Протокол сигналу — це набір криптографічних специфікацій, який забезпечує наскрізне шифрування для приватних повідомлень, якими щодня обмінюються мільярди людей у всьому світі. Після публікації в 2013 році протокол Signal був прийнятий не тільки Signal, але й далеко за його межами. Технічну інформацію про протокол сигналу можна знайти в розділі специфікацій нашого сайту документів .
Сьогодні ми раді оголосити про перший крок у вдосконаленні квантового опору для протоколу сигналів: оновлення специфікації X3DH , яку ми називаємо PQXDH . Завдяки цьому оновленню ми додаємо рівень захисту від загроз квантового комп’ютера, який створюватиметься в майбутньому, і буде достатньо потужним, щоб зламати поточні стандарти шифрування.
Ця публікація написана, щоб познайомити з цією роботою неспеціалістів, і в ній буде розглянуто, що таке квантові обчислення та виклики, які вони створюють для сучасних криптографічних алгоритмів, перш ніж надати огляд високого рівня того, як ми адаптуємо наші специфікації для вирішення цих проблем. Якщо ви бажаєте пропустити цей підсумок і детально вивчити нашу специфікацію PQXDH, ви можете прочитати нашу технічну документацію тут .
Початок криптографії з відкритим ключем
Для того, щоб пояснити, чому квантові комп’ютери становлять небезпеку для існуючих криптографічних алгоритмів, спочатку необхідно зрозуміти деякі основні принципи роботи цих алгоритмів. Найлогічніше почати з криптосистеми RSA , оскільки вона надає доступний приклад.
Криптосистема RSA є одним із елементів категорії алгоритмів, відомих як криптосистеми з відкритим ключем. Криптосистеми з відкритим ключем дозволяють комусь опублікувати відкритий ключ, який будь-хто може використовувати для шифрування повідомлень цій особі. Людина зберігає відповідний закритий ключ, який дозволяє їй розшифрувати будь-яке повідомлення, зашифроване її опублікованим відкритим ключем.
Щоб це працювало, RSA покладається на математичну односторонню функцію. Односторонню функцію легко обчислити в одному напрямку, але вимагає значно більше роботи для обчислення у зворотному напрямку. Односпрямована функція RSA покладається на множення та розкладання на множники великих простих чисел. Обчислювально легко помножити два великі прості числа разом, щоб обчислити добуток, але набагато інтенсивніше обчислюватися, щоб знайти вихідні прості числа з їх добутку.
Криптосистема RSA працює так, що спочатку навмання вибирає два великих простих числа та публікує результат цих двох як одну частину відкритого ключа. Вибрані прості числа залишаються конфіденційними. Це залежить від труднощів розкладання цього продукту на множники, щоб зберегти два простих числа в секреті.
Хоча ми використали RSA як приклад, щоб допомогти цьому праймеру, Signal не використовує RSA Cryptosystem у своїх протоколах. Замість цього Signal використовує криптографію еліптичної кривої як криптосистему з відкритим ключем, що підтримує багато її специфікацій. Замість розкладання простого цілого числа на множники , як у наведеному вище прикладі RSA, криптографія еліптичної кривої покладається на проблему дискретного логарифмування як односторонню функцію. Хоча ці дві проблеми різні, обидві вони є прикладами математичної проблеми, відомої як проблема прихованої підгрупи .
Квантові обчислення
Квантові обчислення являють собою новий тип обчислювальної системи, яка використовує квантово-механічні властивості для вирішення певних складних проблем на багато порядків швидше, ніж сучасні класичні комп’ютери. Замість бітів, як у класичному комп’ютері, квантові комп’ютери працюють на кубітах. Замість 0 або 1, кубіти можуть існувати в суперпозиції станів, у певному сенсі дозволяючи їм бути обома значеннями одночасно. Одне місце, де квантові комп'ютери, здається, мають значну перевагу над класичними комп'ютерами, - це вирішення прикладів проблеми прихованої підгрупи .
Квантові обчислення навряд чи замінять або витіснять класичні комп’ютери для нашого повсякденного використання в осяжному майбутньому, оскільки класичні комп’ютери часто краще підходять для типових випадків використання наших ноутбуків, планшетів і телефонів. Квантові обчислювальні системи, ймовірно, будуть побудовані для альтернативних підходів до деяких проблем, для вирішення яких ми сьогодні покладаємося на суперкомп’ютери, чи то моделювання згортання білка, прогнозування погоди чи факторизація великих чисел. Важливо розуміти, що квантові комп’ютери – це не «кращі» комп’ютери, а скоріше різні типи комп’ютерів.
Хоча квантові комп’ютери вже існують, системи, які, як відомо, існують сьогодні, ще не мають достатньо кубітів , щоб становити загрозу для криптографії з відкритим ключем, яку зараз використовує Signal. Однак, якщо в майбутньому буде створено досить потужний квантовий комп’ютер, його можна буде використовувати для обчислення закритого ключа з відкритого ключа, таким чином зламавши зашифровані повідомлення. Цей вид загрози відомий як «Збери зараз, розшифруй пізніше» (HNDL) .
Час, коли може бути створений достатньо потужний квантовий комп’ютер, є предметом великих дебатів. Дехто стверджує, що на низькому рівні це буде всього за пару років. На високому рівні деякі говорять про 30+ років, і є навіть ті, хто стверджує, що ми можемо ніколи не вирішити проблеми, необхідні для створення квантового комп’ютера з достатньою кількістю когерентних кубітів, щоб зламати поточні криптосистеми з відкритим ключем. Здається, золота середина лежить приблизно в часовому горизонті від 5 до 10 років. Ми не в змозі судити про те, яка хронологія є найбільш імовірною, але ми бачимо реальний і зростаючий ризик, який означає, що нам потрібно вже сьогодні вжити заходів для вирішення майбутньої можливості створення досить великого квантового комп’ютера.
Захист сигналу від майбутнього квантового комп’ютера
Щоб вирішити цю проблему, були створені нові постквантові криптосистеми для реалізації нових односторонніх функцій, які не можуть бути вигідно скасовані квантовим комп’ютером. Завдяки інноваціям дослідників криптографії та процесу стандартизації NIST для постквантової криптографії ми тепер маємо стабільні варіанти, які були створені та перевірені великою спільнотою експертів.
Навіть з урахуванням внеску спільноти експертів, створення та оцінка цих нових криптосистем залишається складним завданням. Під час процесу стандартизації NIST було виявлено, що один із кандидатів на постквантовий алгоритм може бути атакуваний класичним комп’ютером. Хоча це показує, що перевірка процесу стандартизації працює, це також свідчить про те, що слід обережно інтегрувати ці нові постквантові варіанти.
Ми вважаємо, що вибраний нами механізм інкапсуляції ключів, CRYSTALS-Kyber , побудований на міцній основі, але для безпеки ми не хочемо просто замінювати наші існуючі основи криптографії на основі еліптичної кривої постквантовою криптосистемою з відкритим ключем. Натомість ми розширюємо наші існуючі криптосистеми таким чином, що зловмисник повинен зламати обидві системи, щоб обчислити ключі, що захищають комунікації людей.
Суть нашого оновлення протоколу з X3DH до PQXDH полягає в обчисленні спільного секрету, даних, відомих лише сторонам, залученим у приватний сеанс зв’язку, за допомогою як протоколу узгодження ключів еліптичної кривої X25519 , так і механізму постквантової інкапсуляції ключів CRYSTALS-Kyber . Потім ми об’єднуємо ці два спільні секрети разом, щоб будь-який зловмисник мав зламати X25519 і CRYSTALS-Kyber, щоб обчислити той самий спільний секрет.
Наш новий протокол уже підтримується в останніх версіях клієнтських програм Signal і використовується для чатів, ініційованих після того, як обидві сторони чату використовують найновіше програмне забезпечення Signal. У найближчі місяці (після того, як пройде достатньо часу, щоб усі, хто використовує Signal, могли оновитися), ми вимкнемо X3DH для нових чатів і вимагатимемо PQXDH для всіх нових чатів. Паралельно ми розгорнемо оновлення програмного забезпечення, щоб оновити наявні чати до цього нового протоколу.
Майбутня робота
PQXDH захищає повідомлення, якими обмінюються через Signal, від загроз майбутнього квантового комп’ютера. Нам потрібно буде зробити подальші оновлення, щоб протистояти загрозі зловмисника за допомогою сучасного квантового комп’ютера. Для заповнення прогалин, що залишилися, знадобляться подальші дослідження в області постквантової криптографії. Ми рекомендуємо прочитати розділ міркувань безпеки нашого технічного документу PQXDH , щоб дізнатися більше про сфери відкритих досліджень.
Подяки
Ми хочемо висловити нашу щиру подяку та вдячність усім людям, які зробили внесок у розробку цього оновлення протоколу. Це включає спільноту криптографічних дослідників, команду Kyber і наступних людей, які безпосередньо внесли свій внесок у наш білий документ:
- Нижній Вестербан
- Кріс Пайкерт
- Деніел Коллінз
- Дейрдра Конноллі
- Джон Шанк
- Джон Міллікан
- Джордан Роуз
- Картік Бхаргаван
- Лоїс Гугенен-Думіттан
- Петер Швабе
- Руна Скрипаль
- Шуїчі Кацумата
- Софія Целі
- Тревор Перрін
- Йоав Рік
Коментарі
Дописати коментар
Олег Мічман в X: «Donations and support for media resources, bloggers, projects, and individuals. https://t.co/HPKsNRd4Uo https://t.co/R6NXVPK62M» / X
https://twitter.com/olukawy/status/1703876551505309973