English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Poste du NIST
Apr 07, 2023Par
Un algorithme soumis au concours de chiffrement post-quantique du NIST - et qui a atteint le quatrième tour - a été vaincu. L'algorithme, Supersingular Isogeny Key Encapsulation (SIKE), a été cassé par Wouter Castryck et Thomas Decru à la KU Leuven, et le processus décrit dans un article rédigé fin juillet 2022.
Les cryptographes ne sont pas surpris par un tel événement ; mais les responsables de la sécurité préoccupés par leur capacité à protéger les secrets après l'arrivée des ordinateurs quantiques doivent en tenir compte.
Pour les cryptographes
La défaite de SIKE fait suite à une attaque de récupération de clé sur le protocole d'échange de clés Supersingular Isogeny Diffie-Hellman et son instanciation en tant que SIKE dans la compétition NIST. L'attaque est basée sur le théorème "coller et diviser" développé en 1997 par le mathématicien Ernst Kani.
En particulier, disent les deux chercheurs, "Notre attaque exploite l'existence d'un petit endomorphisme non scalaire sur la courbe de départ, et elle s'appuie également sur les informations de point de torsion auxiliaires qu'Alice et Bob partagent pendant le protocole."
L'attaque utilise le propre code Magma des chercheurs pour cibler la clé secrète de Bob. Il pourrait également être utilisé pour cibler la clé d'Alice, mais le premier donne des résultats plus rapides. Il s'agit d'une attaque mathématique contre l'algorithme de chiffrement plutôt que d'une attaque par force brute contre des clés individuelles.
L'attaque a été exécutée sur un seul ordinateur classique - en particulier un processeur Intel Xeon. « Exécuté sur un seul cœur, le code Magma ajouté brise les défis Microsoft SIKE… en environ 4 minutes et 6 minutes, respectivement. Une exécution sur les paramètres SIKE, qui étaient auparavant censés répondre au niveau de sécurité quantique 1 du NIST, a pris environ 62 minutes, encore une fois. sur un seul noyau."
Cette défaite élimine effectivement SIKE de la compétition NIST, mais n'empêche pas nécessairement que l'algorithme soit modifié et renvoyé à la compétition.
Pour le reste d'entre nous
SIKE est un algorithme d'encapsulation de clé, conçu pour fournir des clés en toute sécurité de la source à la destination sur un réseau non fiable. Il a été conçu pour être à l'épreuve quantique et considéré comme l'un des meilleurs candidats au concours NIST.
La défaite d'un algorithme de chiffrement à preuve quantique finaliste du NIST sur un seul PC en un peu plus d'une heure est dramatique. Cela suggère que nous devons repenser notre attitude envers le chiffrement en général et le chiffrement post-quantique en particulier. SIKE n'est pas différent de tout autre cryptage, pré- ou post-quantique : il n'est sécurisé que tant qu'il ne l'est pas, et il ne l'est pas dès qu'il peut être piraté.
Les cryptographes, en particulier ceux financés par les États-nations, recherchent en permanence des moyens de vaincre les algorithmes de chiffrement. En théorie, ce qui est arrivé à SIKE hier pourrait arriver à RSA demain. La seule différence entre un crack d'algorithme et une vulnérabilité zero-day est qu'il est peu probable que nous entendions parler du premier. L'utilisation d'un crack d'algorithme découvert par état contre des données volées et stockées n'est pas susceptible d'être rendue publique.
En effet, l'utilisation de tout cryptage est un acte de foi. On nous dit que c'est sûr et nous n'avons aucune raison de ne pas y croire - mais nous n'en avons pas et ne pouvons pas en avoir une connaissance absolue. Étant donné que le chiffrement est basé sur des problèmes mathématiques, il est toujours possible que les algorithmes puissent être attaqués mathématiquement - et en particulier par des ordinateurs quantiques extrêmement puissants.
Le besoin actuel de changer les algorithmes existants et apparemment dignes de confiance pour de nouveaux algorithmes qui n'ont pas encore fait leurs preuves encourage la pratique de développement connue sous le nom d'agilité cryptographique (crypto agilité). L'idée est que si l'algorithme utilisé est vaincu, il peut être remplacé par un algorithme différent sans modification significative de l'infrastructure du système.
C'est une bonne pratique, mais cela ne résout pas le problème sous-jacent "récolter maintenant, déchiffrer plus tard" posé par les ordinateurs quantiques. Si un algorithme recommandé par le NIST est considéré comme sûr et utilisé pendant dix ans jusqu'à ce qu'il soit vaincu, toutes les communications interceptées et stockées par des adversaires pendant ces dix années peuvent être immédiatement décryptées. La seule différence entre alors et maintenant est que nous savons que cela se produira avec le chiffrement à clé publique actuel (grâce à l'algorithme de Shor), alors que nous ne savons pas que cela ne se produira pas avec les nouveaux algorithmes post-quantiques.
Le seul type de cryptographie dont on peut prouver qu'il résiste à la déconstruction mathématique est le tampon à usage unique (OTP).
Pour le futur
"Si vous voulez protéger vos données avec certitude contre la récolte maintenant et décrypter les attaques ultérieures, vous ne pouvez tout simplement pas utiliser un algorithme qui n'est pas mathématiquement prouvé quantique sûr - et aucun des candidats post-quantiques n'est mathématiquement prouvé quantique sûr", commente Chris Schnabel , vice-président du produit chez Qrypt.
Il suggère qu'une question nécessaire est de savoir quelles sont les données les plus importantes et les plus sensibles qui doivent simplement être protégées contre la récolte maintenant, décryptées plus tard. Ces données nécessitent des garanties supplémentaires - protégées par un algorithme mathématiquement prouvé. "Tout autre algorithme pourrait échouer", a-t-il ajouté, "et SIKE en est un merveilleux exemple en tant qu'algorithme d'échange de clés. Si vous êtes vraiment préoccupé par la récolte maintenant et le décryptage plus tard, vous devez faire autre chose que simplement migrer vers la publication algorithmes quantiques."
De nombreuses entreprises - agences fédérales et industries réglementées - seront tenues par mandat du gouvernement d'utiliser des algorithmes post-quantiques parrainés par le NIST. Cela ne peut actuellement pas être évité. Un cryptage symétrique à l'épreuve quantique fournira l'utilisation la plus efficace pour le transfert de données en masse. Pour l'instant, AES 256 est considéré comme une preuve quantique. Mais cela nécessite que la clé soit résidente aux deux extrémités de la communication. Le but des algorithmes d'encapsulation de clé est de livrer cette clé en toute sécurité à sa destination.
Qrypt fournit des nombres véritablement aléatoires et prouvés, générés par des processus de mécanique quantique, à utiliser dans la construction du cryptage. Traditionnellement, le nombre aléatoire est l'élément le plus faible et le plus attaqué du cryptage car il est impossible de générer des nombres véritablement uniques et aléatoires par des moyens classiques.
Mais Qrypt va plus loin en fournissant un mécanisme pour générer le numéro aux deux extrémités de la communication. Cela signifie que la clé peut être produite par les deux parties sans nécessiter qu'elle soit envoyée sur le réseau non approuvé. Si elles ne sont jamais transmises, elles ne peuvent pas être interceptées et récoltées - et toute transmission ultérieure de données en masse peut être envoyée sous un cryptage symétrique plus sécurisé.
"Tout le monde veut savoir", a déclaré Schnabel, "quel est le moyen le plus sûr de déplacer des clés ? La réponse de Qrypt est très simple : ne le faites pas, car l'algorithme pourrait être compromis plus tard. Ainsi, vous ne déplacez pas votre clés autour - vous générez indépendamment des clés identiques à plusieurs points de terminaison."
Ceci est réalisé grâce à un service cloud qui peut être déployé sur n'importe quel terminal logiciel de la planète. Il ne nécessite aucun matériel dédié ou fibre dédiée, juste quelques lignes de code. "Au lieu d'exiger un échange de clés qui pourrait être soumis à la récolte maintenant et décrypté plus tard, nous générons indépendamment les clés aux deux extrémités", a-t-il ajouté.
La technologie Qrypt offre une autre solution au dilemme du cryptage : elle peut être utilisée pour générer un cryptage ponctuel. À l'heure actuelle, AES 256 est considéré comme sûr quantique - mais rien ne garantit qu'il le restera. Des recherches en Chine ont déjà suggéré qu'un algorithme quantique appelé algorithme quantique variationnel pourrait menacer AES 256 avec un ordinateur quantique suffisamment grand. Nous revenons ensuite au tampon unique en tant que seule méthode de cryptage qui ne peut pas être déchiffrée par des méthodes de calcul, y compris les ordinateurs quantiques.
Le problème traditionnel des OTP est que la clé doit être plus grande que le fichier à protéger. Cela a conduit à l'approche de la mallette et des menottes utilisée dans le passé pour livrer les clés OTP. Cependant, les nombres aléatoires délivrés par Qrypt sont en fait des OTP, et le temps nécessaire pour les générer est plus court que le temps de cryptage AES 256. Le résultat est la possibilité pour Qrypt de fournir des nombres aléatoires quantiques pour produire des clés qui n'ont pas besoin d'être envoyées sur Internet ; et produire un cryptage de tampon unique qui est déjà et intrinsèquement sûr contre le décryptage quantique.
Les clés transmises à zéro construites sur des nombres véritablement aléatoires sont disponibles aujourd'hui. Le cryptage de tampon à usage unique commercialement viable est clairement à venir. La combinaison de ces solutions peut fournir un cryptage sûr quantique connu qui ne repose pas sur l'hypothèse et l'espoir qu'un algorithme post-quantique traditionnel ne sera pas cassé à l'avenir - de la même manière que SIKE est déjà cassé.
En rapport:Le NIST annonce les gagnants du concours de cryptage post-quantique
En rapport:Atténuation des menaces contre le chiffrement de Quantum et Bad Random
En rapport:L'entreprise s'attaque au problème "Récolter maintenant, décrypter plus tard" avec la technologie de partitionnement
En rapport:L'informatique quantique est pour demain, mais le risque lié au quantique est là aujourd'hui
Kevin Townsend est un contributeur principal à SecurityWeek. Il a écrit sur les questions de haute technologie bien avant la naissance de Microsoft. Au cours des 15 dernières années, il s'est spécialisé dans la sécurité de l'information ; et a eu plusieurs milliers d'articles publiés dans des dizaines de magazines différents - du Times et du Financial Times aux magazines informatiques actuels et anciens.
Abonnez-vous au briefing par e-mail SecurityWeek pour rester informé des dernières menaces, tendances et technologies, ainsi que des articles perspicaces d'experts du secteur.
Le sommet sur la détection des menaces et la réponse aux incidents de SecurityWeek rassemble des professionnels de la sécurité du monde entier pour partager des histoires de guerre sur les violations, les attaques APT et les renseignements sur les menaces.
Le forum CISO de Securityweek abordera les problèmes et les défis qui sont au cœur des préoccupations des leaders de la sécurité d'aujourd'hui et à quoi ressemblera l'avenir en tant que principaux défenseurs de l'entreprise.
Si nous devions faire face à un avenir d'IA sans issue, l'industrie de la cybersécurité continuera de s'appuyer fortement sur les approches traditionnelles, en particulier celles axées sur l'homme. Ce ne sera pas tout à fait comme d'habitude.(Oliver Rochford)
Lorsque les équipes ont un moyen de briser les silos d'entreprise et de voir et de comprendre ce qui se passe, elles peuvent améliorer la protection dans leur environnement de plus en plus dispersé et diversifié. (Matt Wilson)
Quel que soit le cas d'utilisation sur lequel votre organisation de sécurité se concentre, vous perdrez probablement du temps et des ressources et prendrez de mauvaises décisions si vous ne commencez pas par comprendre votre environnement de menaces. (Marc Solomon)
Les cadres et les directives standard de l'industrie amènent souvent les organisations à croire que le déploiement de plus de solutions de sécurité se traduira par une meilleure protection contre les menaces. (Torsten George)
Avec des mesures proactives pour passer à Zero Trust, les leaders technologiques peuvent tirer parti d'une idée ancienne, mais nouvelle, qui doit devenir la norme de sécurité. (Marie Hattar)
Cycode, une startup qui fournit des solutions pour protéger le code source des logiciels, est sortie du mode furtif mardi avec un financement de démarrage de 4,6 millions de dollars.
La cryptopocalypse est le moment où l'informatique quantique devient suffisamment puissante pour utiliser l'algorithme de Shor pour déchiffrer le cryptage PKI.
Le mécanisme de cryptage et d'encapsulation de clé publique CRYSTALS-Kyber recommandé par le NIST pour la cryptographie post-quantique a été rompu en utilisant l'IA combinée à des attaques par canal latéral.
Les trois principaux moteurs de la cyber-réglementation sont la confidentialité des électeurs, l'économie et la sécurité nationale - avec la complication que le premier est souvent...
Fortinet a publié lundi un correctif d'urgence pour couvrir une grave vulnérabilité de son produit FortiOS SSL-VPN, avertissant que des pirates ont déjà exploité le...
La société de protection des données et de confidentialité basée à Los Gatos, en Californie, Titaniam, a levé un financement de démarrage de 6 millions de dollars auprès de Refinery Ventures, avec la participation de Fusion Fund, Shasta...
De nombreux développeurs et responsables de la sécurité admettent avoir été victimes d'une violation due à des informations d'identification d'API compromises.
Le géant de la technologie de virtualisation VMware a expédié mardi des mises à jour urgentes pour résoudre un trio de problèmes de sécurité dans plusieurs produits logiciels, y compris une machine virtuelle...
Pour les cryptographes Pour le reste d'entre nous Pour l'avenir En relation : En relation : En relation : En relation :