Jak ve firemním sektoru v blízké budoucnosti uplatní postkvantová kryptografie? Jak v reakci na příchod kvantových počítačů upravit stávající šifrovací metody? Groverův algoritmus a symetrické šifry. Postkvantová kryptografie, cloud, suverenita dat a česká legislativa. Problematiku podrobně vysvětluje Marek Kocan, Senior Cyber Security Architect ve společnosti ComSource.
Jak se dnes či v příštích letech v nějaké „normální“ firmě uplatní postkvantová kryptografie?
V první řadě je důležité si vyjasnit, zda otázka míří do oblasti postkvantové nebo kvantové kryptografie. Oba pojmy sice vypadají podobně – a oba souvisejí se šifrováním – každý ale řeší něco jiného.
Zjednodušeně řečeno – v případě kvantové kryptografie jde o využití jevů kvantové fyziky v oblasti šifrování, právě pro distribuci klíčů. Díky kvantovým jevům můžeme poměrně snadno odhalit, že dojde k odposlechu přenášených dat – a pokud se dvě strany domlouvají na klíči, je enormně důležité takový odposlech odhalit.
V případě postkvantové kryptografie se bavíme o tom, jak pomocí zlepšení stávajících či navržením zcela nových šifrovacích algoritmů můžeme zabránit zneužití kvantových počítačů pro prolomení šifrování. Vysoká míra nebezpečí se týká především asymetrických šifer. Lze proto oprávněně očekávat, že v horizontu dekády či dvou dojde k prolomení algoritmů používaných v současnosti. Může se to zdát za hodně dlouho, ale útočníci data sbírají již nyní a na prolomení si mohou počkat. Jde o tzv. Harvest now, Decrypt later. Potěšující je, že již dnes máme standardizované postkvantové algoritmy, které jsou postupně zaváděné do praxe.
Ale zpět k podstatě otázky, jakých „normálních“ firem se to týká. Když to řeknu poněkud nadneseně, tak u postkvantové kryptografie se to týká všech firem, které pracují se šifrovanými daty. Zdaleka neplatí, že se této problematice má věnovat pouze armáda nebo bankovní sektor, přestože u obou těchto sektorů je čas na zavedení potřebných opatření kritický. U firem je především problematickým faktorem to, že po zavedení potřebných opatření – mimochodem, stojí za to vyjít například z doporučení NÚKIB – firmy nic zvláštního nevidí. Vše je v jakémsi virtuálnu „co kdyby“. Ale tak tomu bylo u šifrování vždy.
U kvantové kryptografie je problematika složitější v tom, že jde zejména o kvantovou ochranu komunikačních kanálů – a existují i jiné mechanismy, jak při podstatně nižších nákladech dosáhnout relativně dostatečné úrovně bezpečnosti. První protokol kvantové kryptografie pochází již z poloviny osmdesátých let minulého století. Tato řešení mají smysl pro specifická prostředí, jako je komunikace, bankovní sektor apod.
Když zůstaneme u poskvantové kryptografie, co všechno to obnáší? Už několik desetiletí se zmiňuje především šifra RSA, kde je šifrování zranitelné Shorovým algoritmem – tedy rychlejší faktorizací na kvantovém počítači (kvantové algoritmy umožňují snížení výpočetní složitosti). Uvádí se ale např. i ohrožení šifrování založeného na asymetrii operací s eliptickými křivkami. Proč? Musíme tedy počítat s tím, že jsou ohroženy i jiné matematické problémy než faktorizace? Všechny asymetrické šifry?
Jak jsme si již řekli, postkvantová kryptografie je ochranou vůči možnostem kvantových počítačů v oblasti dnešní, tradiční kryptografie – a to především v případě asymetrických šifer. U symetrických šifer zatím panuje obecné přesvědčení, že stačí mít dostatečně dlouhé klíče. Obecně můžeme považovat všechny mechanismy asymetrické kryptografie založené na matematických problémech řešitelných kvantovými počítači za ohrožené. Zjednodušeně řečeno, stačí „jen“ použít odpovídající algoritmus na výkonném kvantovém počítači.
Postkvantová kryptografie nicméně nijak nevylepšuje současné algoritmy, ona přináší zcela nové, které by měly být neprolomitelné. Pořád nad námi ale visí strašák ve smyslu „My dnes nevíme“. Bezpečnost postkvantových algoritmů je stále teoretická, protože se mohou objevit dosud neznámé kvantové útoky. I proto se doporučuje po přechodnou dobu pracovat s hybridními algoritmy.
Proč se kvůli kvantovým počítačům doporučuje zdvojnásobit délku klíče v symetrických šifrách, když zde žádné efektivní kvantové algoritmy, pokud vím, neexistují? Pletu se, nebo je to doporučení „pro jistotu“?
U symetrických šifer neexistuje kvantový algoritmus, který by je zvládl prolomit v dostatečně krátkém čase. Nicméně máme zde Groverův algoritmus pro hledání v nestrukturovaných datech, který výrazně snižuje náročnost nalezení správné hodnoty. Pokud máme například klíč o délce 256 bitů, je teoretická náročnost nalezení správné hodnoty u tradičních počítačů až 2 na 256 kroků. Groverův algoritmus přináší kvadratické zrychlení – v našem příkladu je tedy náročnost přibližně 2 na 128 kroků. Zdvojnásobení délky klíče tak zajišťuje srovnatelnou bezpečnost i při zneužití Groverova algoritmu.
Můžeme si to představit i tak, že hledáme nějakou konkrétní hodnotu mezi 256 (tj. 2 na 8) možnostmi, například známými hesly (zde nejde o délku klíče, ale o velikost prohledávaného prostoru). V tradičním světě se můžeme dostat až na náročnost 256 kroků, v průměru cca na polovinu. Groverův algoritmus by vyžadoval přibližně druhou odmocninu z 256, tedy asi jen 16 kroků. Pokud ale prostor rozšíříme na 65 536 hodnot (tj. 2 na 16), průměrné nalezení hodnoty s Groverovým algoritmem bude cca 256 kroků.
Jak se postkvantová kryptografie týká cloudových řešení?
Pro zákazníka by měla být velmi důležitá otázka, zda a do jaké míry poskytovatel cloudových služeb zohledňuje postkvantovou kryptografii. Důležité je také pochopit, že nejde jen o stranu poskytovatele, ale také o klienta, respektive o nástroje, které klient používá. Například již dnes máme prohlížeče – nebo třeba komunikační programy – které dokáží s moderními šiframi pracovat.
Souvisí nějak postkvantová kryptografie v cloudu s otázkou suverenity dat? Že např. nějaké šifrovací technologie budou dostupné pouze v určitých regionech apod.? (Nebo naopak jen někde bude hrozit nasazení kvantových počítačů k dešifrování apod.)
Zde se mohu jen domnívat, jak to nakonec vše bude – nezapomínejme, že se neustále vyvíjí i legislativní požadavky, mezinárodní sankce a řada dalších faktorů. Obecně ale může platit, že se útočníci na omezení stejně dívat nebudou. Dnes schválené postkvantové algoritmy jsou všeobecně dostupné a asi nikdo soudný si nebude dávat data například do cloudu provozovaného ve státě, kde by platily nějaké restrikce. A to zcela pomíjím fakt, že možnosti útočníků jsou v takových státech mnohem širší.
Jsou známy už nějaké útoky na kvantové technologie? Na jejich konkrétní implementace?
Zde jde zejména o teoretické případy spadající do oblasti kryptoanalýzy, tedy o úsilí odhalit slabá místa použitých algoritmů a protokolů. Jde tedy o řízené prověřování, nikoli o útoky v tradičním pojetí. Úspěch přitom takřka vždy souvisí nikoli s prolomením samotné matematicko-fyzikální podstaty vhodného algoritmu nebo protokolu, ale o zneužití slabin souvisejících s konkrétní implementací. I proto by zavádění postkvantové a kvantové kryptografie nemělo být živelné – musí jít o strategický záměr naplněný pomocí přesného projektového řízení. V ComSource například vyvíjíme vlastní metodiku zohledňující i české prostředí a naši legislativu. S představením počítáme během následujících měsíců.
Co se týče zmiňované metody Harvest now, Decrypt later, jak by se firmy měly postavit k tomuto riziku? Analyzovat, jaká data už např. mohou mít útočníci stažena a simulovat, co se může stát v případě jejich dešifrování za x let? Ihned nějak nasazovat opatření proti tomuto riziku?
Nejdůležitější je určitě začít problematiku řešit. My například máme vlastní metodiku přechodu do postkvantového světa, celý postup lze shrnout do následujících etap:
S-1: pochopení problematiky, reálná kvantová připravenost
S 0: pochopení vazby na legislativní / regulační požadavky a vazby na stávající přístupy ke kybernetické bezpečnosti
S 1: stanovení cílů, a to i měřitelných
S 2: identifikace / inventarizace současných kryptografických opatření
S 3: prioritizace / sestavení road mapy
S 4: testování a posouzení vybraných algoritmů
S 5: zavedení vybraných opatření
S 6: promítnutí do relevantní dokumentace
Nestačí přitom pouhá změna algoritmů. Je nezbytná komplexní proměna celé provozní a bezpečnostní informační architektury – od výpočetních prostředků a operačních systémů, přes nástroje pro správu klíčů, až po podchycení problematiky PQC v celém dodavatelském řetězci. Jde o tzv. holistickou transformaci.
Zohledňuje postkvantovou kryptografii nějak česká legislativa nebo rámce na úrovni EU? Nebo se nějaká regulační opatření v tomto ohledu připravují?
Jistě, zde bych v základu odkázal zejména na nový zákon o kybernetické bezpečnosti a související vyhlášky. Obecně mj. existuje povinnost používat pouze aktuálně odolné kryptografické algoritmy. A v přeneseném slova smyslu s ohledem na Harvest now, Decrypt later to znamená používat postkvantovou kryptografii již dnes. Obdobně se dá podívat i na postoje NÚKIB promítnuté do materiálu Kvantová hrozba a kvantově odolná kryptografie, který je přílohou dokumentu Minimální požadavky na kryptografické algoritmy. Ale možná bych znovu zopakoval, že je nezbytný komplexní, holistický přístup.
