Postagem do NIST

Apr 07, 2023

Por

Flipboard

Reddit

pinterest

Whatsapp

Whatsapp

E-mail

Um algoritmo submetido à competição de criptografia pós-quântica do NIST – e que chegou à quarta rodada – foi derrotado. O algoritmo, Supersingular Isogeny Key Encapsulation (SIKE), foi quebrado por Wouter Castryck e Thomas Decru na KU Leuven, e o processo descrito em um artigo escrito no final de julho de 2022.

Os criptógrafos não se surpreendem com tal evento; mas os líderes de segurança preocupados com sua capacidade de proteger segredos após a chegada dos computadores quânticos precisam considerar as implicações.

Para criptógrafos

A derrota do SIKE segue um ataque de recuperação de chave no protocolo de troca de chaves Supersingular Isogeny Diffie-Hellman e sua instanciação como SIKE na competição NIST. O ataque é baseado no teorema 'cola e divide' desenvolvido em 1997 pelo matemático Ernst Kani.

Em particular, dizem os dois pesquisadores, “nosso ataque explora a existência de um pequeno endomorfismo não escalar na curva inicial e também se baseia nas informações do ponto de torção auxiliar que Alice e Bob compartilham durante o protocolo”.

O ataque usa o próprio código Magma dos pesquisadores para atingir a chave secreta de Bob. Também pode ser usado para direcionar a chave de Alice, mas o primeiro produz resultados mais rápidos. Este é um ataque matemático contra o algoritmo de criptografia, em vez de um ataque de força bruta contra chaves individuais.

O ataque foi executado em um único computador clássico – especificamente uma CPU Intel Xeon. "Executado em um único núcleo, o código Magma anexado quebra os desafios Microsoft SIKE... em cerca de 4 minutos e 6 minutos, respectivamente. Uma execução nos parâmetros SIKE, que anteriormente se acreditava atender ao nível 1 de segurança quântica do NIST, levou cerca de 62 minutos, novamente em um único núcleo."

Essa derrota efetivamente elimina o SIKE da competição NIST, mas não necessariamente impede que o algoritmo seja modificado e retorne à competição.

Para o resto de nós

O SIKE é um algoritmo de encapsulamento de chave, projetado para fornecer chaves com segurança da origem ao destino em uma rede não confiável. Ele foi projetado para ser à prova quântica e considerado um dos candidatos mais fortes na competição do NIST.

A derrota de um algoritmo de criptografia de prova quântica finalista do NIST em um único PC em pouco mais de uma hora é dramática. Isso sugere que precisamos repensar nossa atitude em relação à criptografia em geral e à criptografia pós-quântica em particular. SIKE não é diferente de qualquer outra criptografia, pré ou pós-quântica: é seguro apenas até que não seja, e não é assim que pode ser quebrado.

Os criptógrafos, especialmente aqueles financiados por estados-nação, estão continuamente buscando maneiras de derrotar os algoritmos de criptografia. Em teoria, o que aconteceu com o SIKE ontem pode acontecer com o RSA amanhã. A única maneira pela qual um crack de algoritmo é diferente de uma vulnerabilidade de dia zero é que é improvável que ouçamos sobre o primeiro. O uso de um crack de algoritmo descoberto pelo estado contra dados roubados e armazenados provavelmente não se tornará de conhecimento público.

Com efeito, então, o uso de qualquer criptografia é um salto de fé. Dizem-nos que é seguro e não temos motivos para não acreditar nisso - mas não temos e não podemos ter conhecimento absoluto disso. Como a criptografia é baseada em problemas matemáticos, sempre existe a possibilidade de que os algoritmos possam ser atacados matematicamente – e particularmente por computadores quânticos massivamente poderosos.

A necessidade atual de mudar os algoritmos existentes e aparentemente confiáveis ​​para algoritmos novos e ainda não testados pelo tempo está promovendo a prática de desenvolvimento conhecida como agilidade criptográfica (criptografia agilidade). A ideia é que, se o algoritmo em uso for derrotado, ele pode ser trocado por um algoritmo diferente sem alteração significativa na infraestrutura do sistema.

Esta é uma boa prática, mas não resolve o problema subjacente de 'colher agora, descriptografar depois' colocado pelos computadores quânticos. Se um algoritmo recomendado pelo NIST for considerado seguro e usado por dez anos até ser derrotado, todas as comunicações interceptadas e armazenadas por adversários durante esses dez anos podem ser descriptografadas imediatamente. A única diferença entre antes e agora é que sabemos que isso acontecerá com a criptografia de chave pública atual (graças ao algoritmo de Shor), enquanto não sabemos se isso não acontecerá com os novos algoritmos pós-quânticos.