Постквантовая криптография

Preparing for a quantum-safe future

Почти все цифровые коммуникации защищены тремя криптографическими системами: шифрование с открытым ключом, цифровые подписи и обмен ключами.

В современной инфраструктуре открытых ключей эти системы реализованы с использованием асимметричных криптографических алгоритмов RSA или ECC. Криптография RSA и ECC основывается на так называемом предположении о вычислительной прочности — гипотезе о том, что проблема существующего теоретически числа (например, проблема факторизации целых чисел или дискретного логарифма) не имеет эффективного решения. Тем не менее, эти предположения были основаны на вычислительной мощности классических компьютеров.

В 1994 году Питер Шор (Peter Shor) продемонстрировал, что асимметричные алгоритмы, основанные на предположении о вычислительной прочности, можно очень легко взломать с помощью достаточно мощного квантового компьютера и специального алгоритма, позже названного алгоритмом Шора. Фактически, квантовый компьютер с достаточным количеством кубитов и глубиной схемы может мгновенно взломать асимметричные алгоритмы. В исследовании, опубликованном ASC X9 Quantum Computing Riz Study Group, были оценены эти точные требования.

Алгоритм Обязательные логические кубиты Требуемая глубина схемы
RSA-2048 4700 8 10^9
ECC NIST P-256 2330 1.3 10^112

Для подробного объяснения алгоритма Шора и того, как квантовые компьютеры могут нарушить асимметричное шифрование, посмотрите это видео.

По оценкам большинства экспертов, в течение следующих 20 лет будет построен достаточно мощный квантовый компьютер с требуемыми кубитами и глубиной схемы для взлома ключей RSA и ECC.

Два десятилетия могут показаться долгим сроком, но следует иметь в виду, что для сегодняшнего уровня развития сферы инфраструктуры открытых ключей (PKI) потребовалось примерно столько же времени. Согласно проекту NIST «Постквантовая криптография», "маловероятно наличие упрощенной «ускоренной» замены нашим текущим криптографическим алгоритмам с открытым ключом. Потребуются значительные усилия для разработки, стандартизации и развертывания новых постквантовых криптосистем."

Вот почему компания DigiCert начала работу с несколькими отраслевыми игроками в сфере постквантовой криптографии с целью оказания помощи в создании экосистемы PKI, квантово-безопасной и достаточно гибкой для того, чтобы справляться с любыми будущими угрозами.

Векторы квантовой атаки

Первым шагом для эффективной защиты от этих будущих угроз является выявление различных векторов атак, создаваемых картиной постквантовых угроз.

Квитирование TLS/SSL

Квантовые компьютеры представляют наибольшую угрозу для асимметричных криптографических алгоритмов. Это означает, что криптографическая система, используемая для цифровой подписи сертификатов и обработки начального квитирования SSL/TLS, является потенциальным вектором атаки.

К счастью, и NIST, и ASC X9 утверждают, что симметричные криптографические алгоритмы (например, AES), используемые для создания сеансовых ключей для защиты данных при передаче после первоначального квитирования TLS/SSL, кажутся устойчивыми к атакам квантовых компьютеров. Фактически, для защиты от квантовых компьютерных атак достаточно удвоить длину симметричного ключа в битах (например, с AES-128 до AES-256). Это связано с тем, что симметричные ключи основаны на псевдослучайной строке символов и требуют использования атаки методом «грубой силы» или использования какой-либо известной уязвимости для взлома шифрования, в отличие от использования алгоритма (например, алгоритма Шора) для взлома асимметричного шифрования.

На этой упрощенной диаграмме квитирования TLS/SSL показано, какие действия подвержены риску квантовых компьютерных атак, а какие являются безопасными.

Квитирование TLS/SSL с использованием современных асимметричных криптографических алгоритмов (RSA, ECC) и AES-256

Этот вектор атаки угрожает установлению связи с серверами с использованием цифровых сертификатов конечных объектов. Хотя это все еще остается довольно значительной угрозой, это, вероятно, не самый опасный вектор атаки.

Даже при наличии достаточно мощного квантового компьютера все еще требуются значительные ресурсы для вычисления закрытого ключа сертификата. Из-за этого можно с уверенностью предположить, что ни один цифровой сертификат конечного объекта не является достаточно важным, чтобы гарантировать защиту от квантовой атаки. Не говоря уже о том, что повторное создание ключей и повторный выпуск сертификата конечного объекта являются относительно тривиальными.

Цепочка сертификатов

Вероятно, наиболее опасный вектор атаки с использованием квантовых компьютеров — это цепочка доверия (цепочка сертификатов), используемая цифровыми сертификатами. Асимметричные криптографические алгоритмы RSA и ECC используются на каждом уровне цепочки доверия — корневой сертификат подписывает себя и промежуточный сертификат, а промежуточный сертификат подписывает сертификаты конечного объекта.

Если квантовый компьютер сможет вычислить закрытый ключ промежуточного сертификата или корневого сертификата, основа, на которой построена PKI, разрушится. Имея доступ к закрытому ключу, злоумышленник может выдавать поддельные сертификаты, которым браузеры будут доверять автоматически. И в отличие от сертификата конечного объекта, замена корневого сертификата совсем не тривиальный процесс.

Квантово-безопасные криптографические системы

Прежде чем могут произойти изменения в существующих криптографических системах PKI, необходимо определить заменяющие криптографические системы. Хотя существует несколько квантово-безопасных криптографических систем, необходимы дальнейшие исследования и изучения, прежде чем на них можно будет положиться для защиты конфиденциальной информации.

С конца 2016 года проект NIST Постквантовая криптография (PQC) возглавляет исследовательские работы по квантово-безопасным криптографическим системам. Пока что они определили 26 постквантовых алгоритмов в качестве потенциальных кандидатов для замены. Тем не менее, прежде чем эти криптографические системы будут готовы к стандартизации и развертыванию, необходимо провести гораздо больше исследований и испытаний.

Согласно срокам проекта NIST PQC, еще один раунд исключений произойдет где-то между 2020 и 2021 годами, а проект стандартов станет доступным в период между 2022 и 2024 годами.

Планирование постквантового будущего

Этот переход должен произойти задолго до того, как будут построены какие-либо крупномасштабные квантовые компьютеры, чтобы любая информация, которая впоследствии будет скомпрометирована квантовым криптоанализом, перестала быть важной, когда происходит такая угроза.

NIST PQC project

Из-за времени, которое потребуется для разработки, стандартизации и развертывания постквантовых криптографических методов, DigiCert начала тестирование жизнеспособности встраивания постквантовых алгоритмов в гибридные сертификаты с использованием данного проекта IETF.

В ближайшие недели мы предоставим дополнительную информацию о наших усилиях в сфере постквантовой криптологии и разработки гибридных сертификатов, а также информацию по следующим темам:

  • Непосредственные шаги, которые вы можете предпринять, чтобы подготовиться к постквантовому будущему
  • Подробные сведения о гибридных сертификатах и как они могут защитить существующие системы
  • Ресурсы набора средств PQC и руководство по установке