Vår referanse: A03 - G:17/173 Revisjon: 01 NASJONAL SIKKERHETSMYNDIGHET. Sikker informasjon i tiden etter en kvantedatamaskin KVANTERESISTENT KRYPTO

Transkript

1 Vår referanse: A03 - G:17/173 Revisjon: 01 NASJONAL SIKKERHETSMYNDIGHET Sikker informasjon i tiden etter en kvantedatamaskin KVANTERESISTENT KRYPTO

2 INNHOLD 1. Introduksjon Kryptografi i dag Kvantedatamaskiner Konsekvenser Kvanteresistent kryptografi Standardisering og andre initiativ Anbefalinger

3 NASJONAL SIKKERHETSMYNDIGHET Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og det nasjonale fagmiljøet for IKT-sikkerhet. Direktoratet er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser. Vår målgruppe er virksomheter som eier, bruker eller forvalter kritisk infrastruktur og samfunnskritiske funksjoner, eller som har oppgaver av kritisk betydning for disse.

4 Introduksjon 1. Introduksjon Kryptografi er studiet av teknikker for å sikre informasjon dersom det skulle være fare for denne blir kompromittert enten bevisst eller ubevisst. Her tar man for seg elementer som konfidensialitet, integritet og autentisitet avhengig av situasjon og bruk. Til vanlig er kryptografien fundament for de aller fleste sikkerhetsmekanismer i elektronisk informasjonsutveksling i dag. Kryptografien er til enhver tid under utvikling da det hele tiden gjøres et stort arbeid for å omgå de mekanismene som er i bruk. For å bli trygg på styrken til mekanismene vi ønsker å beskytte informasjonen vår med, må vi derfor ta høyde for ny teknologi og forskning innenfor dette feltet. Iblant innebærer det også å skifte ut byggesteinene for kryptografiske mekanismer. Denne teksten tar for seg utviklingen av kvantedatamaskiner, en kommende teknologi som vil få en avgjørende effekt på fundamentet for kryptografien slik den brukes i dag. Det er allerede funnet direkte konsekvenser som gjør at vi bør håndtere dem nå, til tross for at en anvendelig kvantedatamaskin fortsatt er år eller tiår unna. I et langsiktig perspektiv ønsker vi derfor å være tidlig ute med opplysningsarbeid for å berede grunnen for det som kommer, både i form av krav og tiltak. Det finnes mange grupperinger som arbeider med feltet som skal ta frem nye løsninger for å ta høyde for disse maskinene. Feltet har fått navnet kvanteresistent kryptografi («post-quantum /quantum safe cryptography» i engelsk litteratur) og har eksistert en god stund. Samtidig arbeides det med å standardisere byggesteinene. For tiden ser det ut som om dette vil nærme seg endelige definisjoner innen Dermed er det ikke lenge til dette feltet vil få konsekvenser for dagliglivet. Det er verdt å merke seg forskjellen på kvanteresistent kryptografi og såkalt kvantekryptografi som er fundamentalt forskjellig da det er lett å ledes til å tro at disse er direkte relatert. Kvantekryptografien forsøker å utnytte kvantefysiske fenomen til kryptografiske anvendelser. Kvanteresistent kryptografi kan derimot implementeres på vanlige datamaskiner men forsøker å beskytte informasjon mot analyseverktøy som kan implementeres på kvantedatamaskiner. Disse feltene har derfor forskjellige utgangspunkt. 4

5 Kryptografi i dag 2. Kryptografi i dag Kryptografi tar som nevnt for seg flere problemstillinger innenfor informasjonssikkerhet. For eksempel er den med på sikre at informasjon forblir hemmelig for uvedkommende (konfidensialitet), å sikre at informasjon forblir uendret under transport eller lagring (integritet) eller å sikre at informasjonens opphav blir bekreftet på uomtvistelig vis (autentisitet). Uten kryptografi står vi altså i fare for at hemmelig informasjon blir kompromittert, at informasjon blir endret av uvedkommende eller at informasjonens opphav kan fabrikkeres. Det er flere mulige måter man kan bruke kryptografi på. Én måte kan være som følger: K K KLARTEKST CHIFFERTEKST KLARTEKST Symmetrisk kryptosystem Her blir de to partene som vil kommunisere enige om en felles nøkkel (K) som for alle andre parter er hemmelig. En krypteringsmekanisme bruker den felles nøkkelen til å transformere kommunikasjonen til uleselig chiffertekst, mens en dekrypteringsmekanisme bruker den samme nøkkelen til å transformere chifferteksten tilbake til den opprinnelige klarteksten. Forutsetningen er altså at den samme nøkkelen er kjent for begge parter og hemmelig for alle andre. Dette kalles derfor et symmetrisk kryptosystem. For å gjøre det mulig å bli enige om den hemmelige nøkkelen uten unødvendig mye arbeid har man i moderne kryptosystemer også muligheten for nøkkelutveksling ved hjelp av såkalte asymmetriske kryptosystemer: 5

6 Kryptografi i dag Ko Kp KLARTEKST CHIFFERTEKST KLARTEKST Asymmetrisk kryptosystem) Her offentliggjør én av partene en offentlig nøkkel (Ko), lager en privat nøkkel (Kp) som forblir ukjent for alle andre. Når man ønsker å kommunisere bruker en annen part den offentlige nøkkelen for å kryptere. Når kommunikasjonen når frem til den som har publisert sin offentlige nøkkel, kan den dekrypteres ved hjelp av den private nøkkelen. Dermed er det en asymmetri i hvilke nøkler som er i bruk. Fordelen med å bruke et asymmetrisk kryptosystem er at man ikke trenger å bli enige om hvilken nøkkel man skal bruke før man kommuniserer. Ulempen er de er beregningskrevende å bruke og de benyttes som regel til å bli enige om hvilken nøkkel som skal brukes i et symmetrisk kryptosystem. Man kan også bruke teknikker fra asymmetriske kryptosystemer til å signere kommunikasjon slik at opphavet er etterrettelig. Underliggende for disse mekanismene er kryptografiske byggesteiner (primitiver) hvis sikkerhet er basert på at det å omgå dem på et eller annet vis er antatt beregningsmessig «umulig». Slike primitiver kan for eksempel hvile på matematiske problemer hvor det er velkjent at beregningsevnene våre er begrenset på en eller annen måte. At dette faktisk er tilfelle blir til enhver tid satt på prøve av kryptoanalyse hos mange forskjellige parter. Jo lenger et primitiv overlever denne analysen, jo større tiltro får vi til at den fungerer som ønsket. Grunnet den generelle teknologiutviklingen og utviklingen av nye eller forbedrede analyseteknikker, bedrives det til enhver tid et revisjonsarbeid av krypteringsteknikkene som er i bruk. Som et svar på gjennombrudd i analysearbeidet finnes det dermed også en kontinuerlig utvikling av nye primitiver som om mulig kan ta plassen til de som forsvinner ut av bruk når de ikke tåler tidens tann. 6

7 Kvantedatamaskiner 3. Kvantedatamaskiner Kvantedatamaskiner har lenge vært under utvikling og utnytter kvantefysiske fenomen for å behandle data på en helt annen måte enn i klassiske datamaskiner. Som en følge kan man finne nye algoritmer som drar nytte av disse strukturene. I noen tilfeller er det oppdaget algoritmer som vil kunne løse spesifikke og interessante problemer enormt mye raskere enn de som er i bruk i dag. Dette er det som gjør kvantedatamaskiner interessante og samtidig til en trussel for kryptografien En bit (til venstre) er minste bestanddel i vanlige minneregistre i dagens datamaskiner. Lagringsmediet i en kvantedatamaskin skal lagre en mengde bestående av qubits (til høyre). Dette krever ny teknologi. Det nedlegges en stor forskningsinnsats for å finne nye algoritmer som kan bruke informasjons-strukturen i slike maskiner. I tillegg er bruksområdene så interessante at det arbeides iherdig med å realisere disse maskinene både i akademia, i statlig virksomhet og i deler av næringslivet som livnærer seg av høyteknologi. Det er fortsatt ikke kjent om man har oppnådd å konstruere en kvantedatamaskin som kan lede frem til en fullverdig bruk av de aktuelle algoritmene. Det er imidlertid mange veier til mål da den underliggende informasjonsarkitekturen kan baseres på mange forskjellige fysiske prinsipp og beregningsmodeller. Dermed er det svært sannsynlig at minst en av dem vil lede til virkelige gjennombrudd og det er bred konsensus i fagmiljøer om at dette vil komme til virkelighet raskere enn først antatt. Uten å grave dypt i teorien er det i denne rapporten verdt å merke seg Shors [i] og [i]. Shor, Peter, «Algorithms for quantum computation: Discrete log and factoring», Proceedings of FOCS 94 7

8 Konsekvenser Grovers [ii] algoritmer som er eksempel på såkalte kvantealgoritmer. Disse vil få avgjørende konsekvenser for kryptografien og den praktiske bruken vi ser i dag: De kryptoprimitivene som er vanlige i bruk vil måtte modifiseres eller skiftes ut. 4. Konsekvenser Når vi planlegger bruken av et kryptosystem er det nødvendig å tenke på flere faser av dets levetid: Systemet skal ha en planleggingsfase, en levetidsfase med aktiv bruk og en fase med etterbeskyttelse. For kryptosystemer i militær bruk, vil behovet for etterbeskyttelse være dimensjonert av hvilken etterretningsverdi den kommuniserte informasjonen har over tid. Avhengig av verdien kan den være beskyttelsesverdig i 30 år. UTVIKLING <10 ÅR BRUK ÅR ETTERBESKYTTELSE 30 ÅR Levetiden til et kryptosystem Med dette i tankene må vi ha et langsiktig perspektiv hvor det tas høyde for alle faser og hvordan vi må sikre at den faktiske beskyttelsen det er ment å gi kan vare gjennom alle disse periodene. Jo lenger den relevante informasjonen skal beskyttes, jo tidligere bør vi starte med arbeidet som skal resultere i innfasingen av kvanteresistent kryptografi. Når vi i tillegg vet at det tar lang tid før slike primitiver blir faset inn i praksis, er det egentlig ingen tid å miste. Da Grover og Shor oppdaget sine respektive algoritmer, ble det etter hvert tydelig at de ville få store konsekvenser for kryptografien på forskjellige vis: Grovers algoritme kan brukes til å gjøre søkerommet i symmetriske kryptosystemer mye mindre dersom vi ønsker å teste alle mulige nøkler på en gitt mengde kommunikasjon. Dette er det praktisk mulig å ta hensyn til ved å øke størrelsen på nøklene som er i bruk: Teoretisk må vi doble antallet bits i nøklene for å oppnå samme grad av sikkerhet som de vi bruker i dag. Shors algoritme har derimot mye større konsekvenser: Den gjør det mulig å bryte ned problemet med å finne den hemmelige nøkkelen i et asymmetrisk kryptosystem på en slik måte at det i praksis vil bli umulig å finne praktiske nøkkelstørrelser som [ii]. Grover, Lov, «A fast quantum mechanical algorithm for database search», Proceedings, 28th annual ACM symposium on the theory of computing. 8

9 Konsekvenser kan brukes. Dette gjelder de aller fleste primitiver som er i bruk i dag. Eksempler på slike anvendelser finner vi over alt på Internett: TLS (HTTPS), IPSec, SSH, PKI, og så videre. For å møte effekten av Shors algoritme, må vi derfor trå til med mer fundamentale endringer i dagliglivet 4.1. Kvanteresistent kryptografi Som et svar på arbeidet rundt Grovers og Shors algoritme, er det i forskningen fokusert på å ta frem mindre kjente eller nye primitiver som kan brukes til å bygge kryptosystemer. Disse føyer seg inn under banneret kvanteresistent kryptografi. Området er delt inn i underfamilier av primitiver som det forskes aktivt på å analysere og å teste i praktisk bruk. Vi finner her familier som lattice-baserte kryptosystemer (RLWE/NTRU), kodebaserte kryptosystemer (McEliece/Niederreiter), hash-baserte signaturer, osv. Det er altså blant disse vi vil finne de primitiver som kan danne det framtidige fundamentet for elektronisk kommunikasjon. Selv om det for øyeblikket ser lyst ut for noen av disse familiene, har de andre egenskaper enn de primitivene vi kjenner godt fra før: Eksempelvis kan en kodebasert offentlig nøkkel være på rundt 1MB for en nøkkelstyrke tilsvarende 128 bit. Dette kan bli en hemsko dersom vi blir nødt til å bruke dem når vi må forholde oss til plassbegrensninger Standardisering og andre initiativ Det er vanlig å standardisere kryptografiske primitiver og protokoller. For eksempel er AES-algoritmen standardisert gjennom en utlyst konkurranse da det var behov for en ny kryptografisk mekanisme for symmetriske kryptosystemer. Organisasjoner som NIST [iii] og ETSI [iv] arbeider med å få utviklet nye standarder som skal ta inn forskningsarbeidet som er underveis. NIST har meldt at kandidater kan sendes inn til evaluering for standardisering, og fristen for innsendingen av disse er satt til utgangen av I tillegg finnes det initiativer hos IETF, ISO og OASIS. Det er dannet større forskningsprosjekter som skal utvikle praktiske løsninger delt opp i flere pakker. Vi finner blant annet PQCRYPTO som også arrangerer en konferanseserie innenfor dette området. I tillegg er det initiativer hos kommersielle aktører som Google og Microsoft hvor det arbeides med praktiske implementasjoner av nye primitiver. [iii]. NIST Post-quantum crypto project. [iv]. ETSI Quantum-safe cryptography. 9

10 Anbefalinger I alt er det altså mange spor å forfølge. Man ønsker selvfølgelig å evaluere hvor langt man kan komme med å implementere kvantedatamaskiner. Viktigst blir likevel å forfølge utviklingen av kvanteresistente primitiver som det blir krav om å implementere i fremtidens protokoller. 5. Anbefalinger For øyeblikket er det ikke klart hvilke primitiver som vil bli standardiserte selv om det eksisterer anbefalinger basert på det som er kjent av kryptoanalyse så langt. Dermed er det heller ikke mulig å komme med klare anbefalinger om hvilke det er nødvendig å ta høyde for i fremtidens informasjonssystemer og nettverk. Av samme grunn vil det være nødvendig å forholde seg til utviklingen og å kunne være adaptiv. NSM vil derfor peke mot at de miljøene som skal bruke eller implementere nye primitiver ikke knytter seg for sterkt til en enkelt familie, men tillater modularitet der nye teknikker skal inn. Standardiseringsarbeidet som er på vei vil ikke nødvendigvis lede frem til unike løsninger for hvert bruksområde. En bruker må da vurdere hvilke som passer til egen bruk når man skal introdusere nye primitiver. Eiere av offentlige og kommersielle PKIer vil med høy sannsynlighet måtte ta i bruk kvanteresistente algoritmer. Dagens kunnskap tilsier at dette vil måtte skje innen 2030, men dette kan endre seg når forskningen kommer videre. NSM vil anbefale å følge nøye med på standardarbeidet NIST vil fullføre og ta dette som utgangspunkt i planleggingen av fremtidige kryptosystemer. I et norsk perspektiv vil det bli nødvendig å bygge opp nok kompetanse til å kunne analysere, vurdere og bruke de nye teknikkene. Dette er ikke tilfelle i dag og håpet er derfor at relevante deler av kommersielle aktører og akademia begir seg ut på løpet som kan resultere i sikker kommunikasjon for fremtiden. 10

11

12 (NSM) Postboks SANDVIKA