Um breve panorama sobre Criptografia na era quântica Parte 2

Acompanhe a Kryptus no Google Notícias

Por: Waldyr Benits, Ph.D | Head de Criptologia da Kryptus

Um breve panorama sobre Criptografia na era quântica Parte 2: NIST PQC Standardization Process

1. NIST PQC Standardization Process

O National Institute of Standards and Technologies (NIST) promoveu, em meados do ano de 2017, um concurso internacional para submissões de potenciais algoritmos pós-quânticos para normatização. Este processo é conhecido como NIST PQC Standardization Process. Assim, inicialmente foram propostos 69 algoritmos candidatos a um padrão pós-quântico que, durante aproximadamente 1 ano, após análises técnicas daquele instituto, foram selecionados 26 algoritmos candidatos para continuidade do processo do referido concurso. A previsão de anúncio do vencedor (ou vencedores) é entre 2022 e 2024.

Em julho de 2020 o NIST anunciou os finalistas e alternativas que passaram para o terceiro round. Alguns algoritmos não foram para o Round 3 por terem sido encontradas falhas críticas de segurança em suas construções. O NIST aponta que, diferente do processo de padronização do DES e do AES, não espera selecionar apenas um algoritmo como o “vencedor”. Idealmente, vários algoritmos surgirão como “boas escolhas” e mais de um algoritmo deverá ser indicado como padrão pós-quântico e com isso, o usuário terá opções de escolher o padrão PQ mais adequado para cada aplicação a que se destinar.

O NIST divulgou no dia 05/07/2022 os algoritmos pós-quânticos selecionados no Round 3 e os que avançaram para uma próxima etapa de avaliações (Round 4), conforme Figura 1 a seguir.

Figura 1

2. Breve análise dos algoritmos selecionados ou que avançaram para o Round 4

O Kyber é baseado em reticulados estruturados. Sua premissa de segurança é o problema LWE (Learning With Errors). Ele tem bom desempenho (em termos de eficiência e tamanhos de texto chave/cifra).

O Classic McEliece foi criado em 1978 e até hoje não se conhece um ataque eficaz contra ele. É baseado em códigos corretores de erros e possui chaves públicas muito grandes, mas textos cifrados muito pequenos.

O BIKE e o HQC são baseados em códigos estruturados. Ambos têm tamanhos de chave muito menores que o Classic McEliece.

O SIKE é baseado em isogenias da curva elíptica. Uma das principais desvantagens do SIKE é o seu alto tempo de execução que atualmente qualifica o esquema como o candidato mais lento. No entanto, essa desvantagem é compensada com os tamanhos de chaves mais baixos entre todos os candidatos.

Quanto aos algoritmos de assinatura digital, os algoritmos Dilithium e Falcon são baseados em reticulados estruturados. O Dilithium é estilo Fiat-Shamir, enquanto Falcon é hash then sign. Ambos têm bom desempenho. O NIST espera selecionar no máximo um para padronização.

O SPHINCS+ é baseado na segurança das funções hash. Como ponto positivo, a segurança do SPHINCS+ é muito bem compreendida.

3. Considerações levantadas na ocasião da divulgação do resultado do Round 3

O NIST fez as seguintes considerações no report onde divulgou o resultado da terceira rodada:

Os algoritmos CRYSTALS-KYBER (PKE/KEM) e CRYSTALS-Dilithium (assinaturas digitais) foram selecionados por sua forte segurança e excelente desempenho, e o NIST espera que funcionem bem na maioria dos aplicativos;

O CRYSTALS-KYBER está preso a patentes. “O NIST espera executar os vários contratos antes de publicar o padrão. Se os contratos não forem executados até o final de 2022, o NIST pode considerar a seleção de NTRU em vez de KYBER”;

O Falcon também será padronizado pelo NIST, pois pode haver casos de uso para os quais as assinaturas CRYSTALS-Dilithium são muito grandes;

Além disso, o SPHINCS+ será padronizado para evitar depender apenas da segurança de reticulados para assinaturas;

Tanto BIKE quanto HQC são baseados em códigos estruturados, e qualquer um deles seria adequado como um KEM de uso geral que não é baseado em reticulados. O NIST espera selecionar no máximo um desses dois candidatos para padronização na conclusão da quarta rodada;

O SIKE continua sendo um candidato atraente para padronização por causa de seus tamanhos pequenos de chave e texto cifrado e continuará a ser estudado na quarta rodada.

O Classic McEliece era finalista, mas não está sendo padronizado no momento. Embora o Classic McEliece seja amplamente considerado seguro, o NIST não prevê que seja muito utilizado devido ao seu grande tamanho de chave pública. O NIST pode optar por padronizar o Classic McEliece no final da quarta rodada.

No próximo e último artigo desta série, vou relatar os principais ataques já publicados sobre alguns destes algoritmos, com destaque para um ataque que significa a quebra do SIKE.

Veremos também como a comunidade científica está se preparando para a migração para um cenário onde o computador quântico (CRQC) seja uma realidade e, em especial, como a Kryptus está se preparando.