Estándares de criptografía poscuántica del NIST – Schneier on Protection


Estándares de criptografía poscuántica del NIST

La computación cuántica es un paradigma completamente nuevo para las computadoras. Una computadora cuántica usa propiedades cuánticas como la superposición, lo que permite que un qubit (un little bit cuántico) no sea ni ni 1, sino algo mucho más complicado. En teoría, una computadora de este tipo puede resolver problemas demasiado complejos para las computadoras convencionales.

Las computadoras cuánticas actuales todavía son prototipos de juguete, y los avances de ingeniería necesarios para construir una computadora cuántica funcionalmente útil están a unos pocos años de distancia y son imposibles. Aun así, ya sabemos que una computadora de este tipo podría potencialmente factorizar grandes números y calcular registros discretos, y romper los algoritmos de clave pública RSA y Diffie-Hellman en todos los tamaños de clave útiles.

Los criptógrafos odian que los apresuren, por eso NIST comenzó una competencia para crear un estándar criptográfico poscuántico en 2016. La notion es estandarizar tanto un cifrado de clave pública como un algoritmo de firma electronic que sea resistente a la computación cuántica, mucho antes de que alguien construya una computadora cuántica útil.

NIST es un experto en este proceso competitivo, ya que lo ha hecho anteriormente con algoritmos simétricos (AES en 2001) y funciones hash (SHA-3 en 2015). Participé en ambas competencias y las he comparado con derbis de demolición. La concept es que los participantes pongan sus algoritmos en el cuadrilátero, y luego todos pasemos unos años superando las presentaciones de los demás. Luego, con el aporte de la comunidad criptográfica, NIST corona a un ganador. Es un buen proceso, principalmente porque el NIST es confiable y de confianza.

En 2017, NIST recibió ochenta y dos presentaciones de algoritmos poscuánticos de todo el mundo. Sesenta y nueve se consideraron lo suficientemente completos como para ser candidatos de la Ronda 1. Veintiséis avanzaron a la Ronda 2 en 2019, y siete (más otros ocho suplentes) fueron anunciados como Finalistas de la ronda 3 en 2020. NIST fue listo para hacer selecciones finales de algoritmos en 2022, con un prepare para tener un borrador de estándar disponible para comentarios públicos en 2023.

El criptoanálisis sobre la competencia fue brutal. Veinticinco de los algoritmos de la Ronda 1 fueron atacados lo suficientemente mal como para eliminarlos de la competencia. Otros ocho fueron atacados de manera similar en la Ronda 2. Pero aquí está la verdadera sorpresa: hubo resultados de criptoanálisis recientemente publicados contra al menos cuatro de los finalistas de la Ronda 3 hace solo unos meses, momentos antes de que NIST tomara su decisión final.

Se descubrió que uno de los algoritmos más populares, Rainbow, period completamente roto. No es que teóricamente se pueda romper con una computadora cuántica, sino que se puede romper hoy, con una computadora portátil comercial en poco más de dos días. Otros tres finalistas, Kyber, Saber y Dilithium, fueron debilitado con nuevas técnicas que probablemente también funcionarán contra algunos de los otros algoritmos. (Dato curioso: esos tres algoritmos fueron descifrados por el Centro de Cifrado y Seguridad de la Información, parte de las Fuerzas de Defensa de Israel. Esta es la primera vez que una organización de inteligencia nacional publica un resultado de criptoanálisis en la literatura abierta. Y tenían muchos problemas para publicar, ya que los autores querían permanecer en el anonimato).

Estuvo cerca, pero demostró que el proceso es trabajando apropiadamente. Recuerde, esto es un derby de demolición. El objetivo es sacar a la superficie estos resultados criptoanalíticos antes de la estandarización, que es exactamente lo que sucedió. En el momento de escribir este artículo, el NIST ha elegido un solo algoritmo para el cifrado typical y tres algoritmos de firma electronic. No ha elegido un algoritmo de cifrado de clave pública y todavía hay cuatro finalistas. Verifique los NIST página web sobre el proyecto para obtener la información más reciente.

Ian Cassels, matemático británico y criptoanalista de la Segunda Guerra Mundial, dijo una vez que “la criptografía es una mezcla de matemáticas y confusión, y sin la confusión, las matemáticas pueden usarse en tu contra”. Esta mezcla es particularmente difícil de lograr con algoritmos de clave pública, que se basan en las matemáticas para su seguridad de una manera que no lo hacen los algoritmos simétricos. Tuvimos suerte con RSA y los algoritmos relacionados: sus matemáticas dependen del problema de la factorización, que resultó ser muy difícil. Los algoritmos poscuánticos se basan en otras disciplinas y problemas matemáticos (criptografía basada en código, criptografía basada en hash, criptografía basada en celosía, criptografía multivariada, etcetera.) cuyas matemáticas son más complicadas y menos comprendidas. Estamos viendo estas rupturas porque esos problemas matemáticos básicos no están tan bien estudiados como la factorización.

La moraleja es la necesidad de agilidad criptográfica. No es suficiente implementar un solo estándar es crucial que nuestros sistemas puedan intercambiar fácilmente nuevos algoritmos cuando sea necesario. Hemos aprendido por las malas cómo los algoritmos pueden arraigarse tanto en los sistemas que pueden llevar muchos años actualizarlos: en la transición de DES a AES, y la transición de MD4 y MD5 a SHA, SHA-1 y luego SHA -3.

Necesitamos hacerlo mejor. En los próximos años nos enfrentaremos a una doble incertidumbre. El primero es la computación cuántica. Cuando y si la computación cuántica se convierte en una realidad práctica, aprenderemos mucho sobre sus fortalezas y limitaciones. Tomó un par de décadas comprender completamente la arquitectura de la computadora de von Neumann esperar la misma curva de aprendizaje con la computación cuántica. Nuestra comprensión actual de la arquitectura de computación cuántica cambiará, y eso fácilmente podría resultar en nuevas técnicas criptoanalíticas.

La segunda incertidumbre está en los propios algoritmos. Como demuestran los nuevos resultados criptoanalíticos, todavía estamos aprendiendo mucho sobre cómo convertir problemas matemáticos difíciles en criptosistemas de clave pública. Tenemos demasiadas matemáticas y la incapacidad de agregar más confusión, y eso da como resultado algoritmos que son vulnerables a los avances en matemáticas. Están llegando más resultados criptoanalíticos y se van a romper más algoritmos.

No podemos detener el desarrollo de la computación cuántica. Tal vez los desafíos de ingeniería resulten imposibles, pero no es la manera de apostar. Ante toda esa incertidumbre, la agilidad es la única manera de mantener la seguridad.

Este ensayo apareció originalmente en Seguridad y privacidad IEEE.

EDITADO PARA AGREGAR: Uno de los cuatro algoritmos de cifrado de clave pública seleccionados para una mayor investigación, SIKE, acaba de romperse.

Publicado el 8 de agosto de 2022 a las 6:20 a. m. • comentarios



Enlace a la noticia initial