Quantum Proofing Next Generation PKI og digitale sertifikater

Sensasjonelle artikler som denne om kvantemaskiner selv i 2016, skape usikkerheter for datasikkerhet i tilfelle at kvantemaskiner med tilstrekkelig kraft er konstruert. Denne artikkelen vil prøve å belyse situasjonen. 

Hva er Quantum Computing?

Quantum computing er anvendelsen av kvantemekanikkprinsipper for å utføre beregninger. Spesielt utnytter kvanteberegning kvantetilstander av subatomære partikler som superposisjon og sammenfiltring for å lage kvantemaskiner. Når de brukes på kvantemaskiner med tilstrekkelig kraft, kan spesifikke algoritmer utføre beregninger mye raskere enn klassiske datamaskiner og til og med løse problemer utenfor rekkevidde for dagens datateknologi. Som et resultat er det en økt interesse fra regjeringer og næringer over hele verden for å utvikle kvantemaskiner. Feltet er fortsatt i sin barndom, men utviklingen får stadig grep, og det er allerede kvantemaskiner som fungerer, om enn veldig svake på dette tidspunktet. 

SSL.com tilbyr et bredt utvalg av SSL /TLS serversertifikater for HTTPS-nettsteder.

SAMMENLIGN SSL /TLS SERTIFIKATER

Klassisk og kvanteberegning

Klassisk databehandling bruker biter, som uttrykker det fysiske fenomenet elektrisk strøm som passerer kretser som ener og nuller. Ved manipulering av disse og nullene kan en datamaskin uttrykke kompliserte problemer og løse dem. 
 
Kvantemaskiner, derimot, bruker kvantebiter eller qubits som grunnlag for databehandling. Qubits er tostatskvantemekaniske systemer. Eksempler inkluderer spinn av et elektron eller polarisering av et enkelt foton. Ved å bruke qubits kan vi utnytte materiens særegne kvantemekaniske tilstander som forvikling og superposisjon til å utføre beregninger. 
 
Når en qubit er superposisjonert, er den verken en en eller null, men en mulighet for begge. Så en qubit kan representere to stater samtidig. Legg til en ny qubit, og du kan representere fire muligheter samtidig; ved å legge til flere qubits, stiger antallet muligheter som kan uttrykkes raskt. Generelt er dette to i kraften til antall qubits (2nfor n qubits). For eksempel kan en kvantemaskin med ti alen representere 1024 bits samtidig, mens det tilsvarende klassiske tallet er 10 bits. 
 
Forvikling er en kvantekvalitet på subatomære partikler som ikke er lett å forklare. Vi har ikke en klar vitenskapelig forklaring om den underliggende mekanismen for sammenfiltring. Men når det gjelder kvanteberegning, lar sammenfiltring at qubits kan korrelere med hverandre i stedet for å handle tilfeldig. 
 
Den kombinerte utnyttelsen av superposisjon og forvikling lar oss lage store beregningsrom med flere dimensjoner, og dermed utføre beregninger parallelt i stedet for i rekkefølge. 
 
Quantum computing kan løse noen komplekse problemer som klassisk databehandling ikke kan på grunn av nødvendig minne. For eksempel kan kvanteberegning tillate nøyaktig matematisk fremstilling av molekylære interaksjoner i en kjemisk reaksjon, og lover betydelige fremskritt i forskjellige vitenskapelige og teknologiske sektorer. Det vil også gjøre det mulig å løse problemer i brøkdeler av tid som klassisk databehandling kan utføre, inkludert de som utgjør kjernen i de nåværende kryptografiordningene.

Hvordan kan kvanteberegning påvirke kryptografi?

Som diskutert ovenfor, er kryptografi basert på eksistensen av uholdbare matematiske problemer, ikke noe som betyr at de er uløselige, men at tiden og ressursene som kreves for å reversere dem gjør dem praktisk talt trygge. 
 
Quantum computing endrer dette økosystemet ved å minimere tiden som trengs for å løse slike problemer ved å bruke spesifikke algoritmer. 
 
For eksempel algoritmen som ble oppdaget av Shor i 1994. Hvis Shors algoritme brukes på en tilstrekkelig kraftig kvantecomputer, kan den løse heltallsfaktoriseringsproblemet nesten eksponensielt raskere enn den mest effektive klassiske databehandlingsalgoritmen. Heltallfaktoriseringsproblemet er grunnlaget for det allment populære RSA-krypteringsprogrammet for offentlige nøkkler. Som det står i Rapport om Post-Quantum Cryptography av NIST:
 

"I 1994 viste Peter Shor fra Bell Laboratories at kvantemaskiner, en ny teknologi som utnytter materielle og energis fysiske egenskaper til å utføre beregninger, effektivt kan løse hvert av disse problemene, og dermed gjøre alle offentlige nøkkelkryptosystemer basert på slike antagelser impotente. Dermed vil en tilstrekkelig kraftig kvantecomputer sette mange former for moderne kommunikasjon - fra nøkkelutveksling til kryptering til digital autentisering - i fare. "

Kort sagt, en kvantemaskin med tilstrekkelig kraft kan direkte krasje den offentlige nøkkelinfrastrukturen, og skape behov for et redesign av hele cybersikkerhetsøkosystemet. 
 
Men dette er ikke alt. En annen algoritme, denne av Grover, kan utgjøre en trussel mot symmetrisk kryptografi, men ikke så alvorlig som Shors. Når den brukes på en tilstrekkelig kraftig kvantecomputer, tillater Grovers algoritme å knekke symmetriske nøkler med firdoble hastigheter sammenlignet med klassisk databehandling. En betydelig forbedring som motvirkes ved å bruke større nøkler og opprettholde dagens sikkerhetsnivå. 

Kommer kvanteberegning snart?

 
Fysikk har bevist at kvanteberegning er mulig. Nå er det et ingeniørproblem, om enn veldig vanskelig. Konstruksjonen av kvantecomputere innebærer implementering av topp moderne teknologi som blant annet superfluider og superledere. Utfordringen med å lage et stabilt og skalerbart kvantemekanisk system er enormt, og det leder team over hele verden til å forfølge forskjellige veier. Det er flere typer kvantemaskiner, inkludert kvantekretsmodellen, kvante-Turing-maskin, adiabatisk kvante-datamaskin, enveiskvantemaskin og forskjellige kvantecelleautomater. Den mest brukte er kvantekretsen. 
 
Et vesentlig problem med en hvilken som helst modell av kvantemaskiner er at qubits av sin natur mister superposisjonsstatusen når de er målt, og følgelig er de veldig følsomme for forstyrrelser fra utsiden. Derfor er det utfordrende for qubits å opprettholde sine kvantetilstander. Noen løsninger inkluderer bruk av ionefeller, men total eliminering av ekstern interferens er sannsynligvis ikke mulig. Som et resultat er en av de mest avgjørende problemene for å lage kvantemaskiner en robust feilkorrigeringsmekanisme. 
Det store bildet er at et gjennombrudd kan skje akkurat nå, eller det kan ta noen år før en fungerende prototype av tilstrekkelig beregningskraft er opprettet. Det er allerede noen få prototyper, med IBM Q System One som den mest kjente, men deres beregningskraft er fortsatt for liten til å være et problem for kryptografiske systemer. Naturligvis får ikke cybersikkerhetssamfunnet slappe av. Selv om vi hadde et effektivt post-kvante sikkerhetsopplegg, er det en enorm oppgave å migrere hele økosystemet til denne nye standarden. Følgelig pågår flere anstrengelser for å være klare for post-kvante-tiden. 

Hva kan vi gjøre?

Når utbredt kvanteberegningsteknologi kommer, må vi være klare med en kvantebestandig PKI. Det er mange pågående prosjekter mot dette målet og mange foreslåtte teknologier som kan gi en løsning. Nedenfor vil vi prøve å oppsummere de mest lovende teknologiene og gi en kort gjennomgang av de kollektive prosjektene som pågår for å etablere post-kvantekryptografi, sammen med utfordringene som ligger foran oss. 

Familier med post-kvante algoritmer

Forskning de siste 15-20 årene har bevist eksistensen av algoritmer som er motstandsdyktige mot kvanteangrep. Nedenfor gir vi en kort beskrivelse av de mest lovende algoritmefamiliene som kan gi en løsning for sikkerhet i en post-kvanteverden. 

Kodebasert kryptografi

Kodebasert kryptografi bruker feilkorrigerende koder for å bygge offentlig nøkkel kryptografi. Det ble først foreslått av Robert McEliece i 1978 og er en av de eldste og mest undersøkte asymmetriske krypteringsalgoritmene. Et signaturopplegg kan konstrueres basert på Niederreiter -opplegget, den doble varianten av McEliece -opplegget. McEliece -kryptosystemet har motstått kryptanalyse så langt. Hovedproblemet med det originale systemet er den store private og offentlige nøkkelstørrelsen.

Hash-basert kryptografi

Hash-basert kryptografi representerer en lovende tilnærming etter kvantekryptografi for digitale signaturer. Hashfunksjoner er funksjoner som tilordner strenger av vilkårlig lengde til strenger med fast lengde. De er en av de eldre kryptografiske ordningene med offentlig nøkkel, og deres sikkerhetsvurderinger mot klassiske og kvantebaserte angrep er godt forstått. Hashfunksjoner er allerede et av de mest brukte kryptografiske verktøyene. Det var kjent at de kunne brukes som det eneste verktøyet for å bygge offentlig nøkkel kryptografi i lang tid. I tillegg er hash-basert kryptografi fleksibel og kan møte ulike ytelsesforventninger. På den negative siden er hashbaserte signaturordninger hovedsakelig stateful, noe som betyr at den private nøkkelen må oppdateres etter hver bruk; ellers garanteres ikke sikkerhet. Det er hasjbaserte ordninger som er statsløse, men de kommer på bekostning av lengre signaturer, mer betydelige behandlingstider og signaturens behov for å holde oversikt over litt informasjon, for eksempel hvor mange ganger en nøkkel ble brukt til å lage en signatur.

Gitterbasert kryptografi

Gitterbasert kryptografi er et spesielt tilfelle av delsettet sum problembasert kryptografi og ble først introdusert i 1996 av Ajtai. Det er det generiske uttrykket for kryptografiske primitiver konstruert med bruk av gitter. Noen av disse konstruksjonene ser ut til å være motstandsdyktige mot både kvante- og klassiske datamaskinangrep. I tillegg har de andre attraktive funksjoner, som vanskeligste hardhetsproblemer. De presenterer også enkelhet og parallellitet og er allsidige nok til å konstruere robuste kryptografiske ordninger. Til slutt er de den eneste familien av algoritmer som inneholder alle tre typer primitiver som kreves for å bygge en postkvantum offentlig nøkkelinfrastruktur: offentlig nøkkelkryptering, nøkkelutveksling og digital signatur.

Multivariat kryptografi

Multivariat kryptografi refererer til offentlig nøkkelkryptografi hvis offentlige nøkler representerer et multivariat og ikke-lineært (vanligvis kvadratisk) polynomt kart. Å løse disse systemene har vist seg å være NP-komplett, og gjør dermed denne familien av algoritmer til gode kandidater for post-kvantekryptografi. Foreløpig har krypteringssystemer med flere varianter vist seg mindre effektive enn andre ordninger siden de krever betydelige offentlige nøkler og lange dekrypteringstider. På den annen side viste de seg å være mer egnet for å bygge signaturordninger, ettersom de gir de korteste signaturstørrelsene blant post-kvante-algoritmer, selv om de pådrar seg ganske store offentlige nøkler.

Isogenibasert kryptografi

Isogenibasert kryptografi bruker kart mellom elliptiske kurver for å bygge offentlig nøkkelkryptografi. Algoritmen som er en kandidat for post-kvantekryptografi, er Supersingular isogeny Diffie-Hellman key exchange (SIDH) som ble introdusert i 2011, noe som gjør denne ordningen til den siste blant kandidatene. SIDH krever en av de minste nøklene blant de foreslåtte nøkkelutvekslingsordningene og støtter perfekt hemmelighold. Den relativt unge alderen betyr imidlertid at det ikke er mange ordninger basert på dette konseptet, og det har ikke vært mye for å inspisere deres mulige sårbarheter. 

Prosjekter for post-kvantekryptografi

Det er forskjellige arbeidsgrupper for post-kvantekryptografiske ordninger, som Åpne Quantum Safe (OQS) -prosjektet og ENISA. Likevel er det mest sammenhengende initiativet NIST Post-Quantum Cryptography Standardization Project som har pågått siden 2017. Som navnet tilsier, har prosjektet som mål å velge et passende kryptografisk opplegg som vil være bransjestandard i post-kvantetiden. Prosessen begynte med 69 kandidatalgoritmer, hvorav 26 gikk videre til andre evalueringsrunde. I juli 2020 ble runde 3 -kandidater kunngjort, som vist i tabellen nedenfor. Det er totalt syv finalister og åtte alternative kandidater. På tabellen er det notert hvis de vurderes for krypterings- eller signaturordninger, algoritmefamilien og det harde problemet de er basert på.

SchemeEnc/SIgFamilieHardt problem
Finaler i runde 3
Klassisk McElieceIncKodebasertDekoding av tilfeldige binære Goppa -koder
Krystaller-KyberIncGitterbasertSyklotomisk modul-LWE
NTRUIncGitterbasertSyklotomisk NTRU -problem
SaberIncGitterbasertSyklotomisk modul-LWR
Krystaller-DilithiumSigGitterbasertSyklotomisk modul-LWE og modul-SIS
FalconSigGitterbasertSyklotomisk ring-SIS
RainbowSigMultivariatbasertOlje-og-eddik Trapdoor
Runde 3 Alternative kandidater
BIKEIncKodebasertDekoding av kvasi-sykliske koder
HQCIncKodebasertKodingsvariant av Ring-LWE
Frodo-KEMIncGitterbasertLWE
NTRU-PrimeIncGitterbasertIkke-syklotomisk NTRU-problem eller Ring-LWE
SIKEIncIsogenbasertIsogeniproblem med ekstra poeng
GeMSSSigMultivariatbasert'Big-Field' falldør
PiknikSigSymmetrisk kryptoMotstand mot forhåndsbildet til en blokk
SPHINCS +SigHash-basertForhåndsbildemotstand for en hashfunksjon

Algoritmeevalueringen var basert på de tre kriteriene vist nedenfor.

  • Sikkerhet: Dette er det mest avgjørende kriteriet. NIST har etablert flere faktorer å ta i betraktning for å evaluere sikkerheten fra hver kandidatalgoritme. Bortsett fra kvantemotstanden til algoritmer, har NIST også definert ytterligere sikkerhetsparametere som ikke er en del av det nåværende cybersikkerhetsøkosystemet. Dette er perfekt hemmelighold forover, motstand mot sidekanalangrep og motstand mot flertasteangrep. 
  • Kostnad og ytelse: Algoritmene evalueres basert på deres ytelsesberegninger som nøkkelstørrelser, beregningseffektiviteten til offentlige og private nøkkeloperasjoner og generering, og dekrypteringsfeil.
  • Algoritme og kjennetegn ved implementering: Forutsatt at algoritmene gir god generell sikkerhet og ytelse, evalueres de ut fra fleksibiliteten, enkelheten og brukervennligheten (som eksistensen av eller ikke av intellektuell eiendom som dekker algoritmen).

Kryptografisk smidighet 

 
Et viktig paradigme i utformingen av informasjonssikkerhetsprotokoller er kryptografisk smidighet. Det dikterer at protokoller skal støtte flere kryptografiske primitiver, slik at systemene som implementerer en bestemt standard kan velge hvilke kombinasjoner av primitiver som er passende. Det primære målet med kryptografisk smidighet er å tillate raske tilpasninger av sårbare kryptografiske primitiver og algoritmer med robuste uten å gjøre forstyrrende endringer i systemets infrastruktur. Dette paradigmet viser seg å være avgjørende i post-kvantekryptografidesignet og krever minst delvis automatisering. For eksempel har et gjennomsnittlig foretak flere hundre tusen sertifikater og nøkler - og tallet fortsetter å vokse. Med så mange sertifikater må organisasjoner implementere automatiserte metoder for raskt å erstatte disse sertifikatene hvis kryptografien de stoler på blir usikker.
 
Et utmerket første tiltak for organisasjoner er å begynne å implementere hybrid kryptografi, der kvantesikre offentlige nøkkelalgoritmer brukes sammen med tradisjonelle offentlige nøkkelalgoritmer (som RSA eller elliptiske kurver) slik at løsningen i det minste ikke er mindre sikker enn eksisterende tradisjonelle kryptografi.

konklusjonen

 
Fremskritt innen teknologi skjer ofte, spesielt på et felt som databehandling. Quantum computing vil forstyrre cybersikkerhetsfeltet, men bransjen søker allerede og diskuterer løsninger. Det vil hovedsakelig være et spørsmål om logistikk og beredskap når det er tid for organisasjoner å tilpasse seg den nye virkeligheten og iverksette tiltak.
 
 
Brukere kan signere kode med eSigners funksjon for utvidet valideringskodesignering. Klikk nedenfor for mer informasjon.

FINN UT MER

 

Giannis Naziridis

Alle innlegg

Relaterte blogginnlegg

Vis alle blogginnlegg
Facebook Linkedin Twitter Youtube Github

Hva er SSL /TLS?

Spill av video

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.

Ta undersøkelsen