Criptografia pós-quântica

Preparing for a quantum-safe future

Quase todas as comunicações digitais são protegidas por três sistemas criptográficos: criptografia de chave pública, assinaturas digitais e troca de chaves.

Na Infraestrutura de chave pública de hoje, estes sistemas são implementados usando algoritmos criptográficos assimétricos RSA ou ECC. A criptografia RSA e ECC dependem de algo chamado de “computational hardness assumption”: a hipótese que um problema numérico teórico (como fatoração de inteiros ou problema do Logaritmo discreto) não tem solução eficiente. Contudo, tais pressupostos eram baseados na potência de processamento dos computadores clássicos.

Em 1994, Peter Shor demonstrou que algoritmos assimétricos que dependem de uma “computational hardness assumption” poderia quebram muito facilmente com um computador quântico suficientemente poderoso e um algoritmo específico, mais tarde chamado algoritmo de Shor. Na verdade, um computador quântico com qubits o suficiente e profundidade de circuitos poderia violar os algoritmos assimétricos instantaneamente. Um estudo publciado pela ASC X9 Quantum Computing Risk Study Group estimou estes exatos requisitos:

Algoritmo Qubits lógicos requeridos Profundidade de circuitos requerida
RSA-2048 4700 8 10^9
ECC NIST P-256 2330 1.3 10^112

Para uma explicação detalhada sobre o algoritmo de Shor e como computadores quânticos podem violar criptografia assimétrica, assista a este vídeo.

Grande parte dos especialistas estimam que dentro dos próximos 20 anos, um computador quântico suficiente potente com os qubits requeridos e profundidade de circuitos para violar chaves RSA e ECC será construído.

Duas décadas podem parecer um bom tempo, mas lembre-se de que a indústria PKI que conhecemos hoje levou quase o mesmo período para chegar até aqui. De acordo com m projeto NIST Post-Quantum Cryptography, "é improvável que haja uma substituição simples para os nossos algoritmos criptográficos de chave pública atuais. Um esforço significativo será necessário para desenvolver, padronizar e implantar novos criptossistemas pós-quânticos."

É por isso que a DigiCert começou a trabalhar com diversas partes da indústria pós-quântica agora para ajudar a criar um ecossistema de PKI que seja seguro à tecnologia quântica e ágil o bastante para enfrentar quaisquer ameaças futuras.

Vetores de ataque quântico

A primeira etapa para que haja proteção efetiva contra estas ameaças futuras é identificar os diversos vetores de ataque impostos por um âmbito de ameaça pós-quântica.

Handshake TLS/SSL

Computadores quânticos representam a maior ameaça a algoritmos criptográficos assimétricos. Isso significa que o sistema criptográfico usado para digitalmente assinar certificados e lidar com o handshake SSL/TLS inicial são possíveis vetores de ataque.

Felizmente, a NIST e ASC X9 afirmam que algoritmos criptográficos assimétricos (como AES) usados para criar chaves de sessão para proteger dados em trânsito após o handshake TLS/SSL inicial parecem ser resistentes a ataques de computadores quânticos. Na verdade, dobrar o tamanho de bit de uma chave simétrica (por ex., de AES-128 a AES-256) parece ser o suficiente para proteção contra ataques de computadores quânticos. Isso porque chaves simétricas são baseadas em uma string pseudo-aleatória de caracteres e exigiria o uso de ataque de força bruta ou explorar algumas vulnerabilidade conhecida para violar a criptografia, como oposto ao uso de um algoritmo (por ex., algoritmo de Shor) para violar criptografia assimétrica.

Este diagrama simplificado de handshake TLS/SSL destaca quais ações estão em risco a ataques de computadores quânticos e quais estão seguras.

O handshake TLS/SSL usando algoritmos criptográficos assimétricos atuais (RSA, ECC) e AES-256

Este vetor de ataque ameaça a comunicação inicial com servidores usando certificados digitais da entidade final. Enquanto isso ainda é uma grande ameaça, provavelmente não é o vetor de ataque mais perigoso.

Mesmo com um computador quântico bastante potente, os recursos requeridos para calcular a chave particular de um certificado ainda é considerável. Por isso, é seguro presumir que nenhum certificado digital da entidade final é importante o bastante para garantir um ataque quântico. Sem mencionar que é relativamente trivial rechavear e reemitir um certificado da entidade final.

Cadeia de confiança

Provavelmente o vetor de ataque mais perigoso imposto por computadores quânticos é a cadeia de confiança (cadeia de certificados) usada por certificados digitais. Algoritmos criptográficos assimétricos RSA e ECC são usados em todo nível de cadeia de confiança: o certificado raiz é assinado automaticamente e assina o certificado intermediário, e o certificado intermediário assina os certificados da entidade final.

Se um computador quântico fosse capaz de calcular chave particular de um certificado intermediário ou certificado raiz, a fundação em que PKI se firmou cairia. Com acesso à chave particular, um ator de ameaça poderia emitir certificados fraudulentos que seriam automaticamente confiados em navegadores. E diferentemente de um certificado da entidade final, substituir um certificado raiz é algo bastante complicado.

Sistemas criptográficos seguros contra ameaças quânticas

Antes que mudanças aos sistemas criptográficos atuais de PKI possam acontecer, sistemas criptográficos substitutos precisam ser identificados. Enquanto sistemas criptográficos seguros contra ameaças quânticas já existem, maior pesquisa e estudo são necessários antes que eles possam ser confiados para proteger informações sensíveis.

Desde o fim de 2016, o projeto NIST Post-Quantum Cryptography (PQC) tem liderado esforços de pesquisa para sistemas criptográficos seguros à tecnologia quântica. Até o momento, eles identificaram 26 algoritmos pós-quânticos como possíveis candidatos substitutos. Contudo, mais pesquisa e testes ainda são necessários antes que esses sistemas criptográficos estejam prontos para serem padronizados e implantados.

De acordo com a linha do tempo do projeto NIST PQC, outra rodada de eliminações acontecerá em algum momento entre 2020 e 2021, com um esboço disponível entre 2022 e 2024.

Planejando para um futuro pós-quântico

Esta transição precisa acontecer bem antes da construção de quaisquer computadores quânticos de larga escala, para que quaisquer informações posteriormente comprometidas por criptoanálise quântica não sejam mais sensíveis quando tal comprometimento ocorrer.

NIST PQC project

Devido ao tempo que levará para desenvolver, padronizar e implantar técnicas criptográficas pós-quânticas, a DigiCert começou a testar a viabilidade de incorporar algoritmos pós-quânticos em certificados híbridos usando este esboço IETF.

Nas próximas semanas, forneceremos informações adicionais sobre os nossos esforços de criptologia pós-quântica e desenvolvimento de certificados híbridos, junto com informações sobre estes temas:

  • Etapas imediatas para se preparar para um futuro pós-quântico
  • Detalhes sobre certificados híbridos e como eles podem proteger sistemas atuais
  • Recursos do kit de ferramentas PQC e guia de configuração