-
[Translated by Marta-Sofiya Klakovych
(KYBS2004 course assignment at JYU.FI)]
-
музика
-
Ласкаво просимо до цього хаотичного
року та заходу
-
Я Кара і я буду вашим диктором
-
Мені приємно оголосити доповідь
-
Пост-квантова криптографія:
-
обхідні шляхи, затримки та катастрофи
-
яку представляють Таня Ланге
та Д. Дж. Бернштейн
-
Таня Ланге — криптограф і математик,
-
яка спеціалізується на пост-квантовій криптографії
-
яка замінює ту криптографію,
яку ми використовуємо сьогодні
-
на варіанти, які є безпечними
проти атак квантових комп’ютерів
-
Вона є професоркою технічного
-
університету Ейндговена
-
і може пишатися численними
публікаціями та відзнаками
-
Вона також була координаторкою PQCrypto
-
що є загальноєвропейською ініціативою
-
для впровадження пост-квантової криптографії
-
Д. Дж. Б. є професором університету
-
Іллінойсу в Чикаго
-
а також професором Університету Бохума.
Він працює в галузі криптографії
-
і розробив шифрувальні системи, які використовуються
-
у криптографії з відкритим кодом,
можливо, ви зараз
-
використовуєте одну з них,
дивлячись цю доповідь
-
Разом вони реалізували вражаючу
кількість проєктів
-
від спрощення впровадження
безпечної криптографії
-
до створення безпечних
постквантових типів даних
-
обоє є активістами, які борються
-
за прозоріший процес
стандартизації криптографії
-
а тепер всі, плескайте своїми лапками
-
Давайте поаплодуємо
Тані Ланге та Д. Дж. Б.!
-
Добре, дякуємо за гарне представлення
-
давайте одразу перейдемо до справи —
почнемо з HTTPS
-
Коли ви заходите на сайт із HTTPS
(або захищене з’єднання)
-
ви використовуєте TLS — протокол безпеки транспортного рівня —
щоб захистити ваше з’єднання
-
TLS використовує два типи криптографії
з кількох причин
-
по-перше, він покладається
на криптографію з відкритим ключем
-
вона виконує дві функції:
по-перше, вона забезпечує підписи.
-
Підписи з відкритим ключем —
вони гарантують, що зловмисник не зможе
-
підмінити дані сервера
своїми власними
-
і прикидатися сервером.
-
додатково TLS використовує
шифрування з відкритим ключем
-
наприклад, NIST P-256 або
RSA-4096 як систему підпису
-
NIST P-256 також можна використовувати
для шифрування, щоб ваші дані були захищені
-
щоб він (зловмисник) не міг її зрозуміти
-
через причини, пов’язані з продуктивністю,
криптографія складніша, ніж
-
просто криптографія з відкритим ключем —
вона також включає симетричну криптографію
-
іноді її називають
криптографією із секретним ключем
-
коли ви збираєте все разом у TLS,
ви отримуєте три основні складові
-
це шифрування з відкритим ключем
-
яке не шифрує всі ваші дані, а натомість
-
шифрує лише ключ,
щоб зловмисники не могли його зрозуміти
-
цей ключ надсилається
безпечно і конфіденційно
-
від однієї сторони до іншої
-
а підписи з відкритим ключем
використовуються, щоб переконатися,
-
що зловмисник не може підмінити
інший ключ
-
і в кінці цей ключ використовується
-
для захисту ваших даних
із використанням симетричної криптографії
-
усі інші протоколи, які ви використовуєте,
-
можна було б представити
у подібних слайдах
-
наприклад, SSH, але вони всі працюють
майже однаково
-
я зараз підкреслю два елементи на цьому слайді
-
RSA-4096 —
типова система для підпису
-
і типова система шифрування —
NIST P-256
-
тому що ці дві (системи) будуть зламані
через квантові комп’ютери
-
без квантових комп’ютерів
жодних відомих
-
загроз не існувало б, але
-
якщо в атакуючого буде
великий квантовий комп’ютер
-
а це, найімовірніше, станеться
-
хоча це не гарантовано —
може, спроби створити квантовий комп’ютер
-
зазнають невдачі з якихось причин
-
але зараз виглядає так,
що квантові комп’ютери
-
стають дедалі успішнішими
-
і як тільки вони стануть достатньо потужними
-
можливо, за десять років
-
Тоді нападники зможуть запустити
алгоритм атаки,
-
який називається алгоритмом Шора,
що знаходить ваші секретні RSA-ключі і
-
секретні ключі NIST P-256,
і тоді зловмисники зможуть
-
отримати доступ до інформації,
яку вони вже зараз зберігають
-
це загроза не лише майбутнім даним,
але і
-
конфіденційності ваших поточних даних
-
бо зловмисники вже зараз
зберігають все, що можуть, з Інтернету
-
і коли у них буде
великий квантовий комп’ютер
-
вони зможуть розшифрувати все заднім числом,
бо зламають RSA-4096
-
і NIST P-256,
а саме NIST P-256 забезпечує шифрування
-
і вони зможуть повернутися в минуле
і зламати шифрування, яке ви використовуєте сьогодні
-
Що ж нам із цим робити?
-
Стандартний підхід — це те,
що ми називаємо
-
постквантовою криптографією —
ви вже чули цю назву раніше, вона була
-
в назві нашої доповіді —
це криптографія, яка створена спеціально
-
з урахуванням того,
що атакуючий має квантовий комп’ютер
-
тож, як уже казав ведучий,
-
я була координаторкою проєкту PQCRYPTO
-
і це означає, що я об’їздила
світ із доповідями про постквантову криптографію
-
ось скріншот із виступу,
який я провела шість з половиною років тому
-
де я підкреслювала, як сьогодні це зробив Ден,
важливість постквантової криптографії
-
і наголошувала, що важливо давати рекомендації,
-
які визначають, які алгоритми
варто використовувати для заміни RSA та
-
NIST P-256, які
ви бачили на попередніх слайдах
-
і тоді я поставила питання —
чи варто нам стандартизувати зараз чи пізніше
-
аргументи існують з обох сторін,
і ну… якби ми стандартизували тоді,
-
шість років тому,
здавалося, що ще занадто багато роботи, і що ми отримаємо
-
набагато кращу систему,
якщо трохи зачекаємо
-
але з іншого боку існує занепокоєння
через дані, які збирають уряди та інші темні сили
-
і чим пізніше це буде опубліковано, тим більше даних і безпеки буде втрачено
-
тому важливо просуватися вперед,
і тоді нашою відповіддю було таке:
-
те, що я просувала у 2016 році —
це рекомендації, опубліковані у 2015 році, в яких
-
йшлося про те, що
стандартизація займає багато часу
-
ми ще не на тій стадії,
але якщо хтось хоче захистити себе.
-
Ось що ми… ну, тобто ціла група
-
дослідників, які підписали цю заяву
як частину проєкту PQCRYPTO
-
що ми рекомендували?
Наша рекомендація була у тому, що ми назвали
-
«обережною криптографією»
-
і це не означає
політичний консерватизм
-
це означає щось нудне,
щось, що вже давно відоме
-
багато людей його вже проаналізували,
і ми не очікуємо жодних змін
-
у сфері симетричних ключів, як уже казав Ден,
-
квантові комп’ютери на них не впливають
-
тому якщо використовувати достатньо великі ключі
-
256-бітові ключі,
то AES або Salsa20 є достатніми
-
те саме стосується аутентифікації —
якщо ви отримали ключ, його не підробити
-
але для шифрування і підписів
з відкритим ключем, RSA-4096
-
і ECC NIST P-256 — їх потрібно замінити
і ми маємо альтернативи. Ось
-
рекомендація з високим рівнем довіри:
-
використовуйте систему МакЕліса —
назва ще з’явиться пізніше
-
і використовуйте
сигнатури, засновані на хешах
-
ми також представили деякі алгоритми
як «перебувають у стадії оцінювання»
-
що означає — поки не варто їх використовувати
-
але згодом вони можуть виявитися придатними.
-
І для нас це нормально — ми вбили кілок у землю,
-
ми сказали: «Ось, це безпечно»
-
і люди повинні діяти відповідно,
і всі житимуть довго і щасливо
-
і наш виступ на цьому завершено
-
...чи всі дійсно
житимуть довго і щасливо?
-
до кінця свого життя?
-
Давайте подивимось,
що сталося насправді після цього
-
Організація… ну,
речі, які мали бути оприлюднені
-
насправді був один експеримент,
який Google проводив
-
у 2016 році Google Chrome
додав постквантовий варіант
-
це не означає, що кожен
-
вебсервер підтримував його —
це був просто експеримент
-
Google активував його лише на деяких
-
своїх серверах і сказав:
«Добре, подивимось,
-
як це працює», — і звучали
дуже натхненно у своєму блозі
-
де вони оголосили,
що допомагають користувачам захиститися
-
від квантових комп’ютерів —
подивимось, чи спрацює
-
Система, яку вони використовували,
називалася New Hope (NH)
-
Вони шифрували не лише за допомогою NH —
NH є постквантовою шифрувальною системою
-
Вони також шифрували
традиційною
-
криптографією — еліптичними кривими
-
як уже згадувала Таня —
NIST P-256 — приклад ECC
-
іншим прикладом ECC є x25519 —
ви, ймовірно, використовуєте це сьогодні
-
щоб шифрувати свої дані
і ось що зробив Google:
-
Він шифрував NH для
постквантового захисту
-
і одночасно шифрував
x25519, як вони роблять
-
зазвичай і сьогодні —
ідея була в тому, що якщо щось
-
піде не так із NH,
то ми все одно маємо звичайний захист
-
тобто, щонайменше,
немає негайної загрози
-
безпеці —
вони не погіршують ситуацію
-
звісно, якщо NH зламано,
то й не покращують
-
але основна ідея —
спробувати зробити краще і
-
в той же час переконатися,
що не стане гірше — шифруючи обома:
-
традиційним і постквантовим
методом
-
План «Б» дуже важливий,
бо NH — нова шифрувальна система
-
тобто у 2016 вона була новою,
ключові елементи NH були створені
-
у 2010, 2014 і 2015 роках —
а це не так багато часу для перевірки
-
в криптографії іноді минають роки,
поки знаходять вразливості
-
тому дуже важливо, щоб новим шифрувальним системам дали час дозріти
-
інша проблема з новими шифрувальними системами
-
— їх можуть запатентувати.
Патенти діють 20 років, і це сталося
-
з NH. Власник патенту звернувся
до Google і сказав: «Я хочу гроші за ваше
-
використання NH». Google
ніколи публічно не коментував цю
-
патентну загрозу,
але з якихось причин у листопаді 2016 року
вони прибрали NH
-
з Chrome і своїх серверів.
У 2016 році також сталися інші події:
-
в уряді США є установа — NIST,
яка має довгу історію співпраці
-
з Агентством нацбезпеки США (NSA).
NIST оголосив, що наприкінці 2017 року
-
вони хочуть, щоб криптографи подали
пропозиції
-
щодо постквантових алгоритмів —
для шифрування й підпису,
-
які згодом можна було б стандартизувати.
Цікавий момент з їхньої заявки:
-
не дозволено надсилати гібриди — тобто
системи, які шифрують і
-
за допомогою постквантових алгоритмів, і ECC,
або підписують чимось, що ви вже використовуєте, разом із
-
постквантовим рішенням.
Вони сказали, що алгоритми не повинні
-
включати ECC чи будь-який інший алгоритм,
який може бути зламаний квантовими комп’ютерами
-
З точки зору розробника додатків,
зручно мати ECC-шар окремо
-
і сказати: що б ви не робили
з постквантовим алгоритмом,
-
все одно поєднуєте його з x25519, наприклад.
Але вони не сказали, що треба
-
поєднувати все з ECC — наприклад,
x25519 як окремий шар. Вони сказали:
-
не подавайте нічого,
що поєднується з ECC
-
Провівши цей конкурс на постквантові системи,
NIST надіслав сигнал компаніям:
-
почекайте, не впроваджуйте
постквантову криптографію поки що
-
і тут був і батіг, і пряник.
Батіг — це патенти: Google щойно
-
втрапив у халепу через використання
чогось, на що раптом знайшовся патент
-
що ще може бути запатентоване?
А NIST сказав: у нас є процес,
-
який веде до криптографічних стандартів,
які можна реалізовувати вільно, тобто патенти
-
не завадять вам це використовувати.
І вони також сказали, що виберуть щось,
-
що буде досить надійним —
безпека буде головним критерієм у відборі
-
І отже, галузь сказала: «Добре,
чекаємо від NIST рішення», а інші
-
органи стандартизації — також.
У IETF є свій дослідницький підрозділ,
-
IRTF, який створює стандарти для Інтернету.
І криптографічна група в IRTF сказала:
-
ми стандартизуємо те, що вже є в роботі,
наприклад, геш-функції
-
але для всього іншого —
чекаємо NIST. ISO теж сказала, що чекає
-
NIST. Не всі організації сказали це —
наприклад, уряд Китаю
-
заявив, що проведе свій власний конкурс.
Але, ну… кого це цікавить?
-
Тож повертаємося до конкурсу NIST:
ось усі заявки. Наприкінці 2017 року
-
було 69 заявок від 260 криптографів.
Я не буду зачитувати всі імена, але це була
-
величезна кількість роботи
для аналітиків у криптографії.
-
Ми весело проводили час на початку 2017-го,
а ті, хто бачив нас на сцені у 2018-му,
-
знають, що ми розповідали про те,
як весело нам було зламувати ці пропозиції
-
але це була справжня купа роботи.
Подивимось, що зробив NIST з конкурсом.
-
У 2019-му, тобто через два роки —
ну, рік із чимось — вони почали
-
скорочувати кількість кандидатів
до 26. А в липні 2020-го
-
їх ще скоротили — до 15.
Мета була зосередитись на тому,
-
що має сенс, і пріоритет давали
найбезпечнішим кандидатам, за винятком
-
випадків, де застосування вимагало
більшої ефективності
-
Насправді ні — вони зовсім так не робили.
Якщо почитати звіт і подивитись,
-
яких кандидатів вони обрали —
щоразу, коли був вибір
-
між швидкістю і безпекою,
звісно, вони відсікали
-
алгоритми, які були повністю зламані,
і ті, що були дуже неефективні
-
але от вам приклад — SPHINCS,
який згадувала Таня раніше,
-
дуже обережний,
усі погоджуються, що це — найбезпечніша система підпису
-
Але NIST не сказав: «Використовуйте SPHINCS»,
а: «Ми зачекаємо стандартизації SPHINCS+,
-
хіба що стільки всього виявиться зламаним,
що доведеться взяти SPHINCS+»
-
І от у липні цього року NIST
оголосив, що обирає чотири стандарти
-
один із них — SPHINCS+, а ще чотири
кандидати залишаються під розглядом
-
виглядає так, ніби впевненість трохи похитнулась.
Тож що ж сталося?
-
Картинка з 69 заявками змінилася,
якщо перемотати час на 5,5 років вперед
-
Ось кольорове кодування: сині —
це ті, що залишаються в конкурсі NIST, тобто чотири
-
алгоритми, які мають стати стандартами,
і ще чотири кандидати четвертого раунду
-
сірі не пройшли далі —
це не означає, що вони були зламані,
-
але їх відсіяли настільки рано,
що ніхто вже не мав інтересу їх ламати
-
коричневий означає менш захищений,
ніж було заявлено; червоний —
-
означає справді зламаний,
а підкреслений червоний — це
-
повністю-повністю зламаний.
-
Як бачите, зламаних систем багато.
-
Є також цікавий фіолетовий у нижньому правому куті
-
якщо пам’ятаєте уроки малювання —
фіолетовий — це суміш червоного і синього.
-
SIKE було обрано
-
у липні, а вже в липні і зламано —
після 5 років аналізу, його зламали
-
за лічені секунди.
Це приклад того, коли щось справді пішло не так
-
і низка дрібних подій
похитнула впевненість
-
тому NIST хоча б обрав SPHINCS,
але це не призвело до обрання
-
інших обережних варіантів —
деякі з них ще «дозрівають»
-
але ця сфера поки що не зріла.
-
А що відбувалося тим часом
із боку впровадження?
-
Згадайте: було два моменти на слайдах Тані
ще з 2016 року. Вона сказала:
-
було б добре вже впровадити щось,
щоб захистити користувачів, бо
-
у нас є проблема з безпекою вже зараз —
зловмисники
-
вже записують все, і ми повинні
намагатися захиститися від цього, і
-
зробити це швидше, ніж
триває процес стандартизації. Google
-
почав це у 2016-му,
але злякався патентної загрози. До 2019-го
-
галузі й багато проєктів з відкритим кодом
подумали: можливо, вже час
-
впроваджувати нові рішення —
щось пішло не так у 2016-му,
-
але на той момент NIST уже зібрав
підтвердження від усіх учасників конкурсу
-
і з’ясував, які пропозиції
є запатентованими. Це дало нам
-
багато інформації, коли 260 криптографів
вказали, що саме захищено патентами
-
І вже у 2019-му стало ще очевидніше,
що квантові комп’ютери — на горизонті.
-
Тож приклади того, що сталося у 2019-му: OpenSSH версії 8, надихаючись TinySSH,
-
оголосив, що додасть гібридний варіант — поєднання алгоритму
-
на еліптичних кривих
і одного з постквантових кандидатів.
-
Він не активований за замовчуванням,
але якщо ви додасте рядок у налаштування. І на сервері, і на клієнті —
використовуватиметься постквантове шифрування.
-
А якщо постквантова частина буде зламана,
ви все одно маєте ECC як захист.
-
У липні 2019 року Google і Cloudflare
запустили експеримент із постквантовим шифруванням.
-
У ньому були дві версії:
деякі користувачі шифрували з ntruhrss
-
у поєднанні з ECC, звісно —
завжди використовуйте гібриди. Інша версія:
-
використовувала sikep і ECC.
Так, Таня сказала: «Ой».
-
Це приклад того, наскільки важливо
поєднувати все з ECC, щоб не втратити
-
поточний рівень безпеки —
усі ми зараз користуємось ECC.
-
Тож використовуйте і постквантові системи, і ECC,
щоб у гіршому випадку втратити лише час,
-
а в кращому — щось виграти.
Принаймні користувачі sikep мають захист ECC.
-
Також у жовтні 2019 року Google оголосив
про досягнення квантової переваги —
-
мається на увазі, що квантовий комп’ютер
виконав задачу швидше, ніж будь-який суперкомп’ютер.
-
Це було не щось практичне,
і мине ще багато років, перш ніж
-
з’являться реальні задачі, які
квантові комп’ютери вирішуватимуть швидше
-
за класичні комп’ютери.
Але навіть сама назва — «квантова перевага» —
-
вже вводить в оману,
хоч і є цікавим кроком уперед у квантових обчисленнях.
-
Ця назва, ймовірно, привернула багато
уваги та викликала тривогу.
-
У 2021–2022 роках OpenSSH, OpenBSD і Google
почали раптово оновлювати свої системи.
-
OpenSSH версії 9.0 уже включає sntrup і ECC
як стандарт — отже, якщо у вас
-
встановлено OpenSSH 9 на сервері
та на віддаленій машині
-
— використовується постквантовий алгоритм автоматично.
-
Насправді, ще версії OpenSSH до 8.5
теж це підтримують, але тоді
-
вам потрібно вручну його активувати,
щоб сервер і клієнт це використовували.
-
А в OpenSSH 9 це вже увімкнено за замовчуванням.
Так само і в Google:
-
з листопада, тобто з минулого місяця,
вони шифрують свою внутрішню
-
комунікацію за допомогою ntruhrss і ECC.
Тож сподіваємось, ntruhrss працює і
-
буде безпечним проти квантових комп’ютерів
у майбутньому.
-
Це також добре відповідає ідеї
так званого "cleansing code" — чистого коду.
-
Як уже згадувалося, чистий код
ще не стандартизований у криптографії,
-
але він заохочує дослідження
і адаптацію користувачів.
-
Наприклад, американський банківський стандарт
US ANSI NTX9 заявив, що
-
у майбутньому вони перейдуть
на постквантові стандарти.
-
Тобто вони очікують на спільне використання
класичної криптографії —
-
яку ще називають передквантовою —
і постквантової одночасно.
-
Одна — стандартизована і перевірена,
інша — ще нова і трохи незручна, але
-
нам вона потрібна для довготривалої безпеки.
І, можливо, в довгій перспективі
-
нам справді потрібна буде ця гібридна
комбінація. Далі — зі США до Франції:
-
від ANSI до ANSSI —
французьке агентство з кібербезпеки. Вони теж кажуть:
-
не використовуйте постквантові алгоритми
окремо, бо вони ще не дозріли.
-
Але ця незрілість — не привід
відкладати перші кроки впровадження.
-
ANSSI заохочує впроваджувати гібриди —
поєднуючи надійний класичний метод
-
із постквантовим алгоритмом.
-
Отже, все чудово йде за планом,
який Таня описувала на слайдах у 2016 році.
-
Стандартизація йде повільно,
але впровадження відбувається паралельно:
-
ми почали використовувати постквантове
шифрування разом з ECC — на випадок,
-
Not Synced
якщо щось піде не так —
і щоб захистити користувачів якомога раніше.
-
Not Synced
Що ж сказала на це влада США?
Починаючи з 2021 року уряд США
-
Not Synced
дуже чітко дав зрозуміти, чого він хоче.
Ви, мабуть, думаєте — вони хочуть,
-
Not Synced
щоб ви захищались від квантових атак?
Ні-ні — вони якраз НЕ хочуть, щоб ви
-
Not Synced
захищались від квантових комп’ютерів.
Ось, наприклад, цитата від NIST —
-
Not Synced
голови відділу кібербезпеки
Інформаційної лабораторії
-
Not Synced
яка і запустила конкурс
на постквантові алгоритми.
-
Not Synced
У липні 2021 року, невдовзі після того,
як OpenBSD і OpenSSH почали впровадження.
-
Not Synced
Він сказав: не дозволяйте людям купувати
і впроваджувати нестандартизовану постквантову
-
Not Synced
криптографію. І ще один приклад — АНБ,
яке тісно співпрацює з NIST, заявило:
-
Not Synced
не реалізовуйте й не використовуйте
нестандартизовану постквантову криптографію.
-
Not Synced
І щоб, бува, хтось не проігнорував це послання,
агентство безпеки
-
Not Synced
(ти думаєш, ці агентства між собою координуються?)
-
Not Synced
агентство безпеки заявило: не використовуйте
постквантові криптопродукти, доки
-
Not Synced
не завершено стандартизацію, впровадження
та тестування замінювальних програм
-
Not Synced
на основі затверджених алгоритмів від NIST.
-
Not Synced
Оце вже звучить як тривожний дзвіночок.
А ще дивно те, що вони кажуть:
-
Not Synced
якщо ви вже впроваджуєте
постквантову криптографію — не використовуйте гібриди.
-
Not Synced
І ти можеш подумати: я щось не так зрозумів?
Чи вони справді це сказали?
-
Not Synced
Ось слайд із конференції — фото Маркку Саарінена.
Я був там і можу підтвердити:
-
Not Synced
виступаючий чітко сказав: не варто
використовувати гібридні підходи.
-
Not Synced
Він неодноразово повторив:
не використовуйте нічого вже зараз. Вони також не
-
Not Synced
очікували затвердження постквантових алгоритмів
на основі логіки "на всяк випадок поєднуй усе".
-
Not Synced
Пізніше вони опублікували нові інструкції,
де сказано: буде однозначна заміна —
-
Not Synced
вимикаємо ECC і RSA,
вмикаємо постквантову криптографію.
-
Not Synced
І їхній аргумент був:
у ECC можуть бути помилки реалізації — тож вимикай
-
Not Synced
ECC. Погана ідея —
хіба що ти хакер, тоді це ідеально.
-
Not Synced
Тепер ти, можливо, думаєш:
"Ну ми ж усе одно будемо використовувати гібриди",
навіть якщо АНБ каже "не треба".
-
Not Synced
І ось це речення —
"не використовуйте нестандартизоване" —
-
Not Synced
мабуть, уже неактуальне, правда?
Адже NIST оголосив у липні: ми стандартизуємо Kyber.
-
Not Synced
Тобто: використовуйте Kyber.
Але ні. Насправді вони так не сказали.
-
Not Synced
Подивімося в деталі. Спершу —
пам’ятаєш, як Google мав проблеми з патентами для NH?
-
Not Synced
Ну так от, Kyber — це як син New Hope.
І вони, здається, переплутали Star Wars зі Star Trek:
-
Not Synced
ходили чутки, що Kyber внутрішньо
називали "New Hope: The Next Generation".
-
Not Synced
Пізніше знайшли кращу назву,
але по суті — Kyber дуже схожий на NH.
-
Not Synced
І має ті ж проблеми з патентами.
Це єдиний алгоритм шифрування, який обрав NIST.
-
Not Synced
Вони обрали SPHINCS+
і ще дві схеми підпису,
-
Not Synced
і лише одну схему шифрування — Kyber.
Це єдиний варіант захисту ваших даних
-
Not Synced
відповідно до стандартів NIST.
А Kyber, як і NH, перебуває
-
Not Synced
у полі з мін із семи патентів.
-
Not Synced
Це не означає, що всі сім — чинні.
Але це складна справа. Щоб оцінити патент,
-
Not Synced
треба розуміти патентне право,
і знати, як інтерпретувати пріоритети,
-
Not Synced
перекриття, розширення.
Все дуже заплутано.
-
Not Synced
Один із простих способів позбутись патентів —
викупити їх і зробити публічними.
-
Not Synced
І NIST у липні заявив:
ми ведемо переговори з третіми сторонами,
-
Not Synced
аби підписати угоди
і уникнути потенційних патентних проблем.
-
Not Synced
Чудово! Отже, можна використовувати Kyber?
-
Not Synced
Але компанії кажуть:
-
Not Synced
«Покажіть нам самі угоди, будь ласка».
-
Not Synced
Наприклад, Скотт Флюрер із Cisco заявив:
-
Not Synced
Cisco не зможе впровадити Kyber,
поки ми не побачимо текст ліцензій.
-
Not Synced
А потім виявилось: NIST узагалі
нічого не підписував у липні.
-
Not Synced
Але в листопаді вони нарешті сказали:
так, ми підписали дві ліцензійні угоди.
-
Not Synced
І ось трохи з їхнього змісту:
-
Not Synced
Але якщо уважно прочитати,
ліцензії стосуються лише стандарту, який описав NIST.
-
Not Synced
І будь-яке модифікування або використання
чогось, що не є цим стандартом, — заборонено.
-
Not Synced
Тобто, Kyber не можна змінювати або
використовувати поза стандартом NIST.
-
Not Synced
Можливо, ти думаєш: ну, вони ж уже обрали Kyber,
вони ж його стандартизували в липні?
-
Not Synced
Ні. Насправді в липні
вони лише заявили про наміри.
-
Not Synced
Вони планують стандартизувати Kyber —
а це не те саме, що «він уже стандартизований».
Планується, що стандартизацію Kyber
завершать у 2024 році.
-
Not Synced
Планується, що стандартизацію Kyber
завершать у 2024 році.
-
Not Synced
І проблема в тому, що ми досі не знаємо,
яким саме буде фінальний Kyber у 2024.
-
Not Synced
Бо досі пропонують зміни.
Тобто навіть якщо вийде стандарт у 2024...
-
Not Synced
...і якщо ліцензія дозволяє використовувати Kyber,
то...
...можливо, у 2023 вони вже визначили Kyber,
і, можливо, ті п’ять патентів...
-
Not Synced
...не зачеплять Kyber.
Буває, що люди проходять мінне поле — і не вибухають.
-
Not Synced
Іноді вдається не натиснути на жодну міну.
-
Not Synced
Отже, ми дійшли до кінця доповіді.
Ми вже достатньо розповіли про затримки та обхідні шляхи.
-
Not Synced
А тепер — що ми мали на увазі під словом «катастрофа»?
Звісно, якщо зламається те, що
-
Not Synced
було використано у тестах Google або Cloudflare,
це — катастрофа.
-
Not Synced
Але вони використовували резервний варіант —
використовували гібриди.
-
Not Synced
Тому це ще нормально.
-
Not Synced
Справжня катастрофа — це те,
що ми у 2022 році, а у нас
-
Not Synced
досі нема постквантової криптографії
на телефонах чи комп’ютерах.
-
Not Synced
Ми можемо вказати на приклади впровадження,
але загалом — це не масово.
-
Not Synced
Твої дані все ще зашифровані
алгоритмами, що можна зламати квантовим комп’ютером.
-
Not Synced
І це — справжня катастрофа.
-
Not Synced
Дякуємо за увагу!
-
Not Synced
Дякую, дякую!
-
Not Synced
Нерозбірливо
-
Not Synced
...або технології, які я використовую у фоновому режимі,
можливо, вже постквантові.
-
Not Synced
Я думаю, що моє SSH-з'єднання
вже використовує щось таке, тож, можливо, все не так погано.
-
Not Synced
Ми завжди можемо покладатися на OpenBSD.
Однозначно.
-
Not Synced
Подивимось, чи є запитання.
Ось одне: я розробник, створюю додаток...
-
Not Synced
...не обов'язково криптографічний —
як мені впевнитись, що алгоритм стійкий у постквантову еру?
-
Not Synced
Чи можу я вже зараз використовувати гібридний підхід,
щоб захистити своїх користувачів?
-
Not Synced
О! У нас є слайд саме для цього!
Покажи слайд!
-
Not Synced
Ми передбачили це питання.
Так, це все виглядає депресивно — але ось що робити:
-
Not Synced
Ми маємо слайд з практичними діями,
які ти можеш зробити вже зараз.
-
Not Synced
І наша порада: використовуй гібриди.
Мені здається, я вже казала це у 2016-му...
-
Not Synced
Я тоді казала: «Ось, дивись, що ти можеш зробити
вже зараз, ось наші пропозиції».
-
Not Synced
Ми вважаємо ці варіанти дуже безпечними.
І ось я знову тут — у грудні 2022-го...
-
Not Synced
...і я кажу: McEliece — це дуже обережна система.
І вона не має тих патентних проблем, які має Kyber.
-
Not Synced
Що ж таке гібрид?
Це комбінація передквантової та постквантової криптографії.
-
Not Synced
У шифруванні обидва мають брати участь
у генерації ключа.
-
Not Synced
У цифровому підписі —
обидва підписи мають бути чинними окремо.
-
Not Synced
Тільки тоді гібридний підпис — справжній підпис.
-
Not Synced
Є багато бібліотек, які можна подивитись,
щоб отримати уявлення про різні системи.
-
Not Synced
Ти можеш спробувати реалізувати їх.
Якість бібліотек зараз вже набагато краща,
-
Not Synced
ніж кілька років тому.
Постквантові реалізації стають зрілими.
-
Not Synced
Люди вкладають багато зусиль
у їх вдосконалення. Але ризики залишаються.
-
Not Synced
Проте ризик нічого не робити —
набагато більший.
-
Not Synced
Бо якщо ти нічого не зробиш,
твоя інформація залишиться вразливою
-
Not Synced
для майбутніх атак
з боку квантових комп’ютерів, які вже
-
Not Synced
сьогодні записують ці дані.
Тож краще експериментуй.
-
Not Synced
Ось приклад бібліотеки,
яка реалізує кілька різних алгоритмів
-
Not Synced
називається Quantum Safe OQS. Є й інші бібліотеки,
які працюють із певними криптосистемами.
-
Not Synced
Тож у більшості розробників є якийсь застосунок,
але знову ж таки: потрібно оцінювати якість.
-
Not Synced
І потрібно подумати,
наскільки якісною є сама реалізація.
-
Not Synced
Нова бібліотека, яка з’являється — lib.js.
У неї вже є кілька перевірок, і я би сказав, що вона надійна.
-
Not Synced
Але, на жаль, єдиний постквантовий алгоритм
у ній — це Kyber.
-
Not Synced
І якщо ви плануєте на 2024 — добре.
Але на зараз — це ще не варіант.
-
Not Synced
Він ще не підходить для повноцінного використання прямо зараз.
-
Not Synced
Якщо хочете щось швидке —
подивіться, що використовують OpenSSH чи Google з ntruhrss.
-
Not Synced
Ця система хоча б частково протестована.
-
Not Synced
Можна спробувати. Але завжди — використовуйте гібриди з ECC.
-
Not Synced
На всяк випадок —
якщо постквантовий компонент раптом зламається.
-
Not Synced
Раптом усе піде не так.
-
Not Synced
Але ж складно створити власну систему об’єднання?
Має бути правильний спосіб поєднання.
-
Not Synced
Мені ж потрібно якось об’єднати класичний
і постквантовий метод.
-
Not Synced
Так, це можливо.
Іноді достатньо просто: підписати першим алгоритмом...
-
Not Synced
...підписати другим,
а потім перевірити обидва підписи.
-
Not Synced
Але ми бачили приклади, де все пішло не так.
Треба бути дуже обережними.
-
Not Synced
Для шифрування зазвичай використовують ECC для обміну ключем,
а потім постквантову систему для другого обміну.
-
Not Synced
І далі об’єднуєш два ключі
через улюблену хеш-функцію.
-
Not Synced
Стандартна криптографічна хеш-функція —
це завжди добре.
-
Not Synced
Але ти казав про поєднання —
-
Not Synced
є чимало досліджень на цю тему...
-
Not Synced
нерозбірливо
-
Not Synced
Перепрошую, можеш повторити?
-
Not Synced
Йдеться про криптографічну хеш-функцію.
Не використовуй просто якусь XX-функцію.
-
Not Synced
Використовуй ту, яка справді є криптографічною.
-
Not Synced
Наприклад, SHA-512 —
так, її створили в NSA, але...
-
Not Synced
...вона витримала безліч спроб зламати її
і все ще тримається.
-
Not Synced
Є ще SHA-3, який теж пройшов публічне оцінювання.
-
Not Synced
І в більшості випадків немає проблем з тим,
щоб взяти два 32-байтові рядки, з’єднати їх...
-
Not Synced
...та пропустити через хеш-функцію.
І це буде ваш симетричний ключ.
-
Not Synced
Є навіть пропозиції,
як саме це правильно зробити.
-
Not Synced
Наприклад, IRTF або точніше — CFRG RFC.
А також деякі рекомендації від NIST.
-
Not Synced
Щодо використання гібридів
у стандартних сценаріях.
-
Not Synced
І трохи самореклами —
у нас є слайд із попередніми дослідженнями.
-
Not Synced
Там ми детально описали
підходи до впровадження та об'єднання гібридів.
-
Not Synced
Як робити це правильно.
Звісно, є ще етап вибору системи.
-
Not Synced
Потрібно обрати свою систему.
І як бачиш — є багато ризиків у реальному світі.
-
Not Synced
Можу згадати Skype як приклад для експериментів —
але проблема в тому, якщо хочеш використати це реально.
-
Not Synced
Але якщо це лише для досліджень чи хобі —
то це не страшно.
-
Not Synced
Якщо ти просто граєшся з цим,
або хочеш написати статтю — все ок.
-
Not Synced
але для продакшену — треба бути обережним.
-
Not Synced
І от вам вибір:
або як Google — спробувати щось нове і перевірити, чи не вибухне.
-
Not Synced
І нам пощастило — воно не вибухнуло.
Тож Google міг далі використовувати
-
Not Synced
NH або потім NTRU разом із ECC.
Або можна піти іншим шляхом:
-
Not Synced
Пріоритет безпеці.
Готовність втратити трохи швидкості та пропускної здатності.
-
Not Synced
Взяти найобережніші постквантові системи
і поєднати їх із ECC або RSA.
-
Not Synced
Це — вибір, який доведеться зробити,
якщо ви плануєте реалізацію.
-
Not Synced
Вирішуєш: швидкість чи обережність?
-
Not Synced
Тож ти можеш почати експериментувати вже зараз.
-
Not Synced
То чи нормально використовувати алгоритм,
який ще бере участь у конкурсі?
-
Not Synced
Який ще не стандартизований
або можливо ніколи не буде?
-
Not Synced
Навіть якщо для нього ще немає
відомих атак?
-
Not Synced
Коли бачиш так багато червоних міток —
починаєш думати: ми, криптографи, взагалі щось тямимо?
-
Not Synced
Як може бути стільки поламаного?
Це реально тривожно.
-
Not Synced
Але факт вибору NIST не додає
дуже багато впевненості.
-
Not Synced
Окей, коментар?
-
Not Synced
Хочу сказати, що ті системи, які відкинули
на першому етапі, ніхто більше не досліджував.
-
Not Synced
Люди втратили інтерес.
Але ті, що пройшли далі — досліджувалися більше.
-
Not Synced
Наприклад, NTRU Prime і HRSS-KEM
вийшли в третій раунд.
-
Not Synced
Але не перемогли у «конкурсі краси»,
який влаштував NIST.
-
Not Synced
Я вважаю, вони не гірші за ті,
що залишилися в фіналі.
-
Not Synced
І взагалі всі тут — лякають.
Але Google і OpenSSH таки щось вибрали.
-
Not Synced
Але більшість із 69 пропозицій —
вже не мають
-
Not Synced
того рівня безпеки,
який вони мали п’ять років тому.
-
Not Synced
Атаки стали сильнішими,
а деякі системи не мали запасу міцності.
-
Not Synced
Щоб зробити обґрунтоване рішення,
треба розуміти історію кожної з них.
-
Not Synced
Як довго їх досліджували?
Наскільки вони вистояли?
-
Not Synced
Деякі досліджені мало,
деякі — трохи більше.
-
Not Synced
Це і формує ризик.
-
Not Synced
Three Bears — гарна система.
Але після другого етапу її покинули.
-
Not Synced
І відтоді її майже ніхто не досліджував.
-
Not Synced
Вона може бути хорошою —
але ми цього точно не знаємо.
-
Not Synced
Ті, що пройшли в третій тур — чорні та сірі на слайді —
переважно ок.
-
Not Synced
І, звісно, сині.
-
Not Synced
Отже, вибирай ті, що сині або чорні.
Можна вважати, вони найкращі.
-
Not Synced
І наостанок — швидке питання:
-
Not Synced
якщо я параноїк у фользяному капелюсі...
-
Not Synced
...що я можу зробити,
щоб захистити своє спілкування?
-
Not Synced
Пропускай усе через OpenSSH.
-
Not Synced
Це вже непоганий старт.
-
Not Synced
Але, звісно, треба мати
-
Not Synced
клієнта і сервер, які це підтримують.
-
Not Synced
І хоча є деякі експериментальні реалізації —
-
Not Synced
масового впровадження майже нема.
-
Not Synced
VPN — ще один приклад.
Так, є постквантові VPN-рішення.
-
Not Synced
У Movad є постквантова альтернатива —
вони використовують McEliece, вони використовують
-
Not Synced
WireGuard для VPN, і у WireGuard є
опція додавання додаткового ключа
-
Not Synced
попередньо узгодженого ключа, який
Movad використовує разом із McEliece, тобто ви завантажуєте
-
Not Synced
це через McEliece, щоб забезпечити
постквантовий захист у Movad
-
Not Synced
Тобто це VPN, який не просто між
двома точками — зазвичай ви хочете повністю
-
Not Synced
з'єднатися з сайтом, до якого підключаєтеся, і
якщо у вас наскрізний захист,
-
Not Synced
це означає, що і клієнт, і сервер повинні
підтримувати постквантову криптографію
-
Not Synced
а оскільки впровадження затягнулося,
то наразі вона не настільки поширена, як
-
Not Synced
я очікував кілька років тому, коли
навколо неї було багато
-
Not Synced
ентузіазму
-
Not Synced
нерозбірливо
-
Not Synced
Добре, Таня хоче, щоб я розповів про PQ Connect,
він незабаром вийде і, сподіваюся, спростить
-
Not Synced
впровадження постквантової криптографії
для захисту вашого з'єднання
-
Not Synced
від початку до кінця, але його ще не
випустили, тож я не можу сказати багато
-
Not Synced
Я з нетерпінням чекаю PQ Connect. Думаю,
це все, дякуємо, що були з нами
-
Not Synced
і ділилися своїми знаннями, оновленнями,
пов’язаними з постквантовою криптографією
-
Not Synced
Велике спасибі Тані Ланге
та D.J.B!
-
Not Synced
Дякуємо!
-
Not Synced
[Translated by Marta-Sofiya Klakovych
(KYBS2004 course assignment at JYU.FI)]
