SecurityWeek разговаря с Майкъл Осбърн, главен технически директор на IBM Quantum Safe, за по-добро разбиране на необходимостта и принципите на квантовата криптография.
NIST официално публикува три стандарта за постквантова криптография от конкурса, който проведе за разработване на криптография, способна да издържи на очакваното от квантовите компютри декриптиране на сегашното асиметрично криптиране.
Няма изненади – но сега това е официално. Трите стандарта са ML-KEM (по-известен като Kyber), ML-DSA (по-известен като Dilithium) и SLH-DSA (по-известен като Sphincs+). Четвъртият, FN-DSA (известен като Falcon), е избран за бъдеща стандартизация.
IBM, заедно с индустриални и академични партньори, участва в разработването на първите две. Третият е разработен съвместно с изследовател, който междувременно се присъедини към IBM. През 2015/2016 г. IBM също така работи с NIST, за да помогне за създаването на рамката за състезанието PQC, което официално стартира през декември 2016 г.
При такова дълбоко участие както в конкурса, така и в печелившите алгоритми, SecurityWeek разговаря с Майкъл Осбърн, главен технически директор на IBM Quantum Safe, за по-добро разбиране на необходимостта и принципите на квантово безопасната криптография.
От 1996 г. се знае, че квантовият компютър ще може да дешифрира днешните алгоритми RSA и елиптични криви, като използва алгоритъма на (Питър) Шор. Но това беше теоретично знание, тъй като разработването на достатъчно мощни квантови компютри също беше теоретично. Алгоритъмът на Шор не можеше да бъде научно доказан, тъй като нямаше квантови компютри, които да го докажат или опровергаят. Макар че теориите за сигурността трябва да се наблюдават, трябва да се работи само с факти.
„Едва когато квантовите машини започнаха да изглеждат по-реалистични, а не само теоретични, около 2015 г., хора като АНС в САЩ започнаха да се притесняват“, казва Осбърн. Той обясни, че киберсигурността в основата си е свързана с риска. Въпреки че рискът може да се моделира по различни начини, той се отнася основно до вероятността и въздействието на дадена заплаха. През 2015 г. вероятността за квантово декриптиране все още е била ниска, но се е повишавала, докато потенциалното въздействие вече се е увеличило толкова драстично, че АНС е започнала сериозно да се притеснява.
Именно повишаващото се ниво на риска, съчетано със знанието за това колко време е необходимо за разработване и миграция на криптографията в бизнес среда, създаде чувство за спешност и доведе до новия конкурс на NIST. NIST вече имаше известен опит в подобен открит конкурс, в резултат на който алгоритъмът Rijndael – белгийски проект, представен от Joan Daemen и Vincent Rijmen – се превърна в симетричен криптографски стандарт AES. Квантовоустойчивите асиметрични алгоритми биха били по-сложни.
Първият въпрос, който трябва да се зададе и на който трябва да се отговори, е: защо PQC е по-устойчив на квантово математическо декриптиране от асиметричните алгоритми преди PQC? Отговорът се крие отчасти в природата на квантовите компютри и отчасти в природата на новите алгоритми. Макар че квантовите компютри са значително по-мощни от класическите при решаването на някои проблеми, те не са толкова добри в други.
Например, докато те лесно ще могат да декриптират текущите задачи за факторинг и дискретен логаритъм, те няма да могат толкова лесно – ако изобщо могат – да декриптират симетричното криптиране. Понастоящем не се забелязва необходимост от замяна на AES.
Както преди, така и след QC се основават на трудни математически задачи. Настоящите асиметрични алгоритми се основават на математическата трудност на факторирането на големи числа или решаването на задачата за дискретен логаритъм. Тази трудност може да бъде преодоляна чрез огромната изчислителна мощ на квантовите компютри.
PQC обаче има тенденция да разчита на различен набор от проблеми, свързани с решетките. Без да навлизаме в математически подробности, разгледайте един такъв проблем – известен като „проблем на най-късия вектор“. Ако си представите решетката като мрежа, векторите са точки от тази мрежа. Намирането на най-краткия път от източника до определен вектор звучи просто, но когато решетката стане многомерна, намирането на този път се превръща в почти неразрешим проблем дори за квантовите компютри.
В рамките на тази концепция публичният ключ може да бъде получен от основната решетка с помощта на допълнителен математически „шум“. Частният ключ е математически свързан с публичния ключ, но с допълнителна секретна информация. „Не виждаме никакъв добър начин, по който квантовите компютри могат да атакуват алгоритми, базирани на решетки“, казва Осбърн.
Това е засега и това е сегашното ни виждане за квантовите компютри. Но ние мислехме същото и за факторизацията и класическите компютри – и тогава се появиха квантовите. Попитахме Озбърн дали има бъдещи възможни технологични постижения, които могат да ни заслепят отново в бъдеще.
„Нещото, за което се притесняваме в момента – каза той, – е изкуственият интелект. Ако той продължи сегашната си траектория към общ изкуствен интелект и в крайна сметка разбере математиката по-добре от хората, може да успее да открие нови преки пътища за дешифриране. Притесняват ни и много хитри атаки, като например атаки по странични канали. Малко по-далечна заплаха може потенциално да дойде от изчисленията в паметта и може би от невроморфните изчисления.“
Невроморфните чипове – известни още като когнитивен компютър – вграждат твърдо алгоритми за изкуствен интелект и машинно обучение в интегрална схема. Те са проектирани да работят по-скоро като човешкия мозък, отколкото със стандартната последователна логика на фон Нойман на класическите компютри. Те също така са изначално способни да обработват данни в паметта, което осигурява две от „опасенията“ на Озбърн за декриптиране: ИИ и обработка в паметта.
„Оптичните изчисления [известни още като фотонни изчисления] също си заслужава да бъдат наблюдавани“, продължава той. Вместо да се използват електрически токове, оптичните изчисления използват свойствата на светлината. Тъй като скоростта на последната е много по-голяма от тази на първата, оптичните изчисления предоставят потенциал за значително по-бърза обработка. В бъдеще може да станат по-важни и други свойства, като по-ниска консумация на енергия и по-малко генериране на топлина.
И така, макар да сме сигурни, че квантовите компютри ще могат да декриптират сегашното асиметрично криптиране в сравнително близко бъдеще, има няколко други технологии, които може би биха могли да направят същото. Квантовите компютри осигуряват по-голям риск: въздействието ще бъде подобно за всяка технология, която може да осигури декриптиране на асиметричен алгоритъм; но вероятността квантовите компютри да направят това може би е по-скорошна и по-голяма, отколкото обикновено осъзнаваме.
Заслужава да се отбележи, разбира се, че алгоритмите, базирани на решетки, ще бъдат по-трудни за декриптиране независимо от използваната технология.
Собствената пътна карта за развитие на квантовите технологии на IBM предвижда първата квантова система на компанията с корекция на грешките да бъде създадена до 2029 г., а до 2033 г. – система, способна да изпълнява повече от един милиард квантови операции.
Интересно е да се отбележи, че не се споменава кога може да се появи криптоаналитично значим квантов компютър (CRQC). Има две възможни причини. Първо, асиметричното декриптиране е само притеснителен страничен продукт – то не е това, което движи квантовото развитие. И второ, никой не знае: има твърде много променливи, за да може някой да направи такава прогноза.
Помолихме Дънкан Джоунс, ръководител на отдела за киберсигурност в Quantinuum, да уточни. „Има три проблема, които се преплитат“, обясни той. „Първият е, че суровата мощност на квантовите компютри, които се разработват, непрекъснато се променя. Вторият е бързото, но не и последователно усъвършенстване на методите за коригиране на грешки.“
Квантовите компютри са изначално нестабилни и изискват масивна корекция на грешките, за да се получат надеждни резултати. Това в момента изисква огромен брой допълнителни кюбити. Казано по-просто, нито мощността на идващия квант, нито ефективността на алгоритмите за корекция на грешки могат да бъдат точно предвидени.
„Третият проблем – продължава Джоунс – е алгоритъмът за декриптиране. Квантовите алгоритми не са лесни за разработване. И макар да разполагаме с алгоритъма на Шор, не е така, сякаш има само една негова версия. Хората са се опитвали да го оптимизират по различни начини. Може да е по начин, който изисква по-малко кюбити, но по-дълго време за изпълнение. Или пък може да е вярно и обратното. Или пък може да има различен алгоритъм. Така че всички цели се движат и ще е необходим смел човек, за да направи конкретна прогноза.“
Никой не очаква, че някое криптиране ще остане завинаги. Каквото и да използваме, то ще бъде разбито. Въпреки това несигурността относно това кога, как и колко често ще бъде разбивано бъдещото криптиране ни води до важна част от препоръките на NIST: криптографска гъвкавост. Това е възможността за бързо преминаване от един (разбит) алгоритъм към друг (считан за сигурен) алгоритъм, без да се налагат големи инфраструктурни промени.
Уравнението на риска по отношение на вероятността и въздействието се влошава. NIST е предоставил решение със своите алгоритми PQC плюс гъвкавост.
Последният въпрос, който трябва да обмислим, е дали решаваме проблема с PQC и гъвкавостта, или просто го прехвърляме надолу по пътя. Вероятността сегашното асиметрично криптиране да може да бъде декриптирано мащабно и бързо нараства; но съществува и възможността някоя враждебна държава вече да може да го направи. Последиците ще бъдат почти пълна загуба на доверие в интернет и загуба на цялата интелектуална собственост, която вече е била открадната от противниците. Това може да бъде предотвратено само чрез възможно най-бързо преминаване към PQC. Въпреки това цялата вече открадната интелектуална собственост ще бъде загубена.
Тъй като новите алгоритми на PQC в крайна сметка също ще бъдат разбити, миграцията решава ли проблема или просто заменя стария проблем с нов?
„Чувам това много често – казва Осбърн, – но аз гледам на това така… Ако се притеснявахме за подобни неща преди 40 години, нямаше да имаме интернет, какъвто имаме днес. Ако се притеснявахме, че Diffie-Hellman и RSA не осигуряват абсолютно гарантирана сигурност за вечни времена, нямаше да имаме днешната цифрова икономика. Нямаше да имаме нищо от това“, казва той.
Истинският въпрос е дали получаваме достатъчно сигурност. Единствената гарантирана технология за „криптиране“ е еднократният блок – но тя е неприложима в бизнес среда, тъй като изисква ключ, който е толкова дълъг, колкото и съобщението. Основната цел на съвременните алгоритми за криптиране е да намалят размера на необходимите ключове до управляема дължина. И така, като се има предвид, че абсолютната сигурност е невъзможна в една работеща цифрова икономика, истинският въпрос е не дали сме сигурни, а дали сме достатъчно сигурни?
„Абсолютната сигурност не е целта“, продължава Озбърн. „В края на краищата сигурността е като застраховка; и както при всяка застраховка, трябва да сме сигурни, че премиите, които плащаме, не са по-скъпи от цената на един провал. Ето защо голяма част от сигурността, която би могла да се използва от банките, не се използва – цената на измамата е по-малка от цената на предотвратяването на тази измама.“
„Достатъчно сигурно“ е равносилно на „възможно най-сигурно“, в рамките на всички компромиси, необходими за поддържане на цифровата икономика. „Това се постига, като най-добрите хора разглеждат проблема“, продължава той. „Това е нещо, с което NIST се справи много добре в своя конкурс. Най-добрите хора в света, най-добрите криптографи и най-добрите математици разглеждаха проблема, разработваха нови алгоритми и се опитваха да ги разбият. Така че бих казал, че с изключение на невъзможното, това е най-доброто решение, което ще получим.“
Всеки, който е в тази индустрия повече от 15 години, си спомня, че му е било казвано, че сегашното асиметрично криптиране ще бъде безопасно завинаги или поне по-дълго от прогнозния живот на Вселената, или ще изисква повече енергия за разбиване, отколкото съществува във Вселената.
Колко наивно. Това е било по стара технология. Новата технология променя уравнението. PQC е разработване на нови криптосистеми, които да противодействат на новите възможности на новите технологии – по-конкретно на квантовите компютри.
Никой не очаква PQC криптографските алгоритми да издържат вечно. Надеждата е само, че те ще издържат достатъчно дълго, за да си струва рискът. Именно тук се намесва гъвкавостта. Тя ще осигури възможност за включване на нови алгоритми, когато старите паднат, с много по-малко проблеми, отколкото сме имали в миналото. Така че, ако продължим да следим новите заплахи за декриптиране и да изследваме нови математически методи за противодействие на тези заплахи, ще бъдем в по-силна позиция, отколкото бяхме.
Това е положителната страна на квантовото декриптиране – то ни принуди да приемем, че никое криптиране не може да гарантира сигурността; но може да се използва, за да направи данните достатъчно сигурни, за да си струва засега рискът.
Конкурсът на NIST и новите алгоритми PQC, съчетани с криптоагресивността, могат да се разглеждат като първата стъпка по стълбата към по-бързо, но по заявка и непрекъснато усъвършенстване на алгоритмите. Вероятно тя е достатъчно сигурна (поне за близкото бъдеще), но почти сигурно е най-доброто, което ще получим.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.