A Post-Quantum World

were_we_are
Bandiera inglese

Dopo circa 35 anni di lavoro in informatica, eravamo finalmente riusciti a capire ed ad implementare correttamente gli algoritmi di crittografia asimmetrica RSA.

In questi ultimi 10 anni, ci siamo anche sforzati di accettare la crittografia a curve ellittiche, promessa come soluzione a lungo termine che ci avrebbe accompagnato fino alla nostra pensione.

Beh mi spiace dirlo, ma sembra che sia arrivato -con un certo anticipo sul previsto-  il momento di rimboccarsi le maniche e ricominciare da capo.

L’ipotesi di uno dei più stimati guru dell’information security -Bruce Schneier- è che nell’arco dei prossimi 30 o 40 anni, il quantum computing sarà completamente realizzato ed applicabile a numerosi ambiti matematici, tra cui si distingueranno le soluzioni per la fattorizzazione dei grandi numeri -elemento fondante delle soluzioni crittografiche RSA-  e per il calcolo del logaritmo discreto, su cui sono basati i sistemi crittografici Diffie-Hellmann e quelli basati sulle curve ellittiche.(1)

Quindi la diretta conseguenza del prossimo affermarsi del quantum computing, è che i processi di firma digitale e quelli di scambio chiavi -tipicamente basati su crittografia asimmetrica- dovranno essere profondamente ripensati.

Prima che il panico dilaghi, c’è da ricordare che il quantum computing non comporterà di per se un indebolimento degli algoritmi di crittografia simmetrica; l’implementazione di questi algoritmi -con chiavi di opportuna lunghezza- viene invece suggerita da NSA come layer aggiuntivo di protezione, rispetto all’insorgere del quantum computing.

Inoltre esistono già da tempo algoritmi a chiave pubblica, che potranno fornire una significativa sicurezza anche in presenza del quantum computing.

L’algebra dei reticoli (meglio cercare lattice, in inglese)(2), presenta alcuni problemi complessi che si adattano bene al campo della crittografia asimmetrica e sono contemporaneamente immuni alle diverse capacità del quantum computing (ma non chiedetemi di spiegare il perchè: non sono in grado di capirlo).

Basato su presupposti matematici diversi, anche il sistema crittografico McEliece, ideato poco dopo la storica pubblicazione su un sistema di crittografia a chiave pubblica di Whitfield Diffie e Martin Hellman (a loro volta sicuramente influenzati da un lavoro di Ralph Merkle), è un candidato a rappresentare la crittografia asimmetrica nel mondo post-quantum computing.

Questo sistema crittografico, oltre ovviamente ad essere capace di resistere alle tecniche di attacco attualmente disponibili è anche più veloce di RSA; peccato che le sue chiavi -in realtà delle matrici da almeno 512kbit- impongano un ripensamento di tutto il software attualmente in uso e  difficilmente potranno essere implementate su smart card.

Al di à di tutto ciò,  30 o 40 anni è un periodo temporale che potrebbe far dormire tranquillamente un sacco di persone;  ma essendo noi dei tecnici, non possiamo ignorare il tema:
ciò che sto proteggendo oggi con i sistemi attuali, potrà essere rivelato o alterato tra 30 o 40 anni, senza che questo fatto crei problemi ai proprietari o ai fruitori di questi dati?

Inoltre, l’ipotesi dei 30 o 40 anni proposta da Schneier, sembra conservativa anche a lui stesso:
Il 2 e 3 aprile scorsi, il NIST ha organizzato un workshop dal titolo inequivocabile:
                 “Workshop on Cybersecurity in a Post-Quantum World”
Qualche giorno fa, il 19 agosto scorso, l’NSA (meglio: IAD Information Assurance Directorate) ha annunciato(3) il piano preliminare per il passaggio dagli attuali sistemi di crittografia approvati ed attualmente utilizzati(4), ad una nuova suite di algoritmi crittografici “resistenti” al quantum computing.

Non bastasse il solo annuncio,  alcune delle dichiarazioni in esso contenute, fanno pensare che NSA veda la piena disponibilità del quantum-computing, probabilmente molto prima dei prossimi 30 anni: questo significa cambiare una serie di protocolli ed algoritmi di crittografia attualmente in uso, entro i prossimi 10 anni.

Aderenti al loro pay-off   “Defending Our Nation. Securing The Future”,  l’NSA si è attivata.(5)

La conseguenza delle dichiarazioni dell’NSA, portano quindi a pensare che i tempi della transizione ad una nuova suite di algoritmi crittografici quantum resistant, siano -se non brevi- comunque non molto lunghi.

Dopo aver sollecitato in questi ultimi anni  i propri partner ed i vendor a superare i limiti di vita degli algoritmi RSA ed integrare sistemi di crittografia basati su curve ellittiche, con la comunicazione dello scorso 19 agosto, senza giri di parole, l’NSA fa marcia indietro, addirittura consigliando ai partner ed ai vendor che non abbiano già adeguato i propri prodotti ai sistemi crittografici basati su curve ellittiche a NON INVESTIRE su quest’ambito, ma piuttosto a prepararsi per l’arrivo della  nuova suite di algoritmi quantum resistant.

A parziale giustificazione di questo cambio di rotta, ma senza tentare di nascondere l’errore di valutazione commesso, NSA-IAD dichiara:

Sfortunatamente, la crescita nell’utilizzo delle curve ellittiche, si è scontrata contro i continui progressi nella ricerca nel campo del quantum computing; questo (ci) ha reso chiaro che la crittografia basata sulle curve ellittiche non è la soluzione a lungo termine che molti una volta speravano fosse.
Questo fatto ci ha obbligato ad aggiornare la nostra strategia.

Nel frattempo che la nuova suite venga studiata, proposta, validata e sviluppata, l’NSA raccomanda di mantenersi coerenti e continuare ad usare gli algoritmi crittografici della Suite B, validati pubblicamente da un lungo process di peer review.
Ai più scrupolosi e paranoici partner, consiglia anche di iniziare ad usare chiavi di crittografia più grandi:

  • RSA/DH ⟶  3072bit  per lo scambio di chiavi
  • RSA ⟶  3072bit per la firma digitale
  • SHA⟶  384bit
  • AES ⟶  256bit
  • ECDH/ECDSA(curve ellittiche) ⟶ Curve P-384 sia nel caso di scambio chiavi che per la firma digitale

Inoltre, quando necessario alla protezione di informazioni importanti e destinate ad una lunga vita, NSA consiglia di implementare la sicurezza complessiva, con ulteriori layer quantum-resistant:
gli unici attualmente conosciuti e possibili sono protocolli sicuri standard,  basati sulla crittografia simmetrica che utilizzi grandi chiavi.

Aspettiamoci quindi a breve una nuova “public competition” organizzata dal NIST (che comporterà dai 3 ai 5 anni di lavoro).

Probabilmente l’arrivo del quantum computing in campo crittografico, sarà come l’arrivo dell’automobile nel mondo dei venditori di carrozze: per qualche tempo l’aggiunta di un paio di cavalli, tenterà di contrastare il nuovo arrivato.
L’illusione non durerà per molto.

(1) https://www.lawfareblog.com/nsa-plans-post-quantum-world
(2) chi vuole tentare di farsi del male, può iniziare tranquillamente da qui:
  https://en.wikipedia.org/wiki/Lattice-based_cryptography
(3) https://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml
(4) la famiglia di algoritmi pubblici approvati da NSA è detta “Suite B”; sono pubblicati dal NIST americano e in modo omogeneo riportati nei documenti ETSI sugli standard crittografici applicabili in Europa
(5) se uno fosse veramente maligno, potrebbe pensare che l’NSA ha sistemi capaci di quantum computing da tempo e che ora pensa che a breve questa tecnologia sarà a disposizione anche di altri: è quindi giunto il momento di ribilanciare la situazione.

Annunci

, ,

  1. Lascia un commento

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: