі ключі
-
Not Synced
256-бітові ключі,
то AES або Salsa20 є достатніми
-
Not Synced
те саме стосується аутентифікації —
якщо ви отримали ключ, його не підробити
-
Not Synced
але для шифрування і підписів
з відкритим ключем, RSA-4096
-
Not Synced
і ECC NIST P-256 — їх потрібно замінити
і ми маємо альтернативи. Ось
-
Not Synced
рекомендація з високим рівнем довіри:
-
Not Synced
використовуйте систему МакЕліса —
назва ще з’явиться пізніше
-
Not Synced
і використовуйте
сигнатури, засновані на хешах
-
Not Synced
наприклад, SPHINCS —
ви захочете про неї дізнатися згодом
-
Not Synced
ми також представили деякі алгоритми
як «перебувають у стадії оцінювання»
-
Not Synced
що означає — поки не варто їх використовувати
-
Not Synced
але згодом вони можуть виявитися придатними.
І для нас це нормально — ми вбили кілок у землю,
-
Not Synced
ми сказали: «Ось, це безпечно»
-
Not Synced
і люди повинні діяти відповідно,
і всі житимуть довго і щасливо
-
Not Synced
і наш виступ на цьому завершено
-
Not Synced
...чи всі дійсно
житимуть довго і щасливо?
-
Not Synced
до кінця свого життя?
-
Not Synced
Давайте подивимось,
що сталося насправді після цього
-
Not Synced
Організація… ну,
речі, які мали бути оприлюднені
-
Not Synced
насправді був один експеримент,
який Google проводив
-
Not Synced
у 2016 році Google Chrome
додав постквантовий варіант
-
Not Synced
це не означає, що кожен
-
Not Synced
вебсервер підтримував його —
це був просто експеримент
-
Not Synced
Google активував його лише на деяких
-
Not Synced
своїх серверах і сказав:
«Добре, подивимось,
-
Not Synced
як це працює», — і звучали
дуже натхненно у своєму блозі
-
Not Synced
де вони оголосили,
що допомагають користувачам захиститися
-
Not Synced
від квантових комп’ютерів —
подивимось, чи спрацює
-
Not Synced
Система, яку вони використовували,
називалася New Hope (NH)
-
Not Synced
Вони шифрували не лише за допомогою NH —
NH є постквантовою шифрувальною системою
-
Not Synced
Вони також шифрували
традиційною криптографією — еліптичними кривими
-
Not Synced
як уже згадувала Таня —
NIST P-256 — приклад ECC
-
Not Synced
іншим прикладом ECC є x25519 —
ви, ймовірно, використовуєте це сьогодні
-
Not Synced
щоб шифрувати свої дані
і ось що зробив Google:
-
Not Synced
Він шифрував NH для
постквантового захисту
-
Not Synced
і одночасно шифрував
x25519, як вони роблять
-
Not Synced
зазвичай і сьогодні —
ідея була в тому, що якщо щось
-
Not Synced
піде не так із NH,
то ми все одно маємо звичайний захист
-
Not Synced
тобто, щонайменше,
немає негайної загрози безпеці —
вони не погіршують ситуацію
-
Not Synced
звісно, якщо NH зламано,
то й не покращують
-
Not Synced
але основна ідея —
спробувати зробити краще і
-
Not Synced
в той же час переконатися,
що не стане гірше — шифруючи обома:
-
Not Synced
традиційним і постквантовим
методом
-
Not Synced
План «Б» дуже важливий,
бо NH — нова шифрувальна система
-
Not Synced
тобто у 2016 вона була новою,
ключові елементи NH були створені
-
Not Synced
у 2010, 2014 і 2015 роках —
а це не так багато часу для перевірки
-
Not Synced
в криптографії іноді минають роки,
поки знаходять вразливості
-
Not Synced
тому дуже важливо, щоб новим шифрувальним системам дали час дозріти
-
Not Synced
інша проблема з новими шифрувальними системами
-
Not Synced
— їх можуть запатентувати.
Патенти діють 20 років, і це сталося
-
Not Synced
з NH. Власник патенту звернувся
до Google і сказав: «Я хочу гроші за ваше
-
Not Synced
використання NH». Google
ніколи публічно не коментував цю
-
Not Synced
патентну загрозу,
але з якихось причин у листопаді 2016 року
вони прибрали NH
-
Not Synced
з Chrome і своїх серверів.
У 2016 році також сталися інші події:
-
Not Synced
в уряді США є установа — NIST,
яка має довгу історію співпраці
-
Not Synced
з Агентством нацбезпеки США (NSA).
NIST оголосив, що наприкінці 2017 року
-
Not Synced
вони хочуть, щоб криптографи подали
пропозиції
-
Not Synced
щодо постквантових алгоритмів —
для шифрування й підпису,
-
Not Synced
які згодом можна було б стандартизувати.
Цікавий момент з їхньої заявки:
-
Not Synced
не дозволено надсилати гібриди — тобто
системи, які шифрують і
-
Not Synced
за допомогою постквантових алгоритмів, і ECC,
або підписують чимось, що ви вже використовуєте, разом із
-
Not Synced
постквантовим рішенням.
Вони сказали, що алгоритми не повинні
-
Not Synced
включати ECC чи будь-який інший алгоритм,
який може бути зламаний квантовими комп’ютерами
-
Not Synced
З точки зору розробника додатків,
зручно мати ECC-шар окремо
-
Not Synced
і сказати: що б ви не робили
з постквантовим алгоритмом,
-
Not Synced
все одно поєднуєте його з x25519, наприклад.
Але вони не сказали, що треба
-
Not Synced
поєднувати все з ECC — наприклад,
x25519 як окремий шар. Вони сказали:
-
Not Synced
не подавайте нічого,
що поєднується з ECC
-
Not Synced
Провівши цей конкурс на постквантові системи,
NIST надіслав сигнал компаніям:
-
Not Synced
почекайте, не впроваджуйте
постквантову криптографію поки що
-
Not Synced
і тут був і батіг, і пряник.
Батіг — це патенти: Google щойно
-
Not Synced
втрапив у халепу через використання
чогось, на що раптом знайшовся патент
-
Not Synced
що ще може бути запатентоване?
А NIST сказав: у нас є процес,
-
Not Synced
який веде до криптографічних стандартів,
які можна реалізовувати вільно, тобто патенти
-
Not Synced
не завадять вам це використовувати.
І вони також сказали, що виберуть щось,
-
Not Synced
що буде досить надійним —
безпека буде головним критерієм у відборі
-
Not Synced
І отже, галузь сказала: «Добре,
чекаємо від NIST рішення», а інші
-
Not Synced
органи стандартизації — також.
У IETF є свій дослідницький підрозділ,
-
Not Synced
IRTF, який створює стандарти для Інтернету.
І криптографічна група в IRTF сказала:
-
Not Synced
ми стандартизуємо те, що вже є в роботі,
наприклад, геш-функції
-
Not Synced
але для всього іншого —
чекаємо NIST. ISO теж сказала, що чекає
-
Not Synced
NIST. Не всі організації сказали це —
наприклад, уряд Китаю
-
Not Synced
заявив, що проведе свій власний конкурс.
Але, ну… кого це цікавить?
-
Not Synced
Тож повертаємося до конкурсу NIST:
ось усі заявки. Наприкінці 2017 року
-
Not Synced
було 69 заявок від 260 криптографів.
Я не буду зачитувати всі імена, але це була
-
Not Synced
величезна кількість роботи
для аналітиків у криптографії.
-
Not Synced
Ми весело проводили час на початку 2017-го,
а ті, хто бачив нас на сцені у 2018-му,
-
Not Synced
знають, що ми розповідали про те,
як весело нам було зламувати ці пропозиції
-
Not Synced
але це була справжня купа роботи.
Подивимось, що зробив NIST з конкурсом.
-
Not Synced
У 2019-му, тобто через два роки —
ну, рік із чимось — вони почали
-
Not Synced
скорочувати кількість кандидатів
до 26. А в липні 2020-го
-
Not Synced
їх ще скоротили — до 15.
Мета була зосередитись на тому,
-
Not Synced
що має сенс, і пріоритет давали
найбезпечнішим кандидатам, за винятком
-
Not Synced
випадків, де застосування вимагало
більшої ефективності
-
Not Synced
Насправді ні — вони зовсім так не робили.
Якщо почитати звіт і подивитись,
-
Not Synced
яких кандидатів вони обрали —
щоразу, коли був вибір
-
Not Synced
між швидкістю і безпекою,
звісно, вони відсікали
-
Not Synced
алгоритми, які були повністю зламані,
і ті, що були дуже неефективні
-
Not Synced
але от вам приклад — SPHINCS,
який згадувала Таня раніше,
-
Not Synced
дуже обережний,
усі погоджуються, що це — найбезпечніша система підпису
-
Not Synced
Але NIST не сказав: «Використовуйте SPHINCS»,
а: «Ми зачекаємо стандартизації SPHINCS+,
-
Not Synced
хіба що стільки всього виявиться зламаним,
що доведеться взяти SPHINCS»
-
Not Synced
І от у липні цього року NIST
оголосив, що обирає чотири стандарти
-
Not Synced
один із них — SPHINCS+, а ще три
кандидати залишаються під розглядом
-
Not Synced
виглядає так, ніби впевненість трохи похитнулась.
Тож що ж сталося?
-
Not Synced
Картинка з 69 заявками змінилася,
якщо перемотати час на 5,5 років вперед
-
Not Synced
Ось кольорове кодування: сині —
це ті, що залишаються в конкурсі NIST, тобто чотири
-
Not Synced
алгоритми, які мають стати стандартами,
і ще чотири кандидати четвертого раунду
-
Not Synced
сірі не пройшли далі —
це не означає, що вони були зламані,
-
Not Synced
але їх відсіяли настільки рано,
що ніхто вже не мав інтересу їх ламати
-
Not Synced
коричневий означає менш захищений,
ніж було заявлено; червоний —
-
Not Synced
означає справді зламаний,
а підкреслений червоний — це
-
Not Synced
повністю-повністю зламаний.
Як бачите, зламаних систем багато.
-
Not Synced
Є також цікавий фіолетовий у нижньому правому куті
-
Not Synced
якщо пам’ятаєте уроки малювання —
фіолетовий — це суміш червоного і синього.
SIKE було обрано
-
Not Synced
у липні, а вже в липні і зламано —
після 5 років аналізу, його зламали
-
Not Synced
за лічені секунди.
Це приклад того, коли щось справді пішло не так
-
Not Synced
і низка дрібних подій
похитнула впевненість
-
Not Synced
тому NIST хоча б обрав SPHINCS,
але це не призвело до обрання
-
Not Synced
інших обережних варіантів —
деякі з них ще «дозрівають»
-
Not Synced
але ця сфера поки що не зріла.
-
Not Synced
А що відбувалося тим часом
із боку впровадження?
-
Not Synced
Згадайте: було два моменти на слайдах Тані
ще з 2016 року. Вона сказала:
-
Not Synced
було б добре вже впровадити щось,
щоб захистити користувачів, бо
-
Not Synced
у нас є проблема з безпекою вже зараз —
зловмисники
-
Not Synced
вже записують все, і ми повинні
намагатися захиститися від цього, і
-
Not Synced
зробити це швидше, ніж
триває процес стандартизації. Google
-
Not Synced
почав це у 2016-му,
але злякався патентної загрози. До 2019-го
-
Not Synced
галузі й багато проєктів з відкритим кодом
подумали: можливо, вже час
-
Not Synced
впроваджувати нові рішення —
щось пішло не так у 2016-му,
-
Not Synced
але на той момент NIST уже зібрав
підтвердження від усіх учасників конкурсу
-
Not Synced
і з’ясував, які пропозиції
є запатентованими. Це дало нам
-
Not Synced
багато інформації, коли 260 криптографів
вказали, що саме захищено патентами
-
Not Synced
І вже у 2019-му стало ще очевидніше,
що квантові комп’ютери — на горизонті.
-
Not Synced
Тож приклади того, що сталося у 2019-му: OpenSSH версії 8, надихаючись TinySSH,
-
Not Synced
оголосив, що додасть гібридний варіант — поєднання алгоритму
-
Not Synced
на еліптичних кривих
і одного з постквантових кандидатів.
-
Not Synced
Він не активований за замовчуванням,
але якщо ви додасте рядок у налаштування. І на сервері, і на клієнті —
використовуватиметься постквантове шифрування.
-
Not Synced
А якщо постквантова частина буде зламана,
ви все одно маєте ECC як захист.
-
Not Synced
У липні 2019 року Google і Cloudflare
запустили експеримент із постквантовим шифруванням.
-
Not Synced
У ньому були дві версії:
деякі користувачі шифрували з ntruhrss
-
Not Synced
у поєднанні з ECC, звісно —
завжди використовуйте гібриди. Інша версія:
-
Not Synced
використовувала sikep і ECC.
Так, Таня сказала: «Ой».
-
Not Synced
Це приклад того, наскільки важливо
поєднувати все з ECC, щоб не втратити
-
Not Synced
поточний рівень безпеки —
усі ми зараз користуємось ECC.
-
Not Synced
Тож використовуйте і постквантові системи, і ECC,
щоб у гіршому випадку втратити лише час,
-
Not Synced
а в кращому — щось виграти.
Принаймні користувачі sikep мають захист ECC.
-
Not Synced
Також у жовтні 2019 року Google оголосив
про досягнення квантової переваги —
-
Not Synced
мається на увазі, що квантовий комп’ютер
виконав задачу швидше, ніж будь-який суперкомп’ютер.
-
Not Synced
Це було не щось практичне,
і мине ще багато років, перш ніж
-
Not Synced
з’являться реальні задачі, які
квантові комп’ютери вирішуватимуть швидше
-
Not Synced
за класичні комп’ютери.
Але навіть сама назва — «квантова перевага» —
-
Not Synced
вже вводить в оману,
хоч і є цікавим кроком уперед у квантових обчисленнях.
-
Not Synced
Ця назва, ймовірно, привернула багато
уваги та викликала тривогу.
-
Not Synced
У 2021–2022 роках OpenSSH, OpenBSD і Google
почали раптово оновлювати свої системи.
-
Not Synced
OpenSSH версії 9.0 уже включає sntrup і ECC
як стандарт — отже, якщо у вас
-
Not Synced
встановлено OpenSSH 9 на сервері
та на віддаленій машині
-
Not Synced
— використовується постквантовий алгоритм автоматично.
-
Not Synced
Насправді, ще версії OpenSSH до 8.5
теж це підтримують, але тоді
-
Not Synced
вам потрібно вручну його активувати,
щоб сервер і клієнт це використовували.
-
Not Synced
А в OpenSSH 9 це вже увімкнено за замовчуванням.
Так само і в Google:
-
Not Synced
з листопада, тобто з минулого місяця,
вони шифрують свою внутрішню
-
Not Synced
комунікацію за допомогою ntruhrss і ECC.
Тож сподіваємось, ntruhrss працює і
-
Not Synced
буде безпечним проти квантових комп’ютерів
у майбутньому.
-
Not Synced
Це також добре відповідає ідеї
так званого "cleansing code" — чистого коду.
-
Not Synced
Як уже згадувалося, чистий код
ще не стандартизований у криптографії,
-
Not Synced
але він заохочує дослідження
і адаптацію користувачів.
-
Not Synced
Наприклад, американський банківський стандарт
US ANSI NTX9 заявив, що
-
Not Synced
у майбутньому вони перейдуть
на постквантові стандарти.
-
Not Synced
Тобто вони очікують на спільне використання
класичної криптографії —
-
Not Synced
яку ще називають передквантовою —
і постквантової одночасно.
-
Not Synced
Одна — стандартизована і перевірена,
інша — ще нова і трохи незручна, але
-
Not Synced
нам вона потрібна для довготривалої безпеки.
І, можливо, в довгій перспективі
-
Not Synced
нам справді потрібна буде ця гібридна
комбінація. Далі — зі США до Франції:
-
Not Synced
від ANSI до ANSSI —
французьке агентство з кібербезпеки. Вони теж кажуть:
-
Not Synced
не використовуйте постквантові алгоритми
окремо, бо вони ще не дозріли.
-
Not Synced
Але ця незрілість — не привід
відкладати перші кроки впровадження.
-
Not Synced
ANSSI заохочує впроваджувати гібриди —
поєднуючи надійний класичний метод
-
Not Synced
із постквантовим алгоритмом.
-
Not Synced
Отже, все чудово йде за планом,
який Таня описувала на слайдах у 2016 році.
-
Not Synced
Стандартизація йде повільно,
але впровадження відбувається паралельно:
-
Not Synced
ми почали використовувати постквантове
шифрування разом з ECC — на випадок,
-
Not Synced
якщо щось піде не так —
і щоб захистити користувачів якомога раніше.
-
Not Synced
Що ж сказала на це влада США?
Починаючи з 2021 року уряд США
-
Not Synced
дуже чітко дав зрозуміти, чого він хоче.
Ви, мабуть, думаєте — вони хочуть,
-
Not Synced
щоб ви захищались від квантових атак?
Ні-ні — вони якраз НЕ хочуть, щоб ви
-
Not Synced
захищались від квантових комп’ютерів.
Ось, наприклад, цитата від NIST —
-
Not Synced
голови відділу кібербезпеки
Інформаційної лабораторії
-
Not Synced
яка і запустила конкурс
на постквантові алгоритми.
-
Not Synced
У липні 2021 року, невдовзі після того,
як OpenBSD і OpenSSH почали впровадження.
-
Not Synced
Він сказав: не дозволяйте людям купувати
і впроваджувати нестандартизовану постквантову
-
Not Synced
криптографію. І ще один приклад — АНБ,
яке тісно співпрацює з NIST, заявило:
-
Not Synced
не реалізовуйте й не використовуйте
нестандартизовану постквантову криптографію.
-
Not Synced
І щоб, бува, хтось не проігнорував це послання,
агентство безпеки
-
Not Synced
(ти думаєш, ці агентства між собою координуються?)
-
Not Synced
агентство безпеки заявило: не використовуйте
постквантові криптопродукти, доки
-
Not Synced
не завершено стандартизацію, впровадження
та тестування замінювальних програм
-
Not Synced
на основі затверджених алгоритмів від NIST.
-
Not Synced
Оце вже звучить як тривожний дзвіночок.
А ще дивно те, що вони кажуть:
-
Not Synced
якщо ви вже впроваджуєте
постквантову криптографію — не використовуйте гібриди.
-
Not Synced
І ти можеш подумати: я щось не так зрозумів?
Чи вони справді це сказали?
-
Not Synced
Ось слайд із конференції — фото Маркку Саарінена.
Я був там і можу підтвердити:
-
Not Synced
виступаючий чітко сказав: не варто
використовувати гібридні підходи.
-
Not Synced
Він неодноразово повторив:
не використовуйте нічого вже зараз. Вони також не
-
Not Synced
очікували затвердження постквантових алгоритмів
на основі логіки "на всяк випадок поєднуй усе".
-
Not Synced
Пізніше вони опублікували нові інструкції,
де сказано: буде однозначна заміна —
-
Not Synced
вимикаємо ECC і RSA,
вмикаємо постквантову криптографію.
-
Not Synced
І їхній аргумент був:
у ECC можуть бути помилки реалізації — тож вимикай
-
Not Synced
ECC. Погана ідея —
хіба що ти хакер, тоді це ідеально.
-
Not Synced
Тепер ти, можливо, думаєш:
"Ну ми ж усе одно будемо використовувати гібриди",
навіть якщо АНБ каже "не треба".
-
Not Synced
І ось це речення —
"не використовуйте нестандартизоване" —
-
Not Synced
мабуть, уже неактуальне, правда?
Адже NIST оголосив у липні: ми стандартизуємо Kyber.
-
Not Synced
Тобто: використовуйте Kyber.
Але ні. Насправді вони так не сказали.
-
Not Synced
Подивімося в деталі. Спершу —
пам’ятаєш, як Google мав проблеми з патентами для NH?
-
Not Synced
Ну так от, Kyber — це як син New Hope.
І вони, здається, переплутали Star Wars зі Star Trek:
-
Not Synced
ходили чутки, що Kyber внутрішньо
називали "New Hope: The Next Generation".
-
Not Synced
Пізніше знайшли кращу назву,
але по суті — Kyber дуже схожий на NH.
-
Not Synced
І має ті ж проблеми з патентами.
Це єдиний алгоритм шифрування, який обрав NIST.
-
Not Synced
Вони обрали SPHINCS+
і ще дві схеми підпису,
-
Not Synced
і лише одну схему шифрування — Kyber.
Це єдиний варіант захисту ваших даних
-
Not Synced
відповідно до стандартів NIST.
А Kyber, як і NH, перебуває
-
Not Synced
у полі з мін із семи патентів.
-
Not Synced
Це не означає, що всі сім — чинні.
Але це складна справа. Щоб оцінити патент,
-
Not Synced
треба розуміти патентне право,
і знати, як інтерпретувати пріоритети,
-
Not Synced
перекриття, розширення.
Все дуже заплутано.
-
Not Synced
Один із простих способів позбутись патентів —
викупити їх і зробити публічними.
-
Not Synced
І NIST у липні заявив:
ми ведемо переговори з третіми сторонами,
-
Not Synced
аби підписати угоди
і уникнути потенційних патентних проблем.
-
Not Synced
Чудово! Отже, можна використовувати Kyber?
-
Not Synced
Але компанії кажуть:
-
Not Synced
«Покажіть нам самі угоди, будь ласка».
-
Not Synced
Наприклад, Скотт Флюрер із Cisco заявив:
-
Not Synced
Cisco не зможе впровадити Kyber,
поки ми не побачимо текст ліцензій.
-
Not Synced
А потім виявилось: NIST узагалі
нічого не підписував у липні.
-
Not Synced
Але в листопаді вони нарешті сказали:
так, ми підписали дві ліцензійні угоди.
-
Not Synced
І ось трохи з їхнього змісту:
-
Not Synced
Але якщо уважно прочитати,
ліцензії стосуються лише стандарту, який описав NIST.
-
Not Synced
І будь-яке модифікування або використання
чогось, що не є цим стандартом, — заборонено.
-
Not Synced
Тобто, Kyber не можна змінювати або
використовувати поза стандартом NIST.
-
Not Synced
Можливо, ти думаєш: ну, вони ж уже обрали Kyber,
вони ж його стандартизували в липні?
-
Not Synced
Ні. Насправді в липні
вони лише заявили про наміри.
-
Not Synced
Вони планують стандартизувати Kyber —
а це не те саме, що «він уже стандартизований».
Планується, що стандартизацію Kyber
завершать у 2024 році.
-
Not Synced
Планується, що стандартизацію Kyber
завершать у 2024 році.
-
Not Synced
І проблема в тому, що ми досі не знаємо,
яким саме буде фінальний Kyber у 2024.
-
Not Synced
Бо досі пропонують зміни.
Тобто навіть якщо вийде стандарт у 2024...
-
Not Synced
...і якщо ліцензія дозволяє використовувати Kyber,
то...
...можливо, у 2023 вони вже визначили Kyber,
і, можливо, ті п’ять патентів...
-
Not Synced
...не зачеплять Kyber.
Буває, що люди проходять мінне поле — і не вибухають.
-
Not Synced
Іноді вдається не натиснути на жодну міну.
-
Not Synced
Отже, ми дійшли до кінця доповіді.
Ми вже достатньо розповіли про затримки та обхідні шляхи.
-
Not Synced
А тепер — що ми мали на увазі під словом «катастрофа»?
Звісно, якщо зламається те, що
-
Not Synced
було використано у тестах Google або Cloudflare,
це — катастрофа.
-
Not Synced
Але вони використовували резервний варіант —
використовували гібриди.
-
Not Synced
Тому це ще нормально.
-
Not Synced
Справжня катастрофа — це те,
що ми у 2022 році, а у нас
-
Not Synced
досі нема постквантової криптографії
на телефонах чи комп’ютерах.
-
Not Synced
Ми можемо вказати на приклади впровадження,
але загалом — це не масово.
-
Not Synced
Твої дані все ще зашифровані
алгоритмами, що можна зламати квантовим комп’ютером.
-
Not Synced
І це — справжня катастрофа.
-
Not Synced
Дякуємо за увагу!
-
Not Synced
Дякую, дякую!
-
Not Synced
Нерозбірливо
-
Not Synced
...або технології, які я використовую у фоновому режимі,
можливо, вже постквантові.
-
Not Synced
Я думаю, що моє SSH-з'єднання
вже використовує щось таке, тож, можливо, все не так погано.
-
Not Synced
Ми завжди можемо покладатися на OpenBSD.
Однозначно.
-
Not Synced
Подивимось, чи є запитання.
Ось одне: я розробник, створюю додаток...
-
Not Synced
...не обов'язково криптографічний —
як мені впевнитись, що алгоритм стійкий у постквантову еру?
-
Not Synced
Чи можу я вже зараз використовувати гібридний підхід,
щоб захистити своїх користувачів?
-
Not Synced
О! У нас є слайд саме для цього!
Покажи слайд!
-
Not Synced
Ми передбачили це питання.
Так, це все виглядає депресивно — але ось що робити:
-
Not Synced
Ми маємо слайд з практичними діями,
які ти можеш зробити вже зараз.
-
Not Synced
І наша порада: використовуй гібриди.
Мені здається, я вже казала це у 2016-му...
-
Not Synced
Я тоді казала: «Ось, дивись, що ти можеш зробити
вже зараз, ось наші пропозиції».
-
Not Synced
Ми вважаємо ці варіанти дуже безпечними.
І ось я знову тут — у грудні 2022-го...
-
Not Synced
...і я кажу: McEliece — це дуже обережна система.
І вона не має тих патентних проблем, які має Kyber.
-
Not Synced
Що ж таке гібрид?
Це комбінація передквантової та постквантової криптографії.
-
Not Synced
У шифруванні обидва мають брати участь
у генерації ключа.
-
Not Synced
У цифровому підписі —
обидва підписи мають бути чинними окремо.
-
Not Synced
Тільки тоді гібридний підпис — справжній підпис.
-
Not Synced
Є багато бібліотек, які можна подивитись,
щоб отримати уявлення про різні системи.
-
Not Synced
Ти можеш спробувати реалізувати їх.
Якість бібліотек зараз вже набагато краща,
-
Not Synced
ніж кілька років тому.
Постквантові реалізації стають зрілими.
-
Not Synced
Люди вкладають багато зусиль
у їх вдосконалення. Але ризики залишаються.
-
Not Synced
Проте ризик нічого не робити —
набагато більший.
-
Not Synced
Бо якщо ти нічого не зробиш,
твоя інформація залишиться вразливою
-
Not Synced
для майбутніх атак
з боку квантових комп’ютерів, які вже
-
Not Synced
сьогодні записують ці дані.
Тож краще експериментуй.
-
Not Synced
Ось приклад бібліотеки,
яка реалізує кілька різних алгоритмів
-
Not Synced
називається Quantum Safe OQS. Є й інші бібліотеки,
які працюють із певними криптосистемами.
-
Not Synced
Тож у більшості розробників є якийсь застосунок,
але знову ж таки: потрібно оцінювати якість.
-
Not Synced
І потрібно подумати,
наскільки якісною є сама реалізація.
-
Not Synced
Нова бібліотека, яка з’являється — lib.js.
У неї вже є кілька перевірок, і я би сказав, що вона надійна.
-
Not Synced
Але, на жаль, єдиний постквантовий алгоритм
у ній — це Kyber.
-
Not Synced
І якщо ви плануєте на 2024 — добре.
Але на зараз — це ще не варіант.
-
Not Synced
Він ще не підходить для повноцінного використання прямо зараз.
-
Not Synced
Якщо хочете щось швидке —
подивіться, що використовують OpenSSH чи Google з ntruhrss.
-
Not Synced
Ця система хоча б частково протестована.
-
Not Synced
Можна спробувати. Але завжди — використовуйте гібриди з ECC.
-
Not Synced
На всяк випадок —
якщо постквантовий компонент раптом зламається.
-
Not Synced
Раптом усе піде не так.
-
Not Synced
Але ж складно створити власну систему об’єднання?
Має бути правильний спосіб поєднання.
-
Not Synced
Мені ж потрібно якось об’єднати класичний
і постквантовий метод.
-
Not Synced
Так, це можливо.
Іноді достатньо просто: підписати першим алгоритмом...
-
Not Synced
...підписати другим,
а потім перевірити обидва підписи.
-
Not Synced
Але ми бачили приклади, де все пішло не так.
Треба бути дуже обережними.
-
Not Synced
Для шифрування зазвичай використовують ECC для обміну ключем,
а потім постквантову систему для другого обміну.
-
Not Synced
І далі об’єднуєш два ключі
через улюблену хеш-функцію.
-
Not Synced
Стандартна криптографічна хеш-функція —
це завжди добре.
-
Not Synced
Але ти казав про поєднання —
-
Not Synced
є чимало досліджень на цю тему...
-
Not Synced
нерозбірливо
-
Not Synced
Перепрошую, можеш повторити?
-
Not Synced
Йдеться про криптографічну хеш-функцію.
Не використовуй просто якусь XX-функцію.
-
Not Synced
Використовуй ту, яка справді є криптографічною.
-
Not Synced
Наприклад, SHA-512 —
так, її створили в NSA, але...
-
Not Synced
...вона витримала безліч спроб зламати її
і все ще тримається.
-
Not Synced
Є ще SHA-3, який теж пройшов публічне оцінювання.
-
Not Synced
І в більшості випадків немає проблем з тим,
щоб взяти два 32-байтові рядки, з’єднати їх...
-
Not Synced
...та пропустити через хеш-функцію.
І це буде ваш симетричний ключ.
-
Not Synced
Є навіть пропозиції,
як саме це правильно зробити.
-
Not Synced
Наприклад, IRTF або точніше — CFRG RFC.
А також деякі рекомендації від NIST.
-
Not Synced
Щодо використання гібридів
у стандартних сценаріях.
-
Not Synced
І трохи самореклами —
у нас є слайд із попередніми дослідженнями.
-
Not Synced
Там ми детально описали
підходи до впровадження та об'єднання гібридів.
-
Not Synced
Як робити це правильно.
Звісно, є ще етап вибору системи.
-
Not Synced
Потрібно обрати свою систему.
І як бачиш — є багато ризиків у реальному світі.
-
Not Synced
Можу згадати Skype як приклад для експериментів —
але проблема в тому, якщо хочеш використати це реально.
-
Not Synced
Але якщо це лише для досліджень чи хобі —
то це не страшно.
-
Not Synced
Якщо ти просто граєшся з цим,
або хочеш написати статтю — все ок.
-
Not Synced
але для продакшену — треба бути обережним.
-
Not Synced
І от вам вибір:
або як Google — спробувати щось нове і перевірити, чи не вибухне.
-
Not Synced
І нам пощастило — воно не вибухнуло.
Тож Google міг далі використовувати
-
Not Synced
NH або потім NTRU разом із ECC.
Або можна піти іншим шляхом:
-
Not Synced
Пріоритет безпеці.
Готовність втратити трохи швидкості та пропускної здатності.
-
Not Synced
Взяти найобережніші постквантові системи
і поєднати їх із ECC або RSA.
-
Not Synced
Це — вибір, який доведеться зробити,
якщо ви плануєте реалізацію.
-
Not Synced
Вирішуєш: швидкість чи обережність?
-
Not Synced
Тож ти можеш почати експериментувати вже зараз.
-
Not Synced
То чи нормально використовувати алгоритм,
який ще бере участь у конкурсі?
-
Not Synced
Який ще не стандартизований
або можливо ніколи не буде?
-
Not Synced
Навіть якщо для нього ще немає
відомих атак?
-
Not Synced
Коли бачиш так багато червоних міток —
починаєш думати: ми, криптографи, взагалі щось тямимо?
-
Not Synced
Як може бути стільки поламаного?
Це реально тривожно.
-
Not Synced
Але факт вибору NIST не додає
дуже багато впевненості.
-
Not Synced
Окей, коментар?
-
Not Synced
Хочу сказати, що ті системи, які відкинули
на першому етапі, ніхто більше не досліджував.
-
Not Synced
Люди втратили інтерес.
Але ті, що пройшли далі — досліджувалися більше.
-
Not Synced
Наприклад, NTRU Prime і HRSS-KEM
вийшли в третій раунд.
-
Not Synced
Але не перемогли у «конкурсі краси»,
який влаштував NIST.
-
Not Synced
Я вважаю, вони не гірші за ті,
що залишилися в фіналі.
-
Not Synced
І взагалі всі тут — лякають.
Але Google і OpenSSH таки щось вибрали.
-
Not Synced
Але більшість із 69 пропозицій —
вже не мають
-
Not Synced
того рівня безпеки,
який вони мали п’ять років тому.
-
Not Synced
Атаки стали сильнішими,
а деякі системи не мали запасу міцності.
-
Not Synced
Щоб зробити обґрунтоване рішення,
треба розуміти історію кожної з них.
-
Not Synced
Як довго їх досліджували?
Наскільки вони вистояли?
-
Not Synced
Деякі досліджені мало,
деякі — трохи більше.
-
Not Synced
Це і формує ризик.
-
Not Synced
Three Bears — гарна система.
Але після другого етапу її покинули.
-
Not Synced
І відтоді її майже ніхто не досліджував.
-
Not Synced
Вона може бути хорошою —
але ми цього точно не знаємо.
-
Not Synced
Ті, що пройшли в третій тур — чорні та сірі на слайді —
переважно ок.
-
Not Synced
І, звісно, сині.
-
Not Synced
Отже, вибирай ті, що сині або чорні.
Можна вважати, вони найкращі.
-
Not Synced
І наостанок — швидке питання:
-
Not Synced
якщо я параноїк у фользяному капелюсі...
-
Not Synced
...що я можу зробити,
щоб захистити своє спілкування?
-
Not Synced
Пропускай усе через OpenSSH.
-
Not Synced
Це вже непоганий старт.
-
Not Synced
Але, звісно, треба мати
-
Not Synced
клієнта і сервер, які це підтримують.
-
Not Synced
І хоча є деякі експериментальні реалізації —
-
Not Synced
масового впровадження майже нема.
-
Not Synced
VPN — ще один приклад.
Так, є постквантові VPN-рішення.
-
Not Synced
У Movad є постквантова альтернатива —
вони використовують McEliece, вони використовують
-
Not Synced
WireGuard для VPN, і у WireGuard є
опція додавання додаткового ключа
-
Not Synced
попередньо узгодженого ключа, який
Movad використовує разом із McEliece, тобто ви завантажуєте
-
Not Synced
це через McEliece, щоб забезпечити
постквантовий захист у Movad
-
Not Synced
Тобто це VPN, який не просто між
двома точками — зазвичай ви хочете повністю
-
Not Synced
з'єднатися з сайтом, до якого підключаєтеся, і
якщо у вас наскрізний захист,
-
Not Synced
це означає, що і клієнт, і сервер повинні
підтримувати постквантову криптографію
-
Not Synced
а оскільки впровадження затягнулося,
то наразі вона не настільки поширена, як
-
Not Synced
я очікував кілька років тому, коли
навколо неї було багато
-
Not Synced
ентузіазму
-
Not Synced
нерозбірливо
-
Not Synced
Добре, Таня хоче, щоб я розповів про PQ Connect,
він незабаром вийде і, сподіваюся, спростить
-
Not Synced
впровадження постквантової криптографії
для захисту вашого з'єднання
-
Not Synced
від початку до кінця, але його ще не
випустили, тож я не можу сказати багато
-
Not Synced
Я з нетерпінням чекаю PQ Connect. Думаю,
це все, дякуємо, що були з нами
-
Not Synced
і ділилися своїми знаннями, оновленнями,
пов’язаними з постквантовою криптографією
-
Not Synced
Велике спасибі Тані Ланге
та D.J.B!
-
Not Synced
Дякуємо!
-
Not Synced
[Translated by Marta-Sofiya Klakovych
(KYBS2004 course assignment at JYU.FI)]
