Hlavní navigace

Postkvantová doba se blíží: přinese rok 2022 konec šifrování, jak ho známe?

2. 3. 2022
Doba čtení: 8 minut

Sdílet

 Autor: IBM
Kvantová technologie vyvíjená světovými supervelmocemi způsobí, že mnoho dnešních šifrovacích algoritmů ze dne na den zastará. Ten, kdo jí bude disponovat, bude schopen číst téměř jakákoli šifrovaná data nebo zprávy.

Podniky by měly vzít na vědomí, že tato technologie bude pravděpodobně vyvinuta v nadcházejících letech. Manažeři odpovědní za informační bezpečnost by si měli utvořit přehled o šifrovacích algoritmech užívaných ve svých systémech a naplánovat přechod na algoritmy odolné proti kvantové technice.

Předpokládá se, že šifrovací algoritmus AES-256 bude v tomto ohledu bezpečný, stejně jako hashovací algoritmy SHA-384 a SHA-512. Jako prozatímní řešení by podniky měly zvýšit délky klíčů algoritmů s veřejným klíčem minimálně na 3072 bitů, aby byly chráněny před případnými útoky.

Vyvíjené systémy by měly být navrženy tak, aby využívaly algoritmus AES-256 a měly by mít schopnost šifrovací algoritmus nahradit jiným, pokud by se objevily slabiny nebo byl k dispozici algoritmus bezpečnější.

Kvantové počítače již existují ve fázi ověřování konceptu. V tuto chvíli není žádný dostatečně výkonný, aby dokázal prolomit dnes užívané šifrování, ale soukromý i veřejný sektor po celém světě investuje miliardy dolarů do vytvoření takto výkonných systémů, které přinesou revoluci v kybernetice.

Ačkoli nikdo neví, kdy bude k dispozici dostatečně výkonný kvantový počítač, dopady na bezpečnost můžeme předvídat a předem si připravit obranu.

Co je to kvantový počítač?

Klasické počítače pracují s bity jako jednotkami informace. Tyto bity existují v paměti nebo v registru procesoru v jednom ze dvou stavů, buď 1, nebo 0. Kvantové počítače fungují odlišným, avšak analogickým způsobem. Namísto bitů pracují kvantové počítače s tzv. „qubity“. Qubit existuje ve smíšeném stavu, který je zároveň částečně 1 a částečně 0, stav 1 nebo 0 přijímá pouze v okamžiku měření.

Tato vlastnost umožňuje kvantovým počítačům provádět některé výpočty podstatně rychleji než současné počítače. Fyzikální omezení ztěžují zvyšování výpočetního výkonu současných počítačových architektur, a proto stoupá zájem o kvantovou fyziku jako cestu k vývoji nové generace počítačů.

Uplatnění v oblasti zabezpečení

Kvantové počítače nedokáží vyřešit problémy, se kterými si dnešní počítače nezvládnou poradit. Některé výpočty však při současném výpočetním výkonu a rychlosti trvají příliš dlouho na to, aby byly použitelné v praxi. Díky bleskové rychlosti kvantových počítačů by se mohly stát nejen prakticky použitelné, ale i zcela běžné.

Jedním z takových výpočtů je rozklad velkých čísel na prvočinitele. Každé číslo lze vyjádřit jako součin několika prvočísel, avšak jejich nalezení trvá dnešním počítačům nesmírně dlouho. Na to spoléhají šifrovací algoritmy s veřejným klíčem při zajišťování bezpečnosti šifrovaných dat.

Šifrování veřejným klíčem je bezpečné díky neprakticky dlouhé době nutné k výpočtu, nikoli díky jeho nemožnosti. Výpočet nazvaný „Shorův algoritmus“ dokáže rychle nalézt prvočinitele, avšak lze jej provést pouze na velkém kvantovém počítači.

Víme tedy, jak pomocí Shorova algoritmu prolomit dnešní šifrování s veřejným klíčem, ale čekáme, až bude k dispozici patřičně výkonný kvantový počítač, na němž bude možné tento přístup uplatnit. Jakmile někdo vyvine kvantový počítač s potřebným výpočetním výkonem, bude schopen prolomit jakýkoli systém závislý na dnešním šifrování s veřejným klíčem.

Další kvantový výpočetní mechanismus, známý jako „Groverův algoritmus“, lze použít k nalezení klíčů symetrických šifrovacích algoritmů, reverzi jednosměrných hašovacích algoritmů (včetně těch, které se běžně používají k hašování hesel) nebo k identifikaci dodatečných bajtů nezbytných k získání hash hodnoty datového souboru.

Vzhledem k tomu, že Groverův algoritmus je méně efektivní než Shorův algoritmus, nebude pro útočníky tak výhodný. Implementace Groverova algoritmu však útočníkům umožní prolomit hašovaná hesla a vypočítat kolize hašovacích signatur u slabších hašovacích algoritmů.

Vývoj kvantové techniky

Vytvoření fungujícího, výkonného kvantového počítače není triviální záležitost. Izolovat jednotlivé atomy, elektrony nebo fotony a použít je jako qubity je značně obtížné. Jakmile jsou fyzické částice izolovány, jsou náchylné ke ztrátě informací pro vnější svět a již nefungují podle očekávání. Dnešní pokusy o sestavení kvantových počítačů vyžadují chlazení téměř na absolutní nulu (-273 °C), aby se zabránilo ovlivňování systému energií zvnějšku.

V soukromém sektoru bylo vyvinuto několik kvantových výpočetních systémů pro ověření konceptu. Přestože byl v řadě zemí kvantový výzkum označen za strategickou prioritu, postup vpřed je méně zřetelný. Čína nicméně začlenila kvantové technologie do své aktuální pětiletky a je známo, že vyvinula funkční kvantové systémy pro detekci letadel typu stealth a ponorek a zavedla kvantovou komunikaci se satelity.

Nastala již doba postkvantová?

Víme, jak lze kvantový počítač použít k prolomení šifrování. Víme, jak komplikované je sestavit výkonný kvantový systém. Co nevíme, je, zda některá z globálních supervelmocí tyto obtíže nepřekonala a nevytvořila funkční kvantový počítač, který dokáže využít Shorův algoritmus k prolomení dnešního šifrování.

Můžeme se domnívat, že ten, kdo vytvoří takový systém jako první, bude mít zájem jej udržet co nejdéle v tajnosti. První elektronické počítače použité k rozluštění německého šifrovacího kódu Enigma za druhé světové války byly drženy v tajnosti po celá desetiletí, aby neprozradily schopnost prolamovat šifry.

Nicméně můžeme očekávat, že se vyskytnou určité náznaky existence funkčního systém.

Ten, kdo vlastní nejvýkonnější dešifrovací počítač na světě, bude těžko odolávat pokušení jej použít. Lze očekávat, že se příslušný aktér bude snažit shromáždit velké množství dynamických i statických dat.

Útočník by s největší pravděpodobností zachytával přenášená data přesměrováním zašifrovaných datových toků do jím ovládaných systémů, to znamená útoky typu man-in-the-middle. Ty mohou být podobné útoku nazývanému Sea Turtle z roku 2019, kdy útočník pozměnil systém DNS tak, aby vracel škodlivou IP adresu. Může také docházet k útokům podobným VPNFilter, kdy napadené směrovače a přepínače přesměrovávají připojení do škodlivých systémů.

Aby se útočníci dostali k zašifrovaným statickým datům, napadli by zálohovací systémy, databáze nebo datová úložiště a vyvedli z nich maximum dat. Útoky by pravděpodobně byly maskovány jako kriminální aktivity nebo by byly prováděny najatými kriminálními živly, spíše než samotným státem, aby skutečný původce útoků zůstal skrytý.

V současné době nepozorujeme takový objem útoků přesměrováním, který by se dal očekávat u rozsáhlého sběru dat, ani nezaznamenáváme rozsáhlou exfiltraci uložených šifrovaných dat. To naznačuje, že žádný aktér aktivně neshromažďuje data ve velkém rozsahu k dešifrování. Nicméně kyberzločinci užívající ransomware si zvykli v rámci svého obchodního modelu vyvádět ze systémů nešifrovaná data a vyhrožovat jejich zveřejněním, nebude-li zaplaceno výkupné.

Jak se připravit na postkvantový svět

Nikdo neví, kdy dnešní šifrovací techniky zastarají. Na tuto eventualitu se můžeme připravit vylepšením šifrovacích algoritmů na takové, o nichž se předpokládá, že jsou odolné vůči útokům prováděným pomocí kvantových systémů.

Americký Národní institut pro standardy a technologie (NIST) aktuálně připravuje standardy pro šifrování v postkvantovém světě. Národní bezpečnostní agentura NSA mezitím vypracovala pokyny pro zavedení prozatímní strategie, než budou vydány postkvantové standardy[PDF].

Algoritmus Využití
RSA 3072 bitů nebo delší  Zřízení klíče, digitální podpis
Diffie-Hellman (DH) 3072 bitů nebo delší  Zřízení klíče
ECDH s NIST P-384 Zřízení klíče
ECDSA s NIST P-384 Digitální podpis
SHA-384 Ochrana integrity
AES-256 Ochrana důvěrnosti

Podniky by měly provést inventuru šifrovacích algoritmů užívaných v jejich systémech a souvisejících délek klíčů. Pokud je to možné, měly by také zvýšit délku klíčů a zavést šifrování AES-256, o kterém se předpokládá, že je odolné vůči útokům pomocí kvantových počítačů.

U klíčů nezbytných k dešifrování zašifrovaných dat hrozí, že budou odhaleny pomocí kvantového počítače. Je také možné zvážit, zda jsou archivovaná zašifrovaná data stále potřebná, nebo zda by mohla být odstraněna. Data, která již neexistují, nelze odcizit.

Pokud je nutné data uchovávat, měla by být dvakrát zašifrována pomocí AES-256 nebo dešifrována pomocí původního algoritmu a znovu zašifrována pomocí AES-256. Podniky by měly přezkoumat správu klíčů starších zašifrovaných dat. Klíče, které jsou ztraceny nebo vymazány (například kvůli mylné domněnce, že po dvojitém šifrování již nebudou zapotřebí), budou vyžadovat dešifrování pomocí kvantového počítače, jinak data zůstanou nepřístupná.

Poznámky

Dokud nebude postaven velký kvantový počítač a nebude veřejně dostupný pro výzkum, nemůžeme si být jisti schopnostmi takového systému. Je možné, že kvůli fyzikálním omezením nebude vybudování takového systému praktické. Programování kvantových počítačů bude bezpochyby vyžadovat nové postupy softwarového inženýrství. Je také možné, že se objeví programovací postupy, které umožní praktické prolomení šifrování s méně výkonným kvantovým počítačem, než se v současnosti předpokládá.

Postkvantové standardy a doporučení od státních institucí jsou vítány jako vodítko při přechodu na kvantově bezpečné prostředí. Taková doporučení by však neměly být nutně brány jako norma. 

Bylo zjištěno, že dřívější kryptografický standard známý jako Dual_EC_DRBG obsahoval zásadní chybu, která umožnila každému, kdo si byl této chyby vědom, dešifrovat příslušná zašifrovaná data. Slabina v algoritmu mohla být způsobena „nekvalitní kryptografií“, která byla přehlédnuta v rámci odborného posuzování, nebo se mohlo jednat o úmyslný nedostatek jako oslabení kryptografických systémů založených na tomto algoritmu.

V každém případě metoda, která byla vydávána za bezpečnou, obsahovala zranitelnost. Každý, kdo o její existenci věděl, měl významnou výhodu při prolamování šifrování, které tuto funkci využívalo. 

Dnešní doporučení ohledně odolnosti algoritmů vůči kvantovému útoku mohou být mylná, a to i záměrně. Je proto vhodné porovnat doporučení různých standardizačních institucí a různých států.

Doporučení

V určitém okamžiku se mnoho dnes užívaných šifrovacích algoritmů stane okamžitě napadnutelných někým, kdo vyvinul vhodný kvantový počítač. Na takový okamžik by se podniky měly připravit zvětšením délky veřejných šifrovacích klíčů nad 3072 bitů jako prozatímní ochranu. Pokud je to možné, měly by systémy přejít na šifrování AES-256 a pro hašování užívat SHA-384 nebo SHA-512.

Každý, kdo implementuje šifrovací software, by měl zvážit životnost algoritmu a poskytnout uživatelům možnost změnit sílu šifrování a algoritmus podle potřeby. 

Závěry

Kvantová výpočetní technika je významným cílem výzkumu a investic. Kvůli fyzikálním omezením je obtížné dále posouvat vývoj dnešních architektur procesorů. Reálně použitelné kvantové počítačové systémy přinesou výrazný nárůst výpočetního výkonu a umožní užití nových výpočetních technik k řešení problémů, jejichž výpočet je v současnosti prakticky neproveditelný.

CS24 tip temata

Jednou z oblastí využití nového kvantového počítače bude prolomení šifrování. Až bude takový systém vyvinut, jeho existence bude pravděpodobně utajována. Pravděpodobně se však vyskytnou v jednání sofistikovaných aktérů náznaky, které fungování takového systému prozradí. Ty budou bdělé a ostražité bezpečnostní týmy schopné odhalit.

Z hlediska zajištění trvalé důvěrnosti informací je zásadní v dostatečném předstihu před vznikem funkčního kvantového počítače provést revizi stávajících implementací šifrování a posílit je.

Autor článku

Dlouholetý pracovník Talos, organizace Cisco pro analýzu a výzkum IT hrozeb. Je specialistou na bezpečnost, identifikaci a analýzu hrozeb v IT prostředí.