Archivio per la categoria innovation

A Post-Quantum World

were_we_are
Bandiera inglese

Dopo circa 35 anni di lavoro in informatica, eravamo finalmente riusciti a capire ed ad implementare correttamente gli algoritmi di crittografia asimmetrica RSA.

In questi ultimi 10 anni, ci siamo anche sforzati di accettare la crittografia a curve ellittiche, promessa come soluzione a lungo termine che ci avrebbe accompagnato fino alla nostra pensione.

Beh mi spiace dirlo, ma sembra che sia arrivato -con un certo anticipo sul previsto-  il momento di rimboccarsi le maniche e ricominciare da capo.

L’ipotesi di uno dei più stimati guru dell’information security -Bruce Schneier- è che nell’arco dei prossimi 30 o 40 anni, il quantum computing sarà completamente realizzato ed applicabile a numerosi ambiti matematici, tra cui si distingueranno le soluzioni per la fattorizzazione dei grandi numeri -elemento fondante delle soluzioni crittografiche RSA-  e per il calcolo del logaritmo discreto, su cui sono basati i sistemi crittografici Diffie-Hellmann e quelli basati sulle curve ellittiche.(1)

Quindi la diretta conseguenza del prossimo affermarsi del quantum computing, è che i processi di firma digitale e quelli di scambio chiavi -tipicamente basati su crittografia asimmetrica- dovranno essere profondamente ripensati.

Prima che il panico dilaghi, c’è da ricordare che il quantum computing non comporterà di per se un indebolimento degli algoritmi di crittografia simmetrica; l’implementazione di questi algoritmi -con chiavi di opportuna lunghezza- viene invece suggerita da NSA come layer aggiuntivo di protezione, rispetto all’insorgere del quantum computing.

Inoltre esistono già da tempo algoritmi a chiave pubblica, che potranno fornire una significativa sicurezza anche in presenza del quantum computing.

L’algebra dei reticoli (meglio cercare lattice, in inglese)(2), presenta alcuni problemi complessi che si adattano bene al campo della crittografia asimmetrica e sono contemporaneamente immuni alle diverse capacità del quantum computing (ma non chiedetemi di spiegare il perchè: non sono in grado di capirlo).

Basato su presupposti matematici diversi, anche il sistema crittografico McEliece, ideato poco dopo la storica pubblicazione su un sistema di crittografia a chiave pubblica di Whitfield Diffie e Martin Hellman (a loro volta sicuramente influenzati da un lavoro di Ralph Merkle), è un candidato a rappresentare la crittografia asimmetrica nel mondo post-quantum computing.

Questo sistema crittografico, oltre ovviamente ad essere capace di resistere alle tecniche di attacco attualmente disponibili è anche più veloce di RSA; peccato che le sue chiavi -in realtà delle matrici da almeno 512kbit- impongano un ripensamento di tutto il software attualmente in uso e  difficilmente potranno essere implementate su smart card.

Al di à di tutto ciò,  30 o 40 anni è un periodo temporale che potrebbe far dormire tranquillamente un sacco di persone;  ma essendo noi dei tecnici, non possiamo ignorare il tema:
ciò che sto proteggendo oggi con i sistemi attuali, potrà essere rivelato o alterato tra 30 o 40 anni, senza che questo fatto crei problemi ai proprietari o ai fruitori di questi dati?

Inoltre, l’ipotesi dei 30 o 40 anni proposta da Schneier, sembra conservativa anche a lui stesso:
Il 2 e 3 aprile scorsi, il NIST ha organizzato un workshop dal titolo inequivocabile:
                 “Workshop on Cybersecurity in a Post-Quantum World”
Qualche giorno fa, il 19 agosto scorso, l’NSA (meglio: IAD Information Assurance Directorate) ha annunciato(3) il piano preliminare per il passaggio dagli attuali sistemi di crittografia approvati ed attualmente utilizzati(4), ad una nuova suite di algoritmi crittografici “resistenti” al quantum computing.

Non bastasse il solo annuncio,  alcune delle dichiarazioni in esso contenute, fanno pensare che NSA veda la piena disponibilità del quantum-computing, probabilmente molto prima dei prossimi 30 anni: questo significa cambiare una serie di protocolli ed algoritmi di crittografia attualmente in uso, entro i prossimi 10 anni.

Aderenti al loro pay-off   “Defending Our Nation. Securing The Future”,  l’NSA si è attivata.(5)

La conseguenza delle dichiarazioni dell’NSA, portano quindi a pensare che i tempi della transizione ad una nuova suite di algoritmi crittografici quantum resistant, siano -se non brevi- comunque non molto lunghi.

Dopo aver sollecitato in questi ultimi anni  i propri partner ed i vendor a superare i limiti di vita degli algoritmi RSA ed integrare sistemi di crittografia basati su curve ellittiche, con la comunicazione dello scorso 19 agosto, senza giri di parole, l’NSA fa marcia indietro, addirittura consigliando ai partner ed ai vendor che non abbiano già adeguato i propri prodotti ai sistemi crittografici basati su curve ellittiche a NON INVESTIRE su quest’ambito, ma piuttosto a prepararsi per l’arrivo della  nuova suite di algoritmi quantum resistant.

A parziale giustificazione di questo cambio di rotta, ma senza tentare di nascondere l’errore di valutazione commesso, NSA-IAD dichiara:

Sfortunatamente, la crescita nell’utilizzo delle curve ellittiche, si è scontrata contro i continui progressi nella ricerca nel campo del quantum computing; questo (ci) ha reso chiaro che la crittografia basata sulle curve ellittiche non è la soluzione a lungo termine che molti una volta speravano fosse.
Questo fatto ci ha obbligato ad aggiornare la nostra strategia.

Nel frattempo che la nuova suite venga studiata, proposta, validata e sviluppata, l’NSA raccomanda di mantenersi coerenti e continuare ad usare gli algoritmi crittografici della Suite B, validati pubblicamente da un lungo process di peer review.
Ai più scrupolosi e paranoici partner, consiglia anche di iniziare ad usare chiavi di crittografia più grandi:

  • RSA/DH ⟶  3072bit  per lo scambio di chiavi
  • RSA ⟶  3072bit per la firma digitale
  • SHA⟶  384bit
  • AES ⟶  256bit
  • ECDH/ECDSA(curve ellittiche) ⟶ Curve P-384 sia nel caso di scambio chiavi che per la firma digitale

Inoltre, quando necessario alla protezione di informazioni importanti e destinate ad una lunga vita, NSA consiglia di implementare la sicurezza complessiva, con ulteriori layer quantum-resistant:
gli unici attualmente conosciuti e possibili sono protocolli sicuri standard,  basati sulla crittografia simmetrica che utilizzi grandi chiavi.

Aspettiamoci quindi a breve una nuova “public competition” organizzata dal NIST (che comporterà dai 3 ai 5 anni di lavoro).

Probabilmente l’arrivo del quantum computing in campo crittografico, sarà come l’arrivo dell’automobile nel mondo dei venditori di carrozze: per qualche tempo l’aggiunta di un paio di cavalli, tenterà di contrastare il nuovo arrivato.
L’illusione non durerà per molto.

(1) https://www.lawfareblog.com/nsa-plans-post-quantum-world
(2) chi vuole tentare di farsi del male, può iniziare tranquillamente da qui:
  https://en.wikipedia.org/wiki/Lattice-based_cryptography
(3) https://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml
(4) la famiglia di algoritmi pubblici approvati da NSA è detta “Suite B”; sono pubblicati dal NIST americano e in modo omogeneo riportati nei documenti ETSI sugli standard crittografici applicabili in Europa
(5) se uno fosse veramente maligno, potrebbe pensare che l’NSA ha sistemi capaci di quantum computing da tempo e che ora pensa che a breve questa tecnologia sarà a disposizione anche di altri: è quindi giunto il momento di ribilanciare la situazione.

Annunci

, ,

Lascia un commento

HSM: tormento ed estasi (per pochi addetti ai lavori)

scade HSM 25-07-2014

La data è arrivata e superata: il 25 luglio segnava la data ultima in cui erano ancora accettati, come apparati sicuri di firma digitale alcuni HSM, in attesa di certificazione Common Criteria.
Certificazione, appunto, che avrebbe dovuto essere rilasciata entro quella data.

Essendo stato superato il limite temporale, l’art.1 c.1 del DPCM 19/07/2012, pubblicato in G.U. n.236 il 10/10/2012 è divenuto operativo, imponendo quindi alle Certification Authority accreditate, la definizione e la comunicazione ad AgID -entro 15gg dalla scadenza [vedi Art.3 c.1]- del piano di migrazione al quale le stesse CA sono saranno tenute ad attenersi ed a completare entro i successivi 6 mesi.
“Successivi sei mesi” li ipotizzo -nella migliore delle ipotesi- dalla data di consegna del piano di migrazione; con questi presupposti, la prossima deadline è quindi il 9 febbraio 2015.

Quindi, fino a questa nuova scadenza, i suddetti apparati, potranno ancora essere utilizzati per la creazione di firma digitali legalmente valide; in questo ulteriore lasso di tempo, sarà ancora possibile per un produttore di questi apparati, cercare di completare il processo di certificazione.  La regola attuale dice però, che al termine di quest’ultima finestra temporale, gli apparati che non saranno in possesso di una certificazione valida, dovranno essere dismessi.

Inoltre, visto che gli apparati utilizzati fino ad oggi, non potevano gestire (o non avrebbero dovuto poter gestire) il backup delle chiavi in loro possesso, il senso del termine “migrazione” sta proprio a significare che, le coppie di chiavi nate e/o operative all’interno di HSM non certificati alla data del 9 febbraio 2015, non dovranno più essere utilizzate e i certificati qualificati ad esse associati dovranno essere -auspicabilmente- revocati.

Ora, come dicevamo in un precedente articolo, al momento esiste un solo HSM certificato secondo le richieste della legge italiana: é un apparato sofisticato e potente, ma estremamente costoso in proporzione al numero massimo di 20 (venti) firmatari, che può gestire in modo conforme alla sua certificazione e quindi alla legge.

É pur vero che un’altro apparato HSM riceverà a breve una corretta certificazione Common Criteria [l’informazione deriva dalla pubblicazione -da parte del distributore italiano- di una lettera ufficiale da parte di OCSI su questo argomento]

Anche questo è un apparato sofisticato ed efficiente e per giunta non soffre di limitazioni pratiche sul numero dei firmatari gestibili, anche se il prezzo di vendita di licenza d’uso per firmatario non è esattamente economico; ma naturalmente ognuno a casa propria stabilisce le regole che crede più opportuneHSM - agony and ecstasy

Del terzo fornitore di HSM, sarà bene al momento sorvolare; questa azienda non è riuscita a certificare nei termini prescritti il proprio apparato e sembra abbia dichiarato che non ci riuscirà neppure allo scadere dell’effettuazione del piano di migrazione, il 9 febbraio 2015; (ufficiosamente) sembra si possa riparlare della sua certificazione, per fine anno 2015.

Questa prima battaglia tra HSM è quindi al momento conclusa: abbiamo un primo vincitore, anche se un poco di nicchia ed un secondo vincitore, con un prodotto più utilizzabile; poi abbiamo un perdente / rimandato di cui forse si tornerà a parlare a fine 2015.

Ora che abbiamo due HSM perfettamente legali, certificati e -realmente- validi, nel disegnare una architettura che comporti la firma digitale automatica, dovremo scegliere uno di questi due HSM?

Beh, non è affatto detto(1)

(1) Qui c’era un link ad un’altro articolo, dove sarebbe stato possibile -in particolari contesti- trovare una buona alternativa agli HSM … per ragioni diplomatiche ho dovuto rimuoverlo 😦  vi devo lasciare quindi con un dubbio amletico e contemporaneamente con una traccia.

, , , , ,

Lascia un commento

ICT Security: Beware CopyCats!

É stato correttamente fatto notare da un ex Consulente CNIPA, che alcuni sedicenti fornitori di prodotti di sicurezza, hanno inventato soluzioni di firma digitale automatica a costi sicuramente competitivi ma creando, altrettanto sicuramente, soluzioni poco serie.

ICT Security:  Beware Copycats!

Beware Copycats!

Alcuni di questi, hanno infatti provato a copiare il metodo, messo a punto da Secure Edge e proseguito poi da GT50, che si basa sull’uso di lotti di chip crittografici oltre ad una serie di misure di sicurezza, di procedure e di security policy.

Questo approccio integrato ha permesso lo sviluppo della Piattaforma Appliance 2D-Plus ed il superamento con successo di alcune ispezioni effettuate congiuntamente dal Ministero dell’Interno e dalla (allora) DigitPA, su installazioni da noi effettuate e tuttora operative presso importanti Enti di Pubblica Amministrazione.

Da sempre, come nostra politica e buona prassi nel campo della sicurezza ICT, abbiamo rilasciato pubblicamente tutta la documentazione e la descrizione delle architetture, delle procedure e delle security policy consigliate in questo tipo di progetti.

Questa trasparenza è uno dei motivi per cui la nostra soluzione è in esercizio presso piú di100 Clienti, tra Pubblica Amministrazione Centrale e Locale, Università ed Enti di Previdenza.

Contemporaneamente la disponibilità al pubblico di questa importante mole di informazioni e know how, ha sicuramente consentito a qualche improvvisato, di vestirsi di panni non propri e di sviluppare soluzioni di firma digitale automatica scarsamente valide, come ha evidenziato l’Autore della nota di cui stiamo parlando.

Non si diventa professionisti della sicurezza da un giorno all’altro, ne copiando il lavoro altrui, ne tantomeno semplicemente perché si rivendono prodotti intrinsecamente seri e validi.

Vale sempre la pena di ricordare che:

Security is a not a product, but a process
(Security Engineer Mantra)
[Bruce Schneier – Communications of the ACM October 1999]

Al contrario, questi fornitori –senza per altro possedere abbastanza competenza tecnica e capacità di attenzione alla norma, tale che gli permettesse di impostare una soluzione corretta sia tecnicamente che legalmente– hanno tutt’al più connesso una o più smart card ad un server senza preoccuparsi di molto altro; al massimo qualcuno, tentando di copiare un’altra nostra idea, ha chiuso questi lettori di smart card all’interno di “scatole” di varia natura.

Siamo quindi sicuramente d’accordo con chi ha detto (e scritto) prima di noi:

“[…] è necessario, per evitare sorprese, utilizzare prodotti seri
e non affidarsi a soluzioni di dubbia sicurezza o completamente illegali.”

In Secure Edge prima ed in GT50 oggi, siamo particolarmente attenti alle architetture, allo sviluppo software, alle procedure e security policy presenti nelle piattaforme tecnologiche che forniamo ai nostri Clienti e che -tipicamente- comprendono la completa gestione e controllo sulla firma digitale automatica.

Questo, probabilmente, anche a fronte di un’esperienza nel settore della sicurezza, della crittografia e della firma digitale, che conta (ahimè) ormai più 20 anni ed è supportata da una serie di certificazioni professionali.

Da tutto ciò ne deriva che le applicazioni di firma digitale automatica da noi proposte, comprendono tutti i meccanismi descritti in precedenza, necessari a rendere queste applicazioni valide tecnicamente e legalmente, all’interno di una corretta gestione e completo controllo sulla generazione di firme digitali.

Inoltre, allo scopo di mantenere al livello più alto la certezza delle operazioni, abbiamo scelto anche di accreditarci come Registry Authority, con le due Certification Authority più importanti del mercato italiano.

In questo modo, anche il “semplice” processo di erogazione di un certificato qualificato, nel contesto particolare della procedura automatica, viene gestito con il corretto livello di attenzione, nel rispetto del Cliente/firmatario e della sua completa consapevolezza.

Siamo una delle poche aziende interamente italiane che opera a livello di architettura e di sviluppo software, realizzando soluzioni di sicurezza tecnologicamente adeguate ed economicamente convenienti nel mercato della firma digitale.

Fortunatamente i nostri clienti e le nostre referenze parlano più di chiunque altro.

, , , , ,

Lascia un commento