Доказана возможность атаки side-channel на криптоалгоритм эпохи кванта

[INC.]

Университетские исследователи проверили устойчивость криптосистемы CRYSTALS-Kyber к атакам по стороннему каналу (side-channel) и обнаружили, что использование машинного обучения позволяет получить закрытый ключ. Результаты, по мнению экспертов, говорят лишь об уязвимости реализации, а не слабости самого алгоритма.

В прошлом году американский Институт стандартов и технологий (NIST) выбрал CRYSTALS-Kyber в качестве кандидата на стандарт шифрования, устойчивого к взлому с помощью квантового компьютера. Данная система с открытым ключом также включена в список криптоалгоритмов, которые АНБ США рекомендует использовать для защиты национальных систем, поэтому в Королевском технологическом институте (Kungliga Tekniska högskolan, KTH) Стокгольма решили оценить ее криптостойкость с помощью концептуальной атаки side-channel.

Для реализации алгоритма исследователи использовали процессор ARM Cortex-M4, а для эксплойта — нейросеть, натренированную по методу рекурсивного обучения (recursive learning), специально разработанному в KTH.

Источником информации, позволяющей получить нужные подсказки, являлись слабые флуктуации электропотребления. Команде экспериментаторов удалось усилить слив битов из таких сообщений и ускорить таким образом восстановление содержимого с вероятностью выше 99%.

Созданная методика на основе машинного обучения, по словам авторов исследования, позволяет обойти обычные меры защиты от side-channel — использование масок, перестановки, случайных задержек, кода с постоянным весом, полиморфизма, рандомизации тактовой частоты. Представленный в отчете подход пригоден также для испытания других криптосистем с открытым ключом, использующих теорию решеток.

В комментарии для журналистов представитель NIST подчеркнул, что проведенное в KTH исследование выявило уязвимость реализации CRYSTALS-Kyber, с которой там работали. Сам алгоритм взлому не подвержен, и у экспертов к нему претензий нет.

В России тоже осознают, что прогресс в сфере квантовых вычислений создал новые вызовы, повысив требования к криптозащите данных. Над созданием новых методов трудятся, в числе прочих, в НИЯУ МИФИ; там уже разработали PoC криптопротокола, взломать который не сможет даже квантовый компьютер.

 

[diletant]

ниодного знакомого слова

 

[Noizefan]

Квантовая криптография скоро должна начать переживать свои активные времена. Алгоритмы разрабатываются, проверяются, но что-то унифицированное и подтвержденное большим колвом исследователей взять на собственное вооружение удастся только минимум лет через 5.
Новость новостью, но реагировать на нее остро не стоит, она скорее выглядит как формирование плацдарма для неймдроппинга (правда не понятно чьего, нияу мифи что ли, или анб напоминает мол выбирайте только нами подтвержденные алгоритмы), нежели чем нечто информативное и супер полезное.

Вопрос если тут есть специалисты: возможно ли сегодня как PoC заиметь на эмуляторе квантового проца некий криптоалго, пусть примитивный и даже уязвимый? Кто нибудь тыкнет на инфу пальцем?

upd: сам и нашел в соседней новости ответы - https://xss.pro/threads/83163/

 

[INC.]

ниодного знакомого слова

Национальный институт стандартов и технологий США (NIST) объявил победителей конкурса криптоалгоритмов, стойких к подбору на квантовом компьютере. Конкурс был организован шесть лет назад и нацелен на выбор алгоритмов постквантовой криптографии, пригодных для выдвижения в качестве стандартов. В процессе проведения конкурса предложенные международными командами исследователей алгоритмы были изучены независимыми экспертами на предмет возможных уязвимостей и слабых мест.

Победителем среди универсальных алгоритмов, которые можно использовать для защиты передачи информации в компьютерных сетях, выбран CRYSTALS-Kyber, сильными сторонами которого являются относительно небольшой размер ключей и высокая скорость работы. CRYSTALS-Kyber рекомендован для перевода в разряд стандартов. Кроме CRYSTALS-Kyber выделены ещё четыре алгоритма общего назначения - BIKE, Classic McEliece, HQC и SIKE, которые требуют доработки. Авторам данных алгоритмов предоставлена возможность до 1 октября обновить спецификации и устранить недочёты в реализациях, после чего они также могут быть включены в число финалистов.

Из алгоритмов, нацеленных на работу с цифровыми подписями, выделены CRYSTALS-Dilithium, FALCON и SPHINCS+. Алгоритмы CRYSTALS-Dilithium и FALCON отличаются высокой эффективностью. В качестве первичного алгоритма для цифровых подписей рекомендован CRYSTALS-Dilithium, а FALCON ориентирован на решения, в которых требуется минимальный размер подписи. SPHINCS+ отстаёт от первых двух алгоритмов по размеру подписей и скорости работы, но он оставлен в числе финалистов в качестве запасного варианта, так как базируется на принципиально иных математических принципах.

В частности, в алгоритмах CRYSTALS-Kyber, CRYSTALS-Dilithium и FALCON используются методы криптографии, основанные на решении задач теории решёток, время решения которых не отличается на обычных и квантовых компьютерах. Алгоритм SPHINCS+ применяет методы криптографии на основе хеш-функций.

Оставленные для доработки универсальные алгоритмы также основаны на иных принципах - в BIKE и HQC используются элементы теории алгебраического кодирования и линейные коды, также применяемые в схемах коррекции ошибок. NIST намерен дополнительно стандартизировать один из этих алгоритмов для оставления альтернативы уже выбранному алгоритму CRYSTALS-Kyber, основанному на теории решёток. Алгоритм SIKE базируется на использовании суперсингулярной изогении (кружение в суперсингулярном изогенном графе) и также рассматривается в качестве кандидата на стандартизацию, так как отличается наименьшим размером ключа. Алгоритм Classic McEliece включён в число финалистов, но пока не будет стандартизован из-за очень большого размера открытого ключа.

Необходимость разработки и стандартизации новых криптоалгоритмов обусловлена тем, что активно развивающиеся последнее время квантовые компьютеры кардинально быстрее решают задачи разложения натурального числа на простые множители (RSA, DSA) и дискретного логарифмирования точек эллиптической кривой (ECDSA), которые лежат в основе современных асимметричных алгоритмов шифрования по открытым ключам и эффективно не решаемы на классических процессорах. На текущем этапе развития возможностей квантовых компьютеров пока недостаточно для взлома актуальных классических алгоритмов шифрования и цифровых подписей на базе открытых ключей, таких как ECDSA, но предполагается, что ситуация может измениться в течение 10 лет и необходимо подготовить базу для перевода криптосистем на новые стандарты.

 

[stepany4]

Над созданием новых методов трудятся, в числе прочих, в НИЯУ МИФИ; там уже разработали PoC криптопротокола, взломать который не сможет даже квантовый компьютер.

Предложен подход к реализации протокола. Было высказано "предположение", а не "доказано в теории", о чем буквально декларировано в цитируемой статье. Мягко говоря, эти заголовки растянуто преувеличены до рвущегося искажения смысла. Утверждение о разработке протокола, еще и с однозначным заявлением о невозможности в будущем его взлома научным тезисом быть не может даже если автор (ы) уверены в этом. Конечно, ошеломительные открытия случаются, но о подобном трубили бы уже из каждого цифрового утюга.
К слову, PoC стандартизирует как минимум международная группа OMA (Open Mobile Alliance), и/или 3GPP и прочие W3C, IETF. Поэтому наработки предлагаются, зачастую совместно и дорабатываются. И интерес этот равный и одинаковый для всех его участников. Это что касается протоколов связи, для связи, речь ведь там шла о подходе к шифрованию сообщений. Но, насколько я понимаю, это не очень перспективно, т.к. медленно и затратно, коммерчески вряд ли очень привлекательно, но будущее возможно самое разное, интересы к каждому проекту известны быть не могут, как и их будущее. О чем авторы искренне указали сами.
Подобные утверждения не красят ни участников, ни источник, это издание. Потому что то обозреватели то ли не поняли о чем речь, то ли денег нет материал прочесть, то ли как раз поняли и соврали, - любой вариант не очень. Как это было в прошлом году, о взломе Starlink два волжских волка науки написали текст, профессор и его адъютант в соавторстве о возможной атаке на эту технологию и ее цепь модели приемник/спутник, дескать если не РЭБ это погубит, то с земли ракетой зафигачим (примерный смысл). Ну обзор, ну да, анализ по делу. Технология и модель не совершенны. Но заголовки... Российские ученые взломали старлинк. Илон Маск рвет волосы и т.п.. Люди на это смотрят и думают, вот дикари, а когда то ведь "самым читающим народом в мире" были. Не те книги кто-то читал.