Amenaces a la criptografia

Creative Commons License
“Curs d'Introducció a la criptografia” by Jordi Íñigo Griera is licensed under a
Creative Commons Attribution 4.0 International License.
Project hosted at github.com/jig/crypto

Física quàntica

no confondre tres conceptes que semblen relacionats però no ho estan:

computació quàntica: cripto asimètrica

els computadors quàntics fan servir algorismes quàntics; certs problemes exponencials o subexponencials en computadors tradicionals es converteixen en polinòmics:

DH, DSA, RSA i les variants ECC quedaran obsoletes:
l'algorisme de Shor, 1994 és polinòmic per a factoritzar $pq$ (RSAP) o per a resoldre el DLP o l' ECDLP

Computació quàntica segons Dilbert; bits i qubits

computació quàntica: cripto asimètrica

canviar la mida de clau no resol el problema (el pot allunyar en el temps ja que força a treballar amb computadors quàntics majors ($\times 4$ qubits))

fins ara (2014) s'ha factoritzat nombres de fins a $16$ bit ($pq=56153$)

el 2001 IBM va factoritzar el $pq=15$

computació quàntica: cripto asimètrica

no se sap quan hi haurà computadors quàntics utilitzables

no se sap quan hi haurà un computador quàntic utilitzable, ni qui el tindrà
(però es pot suposar que probablement no ho faci públic)

s'ha d'estar preparat per a tenir un backup per a la criptografia asimètrica probable cap el 2030

s'ha de ser conscient que no tothom tindrà un computador quàntic durant un temps (llarg), depenent de quin sigui l'objectiu de la nostra criptografia això serà rellevant anys més tard

computació quàntica i
criptografia simètrica

computació quàntica: cripto simètrica

l'algorisme de Grover, 1996 permet trobar les claus AES-128 en $2^{64}$ operacions (quàntiques) coneixent una petita quantitat de text en clar

si passem a AES-256 tindrem una seguretat equivalent de $128$ bit (ara tenim $256$ bit de seguretat equivalent)

computació quàntica: cripto simètrica

no es coneix cap atac sobre els hashos ni els HMAC

contramesures, resum

  • fer servir claus de $256$ bit o superiors per criptografia simètrica
  • cripto asimètrica: en els casos que es pugui fer servir cripto simètrica...
    ...fer-les servir:
    • en VPNs intercanviar claus simètriques
    • en TLS fer servir claus molt grans (calen $n$ qubits per trencar claus d'$n$ bits; això retarda uns anys la factibilitat de l'atac)
    • a llarg termini cal trobar problemes matemàtics que tinguin complexitat sub/exponencial en un ordinador quàntic
      • esperança factible: SIDH

SIDH: Supersingular Isogeny
Diffie-Hellman Key Exchange

SIDH està basat en corbes el·líptiques

té complexitat clàssica de $O(\sqrt[4]{2^b})$ i complexitat quàntica de $O(\sqrt[6]{2^b})$ per tant té complexitat exponencial en els dos tipus de computadors

la longitud recomanada contra un ordenador clàssic (deduït de les $O()$ anteriors), és:

  • $512$ b per a $128$ b de seguretat equivalent ara (lleugerament pitjor a ECDSA)
  • $768$ b per a $128$ b de seguretat equivalent en era post-quàntica

Criptografia Quàntica

(no confondre amb computació)

acord de clau, a partir del qual es defineix una clau simètrica tradicional


els dos extrems s'envien fotons individuals (fibra òptica habitualment) amb polaritzacions aleatories y sumes de control:

si un atacant "observa" l'intercanvi modifica les fotons, destruint l'intercanvi de la clau i essent detectat

2013,
Edward Snowden

Revelacions Snowden

el 2013 Edward Snowden filtra quantitat de documents que mostren les activitats de certes agències dels EUA (en particular de l'NSA)

  • inversió en computació quàntica
  • captura de comunicacions (xifrades o no): Echelon (pre-Snowden), emmagatzematge de dades per a possibilitar-ne el posterior desxifrat
  • milers d'enginyers i doctors dedicats a criptoanàlisi (coneixen la info publicada, i no publiquen les seves descobertes): DH-1024, corbes el·líptiques, RC4, MD5; per a cada dissenyador d'algorismes, l'NSA té 100 criptoanalistes (segons la pròpia NSA)
  • a banda de una (suposada) capacitat de computació enorme, l'NSA dedica esforços a modificar el codi font tant de programari lliure, com de codi propietari (ja sigui "amistosament", com trobant-hi vulnerabilitats sense comunicar-les o injectant-les de forma encoberta). Programa Bullrun

Revelacions Snowden

  • si poden evitar la criptografia ho fan:
    • és més fàcil infectar que desencriptar
    • manipulació de codi (propietari i obert): coneixement d'exploits, troians
    • manipulació del hardware (RNG, APIs)
    • accés al núvol per la porta del darrera
    • publicació d'algorismes (a través del NIST), intoxicació (Dual_EC_DRGB)
    • extracció de dades de les metadades: eines d'inferència sobre Big-Data (tenen punxada Internet: proveïdors de núvol, d'Internet)

contramesures a l'NSA

  • TLS amb DH/ECDH $\Rightarrow$ (Perfect Forward Secrecy, PFS): el més probable es que llegeixin les teves claus del disc del teu servidor (estan en clar) $\rightarrow$ si han guardat tot el tràfic anterior tindran accés a ell amb les teves claus si el teu TLS no complia amb PFS
  • gestió segura de software, restricció de la "secció" presentada, gestió d'actualitzacions fiable...
  • els algorismes amb paràmetres (ECC) han d'estar validats
  • no fer servir algorismes obsolets: es creu que són capaços de desxifrar RC4 sistemàticament, trobar col·lisions d'MD5, potser resoldre DLP fins a $p=1024$...
  • ...

papers d'Snowden: el què no surt

els papers filtrats no parlen de què hi ha a la Suite-A

els papers filtrats parlen d'aliats dels EUA (Five Eyes), però no d'altres com Xina, Rússia, etc: se sap per altres revelacions que tenen programes equivalents

Altres Consells

$\rightarrow$ som a un curs de gestió de la seguretat!

$\rightarrow$ formació, minimització de complexitat
(no sobrevalorar la nostra capacitat intel·lectual)

$\rightarrow$ disciplina, test/eines automàtiques, gestió d'actualitzacions procedimentada... procedimenta la teva activitat
(no sobrevalorar la nostra memòria)

$\rightarrow$ comunicació, tots els actors rellevants de l'Organització han de entendre i compartir uns mateixos objectius de seguretat, i per tant, unes mateixes restriccions
(no sobrevalorar la nostra capacitat de fer entendre a tothom que 1234 en un post-it no és una $k$ AES-128 segura...)

(RNG i HSM) $\rightarrow$