Criptografia pós-quântica
Preparando-se para um futuro quântico seguro
Quase todas as comunicações digitais são protegidas por três sistemas criptográficos: criptografia de chave pública, assinaturas digitais e troca de chaves.
Na infraestrutura de chave pública atual, esses sistemas são implementados usando algoritmos criptográficos assimétricos RSA ou ECC. A criptografia RSA e ECC dependem de algo chamado de “computational hardness assumption”: a hipótese que um problema numérico teórico (como fatoração de inteiros ou problema do Logaritmo discreto) não tem solução eficiente. Contudo, tais pressupostos eram baseados na potência de processamento dos computadores clássicos.
Em 1994, Peter Shor demonstrou que algoritmos assimétricos que dependem de uma suposição de dureza computacional podem ser quebrados muito facilmente com um computador quântico suficientemente poderoso e um algoritmo específico, mais tarde chamado de algoritmo de Shor. Na verdade, um computador quântico com qubits o suficiente e profundidade de circuitos poderia violar os algoritmos assimétricos instantaneamente. Um estudo publicado pelo Grupo de Estudo de Risco de Computação Quântica ASC X9 estimou estes requisitos exatos:
Algoritmo | Qubits lógicos requeridos | Profundidade de circuitos requerida |
|---|---|---|
RSA-2048 | 4700 | 8 10^9 |
ECC NIST P-256 | 2330 | 1.3 10^112 |
Aviso
Para uma explicação detalhada do algoritmo de Shor e como os computadores quânticos podem quebrar a criptografia assimétrica, assista este vídeo.
Grande parte dos especialistas estimam que dentro dos próximos 20 anos, um computador quântico suficiente potente com os qubits requeridos e profundidade de circuitos para violar chaves RSA e ECC será construído.
Duas décadas podem parecer um bom tempo, mas lembre-se de que a indústria PKI que conhecemos hoje levou quase o mesmo período para chegar até aqui. De acordo com o projeto de criptografia pós-quântica do NIST, "é improvável que haja uma substituição simples 'drop-in' para nossos algoritmos criptográficos de chave pública atuais. Um esforço significativo será necessário para desenvolver, padronizar e implantar novos sistemas criptográficos pós-quânticos."
É por isso que a DigiCert começou a trabalhar com vários players da indústria pós-quântica agora, para ajudar a criar um ecossistema de PKI que seja quântico seguro e ágil o suficiente para enfrentar ameaças futuras.
Vetores de ataque quântico
A primeira etapa para que haja proteção efetiva contra estas ameaças futuras é identificar os diversos vetores de ataque impostos por um âmbito de ameaça pós-quântica.
Handshake TLS/SSL
Computadores quânticos representam a maior ameaça a algoritmos criptográficos assimétricos. Isso significa que o sistema criptográfico usado para digitalmente assinar certificados e lidar com o handshake SSL/TLS inicial são possíveis vetores de ataque.
Felizmente, a NIST e ASC X9 afirmam que algoritmos criptográficos assimétricos (como AES) usados para criar chaves de sessão para proteger dados em trânsito após o handshake TLS/SSL inicial parecem ser resistentes a ataques de computadores quânticos. Na verdade, dobrar o tamanho de bit de uma chave simétrica (por ex., de AES-128 a AES-256) parece ser o suficiente para proteção contra ataques de computadores quânticos. Isso ocorre porque as chaves simétricas são baseadas em uma sequência de caracteres pseudo-aleatória e exigiriam o uso de um ataque de força bruta ou a exploração de uma vulnerabilidade conhecida para quebrar a criptografia, em vez de usar um algoritmo (por exemplo, algoritmo de Shor) para quebrar a assimetria criptografia.
Este diagrama simplificado de handshake TLS/SSL destaca quais ações estão em risco a ataques de computadores quânticos e quais estão seguras.
Este vetor de ataque ameaça a comunicação inicial com servidores usando certificados digitais da entidade final. Embora isso ainda seja uma ameaça muito grande, provavelmente não é o vetor de ataque mais perigoso.
Mesmo com um computador quântico poderoso o suficiente, os recursos necessários para calcular a chave privada de um certificado ainda são consideráveis. Por causa disso, é seguro assumir que nenhum certificado digital de entidade final é importante o suficiente para justificar um ataque quântico. Sem mencionar que é relativamente trivial redigitar e reemitir um certificado de entidade final.
Cadeia de confiança
Provavelmente, o vetor de ataque mais perigoso apresentado por computadores quânticos é a cadeia de confiança (cadeia de certificados) usada por certificados digitais. Os algoritmos criptográficos assimétricos RSA e ECC são usados em todos os níveis da cadeia de confiança – o certificado raiz assina a si mesmo e o certificado intermediário, e o certificado intermediário assina os certificados de entidade final.
Se um computador quântico fosse capaz de calcular chave particular de um certificado intermediário ou certificado raiz, a fundação em que PKI se firmou cairia. Com acesso à chave particular, um ator de ameaça poderia emitir certificados fraudulentos que seriam automaticamente confiados em navegadores. E diferentemente de um certificado da entidade final, substituir um certificado raiz é algo bastante complicado.
Sistemas criptográficos seguros contra ameaças quânticas
Antes que mudanças aos sistemas criptográficos atuais de PKI possam acontecer, sistemas criptográficos substitutos precisam ser identificados. Enquanto sistemas criptográficos seguros contra ameaças quânticas já existem, maior pesquisa e estudo são necessários antes que eles possam ser confiados para proteger informações sensíveis.
Desde o fim de 2016, o projeto NIST Post-Quantum Cryptography (PQC) tem liderado esforços de pesquisa para sistemas criptográficos seguros à tecnologia quântica. Até agora, eles identificaram 26 algoritmos pós-quânticos como potenciais candidatos a substituição. Contudo, mais pesquisa e testes ainda são necessários antes que esses sistemas criptográficos estejam prontos para serem padronizados e implantados.
De acordo com a linha do tempo do projeto NIST PQC, outra rodada de eliminações acontecerá em algum momento entre 2020 e 2021, com um rascunho de padrões disponibilizados entre 2022 e 2024.
Planejando para um futuro pós-quântico
Esta transição precisa acontecer bem antes da construção de quaisquer computadores quânticos de larga escala, para que quaisquer informações posteriormente comprometidas por criptoanálise quântica não sejam mais sensíveis quando tal comprometimento ocorrer.
Projeto NIST PQC
Devido ao tempo que levará para desenvolver, padronizar e implantar técnicas criptográficas pós-quânticas, a DigiCert começou a testar a viabilidade de incorporar algoritmos pós-quânticos em certificados híbridos usando este rascunho da IETF.