Ein kurzer Überblick über Kryptographie im Quantenzeitalter Teil 3

Folgen Sie Kryptus auf Google News

von: Waldyr Benits, Ph.D. | Leiter der Kryptologie bei Kryptus

Ein kurzer Überblick über Kryptographie im Quantenzeitalter Teil 3: Migration in ein Post-Quanten-Szenario

1. Einige veröffentlichte Angriffe auf die Algorithmen, die am NIST-Standardisierungsprozess beteiligt sind

Im April 2022 wurde ein Bericht veröffentlicht vom Zentrum für Verschlüsselung und Informationssicherheit aus Israel (MATZOV Center). Dieser Angriff ist spezifisch für das LWE-Problem (Lernen mit Fehlern), wodurch die Sicherheit der Kyber-, Saber- und Dilithium-Kandidaten auf ein Niveau unterhalb des vom NIST festgelegten AES-128 reduziert wird. Dieser Angriff gefährdet jedoch nicht das gesamte Schema, da eine Parameteränderung die Reduzierung abmildern könnte.

Die Arbeit von Y. Wang et al beschreibt eine Seitenkanalangriff basierend auf der Häufigkeit des Aufrufs Hertzbleed, was sich auf SIKE-Implementierungen mit konstanter Zeit auswirkt.

Laut Steven Galbraith:

„Hertzbleed hat SIKE aufgrund der von Patrick Longa vorgeschlagenen Gegenmaßnahme noch nicht signifikant kompromittiert, aber es hat einen potenziell gefährlichen Weg zur Ausschaltung von SIKE eröffnet, da Angriffe tendenziell immer besser werden.“

Patrick Longa hat die SIKE-Bibliothek geändert, um sie vor dem Angriff zu schützen. Diese Gegenmaßnahme verlangsamte die Leistung von SIKE um 6 % und laut Patrick Longa schützte diese Änderung SIKE und wurde von den Mitarbeitern der Angriffszeitung bestätigt.

Nach der Veröffentlichung der Ergebnisse der dritten Runde wurden neue Angriffe auf gitterbasierte Algorithmen und SIKE veröffentlicht.

Der Artikel von Michael Fahr Jr. et al. verwendet einen Sicherheits-Exploit, um das private Schlüsselmaterial des FrodoKEM-Schemas wiederherzustellen (es verwendet auch Angriffe bei fehlgeschlagener Entschlüsselung).

Obwohl in dem Dokument FrodoKEM als Beispiel verwendet wird, kann der Angriff theoretisch auch auf anderen gitterbasierten KEMs durchgeführt werden (mit höherer Wahrscheinlichkeit für Kyber oder Saber und mit größerem Schwierigkeitsgrad für NTRU).

Das Papier von W. Castryck und T. Decru stellt einen leistungsstarken Angriff zur Schlüsselwiederherstellung auf SIDH und SIKE vor. Es basiert auf einem Theorem von Ernst Kani aus dem Jahr 1997 und übertrifft bisherige Angriffsstrategien bei weitem. In der Praxis dauerte es auf einem normalen Computer etwa eine Stunde, bis der private Schlüssel wiederhergestellt war. Kurz gesagt bedeutet dieser Angriff, SIKE zu brechen.

Das Papier von Tomoki Moryia schlägt eine mögliche Gegenmaßnahme zum Castryck-Decru-Angriff vor, erhöht dabei jedoch die Größe des öffentlichen Schlüssels von SIKE erheblich, was einer seiner Hauptvorteile war.

Laut Sofia Celi in ihrem Blog „Die Post-Quanten-Kryptographie knacken” von Sofía Celi, veröffentlicht am 31:

Diese Angriffe haben uns gezeigt, dass das Post-Quanten-Feld noch jung ist: Es gibt noch Möglichkeiten für klassische und Quantenangriffe zu erforschen, und es sind noch viele Implementierungsangriffe zu finden. Der Übergang zur Post-Quanten-Kryptografie sollte nicht auf die leichte Schulter genommen werden. Es liegen noch keine vollständigen Daten darüber vor, ob Post-Quanten-Verfahren in allen Situationen funktionieren, in denen das Internet genutzt wird, und es wird noch viel Zeit vergehen, bis wir das Feld als ausgereift bezeichnen können.

2. Was ist jetzt zu tun?

Zusätzlich zu den oben genannten Post-Quanten-Algorithmen, deren Sicherheit auf mathematischen Problemen basiert, die unseres Wissens nach durch einen CRQC nicht gebrochen werden können, gibt es Algorithmen, die auch gegen Angriffe, die von diesen Computern ausgehen, resistent sind und auf anderen Sicherheitsprämissen basieren:

OTP: die einzige Chiffre, die unabhängig von der Rechenleistung perfekte Sicherheit bietet, solange sie alle für ihre Implementierung erforderlichen Anforderungen erfüllt;
Symmetrische Algorithmen mit ausreichend großen Schlüsseln (d. h. mindestens 512 Bit), die dem auf einem CRQC ausgeführten Grover-Algorithmus standhalten können.

Immer noch in Bezug auf Post-Quantum, angesichts der dargestellten Variablen und Prämissen, weist die wissenschaftliche Gemeinschaft auf eine Hybridlösung hin, bei der ein Schlüssel aus zwei Schlüsseln abgeleitet wird, die von einem Zufallsgenerator (vorzugsweise einem TRNG – Echter Zufallszahlengenerator), von denen einer mit einem herkömmlichen asymmetrischen Algorithmus (z. B. RSA, ECC) und der andere mit einem postquantenasymmetrischen Algorithmus verschlüsselt ist. In diesem Fall wird die Sicherheit eines Hybridsystems „untere Grenze“ durch den stärkeren der beiden Algorithmen.

Die Begründung für die Einführung einer Hybridlösung ergibt sich aus einem Trend, der in der wissenschaftlichen Gemeinschaft an Stärke gewinnt, wie im Fazit des Artikels angedeutet wird:Umstellung von Organisationen auf Post-Quanten-Kryptografie“ von Rafael Misoczki et al:

Anstatt bestehende Algorithmen durch vergleichsweise wenig erforschte Post-Quanten-Alternativen zu ersetzen, hat die Wissenschaft einen einfachen und effektiven Ansatz entwickelt. Dieser besteht darin, einen traditionellen Algorithmus und einen Post-Quanten-Algorithmus zu einem einzigen Mechanismus zu kombinieren. Bei korrekter Umsetzung wird die Gesamtsicherheit des Systems durch das stärkere der beiden Kryptosysteme des Hybridsystems nach unten begrenzt. Anders ausgedrückt: Selbst wenn sich der PQC-Algorithmus später als fehlerhaft herausstellt, bleibt die Sicherheit des klassischen Verfahrens gewährleistet. Auf diese Weise wird die Sicherheit bei diesem Übergang nur potenziell erhöht, niemals verringert.

3. Brasilien hat sich der wissenschaftlichen Gemeinschaft angeschlossen

Der brasilianische Geheimdienst (ABIN) stellte am 14. September 2022 auf dem XXII. brasilianischen Symposium für Informationssicherheit und Computersysteme seine neue kryptografische Suite vor.

Laut dem auf dem Symposium vorgestellten Papier ist „einer der wichtigsten Fortschritte die Verwendung der Post-Quanten-Kryptografie, die durch sichere Hybridprotokolle implementiert wird, die aktuelle kryptografische Standards (insbesondere elliptische Kurven) mit neuen kryptografischen Grundelementen auf der Basis von Gittern kombinieren, die als sicher gegen Quantencomputer gelten.“

Im selben Artikel heißt es außerdem: „Soweit uns bekannt ist, werden die brasilianischen Wahlen damit die ersten weltweit sein, bei denen Post-Quanten-Kryptografie zum Einsatz kommt, und das erste System überhaupt, bei dem diese Art von Kryptografie in einer brasilianischen öffentlichen Einrichtung zum Einsatz kommt.“

Die von ABIN vorgestellte Suite verwendet die ChaCha20-Poly1305-Algorithmen für symmetrische Verschlüsselung und Blake2 als Hash-Funktion. Im asymmetrischen Teil verwendet es Edwards-Kurven für die konventionelle Signatur und um Angriffen von einem Quantencomputer zu widerstehen, verwendet es ein Hybridschema mit Edwards-Kurven (konventioneller Algorithmus) und Crystals-Kyber (Post-Quanten-Algorithmus). Verwenden Sie für Postquantensignaturen schließlich Crystals-Dilithium.

4. Was ist mit Kryptus?

Um die Sicherheit seiner Produkte gegen die Bedrohung durch CRQC zu stärken, hat Kryptus bereits die folgenden Maßnahmen ergriffen:

Stärkung traditioneller symmetrischer Algorithmen mit quantenresistenten Komplexitätsschlüsseln;
Verwendung unknackbarer Kryptografie durch OTP-Verschlüsselung/Entschlüsselung.

In Bezug auf Post-Quanten-Algorithmen überwacht und aktualisiert sich Kryptus weiterhin entsprechend den Auswahlphasen des Post-Quanten-Algorithmus. NIST PQC-Standardisierungsprozess.

Wir haben den SIKE-Algorithmus bereits in unserer Bibliothek implementiert (der leider

wurde vor kurzem geknackt, aber man geht davon aus, dass die wissenschaftliche Gemeinschaft einige wirksame Gegenmaßnahmen vorschlagen wird, um diesem Angriff standzuhalten). Weitere Kandidatenalgorithmen für den PKE/KEM- und Signaturstandard befinden sich bereits in der Implementierungsphase.

Unser technisches Team aus Kryptographen und Kryptoanalytikern verfügt über die nötige kryptografische Agilität, um auf alle Änderungen zu reagieren, die durch neu entdeckte Schwachstellen verursacht werden, und ist bereit, andere im Prozess noch „aktive“ Algorithmen zu implementieren, einschließlich der vom NIST ausgewählten Algorithmen, sobald dieses den Post-Quanten-Kryptografie-Standard definiert.