Kwantowe sprawdzanie nowej generacji PKI i certyfikaty cyfrowe

Rewelacyjne artykuły, takie jak to o komputerach kwantowych nawet w 2016 r., stwarzają niepewność dla bezpieczeństwa danych w przypadku skonstruowania komputerów kwantowych o wystarczającej mocy. W tym artykule postaram się rzucić nieco światła na sytuację. 

Co to są obliczenia kwantowe?

Obliczenia kwantowe to zastosowanie zasad mechaniki kwantowej do wykonywania obliczeń. W szczególności informatyka kwantowa wykorzystuje stany kwantowe cząstek subatomowych, takie jak superpozycja i splątanie, do tworzenia komputerów kwantowych. Po zastosowaniu do komputerów kwantowych o wystarczającej mocy określone algorytmy mogą wykonywać obliczenia znacznie szybciej niż klasyczne komputery, a nawet rozwiązywać problemy poza zasięgiem obecnej technologii obliczeniowej. W rezultacie wzrasta zainteresowanie ze strony rządy i przemysłu na całym świecie w celu opracowania komputerów kwantowych. Dziedzina ta jest wciąż w powijakach, ale rozwój nabiera rozpędu i już działają komputery kwantowe, choć w tym momencie bardzo słabe. 

SSL.com zapewnia szeroką gamę domen SSL /TLS certyfikaty serwera dla witryn HTTPS.

PORÓWNAJ SSL /TLS CERTYFIKATY

Obliczenia klasyczne i kwantowe

Obliczenia klasyczne wykorzystują bity, które wyrażają fizyczne zjawisko przepływu prądu elektrycznego przez obwody jako jedynki i zera. Poprzez manipulację tymi jedynkami i zerami komputer może wyrazić skomplikowane problemy i je rozwiązać. 
 
Z drugiej strony komputery kwantowe wykorzystują bity kwantowe lub kubity jako podstawę obliczeń. Kubity to dwustanowe układy kwantowo-mechaniczne. Przykłady obejmują spin elektronu lub polaryzację pojedynczego fotonu. Używając kubitów, możemy wykorzystać do wykonywania obliczeń specyficzne stany mechaniki kwantowej, takie jak splątanie i superpozycja. 
 
Gdy kubit jest superpozycja, nie jest ani jednością ani zerem, ale możliwością obu. Tak więc jeden kubit może reprezentować dwa stany jednocześnie. Dodaj kolejny kubit i możesz jednocześnie reprezentować cztery możliwości; dodając więcej kubitów, liczba możliwości, które można wyrazić, szybko rośnie. Ogólnie jest to dwa w potęgi liczby kubitów (2ndla n kubitów). Na przykład komputer kwantowy o dziesięciu łokciach może jednocześnie reprezentować 1024 bity, podczas gdy odpowiadająca mu klasyczna liczba to 10 bitów. 
 
Splątanie to kwantowa jakość cząstek subatomowych, która nie jest łatwa do wyjaśnienia. Nie mamy jasnego naukowego wyjaśnienia na temat mechanizmu splątania. Ale jeśli chodzi o komputery kwantowe, splątanie pozwala kubitom korelować ze sobą, zamiast działać losowo. 
 
Połączona eksploatacja superpozycji i splątania pozwala nam tworzyć rozległe przestrzenie obliczeniowe o wielu wymiarach, a tym samym wykonywać obliczenia równolegle, a nie sekwencyjnie. 
 
Obliczenia kwantowe mogą rozwiązać niektóre złożone problemy, których klasyczne obliczenia nie mogą ze względu na wymaganą pamięć. Na przykład obliczenia kwantowe mogą umożliwić dokładną matematyczną reprezentację interakcji molekularnych w reakcji chemicznej, obiecując znaczący postęp w różnych sektorach naukowych i technologicznych. Umożliwi również rozwiązywanie problemów w ułamkach czasu, które może wykonać klasyczne przetwarzanie, w tym tych, które stanowią rdzeń obecnych schematów kryptograficznych.

Jak obliczenia kwantowe mogą wpływać na kryptografię?

Jak omówiono powyżej, kryptografia opiera się na istnieniu nierozwiązywalnych problemów matematycznych, co nie oznacza, że ​​są one nierozwiązywalne, ale że czas i zasoby wymagane do ich rozwiązania sprawiają, że są one praktycznie bezpieczne. 
 
Obliczenia kwantowe zmieniają ten ekosystem, minimalizując czas potrzebny na rozwiązanie takich problemów poprzez zastosowanie określonych algorytmów. 
 
Na przykład algorytm odkryty przez Shora w 1994 roku. Jeśli algorytm Shora zostanie zastosowany na wystarczająco wydajnym komputerze kwantowym, może rozwiązać problem faktoryzacji liczb całkowitych prawie wykładniczo szybciej niż najbardziej wydajny klasyczny algorytm obliczeniowy. Problem faktoryzacji liczb całkowitych jest podstawą szeroko rozpowszechnionego schematu szyfrowania klucza publicznego RSA. Jak stwierdzono w Raport na temat kryptografii post-kwantowej autorstwa NIST:
 

„W 1994 roku Peter Shor z Bell Laboratories wykazał, że komputery kwantowe, nowa technologia wykorzystująca fizyczne właściwości materii i energii do wykonywania obliczeń, mogą skutecznie rozwiązać każdy z tych problemów, tym samym czyniąc wszystkie kryptosystemy klucza publicznego oparte na takich założeniach bezsilnymi. W ten sposób wystarczająco potężny komputer kwantowy narazi na niebezpieczeństwo wiele form nowoczesnej komunikacji – od wymiany kluczy, przez szyfrowanie, po uwierzytelnianie cyfrowe”.

Krótko mówiąc, komputer kwantowy o wystarczającej mocy może całkowicie spowodować awarię infrastruktury klucza publicznego, stwarzając potrzebę przeprojektowania całego ekosystemu cyberbezpieczeństwa. 
 
Ale to nie wszystko. Inny algorytm, ten autorstwa Grovera, może stanowić zagrożenie dla kryptografia symetryczna, choć nie tak surowe jak Shora. Po zastosowaniu do wystarczająco wydajnego komputera kwantowego algorytm Grovera pozwala na łamanie kluczy symetrycznych z poczwórną szybkością w porównaniu z klasycznymi obliczeniami. Znacząca poprawa, której przeciwdziała użycie większych kluczy i utrzymanie obecnego poziomu bezpieczeństwa. 

Czy wkrótce pojawią się obliczenia kwantowe?

 
Fizyka udowodniła, że ​​obliczenia kwantowe są wykonalne. Teraz jest to problem inżynieryjny, choć bardzo trudny. Budowa komputerów kwantowych wiąże się z wdrażaniem najnowocześniejszych technologii, takich jak m.in. nadcieki i nadprzewodniki. Wyzwanie polegające na stworzeniu stabilnego i skalowalnego systemu kwantowo-mechanicznego jest ogromne i prowadzi zespoły na całym świecie do podążania różnymi ścieżkami. Istnieje kilka rodzajów komputerów kwantowych, w tym model obwodu kwantowego, kwantowa maszyna Turinga, adiabatyczny komputer kwantowy, jednokierunkowy komputer kwantowy i różne kwantowe automaty komórkowe. Najszerzej stosowanym jest obwód kwantowy. 
 
Istotnym problemem w przypadku każdego modelu komputerów kwantowych jest to, że kubity z natury tracą swój status superpozycji po zmierzeniu i w konsekwencji są bardzo wrażliwe na zakłócenia z zewnątrz. Dlatego kubity mają trudności z utrzymaniem swoich stanów kwantowych. Niektóre rozwiązania obejmują zastosowanie pułapek jonowych, ale całkowita eliminacja zakłóceń zewnętrznych jest prawdopodobnie nieosiągalna. W rezultacie jednym z najważniejszych problemów przy tworzeniu komputerów kwantowych jest solidny mechanizm korekcji błędów. 
Cały obraz jest taki, że przełom może nastąpić właśnie teraz lub może minąć kilka lat, zanim powstanie działający prototyp o wystarczającej mocy obliczeniowej. Istnieje już kilka prototypów, z których najbardziej znany jest IBM Q System One, ale ich moc obliczeniowa jest wciąż zbyt mała, aby stanowić problem dla systemów kryptograficznych. W żadnym wypadku nie wolno oczywiście odpoczywać społeczności zajmującej się cyberbezpieczeństwem. Nawet gdybyśmy mieli skuteczny schemat bezpieczeństwa post-kwantowego, migracja całego ekosystemu do tego nowego standardu jest ogromnym zadaniem. W związku z tym podejmuje się szereg wysiłków, aby przygotować się na erę post-kwantową. 

Co możemy zrobić?

Kiedy pojawi się powszechna technologia obliczeń kwantowych, będziemy musieli przygotować się na odporne na kwanty PKI. Istnieje wiele projektów w trakcie realizacji tego celu i wiele proponowanych technologii, które mogą zapewnić rozwiązanie. Poniżej postaramy się podsumować najbardziej obiecujące technologie i przedstawić krótki przegląd realizowanych wspólnych projektów mających na celu ustanowienie kryptografii post-kwantowej, wraz z wyzwaniami, które nas czekają. 

Rodziny algorytmów post-kwantowych

Badania z ostatnich 15-20 lat dowiodły istnienia algorytmów odpornych na ataki kwantowe. Poniżej przedstawiamy krótki opis najbardziej obiecujących rodzin algorytmów, które mogą zapewnić rozwiązanie zapewniające bezpieczeństwo w post-kwantowym świecie. 

Kryptografia oparta na kodzie

Kryptografia oparta na kodzie wykorzystuje kody korekcji błędów do tworzenia kryptografii z kluczem publicznym. Został po raz pierwszy zaproponowany przez Roberta McEliece w 1978 roku i jest jednym z najstarszych i najlepiej zbadanych algorytmów szyfrowania asymetrycznego. Schemat podpisu można skonstruować na podstawie schematu Niederreitera, podwójnego wariantu schematu McEliece. Kryptosystem McEliece jak dotąd opierał się kryptoanalizie. Głównym problemem oryginalnego systemu jest duży rozmiar klucza prywatnego i publicznego.

Kryptografia oparta na hashu

Kryptografia oparta na hashu reprezentuje obiecujące podejście do kryptografii post-kwantowej dla podpisów cyfrowych. Funkcje haszujące to funkcje, które odwzorowują ciągi o dowolnej długości na ciągi o stałej długości. Są jednym ze starszych schematów kryptografii klucza publicznego, a ich oceny bezpieczeństwa przeciwko atakom klasycznym i kwantowym są dobrze poznane. Funkcje skrótu są już jednym z najczęściej używanych narzędzi kryptograficznych. Wiadomo było, że przez długi czas mogą służyć jako jedyne narzędzie do budowania kryptografii klucza publicznego. Ponadto kryptografia oparta na hashowaniu jest elastyczna i może spełniać różne oczekiwania dotyczące wydajności. Z drugiej strony, schematy podpisów oparte na hashowaniu są głównie stanowe, co oznacza, że ​​klucz prywatny musi być aktualizowany po każdym użyciu; w przeciwnym razie bezpieczeństwo nie jest gwarantowane. Istnieją schematy oparte na skrótach, które są bezstanowe, ale kosztem dłuższych podpisów, dłuższych czasów przetwarzania i konieczności śledzenia przez sygnatariusza pewnych informacji, na przykład tego, ile razy klucz został użyty do utworzenia podpisu.

Kryptografia sieciowa

Kryptografia oparta na sieciach jest szczególnym przypadkiem kryptografii opartej na podzbiorze sum i została po raz pierwszy wprowadzona w 1996 roku przez Ajtai. Jest to ogólne określenie dla prymitywów kryptograficznych skonstruowanych przy użyciu krat. Niektóre z tych konstrukcji wydają się być odporne zarówno na ataki komputerów kwantowych, jak i klasycznych. Dodatkowo mają inne atrakcyjne cechy, takie jak najgorsza twardość. Ponadto prezentują prostotę i równoległość oraz są wystarczająco wszechstronne, aby tworzyć solidne schematy kryptograficzne. Wreszcie, są to jedyna rodzina algorytmów zawierająca wszystkie trzy rodzaje prymitywów wymaganych do zbudowania postkwantowej infrastruktury klucza publicznego: szyfrowanie kluczem publicznym, wymiana kluczy i podpis cyfrowy.

Kryptografia wielowymiarowa

Kryptografia wielowymiarowa odnosi się do kryptografii z kluczem publicznym, której klucze publiczne reprezentują wielomianową i nieliniową (zwykle kwadratową) mapę wielomianową. Udowodniono, że rozwiązanie tych systemów jest NP-kompletne, co czyni tę rodzinę algorytmów dobrymi kandydatami do kryptografii post-kwantowej. Obecnie wielowymiarowe schematy szyfrowania okazały się mniej wydajne niż inne schematy, ponieważ wymagają znacznych kluczy publicznych i długich czasów odszyfrowywania. Z drugiej strony okazały się bardziej odpowiednie do budowania schematów sygnatur, ponieważ zapewniają najkrótsze rozmiary sygnatur wśród algorytmów post-kwantowych, chociaż wiążą się z dość dużymi kluczami publicznymi.

Kryptografia oparta na izogenii

Kryptografia oparta na izogenii wykorzystuje mapy między krzywymi eliptycznymi do tworzenia kryptografii z kluczem publicznym. Algorytm, który jest kandydatem do kryptografii post-kwantowej, to supersingularna izogeniczna wymiana kluczy Diffiego-Hellmana (SIDH) wprowadzona w 2011 r., co czyni ten schemat najnowszym spośród kandydatów. SIDH wymaga jednego z najmniejszych kluczy spośród proponowanych schematów wymiany kluczy i obsługuje doskonałe utajnienie przekazywania. Jednak jego stosunkowo młody wiek sprawia, że ​​nie ma wielu schematów opartych na tej koncepcji i nie było zbyt wiele do sprawdzenia ich możliwych podatności. 

Projekty dla kryptografii post-kwantowej

Istnieją różne grupy robocze zajmujące się schematami kryptografii post-kwantowej, takie jak Projekt Open Quantum Safe (OQS) i ENISA. Jednak najbardziej spójną inicjatywą jest Projekt standaryzacji post-kwantowej kryptografii NIST trwający od 2017 roku. Jak sama nazwa wskazuje, projekt ma na celu wybór odpowiedniego schematu kryptograficznego, który będzie standardem branżowym w erze post-kwantowej. Proces rozpoczął się od 69 algorytmów kandydatów, z których 26 przeszło do drugiej rundy oceny. W lipcu 2020 r. ogłoszono kandydatów do trzeciej rundy, jak pokazano w poniższej tabeli. W sumie jest siedmiu finalistów i ośmiu alternatywnych kandydatów. W tabeli zaznaczono, czy są one brane pod uwagę pod kątem schematów szyfrowania lub podpisów, rodziny algorytmów i trudnego problemu, na którym są oparte.

SchematEnc/SigRodzinaTrudny problem
Finaliści rundy 3
Klasyczny McElieceIncOparte na kodzieDekodowanie losowych kodów binarnych Goppa
Kryształy-KyberIncOparte na siatceModuł cyklotomiczny-LWE
NTRUIncOparte na siatceCyklotomiczny problem NTRU
szablaIncOparte na siatceModuł cyklotomiczny-LWR
Kryształy-DilithiumSigOparte na siatceModuł cyklotomiczny-LWE i Moduł-SIS
sokółSigOparte na siatcePierścień cyklotomiczny-SIS
TęczaSigOparte na wielu odmianachPułapka na olej i ocet
Alternatywni kandydaci rundy 3
ROWERIncOparte na kodzieDekodowanie kodów quasi-cyklicznych
HQCIncOparte na kodzieWariant kodowania Ring-LWE
Frodo-KEMIncOparte na siatceLWE
NTRU-PrimeIncOparte na siatceNiecyklotomiczny problem NTRU lub Ring-LWE
TAKIncOparte na izogeniiProblem izogenii z dodatkowymi punktami
GeMSSSigOparte na wielu odmianachZapadnia „Wielkiego Pola”
piknikSigSymetryczny kryptoRezystancja przedobrazowa szyfru blokowego
SPHINCS +SigOparte na hashuRezystancja przedobrazu funkcji haszującej

Ocena algorytmu została oparta na trzech kryteriach przedstawionych poniżej.

  • Bezpieczeństwo: to najważniejsze kryterium. NIST ustalił kilka czynników, które należy wziąć pod uwagę przy ocenie bezpieczeństwa zapewnianego przez każdy kandydujący algorytm. Oprócz kwantowej odporności algorytmów, NIST zdefiniował również dodatkowe parametry bezpieczeństwa, które nie są częścią obecnego ekosystemu cyberbezpieczeństwa. Są to doskonałe utajnienie do przodu, odporność na ataki boczne i odporność na ataki wieloklawiszowe. 
  • Koszt i wydajność: Algorytmy są oceniane na podstawie ich metryk wydajności, takich jak rozmiary kluczy, wydajność obliczeniowa operacji i generowania kluczy publicznych i prywatnych oraz błędy deszyfrowania.
  • Charakterystyka algorytmu i implementacji: Zakładając, że algorytmy zapewniają dobre ogólne bezpieczeństwo i wydajność, są one oceniane na podstawie ich elastyczności, prostoty i łatwości przyjęcia (np. istnienie lub brak własności intelektualnej obejmującej algorytm).

Sprawność kryptograficzna 

 
Ważnym paradygmatem w projektowaniu protokołów bezpieczeństwa informacji jest: sprawność kryptograficzna. Wskazuje, że protokoły powinny obsługiwać wiele prymitywów kryptograficznych, umożliwiając systemom implementującym określony standard wybór odpowiednich kombinacji prymitywów. Podstawowym celem zwinności kryptograficznej jest umożliwienie szybkich adaptacji podatnych na ataki prymitywów i algorytmów kryptograficznych z solidnymi algorytmami bez wprowadzania destrukcyjnych zmian w infrastrukturze systemu. Ten paradygmat okazuje się kluczowy w projektowaniu kryptografii postkwantowej i wymaga przynajmniej częściowej automatyzacji. Na przykład przeciętne przedsiębiorstwo posiada ponad setki tysięcy certyfikatów i kluczy — a liczba ta stale rośnie. Przy tak wielu certyfikatach organizacje muszą wdrożyć zautomatyzowane metody, aby szybko zastąpić te certyfikaty, jeśli kryptografia, na której polegają, stanie się niepewna.
 
Doskonałym pierwszym środkiem dla organizacji jest rozpoczęcie wdrażania kryptografii hybrydowej, w której obok tradycyjnych algorytmów klucza publicznego (takich jak RSA lub krzywe eliptyczne) używane są bezpieczne kwantowo algorytmy klucza publicznego, tak aby rozwiązanie było co najmniej nie mniej bezpieczne niż istniejące tradycyjne kryptografia.

Wnioski

 
Postępy w technologii często się zdarzają, zwłaszcza w dziedzinie komputerowej. Przetwarzanie kwantowe zakłóci dziedzinę cyberbezpieczeństwa, ale branża już poszukuje i omawia rozwiązania. Będzie to przede wszystkim kwestia logistyki i przygotowania, gdy przyjdzie czas na dostosowanie się organizacji do nowej rzeczywistości i podjęcie działań.
 
 
Użytkownicy mogą podpisywać kod za pomocą funkcji eSigner Extended Validation Code Signing. Kliknij poniżej, aby uzyskać więcej informacji.

DOWIEDZ SIĘ WIĘCEJ

 

Giannisa Naziridisa

Wszystkie Posty

Powiązane posty na blogu

Zobacz wszystkie posty na blogu
Facebook LinkedIn Twitter youtube Github

Co to jest SSL /TLS?

Odtwórz wideo

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.

Wypełnij ankietę