Acompanhe a Kryptus no Google Notícias
Por: Waldyr Benits, Ph.D | Head de Criptologia da Kryptus
Um breve panorama sobre Criptografia na era quântica Parte 3: Migração para um cenário Pós-quântico
1. Alguns ataques publicados sobre os algoritmos envolvidos no processo de padronização do NIST
Em abril de 2022 foi publicado um report do Center of Encryption and Information Security de Israel (MATZOV Center). Este ataque é específico no problema LWE (learning with errors), que reduz a segurança dos candidatos Kyber, Saber and Dilithium para um nível abaixo do AES-128 estabelecido pelo NIST. Entretanto, este ataque não compromete o esquema como um todo porque uma mudança de parâmetros poderia mitigar a redução.
O paper de Y. Wang et al descreve um side channel attack baseado na frequência chamado de Hertzbleed, que afeta implementações em tempo constante do SIKE.
De acordo com Steven Galbraith:
“Por enquanto o Hertzbleed não comprometeu significativamente o SIKE devido à contramedida sugerida por Patrick Longa, mas abriu um caminho potencialmente perigoso para derrubar o SIKE, pois os ataques tendem sempre a melhorar”.
Patrick Longa alterou a biblioteca do SIKE para protegê-lo do ataque. Esta contramedida desacelerou a performance do SIKE em 6% e segundo Patrick Longa, essa modificação protegeu o SIKE e foi confirmada pelo pessoal do artigo do ataque.
Após a divulgação dos resultados da terceira rodada, novos ataques foram divulgados sobre algoritmos baseados em reticulados e o SIKE.
O artigo de Michael Fahr Jr. et al. usa um exploit de segurança para recuperar o material de chave privada do esquema FrodoKEM (ele também usa ataques de falha de decriptografia).
Embora o artigo use o FrodoKEM como exemplo, o ataque pode teoricamente ser executado em outros KEMs baseados em reticulado (com maior probabilidade para Kyber ou Saber, e com mais dificuldade para NTRU).
O artigo de W. Castryck e T. Decru apresenta um poderoso ataque de recuperação de chave no SIDH e no SIKE. Ele é baseado em um teorema de 1997 de Ernst Kani e supera em muito as estratégias de ataque anteriores. O ataque, na prática, levou cerca de 1 hora em um computador comum, para recuperar a chave privada. Em resumo, este ataque, significa a quebra do SIKE.
O artigo de Tomoki Moryia propõe uma possível contramedida ao ataque de Castryck-Decru, mas eleva consideravelmente o tamanho da chave pública do SIKE, que era uma de suas principais vantagens.
Segundo Sofia Celi em seu Blog “Breaking Post-Quantum Cryptography” de Sofía Celi, publicado em 31/07/2022:
“O que esses ataques nos mostraram é que o campo pós- quântico ainda é jovem: ainda existem avenidas de ataque clássico e quântico para explorar, e ainda muitos ataques de implementação que podem ser encontrados. A migração para a criptografia pós-quântica não deve ser tratada com leviandade. Ainda não temos dados completos se os esquemas pós-quânticos funcionarão para todas as situações para as quais a Internet é usada, e muito tempo ainda precisa passar até que possamos chamar o campo de maduro”.
2. O que fazer no momento?
Além dos citados algoritmos Pós-Quânticos, cuja segurança se baseia em problemas matemáticos que, até onde se sabe, não serão quebrados por um CRQC, existem algoritmos que também serão resistentes a ataques originados destes computadores, baseados em outras premissas de segurança:
- OTP: única cifra que oferece segurança perfeita, independente do poder computacional, desde que cumpra todos os requisitos necessários a sua implementação;
- Algoritmos simétricos com chaves suficientemente grandes (i.e., pelo menos 512 bits), capazes de resistir ao algoritmo de Grover rodando em um CRQC.
Ainda com relação aos Pós-Quânticos, diante das variáveis e premissas apresentadas, a comunidade científica aponta para uma solução híbrida, onde uma chave será derivada de duas chaves geradas por um gerador de aleatórios (preferencialmente um TRNG – True Random Number Generator), sendo uma delas cifrada com um algoritmo assimétrico convencional (Ex. RSA, ECC) e a outra cifrada por um algoritmo assimétrico pós-quântico. Neste caso, a segurança de um sistema híbrido fica “lower-bounded” pelo mais forte dos dois algoritmos.
A justificativa para adotar uma solução híbrida vem de uma tendência que começa a ganhar força na comunidade científica, conforme aponta a conclusão do artigo “Transitioning organizations to post-quantum cryptography” de Rafael Misoczki et al:
“Em vez de substituir algoritmos existentes por comparativamente alternativas pós-quânticas menos estudadas, a comunidade científica veio com uma abordagem simples e eficaz. Essa abordagem consiste em combinando um algoritmo tradicional e um algoritmo pós- quântico em um único mecanismo. Se feito corretamente, a segurança geral do sistema é limitada mais baixo pelo mais forte dos dois criptossistemas que compõem o sistema híbrido. Em outras palavras, mesmo que o algoritmo PQC seja posteriormente identificado como falho, a segurança oferecida pelo esquema clássico ainda está garantida. Desta forma, a segurança só é potencialmente aumentada em esta transição, nunca diminuiu.”
3. Brasil alinhado com a comunidade científica
A Agência Brasileira de Inteligência (ABIN) apresentou sua nova suíte criptográfica em 14 de setembro de 2022, no XXII Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais.
De acordo com o artigo apresentado no Simpósio: “um dos principais avanços é o uso da criptografia pós-quântica, implementada através de protocolos híbridos seguros que misturam padrões criptográficos atuais (especificamente curvas elípticas) com novas primitivas criptográficas baseadas em Lattices, que se acredita serem seguras contra computadores quânticos”.
No mesmo artigo, ainda afirmam que: “até onde sabemos, isso fará com que as eleições brasileiras sejam as primeiras do mundo a usar criptografia pós- quântica e o primeiro sistema em geral a usar esse tipo de criptografia em qualquer instituição pública brasileira.”
A suíte apresentada pela ABIN utiliza os algoritmos ChaCha20-Poly1305 para Criptografia Simétrica e Blake2 como função de Hash. Na parte Assimétrica, usa Curvas de Edwards para assinatura convencional e para resistir aos ataques partindo de um computador quântico utiliza um esquema híbrido com Curvas de Edwards (algoritmo convencional) e Crystals-Kyber (algoritmo pós-quântico). Finalmente, para assinaturas pós-quânticas, usa o Crystals-Dilithium.
4. E a Kryptus?
Para fortalecer a segurança dos seus produtos frente à ameaça dos CRQC, a Kryptus já adota as seguintes medidas:
- Robustecimento dos algoritmos simétricos tradicionais com chaves de complexidade resistentes à computação quântica;
- Uso de criptografia inquebrável por meio de cifração/decifração OTP.
No que diz respeito aos algoritmos Pós-Quânticos, a Kryptus segue acompanhando e constantemente se atualizando de acordo com as fases de seleção de algoritmos Pós Quânticos do NIST PQC Standardization Process.
Já temos em nossa biblioteca o algoritmo SIKE implementado (que infelizmente,
foi recentemente quebrado, mas acredita-se que a comunidade científica irá propor alguma contramedida eficiente para resistir a este ataque). Outros algoritmos candidatos ao padrão PKE/KEM e assinatura já se encontram em fase de implementação.
Nossa equipe técnica composta de criptógrafos e criptoanalistas possui a agilidade criptográfica necessária para reagir a eventuais mudanças causadas por novas vulnerabilidades que venham a ser descobertas e está pronta para implementar outros algoritmos que ainda permanecem “vivos” no processo, incluindo o(s) algoritmo(s) selecionado(s) pelo NIST tão logo este defina o padrão de criptografia pós-quântica.