Регистрация06.08 // Квантовостойкий и практичный TLS на основе R-LWE
В случае изобретения квантовых компьютеров практически все широкоиспользуемые методы асимметричной криптографии (RSA, DH, ECDH) окажутся взломанными. Для защиты от этой проблемы разрабатываются методы постквантовой криптографии.
Одним из перспективных направлений вычислительной постквантовой криптографии являются методы на основе решёток. Исследователи решили проверить практичность одного из таких методов — R-LWE (обучение в кольце с ошибками).
Из кругового поля, заданного круговым полиномом степени m, являющимся степенью числа 2, используя целый модуль q задаётся кольцо Rq. Используя функцию распределения над этим кольцом, описывается алгоритм получения чисел из множества, принадлежащего данному кольцу.
Секретным значением x является внесение ошибок в равномерное случайное распределение. Подставляя этот секрет в определённую формулу можно различать распределение от случайной равномерной выборки Rq x Rq. Используя функции модулярного и перекрёстного округления в заданном кольце, стороны применяют функцию согласования ключа с использованием дискретных гауссовых распределений.
На основе более сложной версии этого механизма стороны могут осуществить согласование, аналогичное протоколу Диффи-Хеллмана. Но поскольку стойкость этой проблемы близко связана с нахождением кратчайшего вектора в решётках, то R-LWE протокол считается квантовостойким.
Исследователи Joppe W. Bos (NXP Semiconductors, Лёвен, Бельгия), Craig Costello, Michael Naehrig (Исследовательский центр Майкрософт, Редмонд, Вашингтон, США) и Douglas Stebila (Технологический университет Квинслэнд, Брисбен, Австралия) решили проверить практичность реализации данного протокола на основе библиотеки OpenSSL. Поскольку R-LWE подходит только для анонимного согласования ключа, то он не обеспечивает аутентификацию и, следовательно, защиту от атак человека посредине. Поэтому, было принято решение о гибридном подходе: для аутентифицирующих подписей пока совместно использовать квантовонестойкие RSA или ECDSA. Для этого в OpenSSL были добавлены режимы RLWE-RSA-AES128-GCM-SHA256 и RLWE-ECDSA-AES128-GCM-SHA256. При этом подразумевается, что квантовый компьютер будет создан нескоро и пока никто неспособен проводить атаки подмены трафика с его помощью. А если он когда-то будет создан, то использовать его для подмены аутентификации ранее переданного и перехваченного трафика будет поздно. При этом, само содержимое записанного противником трафика будет защищено от пассивного квантового криптоанализа за счёт ранее произведённого обмена ключами по R-LWE и дешифровать его будет невозможно даже при наличии квантового компьютера.
TLS и HTTPS потоки исследовались в работе на сервере Apache. Ранее считалось, что внедрение квантовостойкой криптографии — крайне ресурсоёмкая задача. Но на практике оказалось, что из-за того, что основная нагрузка в сервере идёт на аутентификацию и другие операции, то при использовании RLWE-RSA сервер обрабатывает практически такое же число запросов, что и обычно, а при использовании RLWE-ECDSA сервер обрабатывает лишь в 1.2 — 1.3 раз меньше запросов в секунду по сравнению с использованием ECDH-ECDSA (т.е., только асимметричной криптографии на эллиптических кривых при сохранении всей остальной части).
Однако, существует опасение, что сами квантовостойкие алгоритмы могут оказаться нестойкими для взлома обычными методами, ещё до изобретения квантовых компьютеров. Но и в этом плане авторы оптимистичны. Помимо достаточно строгого, по их мнению, доказательства стойкости R-LWE, они предложили дважды комбинированный протокол: ECDH-RLWE — в котором обмен материала для совместного выведения ключа производится одновременно и квантовостойким и квантовонестойким способом. Для взлома такого сеансового ключа противнику потребуется взломать и оба протокола — как Диффи-Хеллман в группах на эллиптических кривых, так и в дискретных гауссовых распределениях на круговых кольцах. При этом скорость работы такого протокола также снижается относительно незначительно, по сравнению с одним R-LWE.
Единственным недостатком внедрения R-LWE может являться сложность его правильной реализации, превосходящая сложность реализации протоколов на эллиптических кривых.
Источник: Cryptology ePrint Archive
комментариев: 11558 документов: 1036 редакций: 4118
При том, что последние и сами по сложности уделывают RSA/DH на пару порядков, это не очень-то оптимистичный нюанс.
комментариев: 9796 документов: 488 редакций: 5664
А уж как можно понавстраивать бэкдоров в стандарты эллиптических кривых, даже если делать вид, что все константы честно генерируются из какого-нибудь невинного числа "Пи", то и совсем пессимистично.
С этим вкраплением RSA выглядит как-то не так. Это не Post-quantum, а pre-post какой-то.
Прям первое предложение во введении:
И тут я подвис. Думаю, неужели он правда так и пишет? Раз Бернштейн, можно всего ожидать. Я думал, там как-то так будет:
Но Бернштейн разочаровал:
Он, кстати, один из соавторов работ по квантовым one-time programs. У него свой блог есть. Например, вот он в шаттле.
комментариев: 9796 документов: 488 редакций: 5664
Хотели посмотреть, насколько это терпимо по практическим затратам ресурсов для использования в веб-сервере. И почти впервые показать, что терпимо. Можно было бы встроить и вместо RSA какую-нибудь квантовостойкую подпись, но или не нашли подходящего кандидата, или скорее решили, что курочить структуру с сертификатами — сложнее для практической демонстрации. А так, можно существующими механизами генерации сертификатов воспользоваться.
В принципе, квантовостойкие подписи есть, можно внедрять. Если на сервере всё это уже терпимо, то для PGP уж точно сгодилось бы. Единственно, что доверие к самим квантовостойким алгоритмам не очень высокое. Да и многие из них слишком громоздкие.
Правда, насчёт постквантовых подписей, возможно, там проблемы не с производительностью. И проблемы со слишком большой длиной даже не ключа, а с размером самой подписи.
Работу много народу писали, может он что-то пропустил и доверил введение соавторам. В остальном вроде как угадывается чисто его юмор.
комментариев: 9796 документов: 488 редакций: 5664
Подписи на решётках есть (и другие постквантовые) и асимметричное шифрование тоже. Основным аргументом против PQ-крипто всегда была его ресурсоёмкость. Т.е., для шифрования отдельных сообщений в почте использовать можно, а на нагруженных серверах не развернуть. Авторы пока и заменили то, что проще и в первую очередь нужно заменить — согласование симметричного ключа по DH.
Подписи потребовали бы больше курочить OpenSSL, да и квантовый компьютер предполагается только в неопределённом будущем. PQ-крипто только для шифрования, но с квантовонестойким крипто для аутентификации позволяет сейчас передавать трафик и не бояться, что противник когда-то с появлением квантового компьютера расшифрует записанный шифртекст в будущем. Подписи для аутентификации здесь не так критичны — подменять подпись ранее переданного трафика задним числом в будущем, когда квантовый компьютер всё-таки создадут, будет уже поздно.
Зато будет не поздно фальсифицировать «доказательства» из прошлого. ☺
комментариев: 9796 документов: 488 редакций: 5664
Кроме того, обычно подписанное сообщение шифруется. Т.е., противнику надо будет объяснить, откуда он получил закрытый ключ расшифровки для некоего Боба, которому отправила подписанное своим ключом Алиса. Если противник будет утверждать, что смог получить или взломать закрытый ключ Боба (а при DH — совместно выведенный от двух сторон), то можно также полагать, что он мог получить и закрытый ключ Алисы, чтобы подделывать её подписи.
Т.е., если никто не догадается о создании дешифрующего квантового компьютера, то появление таких доказательств будет выглядеть странно. а если догадается — то бесполезно. Так что использование PQ-крипто без PQ-аутентификации временно оправданно.