Постквантовая криптография: безопасность данных в постквантовом мире
Кажется, что каждый месяц вызывает новые опасения по поводу безопасности онлайн-шифрования. Мы сообщали, что Chrome скоро будет блокировать загрузки HTTPS, и о проблемах, связанных с безопасностью RSA, одного из наиболее широко используемых алгоритмов шифрования, из-за того, что производители генерируют небезопасные ключи.
Эти опасения усиливаются из-за ряда факторов, некоторые из которых являются новыми. Похоже, что инсайдерские угрозы растут и часто могут обойти криптографическую защиту конфиденциальных данных. Однако, возможно, самая большая проблема на горизонте - это квантовые вычисления.
Квантовые компьютеры могут подорвать почти все протоколы шифрования, которые мы используем сегодня. Хотя квантовые компьютеры по-прежнему далеки от того, чтобы быть практичными, удобными в использовании машинами, когда они станут таковыми, мы сможем увидеть совершенно новый мир, когда дело доходит до конфиденциальности в Интернете - мир, в котором можно взломать даже самое надежное шифрование.
Что можно сделать для смягчения этих будущих угроз с точки зрения отрасли? И что вы можете сделать, чтобы ваш бизнес был готов к грядущим изменениям?
В этой статье мы узнаем, почему квантовые вычисления представляют такую угрозу для существующих схем шифрования и что это означает для будущего. Затем мы рассмотрим алгоритмы постквантовой криптографии, которые утверждают, что могут защищать данные даже с помощью возможностей квантовых компьютеров.
Цифровое шифрование и квантовые вычисления
Чтобы понять, почему квантовые компьютеры представляют собой такую угрозу, полезно сначала вспомнить, как работает цифровое шифрование. Сегодня в сети используются два основных типа шифрования: симметричное и асимметричное.
Первое предполагает, что каждая из двух сторон транзакции имеет общий ключ шифрования. Последнее, с другой стороны, относится к транзакциям, в которых общедоступный ключ используется отправителем для шифрования сообщений, а получатель использует соответствующий закрытый ключ, необходимый для их расшифровки. Иногда эти два метода используются в сочетании друг с другом, как в случае с защищенным протоколом HTTPS или с тем, что часто называют шифрованием SSL / TLS.
Технически любой тип шифрования может быть взломан при наличии достаточного времени и вычислительной мощности. Однако по замыслу ключи шифрования, используемые в наиболее распространенных алгоритмах шифрования, RSA и криптографии с эллиптической кривой, очень длинные, порядка 617 десятичных цифр для RSA. Обычным компьютерам потребовались бы тысячи, если не миллионы, лет, чтобы выполнить возможные перестановки такого ключа.
Вот почему на данный момент взлом протоколов асимметричного шифрования не осуществляется с помощью так называемых атак «грубой силы». Вместо этого хакеры полагаются на тот факт, что многие компании не инвестировали в обучение своих сотрудников основам кибербезопасности, и будут рассылать фишинговые электронные письма, чтобы попытаться получить доступ. Однако, когда квантовые компьютеры станут мейнстримом, этот подход может резко измениться.
Симметричное и асимметричное шифрование
Однако не каждый тип шифрования полагается на открытый обмен ключами. Криптография с открытым ключом частично опирается на асимметричное шифрование, при котором одни ключи являются общедоступными, а другие остаются закрытыми. Это необходимо, потому что невозможно безопасно обменяться ключом шифрования между двумя пользователями, которые находятся далеко друг от друга.
Симметричное шифрование, напротив, не требует открытой отправки ключей, где они потенциально могут быть взломаны алгоритмами квантовых вычислений. Вместо этого они требуют, чтобы отправитель и получатель сообщения лично обменивались ключом шифрования. В качестве альтернативы они используются в случаях, когда данные вообще не отправляются, например, для данных, хранящихся в базе данных.
Этот ключ по своей сути является секретным, поэтому данные пользователя хранятся в безопасности. Фактически, пока этот ключ достаточно длинный по отношению к сообщению и используется только один раз, его нельзя взломать ни классическими, ни квантовыми компьютерами.
В результате, как указал Массачусетский технологический институт, квантовые компьютеры в основном представляют угрозу для протоколов асимметричного шифрования, а не для симметричных систем. Поиск частного, безопасного канала с квантово-устойчивыми алгоритмами для обмена ключами шифрования может быть проблемой, но может стать необходимым.
Нарушая код: квантовые компьютеры против обычных компьютеров
Квантовые компьютеры работают принципиально иначе, чем стандартные компьютеры.
Обычные компьютеры хранят данные в виде единиц и нулей. Квантовые машины используют кубиты, которые могут одновременно представлять множество возможных состояний 1 и 0 - явление, известное как суперпозиция. Они также могут влиять друг на друга на расстоянии благодаря явлению, известному, как квантовая запутанность.
На практике это означает, что квантовые компьютеры будут иметь гораздо большую вычислительную мощность, чем стандартные компьютеры. Как выразился Массачусетский технологический институт, «квантовая машина с 300 кубитами могла бы представлять больше значений, чем атомов в наблюдаемой Вселенной». Это означает, что квантовые компьютеры могут угадывать ключ шифрования намного быстрее, чем обычный компьютер.
В прошлом году Национальные академии наук, инженерии и медицины США предсказали, что мощный квантовый компьютер сможет взломать 1024-битную реализацию RSA менее чем за день. Конечно, на данный момент такого компьютера не существует, но большинство экспертов сходятся во мнении, что он станет частью нашей повседневной жизни в самом ближайшем будущем.
Это может стать огромной проблемой для сектора кибербезопасности, который уже изо всех сил пытается справиться с проблемами безопасности Интернета вещей (IoT) и ростом числа зашифрованных вредоносных программ. В самом широком смысле такие опасения могут полностью подорвать доверие потребителей к онлайн-шифрованию.
Опросы конфиденциальности в Интернете уже показывают, что многие потребители обеспокоены тем, что их личные данные небезопасны, при этом более 52% респондентов указали, что они больше обеспокоены тем, как обрабатывается их конфиденциальность. Заголовки о неизбежном росте квантовых компьютеров мало их успокаивают.
SSL, TLS и квантовые вычисления
На данный момент вы, вероятно, задаетесь вопросом, какое реальное влияние окажут эти достижения, поэтому давайте рассмотрим пример. Сертификаты SSL и TLS представляют собой наиболее распространенное использование шифрования в Интернете. Эти сертификаты требуются веб-браузерам для безопасного подключения к веб-сайтам: если вы даже видели предупреждение в Chrome или Firefox о веб-сайте с устаревшими сертификатами, значит, это система SSL / TLS в действии.
На данный момент сертификаты SSL и TLS действительны только в течение двух лет с момента их выдачи. Это связано с тем, что два года - слишком мало для взлома шифрования хакером, которое они используют с современными технологиями. Если и когда квантовые компьютеры смогут резко сократить это время, появится относительно простой способ сохранить безопасность системы: сократить срок действия сертификатов. Фактически, это уже было сделано Apple, которая сократила срок действия сертификата SSL в Safari до одного года, чтобы повысить безопасность системы.
Если квантовые компьютеры станут доступными для среднего хакера, вполне вероятно, что даже с максимальным сроком действия в один год текущее шифрование не сможет поддерживать его. Хакеры смогут сохранять перехваченные данные до тех пор, пока они не сломают шифрование, а затем расшифровать их, даже если срок действия SSL-сертификата истек и он больше не используется.
Прогноз квантово-устойчивых алгоритмов и шифрования в постквантовом мире
На самом деле маловероятно, что квантовые компьютеры смогут взломать RSA (или любой другой в настоящее время безопасный алгоритм) в ближайшее время. В 2015 году исследователи предсказали, что квантовому компьютеру потребуется миллиард кубитов, чтобы с легкостью взломать 2048-битную систему RSA. Более поздние исследования показывают, что компьютер с 20 миллионами кубитов может сделать эту работу всего за восемь часов. Однако это далеко позади нынешних возможностей квантовых машин, самые продвинутые из которых имеют 128 кубитов, согласно MIT Technology Review.
Тем не менее, правительствам и предприятиям необходимо сейчас начать думать о том, как они будут обеспечивать безопасность своих данных, когда квантовые вычисления станут настолько мощными.
Государственные и военные системы, как правило, строятся с расчетом на десятилетия жизни, как и многие коммерчески доступные программные продукты как услуги (пакеты SaaS). Учитывая, что к 2022 году ожидается, что 86% организаций будут использовать SaaS для большинства своих нужд, любая организация, планирующая хранить данные в течение такого периода времени, должна начать думать о том, как защитить свои данные от киберпреступников, которые будет использовать квантовые компьютеры.
Взгляд на то, как могут работать постквантовые алгоритмы
Для этого потребуется комплексный подход. С одной стороны, исследователи заняты созданием более безопасных криптографических протоколов - квантово-устойчивых алгоритмов или алгоритмов постквантовой криптографии, если хотите. Даже простой способ удвоения размера ключа шифрования, например, со 128 бит до 256 бит, сводит в квадрат возможные перестановки в шифровании AES.
Затем есть более продвинутые функции, в том числе экзотически звучащие, такие как криптография на основе решеток и суперсингулярный обмен ключами изогении (тип протокола Диффи-Хеллмана).
Криптография на основе решеток получила свое название от того, как криптографические схемы часто сопровождаются доказательствами безопасности, в которых используются сложные математические уравнения с использованием решеток. Математические задачи с использованием решеток зарекомендовали себя как очень эффективные из-за очень широкого набора криптографических схем и новых криптографических инструментов, которые они могут создавать, включая те, для которых у нас нет аналогов. Это также включает в себя трудные для решения проблемы, которые, насколько нам известно, не могут быть решены с помощью квантового компьютера.
Между тем обмен суперсингулярной изогенией (также известный, как суперсингулярная изогения обмена ключами Диффи-Хеллмана или SIDH) - это криптографический алгоритм, который позволяет двум сторонам - без какого-либо предварительного знания друг друга - установить секретный ключ между ними по небезопасному канал связи. При сжатии SIDH использует 2688-битные открытые ключи на 128-битном квантовом уровне, что также является одним из наименьших возможных размеров ключей среди всех постквантовых криптосистем.
Однако новые алгоритмы постквантовой криптографии, такие как криптография на основе решеток и SIDH, по-прежнему необходимо будет протестировать на квантовых машинах. Это потребует координации между бизнесом и государственными органами. В настоящее время Национальный институт стандартов и технологий США (NIST) играет ведущую роль в этом процессе. В 2016 году он запустил процесс разработки стандартов постквантового шифрования для государственного использования. Он уже сузил первоначальный набор из 69 предложений до 26, но говорит, что, скорее всего, примерно в 2022 году начнут появляться проекты стандартов.
Будущее — сегодня
Несмотря на то, что квантовым вычислениям еще предстоит стать практическим инструментом через несколько лет (или десятилетий), правительствам и предприятиям необходимо уже сейчас задуматься о том, как бороться с квантовыми вычислениями как с возникающей угрозой, используя соответствующие алгоритмы постквантовой криптографии.
В этом контексте у нас может быть не так много времени, как мы думаем. Короче говоря, пора взглянуть на нашу подборку лучших книг по кибербезопасности и подготовиться к будущему, потому что оно уже здесь. Примеры того, что вы можете сделать, включают в себя начало проверочного тестирования концепции для определения областей, в которых вы, скорее всего, столкнетесь со значительными проблемами, составление инвентарного списка того, где криптография используется в вашей организации, и обеспечение того, чтобы у ваших поставщиков был план действий. быть впереди всех, когда речь идет об угрозах квантовых вычислений.
Имея это в виду, DigiCert теперь предлагает цифровые сертификаты PQC, которые поддерживают варианты гибридного постквантового шифрования. Это позволит вам начать тестирование PQC, оставаясь при этом полностью совместимым с существующими в отрасли алгоритмами.
Для разработки, стандартизации и развертывания криптографических протоколов по всему миру требуется много времени, и столько же времени может потребоваться для их вывода из эксплуатации. Прошлогоднее исследование национальных академий выявило тот факт, что потребовалось более десяти лет, чтобы полностью отказаться от одного широко распространенного криптографического подхода, который оказался несовершенным.
Это всего лишь еще один пример того, что мы не настолько готовы к квантовым вычислениям и угрозам, которые они представляют, как нам кажется.