Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah...
Transcript of Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah...
![Page 1: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/1.jpg)
Postkvantová kryptografia
Pavol Zajac
Ústav informatiky a matematiky, Fakulta elektrotechniky a informatikySlovenská technická univerzita v Bratislave
2014
![Page 2: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/2.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Obsah prezentácie
ÚvodKvantové výpocty a potreba postkvantovej kryptografieKvantová vs. postkvantová kryptografia
Postkvantové kryptosystémyPQC na báze hašovacích funkciíPQC založená na dekódovacom problémePQC využívajúca grupu mrežových bodovPQC na báze nelineárnych rovníc viac neznámych
Sumarizácia
P. Zajac, . PQ Crypto 2/29
![Page 3: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/3.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Kvantový pocítac
P. Zajac, . PQ Crypto 3/29
![Page 4: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/4.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Kvantový pocítac D-Wave
• Špecializované zariadenie na riešenie problému diskrétnejoptimalizácie
• Analógia s analógovými pocítacmi• Kontroverzia, ci to je vôbec „kvantový pocítac”
P. Zajac, . PQ Crypto 4/29
![Page 5: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/5.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Univerzálny kvantový pocítac
• Využíva kvantovo-mechanické princípy na univerzálnevýpocty
• Kvantové bity (qubit) môžu reprezentovat’ vel’a stavovnaraz
• Rádovo rýchlejšie algoritmy na riešenie niektorých typovúloh
• Problém dekoherencie: je zložité vytvorit’ kvantový pocítacs vel’kým poctom (previazaných) qubitov
P. Zajac, . PQ Crypto 5/29
![Page 6: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/6.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Kvantový pocítac a kryptografia
• Shor (1994):• faktorizácia n-bitového císla pomocou n2 kvantových
hradiel• exponenciálne zrýchlenie voci klasickým algoritmom• existujú verzie na riešenie DLP a ECDLP: RSA, DSA, ECC
nie sú bezpecné voci útocníkom s kvantovým pocítacom• Grover (1996):
• prehl’adá N hodnôt v case√
N• kvadratické zrýchlenie „brute-force” útokov• obrana: 2x dlhšie kl’úce
P. Zajac, . PQ Crypto 6/29
![Page 7: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/7.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Kvantová kryptografia
P. Zajac, . PQ Crypto 7/29
![Page 8: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/8.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Kvantová kryptografia
• Kvantová kryptografia využíva kvantové javy nazabezpecenie kryptografických ciel’ov
• Kvantová výmena kl’úca:• BB84 protokol: princíp kvantovej neurcitosti• E91 protokol: kvantové previazanie
• Nevýhoda: drahé riešenia, špecifická infraštruktúra
P. Zajac, . PQ Crypto 8/29
![Page 9: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/9.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Postkvantová kryptografia• Postkvantová kryptografia
• skúma klasické kryptografické algoritmy odolné vociútokom na kvantovom pocítaci
• nasaditel’ná aj na súcasnej infraštruktúre• (zatial’) nie je tak efektívna ako bežné kryptografické
algoritmy
• Symetrická kryptografia• štandardné algoritmy (AES, SHA-2,...) považované za
bezpecné• potreba dlhších kl’úcov (Grover), napr. AES-128→
AES-256• Asymetrická kryptografia
• štandardné algoritmy (RSA, DSA, ECC) nie sú bezpecné• potreba (staro-)nových postkvantových algoritmov
P. Zajac, . PQ Crypto 9/29
![Page 10: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/10.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Postkvantová kryptografia
Hlavné smery výskumu:
• využitie jednosmerných (hašovacích) funkcií (hash-basedPQC)
• dekódovací problém (code-based PQC)• krátke vektory v grupe mrežových bodov (lattice-based
PQC)• sústavy nelineárnych rovníc (MQ PQC)• iné...
P. Zajac, . PQ Crypto 10/29
![Page 11: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/11.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Postkvantová kryptografia na báze hašovacích funkcií
Kryptografická hašovacia funkcia (SHA-2, SHA-3?,...):
• jednosmerná: nevieme invertovat’ y = h(x)• bezkolízna: nevieme nájst’ h(x1) = h(x2)
• ... nevieme zaútocit’ ani na kvantovom pocítaci: zložitost’O(2n/3 pre n-bitový odtlacok
Široké využitie v bežných systémoch:
• HMAC: odtlacok využívajúci tajný kl’úc• elektronický podpis: podpíše sa odtlacok dokumentu• rôzne protokoly
P. Zajac, . PQ Crypto 11/29
![Page 12: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/12.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
El. podpis využitím iba hašovacích funkcií
Lamportova podpisová schéma:
• Tajný kl’úc:((r1,0, r1,1), (r2,0, r2,1) . . . , (rn,0, rn,1)
)• Verejný kl’úc: {pi,j = h(ri,j); i = 1,2, . . . ,n; j = 0,1}• Podpis správy m = (m1,m2, . . . ,mn) ∈ Zn
2 je n-ticas =
(r1,m1 , r1,m1 , . . . , r1,mn
)• Overenie podpisu: kontrola, ci pi,mi = h(ri,mi )
P. Zajac, . PQ Crypto 12/29
![Page 13: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/13.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Analýza Lamportovej schémy
Pre 80-bitovú post-kvantovú bezpecnost’:
• 256-bitové odtlacky, podpisuje sa 256-bitový odtlacokdokumentu
• Verejný kl’úc: 2× 256× 256 bit = 16KB• Tajný kl’úc: 16KB, resp. PRNG so 128-bitovým kl’úcom• Overenie podpisu: SHA-2 odtlacky nad 8kB: cca 70µs
(RSA rádovo ms)• Žiadne problémy s komplikovanou matematikou a
programovaním (postacuje implementácia SHA-2/SHA-3)
P. Zajac, . PQ Crypto 13/29
![Page 14: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/14.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Analýza Lamportovej schémyHlavná nevýhoda: Jednorázový podpis
• Ret’azenie podpisov: nový verejný kl’úc súcast’ podpisu(hash-chains)
• Merkle trees:
P. Zajac, . PQ Crypto 14/29
![Page 15: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/15.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Postkvantová kryptografia založená na dekódovacomprobléme
McEliece-ov kryptosystém:Tajný kl’úc Goppov (n, k , t)-kód s generujúcou maticou G,
matice S a PVerejný kl’úc G′ = S ·G · P
Šifrovanie c = m ·G′ + eDešifrovanie
1. Dekóduj c′ = c · P−1 na m′
2. Urci m = S−1 ·m′
P. Zajac, . PQ Crypto 15/29
![Page 16: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/16.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Parametre McEliece
Rýchlejšie ako porovnatel’né RSA, niektoré implementácie ajako ECC.
Sec. (n, k , t) PK size [kB]Level Full PK Systematic
50 (1024,524,50) 66 3280 (2048,1751,27) 438 6480 (1702,1219,45) 254 7280 (2048,1696,32) 424 73
128 (3178,2384,68) 925 232128 (4096,3604,41) 1802 217256 (6944,5208,136) 4415 1104
P. Zajac, . PQ Crypto 16/29
![Page 17: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/17.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Postkvantová kryptografia založená na dekódovacomprobléme
Alternatívne varianty:• Niederreiterov kryptosystém: Verejná kontrolná matica,
efektívnejší prenosový pomer• Iné typy kódov: snaha o zníženie vel’kosti kl’úcov
• Goppa, 128bit sec.: od 200 kB• Wild MECS, 128bit sec.: od 90 kB• QC-MDPC, 128bit sec.: od 1 kB
P. Zajac, . PQ Crypto 17/29
![Page 18: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/18.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Širšie využitie
• Elektronický podpis: Courtois, Finiasz, Sendrier 2001• Zero-knowledge identifikácia: Stern 1994• Hašovacie funkcie• Protokoly: Zdiel’anie tajomstva, oblivious-transfer, ...
P. Zajac, . PQ Crypto 18/29
![Page 19: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/19.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
CFS podpis
1. Nájdi platný dekódovatel’ný syndróm si , kde si = h(h(m)|i)2. Dekóduj si (v tajnom kóde), t.j. nájdi z, pre ktoré si = H · z3. Podpis je (z|i)4. Overenie podpisu: H · z = h(h(m)|i)
Bezpecnost’ a rýchlost’ závisí na t = wH(z):
• Rýchlost’ podpisu O(t!), t nesmie byt’ privel’ké (ale:algebraické útoky): rádovo desiatky sekúnd
• Dostatocná bezpecnost’ iba pre vel’ké n, dlžka kl’úca jerádovo v MB
P. Zajac, . PQ Crypto 19/29
![Page 20: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/20.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
McEliece kryptosystém
+ Rýchlejší ako porovnatel’né RSA, niektoré implementácieaj ako ECC.
+ L’ahšie pochopitel’né algoritmy+ Menšie možnosti útokov postrannými kanálmi.- Rozsiahle kl’úce.- Neexistujúce štandardy.
P. Zajac, . PQ Crypto 20/29
![Page 21: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/21.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Postkvantová kryptografia využívajúca grupumrežových bodov
Využíva nárocnost’ CVP/SVP v grupe mrežových bodov
• Ring-LWE (SVP)• NTRU (CVP)
P. Zajac, . PQ Crypto 21/29
![Page 22: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/22.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Postkvantová kryptografia využívajúca grupumrežových bodov
P. Zajac, . PQ Crypto 22/29
![Page 23: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/23.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Vlastnosti mriežkových systémov
• Podobné kryptografii založenej na kódoch• Problém: Bezpecnost’ vs. efektívnost’
• Dôkazy bezpecnosti (teoretické) v najt’ažšej inštancii:neefektívne inštancie
• Efektívne mriežkové systémy (GGH, verzie NTRU): existujúútoky/nie je jasná zložitost’
• Využívajú sa aj ako stavebný prvok Homomorfnýchsystémov
P. Zajac, . PQ Crypto 23/29
![Page 24: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/24.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Porovnanie s klasickými algoritmami (2013)
Schéma Sec. Podpis PrivKey PubKey Sign VerifyRSA-2048 112b 256B 2048B 256B 5 768 360 77 032
ECDSA 128b 64B 64B 32B 67 564 209 328Ring-LWE 100b 1184B 256B 1536B 634 988 45 036
P. Zajac, . PQ Crypto 24/29
![Page 25: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/25.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Postkvantová kryptografia na báze nelineárnychrovníc viac neznámych
• Systémy založené na algebraickej geometrii.• Využíva nárocnost’ riešenia sústavy nelineárnych
(kvadratických) rovníc viac neznámych nad konecnýmpol’om.
P. Zajac, . PQ Crypto 25/29
![Page 26: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/26.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
MQ podpisy
Verejný kl’úc:
P = (p1(x1, . . . , xn), ...,pm(x1, . . . , xn)),
kde
pi(x) =n∑
k=1
Pi,kxk +n∑
k=1
Qi,kx2k +
∑k>j
Ri,j,kxjxk .
Podpis: (x,y), pricom y = f (mesg)Verifikácia: yi
?= pi(x)
P. Zajac, . PQ Crypto 26/29
![Page 27: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/27.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
MQ podpisy
Bezpecnost’:1. Je t’ažké riešit’ sústavu {pi(x) = 0; i = 1, . . . ,m}
Tajný kl’úc: Afinné transformácie S,T , a tajná sústava P ′,ktorá sa dá riešit’ l’ahko.
2. Je t’ažké odhalit’ štruktúru tajnej sústavy zo znalosti P
P. Zajac, . PQ Crypto 27/29
![Page 28: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/28.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Porovnanie MQ podpisov — 2008
Schéma Podpis PrivKey PubKey KeyGen Sign VerifyRSA-1024 1024b 128 B 320 B 2.7 sec 84 ms 2.0 ms
ECDSA-F 1632 320b 48 B 24 B 1.6 ms 1.9 ms 5.1 ms
PMI+ 144b 5.5 kB 165 kB 1.1 sec 1.23 ms 0.18 ms(136, 6, 18, 8)
Rainbow 336b 24.8 kB 22.5 kB 0.3 sec 0.43 ms 0.40 ms(28, 18, 12, 12)
Rainbow 256b 91.5 kB 83 kB 1.6 sec 0.93 ms 0.74 ms(24, 24, 20, 20)
QUARTZ 128b 71.0 kB 3.9 kB 3.1 sec 11 sec 0.24 ms
P. Zajac, . PQ Crypto 28/29
![Page 29: Postkvantová kryptografia - CSIRT.SK · Úvod Postkvantové kryptosystémySumarizácia Obsah prezentácie Úvod Kvantové výpocty a potreba postkvantovej kryptografieˇ Kvantová](https://reader030.fdocument.pub/reader030/viewer/2022020115/5c78c49a09d3f2990f8bae4c/html5/thumbnails/29.jpg)
Úvod Postkvantové kryptosystémy Sumarizácia
Sumarizácia
• asymetrické algoritmy pre klasické pocítace odolné vociútokom na kvantovom pocítaci;
• široké portfólio postkvantových algoritmov pre rôzne úcely;• aktívny výskum v oblasti bezpecnosti a efektívnosti;• chýbajúca štandardizácia a nasadenie v rozšírených
knižniciach.
P. Zajac, . PQ Crypto 29/29