在 Google 新闻上关注 Kryptus 
通过: Waldyr Benits 博士 | Kryptus 密码学主管
量子时代密码学概述(第三部分):向后量子场景的迁移
1. 一些已发表的针对 NIST 标准化过程中涉及的算法的攻击
2022 年 XNUMX 月发布了一份报告 来自加密和信息安全中心 来自以色列(MATZOV中心)。这种攻击专门针对 LWE 问题(带着错误学习),这使得 Kyber、Saber 和 Dilithium 候选者的安全性降低到低于 NIST 建立的 AES-128 的水平。然而,这种攻击不会危及整个方案,因为参数的改变可以减轻这种减少。
Y. Wang 等人的论文描述了 旁道攻击 根据调用频率 赫兹出血,这会影响 SIKE 的恒定时间实现。
根据史蒂芬·加尔布雷斯的说法:
“由于 Patrick Longa 建议的对策,Hertzbleed 尚未对 SIKE 造成重大损害,但它为摧毁 SIKE 开辟了一条潜在的危险道路,因为攻击总是趋于改进。”
Patrick Longa 修改了 SIKE 库以保护其免受攻击。这一对策使 SIKE 的性能降低了 6%,根据 Patrick Longa 的说法,这一修改保护了 SIKE,并得到了攻击论文工作人员的证实。
第三轮结果公布后,针对基于格的算法和SIKE又发布了新的攻击。
Michael Fahr Jr. 等人的文章使用安全漏洞来恢复 FrodoKEM 方案的私钥材料(它也使用解密失败攻击)。
虽然论文中使用了 FrodoKEM 作为例子,但理论上也可以对其他基于格子的 KEM 进行攻击(对于 Kyber 或 Saber 来说概率更高,对于 NTRU 来说难度更大)。
W. Castryck 和 T. Decru 的论文提出了一种针对 SIDH 和 SIKE 的强大密钥恢复攻击。它基于恩斯特·卡尼 (Ernst Kani) 于 1997 年提出的定理,其性能远远优于之前的攻击策略。实际上,在普通计算机上,这次攻击大约需要 1 个小时才能恢复私钥。简而言之,这次攻击意味着打破SIKE。
Tomoki Moryia 的论文提出了一种针对 Castryck-Decru 攻击的可能对策,但大大增加了 SIKE 公钥的大小,这是其主要优势之一。
据 Sofia Celi 在她的博客中所述,“破解后量子密码学” 作者:Sofía Celi,发布于 31 年 07 月 2022 日:
这些攻击向我们表明,后量子领域仍处于起步阶段:仍有大量经典和量子攻击的途径有待探索,并且仍有许多可实施的攻击。向后量子密码学的转变不容轻视。我们目前尚无完整的数据来证明后量子方案是否适用于所有互联网应用场景,而且距离该领域的成熟还有很长的路要走。
2. 现在该做什么?
除了前面提到的后量子算法(其安全性基于数学问题,据我们所知,不会被 CRQC 破解)之外,还有一些算法可以抵抗来自这些计算机的攻击,这些算法基于其他安全前提:
- OTP:唯一能够提供完美安全性的密码,无论计算能力如何,只要它满足实施所需的所有要求;
- 具有足够大密钥(即至少 512 位)的对称算法能够抵抗在 CRQC 上运行的 Grover 算法。
仍然关于后量子,考虑到提出的变量和前提,科学界提出了一种混合解决方案,其中一个密钥将从随机生成器(最好是 TRNG – 真随机数生成器),其中一个采用传统非对称算法(如RSA、ECC)加密,另一个采用后量子非对称算法加密。在这种情况下,混合系统的安全性就变成了“下限”通过两种算法中较强的算法来实现。
采用混合解决方案的理由来自于科学界开始增强的一种趋势,正如文章结论中所指出的“帮助组织向后量子密码学过渡” Rafael Misoczki 等人撰写:
科学界并没有用研究相对较少的后量子算法来取代现有算法,而是提出了一种简单有效的方法。这种方法将传统算法和后量子算法合并为一个机制。如果操作正确,系统的整体安全性将受到构成混合系统的两个密码体制中较强的那个密码体制的限制。换句话说,即使PQC算法后来被发现存在缺陷,经典方案提供的安全性仍然能够得到保证。通过这种方式,安全性在这种转变中只会潜在地提升,而不会降低。
3. 巴西与科学界保持一致
巴西情报局 (ABIN) 于 14 年 2022 月 XNUMX 日在第二十二届巴西信息安全和计算机系统研讨会上展示了其新的加密套件。
根据研讨会上发表的论文:“主要进展之一是使用后量子密码学,通过安全混合协议实现,该协议将当前的密码标准(特别是椭圆曲线)与基于格的新密码原语相结合,被认为可以抵御量子计算机”。
在同一篇文章中,他们还表示:“据我们所知,这将使巴西选举成为世界上第一个使用后量子密码学的选举,也是巴西公共机构中第一个使用这种密码学的系统。”
ABIN 提供的套件使用 ChaCha20-Poly1305 算法进行对称加密,并使用 Blake2 作为哈希函数。在非对称部分,它使用 Edwards Curves 进行常规签名,并且为了抵抗量子计算机的攻击,它使用 Edwards Curves(常规算法)和 Crystals-Kyber(后量子算法)的混合方案。最后,对于后量子特征,使用 Crystals-Dilithium。
4. Kryptus 怎么样?
为了加强其产品抵御 CRQC 威胁的安全性,Kryptus 已经采取了以下措施:
- 利用抗量子复杂性密钥加强传统对称算法;
- 通过 OTP 加密/解密使用牢不可破的密码技术。
对于后量子算法,Kryptus 会根据后量子算法选择阶段持续监控并不断更新自身。 NIST PQC 标准化流程.
我们已经在我们的库中实现了 SIKE 算法(不幸的是,
(最近才被破解,但相信科学界会提出一些有效的对策来抵御这种攻击)。 PKE/KEM和签名标准的其他候选算法已经处于实施阶段。
我们的密码学家和密码分析员技术团队拥有应对可能发现的新漏洞所导致的任何变化所需的加密敏捷性,并准备实施过程中仍然“活跃”的其他算法,包括 NIST 在定义后量子密码标准后选择的算法。
