NIST-Beitrag

Apr 07, 2023

Von

Flipboard

Reddit

Pinterest

WhatsApp

WhatsApp

Email

Ein beim NIST-Post-Quanten-Verschlüsselungswettbewerb eingereichter Algorithmus – und einer, der es in die vierte Runde geschafft hat – wurde besiegt. Der Algorithmus Supersingular Isogeny Key Encapsulation (SIKE) wurde von Wouter Castryck und Thomas Decru an der KU Leuven gebrochen und der Prozess in einem Ende Juli 2022 verfassten Artikel beschrieben.

Kryptographen sind von einem solchen Ereignis nicht überrascht; Sicherheitsverantwortliche sind jedoch besorgt über ihre Fähigkeit, Geheimnisse nach der Einführung von Quantencomputern zu schützen, und müssen die Auswirkungen berücksichtigen.

Für Kryptographen

Die Niederlage von SIKE folgt auf einen wichtigen Wiederherstellungsangriff auf das Supersingular Isogeny Diffie-Hellman-Schlüsselaustauschprotokoll und dessen Instanziierung als SIKE im NIST-Wettbewerb. Der Angriff basiert auf dem 1997 vom Mathematiker Ernst Kani entwickelten „Glue and Split“-Theorem.

Insbesondere sagen die beiden Forscher: „Unser Angriff nutzt die Existenz eines kleinen nichtskalaren Endomorphismus auf der Startkurve aus und stützt sich außerdem auf die Informationen zum Hilfstorsionspunkt, die Alice und Bob während des Protokolls teilen.“

Der Angriff nutzt den Magma-Code der Forscher, um Bobs geheimen Schlüssel ins Visier zu nehmen. Es könnte auch verwendet werden, um Alices Schlüssel anzuvisieren, aber ersteres liefert schnellere Ergebnisse. Hierbei handelt es sich eher um einen mathematischen Angriff auf den Verschlüsselungsalgorithmus als um einen Brute-Force-Angriff auf einzelne Schlüssel.

Der Angriff wurde auf einem einzelnen klassischen Computer ausgeführt – konkret einer Intel Xeon-CPU. „Auf einem einzelnen Kern ausgeführt, meistert der angehängte Magma-Code die SIKE-Herausforderungen von Microsoft … in etwa 4 bzw. 6 Minuten. Ein Durchlauf der SIKE-Parameter, von denen früher angenommen wurde, dass sie NISTs Quantensicherheitsstufe 1 erfüllen, dauerte wiederum etwa 62 Minuten auf einem einzelnen Kern.“

Diese Niederlage eliminiert SIKE effektiv aus der NIST-Konkurrenz, verhindert jedoch nicht unbedingt, dass der Algorithmus geändert und an die Konkurrenz zurückgegeben wird.

Für den Rest von uns

SIKE ist ein Schlüsselkapselungsalgorithmus, der entwickelt wurde, um Schlüssel sicher von der Quelle zum Ziel über ein nicht vertrauenswürdiges Netzwerk zu übertragen. Es wurde als Quantenbeweis konzipiert und gilt als einer der stärksten Kandidaten im NIST-Wettbewerb.

Die Niederlage eines quantensicheren Verschlüsselungsalgorithmus des NIST-Finalisten auf einem einzelnen PC in etwas mehr als einer Stunde ist dramatisch. Dies deutet darauf hin, dass wir unsere Einstellung zur Verschlüsselung im Allgemeinen und zur Post-Quanten-Verschlüsselung im Besonderen überdenken müssen. SIKE unterscheidet sich nicht von anderen Verschlüsselungen vor oder nach Quantum: Es ist nur so lange sicher, bis es nicht mehr sicher ist, und das ist auch nicht der Fall, sobald es geknackt werden kann.

Kryptographen, insbesondere solche, die von Nationalstaaten finanziert werden, suchen ständig nach Möglichkeiten, Verschlüsselungsalgorithmen zu besiegen. Theoretisch könnte das, was gestern mit SIKE passiert ist, morgen mit RSA passieren. Der einzige Unterschied zwischen einem Algorithmus-Crack und einer Zero-Day-Schwachstelle besteht darin, dass wir wahrscheinlich nichts von Ersterem hören. Es ist unwahrscheinlich, dass der Einsatz eines staatlich entdeckten Crack-Algorithmus gegen gestohlene und gespeicherte Daten öffentlich bekannt wird.

Tatsächlich ist die Verwendung jeglicher Verschlüsselung ein Vertrauensvorschuss. Uns wird gesagt, dass es sicher ist, und wir haben keinen Grund, daran zu zweifeln – aber wir können und können keine absolute Kenntnis davon haben. Da Verschlüsselung auf mathematischen Problemen basiert, besteht immer die Möglichkeit, dass die Algorithmen mathematisch angegriffen werden können – insbesondere durch enorm leistungsstarke Quantencomputer.

Die aktuelle Notwendigkeit, bestehende und scheinbar vertrauenswürdige Algorithmen durch neue und noch nicht erprobte Algorithmen zu ersetzen, fördert die Entwicklungspraxis, die als kryptografische Agilität (Krypto-Agilität) bekannt ist. Die Idee dahinter ist, dass, wenn der verwendete Algorithmus ausfällt, dieser durch einen anderen Algorithmus ersetzt werden kann, ohne dass sich die Systeminfrastruktur wesentlich ändert.

Dies ist eine gute Vorgehensweise, löst jedoch nicht das zugrunde liegende Problem „Jetzt ernten, später entschlüsseln“, das Quantencomputern aufwerfen. Wenn davon ausgegangen wird, dass ein vom NIST empfohlener Algorithmus sicher ist und zehn Jahre lang verwendet wird, bis er besiegt wird, kann die gesamte Kommunikation, die während dieser zehn Jahre von Gegnern abgefangen und gespeichert wurde, sofort entschlüsselt werden. Der einzige Unterschied zwischen damals und heute besteht darin, dass wir wissen, dass dies bei der aktuellen Public-Key-Verschlüsselung passieren wird (dank Shors Algorithmus), während wir nicht wissen, dass es bei neuen Post-Quanten-Algorithmen nicht passieren wird.

Die einzige Art von Kryptographie, die nachweislich resistent gegen mathematische Dekonstruktion ist, ist das One-Time-Pad (OTP).

Für die Zukunft

„Wenn Sie Ihre Daten mit Sicherheit vor dem Ernte-Jetzt- und Entschlüsselungsangriff schützen wollen, können Sie einfach keinen Algorithmus verwenden, der nicht mathematisch erwiesenermaßen quantensicher ist – und keiner der Post-Quanten-Kandidaten ist mathematisch erwiesenermaßen quantensicher“, kommentiert Chris Schnabel , Vizepräsident für Produkt bei Qrypt.

Er schlägt vor, dass eine notwendige Frage darin besteht, welche die wichtigsten und sensibelsten Daten sind, die einfach jetzt vor der Entnahme und späteren Entschlüsselung geschützt werden müssen. Diese Daten benötigen zusätzliche Schutzmaßnahmen – geschützt durch einen mathematisch bewährten Algorithmus. „Jeder andere Algorithmus könnte scheitern“, fügte er hinzu, „und SIKE ist als Schlüsselaustauschalgorithmus ein wunderbares Beispiel dafür. Wenn Sie sich wirklich Sorgen um die Ernte jetzt und die spätere Entschlüsselung machen, müssen Sie etwas anderes tun, als nur die Migration zum Posten durchzuführen.“ Quantenalgorithmen.

Viele Unternehmen – Bundesbehörden und regulierte Industrien – werden per Regierungsauftrag verpflichtet sein, vom NIST gesponserte Post-Quanten-Algorithmen zu verwenden. Das lässt sich derzeit nicht vermeiden. Eine quantensichere symmetrische Verschlüsselung bietet die effizienteste Nutzung für die Massendatenübertragung. Derzeit gilt AES 256 als quantenbeweis. Dies erfordert jedoch, dass der Schlüssel an beiden Enden der Kommunikation vorhanden ist. Der Zweck von Schlüsselkapselungsalgorithmen besteht darin, diesen Schlüssel sicher an sein Ziel zu übermitteln.

Qrypt stellt echte und nachweislich zufällige Zahlen bereit, die durch quantenmechanische Prozesse generiert werden und beim Aufbau von Verschlüsselungen verwendet werden können. Traditionell ist die Zufallszahl das schwächste und am meisten angegriffene Element der Verschlüsselung, da es mit klassischen Mitteln unmöglich ist, wirklich eindeutige und zufällige Zahlen zu generieren.

Aber Qrypt geht noch einen Schritt weiter und bietet einen Mechanismus zur Generierung der Nummer an beiden Enden der Kommunikation. Dies bedeutet, dass der Schlüssel von beiden Parteien erstellt werden kann, ohne dass er über das nicht vertrauenswürdige Netzwerk gesendet werden muss. Wenn sie nie übertragen werden, können sie nicht abgefangen und gesammelt werden – und jede nachfolgende Übertragung von Massendaten kann mit einer sichereren symmetrischen Verschlüsselung gesendet werden.

„Jeder möchte wissen“, sagte Schnabel, „was der sicherste Weg ist, Schlüssel zu verschieben? Die Antwort von Qrypt ist ganz einfach: Tun Sie es nicht, da der Algorithmus später kompromittiert werden könnte. Sie verschieben Ihre Schlüssel also nicht.“ Schlüssel herum – Sie generieren unabhängig voneinander identische Schlüssel an mehreren Endpunkten.

Dies wird durch einen Cloud-Service erreicht, der auf jedem Software-Endpunkt auf der Welt bereitgestellt werden kann. Es erfordert keine dedizierte Hardware oder dedizierte Glasfaser – nur ein paar Codezeilen. „Anstatt einen Schlüsselaustausch zu erfordern, der jetzt geerntet und später entschlüsselt werden könnte, generieren wir die Schlüssel unabhängig voneinander an beiden Enden“, fügte er hinzu.

Einen weiteren Ausweg aus dem Verschlüsselungsdilemma bietet die Qrypt-Technologie: Mit ihr lässt sich eine One-Time-Pad-Verschlüsselung generieren. Derzeit gilt AES 256 als quantensicher – es gibt jedoch keine Garantie dafür, dass dies auch so bleibt. Untersuchungen aus China haben bereits gezeigt, dass ein Quantenalgorithmus namens Variationsquantenalgorithmus AES 256 gefährden könnte, wenn ein Quantencomputer groß genug ist. Wir kehren dann zum One-Time-Pad als einziger Verschlüsselungsmethode zurück, die nicht mit rechnerischen Methoden, einschließlich Quantencomputern, geknackt werden kann.

Das traditionelle Problem bei OTPs besteht darin, dass der Schlüssel größer sein muss als die zu schützende Datei. Dies hat dazu geführt, dass in der Vergangenheit bei der Übergabe von OTP-Schlüsseln Aktentaschen und Handschellen zum Einsatz kamen. Allerdings handelt es sich bei den von Qrypt gelieferten Zufallszahlen praktisch um OTPs, und die für ihre Generierung benötigte Zeit ist kürzer als die AES-256-Verschlüsselungszeit. Das Ergebnis ist das Potenzial für Qrypt, Quantenzufallszahlen bereitzustellen, um Schlüssel zu erzeugen, die nicht über das Internet gesendet werden müssen; und eine One-Time-Pad-Verschlüsselung erzeugen, die bereits und inhärent sicher gegen Quantenentschlüsselung ist.

Heute sind null übertragene Schlüssel verfügbar, die auf echten Zufallszahlen basieren. Eine kommerziell realisierbare One-Time-Pad-Verschlüsselung ist auf dem Vormarsch. Die Kombination dieser Lösungen kann eine bekannte quantensichere Verschlüsselung ermöglichen, die nicht auf der Annahme und Hoffnung beruht, dass ein traditioneller Post-Quantenalgorithmus in Zukunft nicht kaputt geht – so wie SIKE bereits kaputt ist.

Verwandt:NIST gibt Gewinner des Post-Quanten-Verschlüsselungswettbewerbs bekannt

Verwandt:Minderung von Bedrohungen der Verschlüsselung durch Quantum und Bad Random

Verwandt:Unternehmen bewältigt das Problem „Jetzt ernten, später entschlüsseln“ mit Sharding-Technologie

Verwandt:Quantencomputing ist für morgen gedacht, aber quantenbezogene Risiken bestehen bereits heute

Kevin Townsend ist Senior Contributor bei SecurityWeek. Er hat bereits vor der Geburt von Microsoft über High-Tech-Themen geschrieben. In den letzten 15 Jahren hat er sich auf Informationssicherheit spezialisiert; und hat viele tausend Artikel in Dutzenden verschiedener Zeitschriften veröffentlicht – von The Times und der Financial Times bis hin zu aktuellen und längst vergangenen Computerzeitschriften.

Abonnieren Sie das E-Mail-Briefing von SecurityWeek, um über die neuesten Bedrohungen, Trends und Technologien sowie aufschlussreiche Kolumnen von Branchenexperten informiert zu bleiben.

Der Threat Detection and Incident Response Summit von SecurityWeek bringt Sicherheitsexperten aus der ganzen Welt zusammen, um Kriegsgeschichten über Sicherheitsverletzungen, APT-Angriffe und Bedrohungsinformationen auszutauschen.

Das CISO-Forum von Securityweek befasst sich mit Themen und Herausforderungen, die für heutige Sicherheitsverantwortliche am wichtigsten sind, und mit der Frage, wie die Zukunft als Hauptverteidiger des Unternehmens aussieht.

Sollte die KI-Zukunft in einer Sackgasse enden, wird sich die Cybersicherheitsbranche weiterhin stark auf traditionelle Ansätze verlassen, insbesondere auf solche, die von Menschen gesteuert werden. Allerdings wird es nicht ganz so weitergehen wie bisher. (Oliver Rochford)

Wenn Teams die Möglichkeit haben, Unternehmenssilos aufzubrechen und zu sehen und zu verstehen, was passiert, können sie den Schutz in ihrer zunehmend verteilten und vielfältigen Umgebung verbessern. (Matt Wilson)

Unabhängig davon, auf welchen Anwendungsfall sich Ihre Sicherheitsorganisation konzentriert, werden Sie wahrscheinlich Zeit und Ressourcen verschwenden und schlechte Entscheidungen treffen, wenn Sie nicht damit beginnen, Ihre Bedrohungslandschaft zu verstehen. (Marc Solomon)

Industriestandard-Frameworks und -Richtlinien verleiten Unternehmen oft zu der Annahme, dass die Bereitstellung weiterer Sicherheitslösungen zu einem besseren Schutz vor Bedrohungen führt. (Torsten George)

Mit proaktiven Schritten in Richtung Zero Trust können Technologieführer eine alte, aber neue Idee nutzen, die zur Sicherheitsnorm werden muss. (Marie Hattar)

Flipboard

Reddit

Pinterest

WhatsApp

WhatsApp

Email

Cycode, ein Startup, das Lösungen zum Schutz von Software-Quellcode anbietet, ist am Dienstag mit einer Startfinanzierung in Höhe von 4,6 Millionen US-Dollar aus dem Tarnmodus herausgekommen.

Die Kryptopokalypse ist der Punkt, an dem Quantencomputer leistungsfähig genug werden, um Shors Algorithmus zum Knacken der PKI-Verschlüsselung zu verwenden.

Der von NIST für die Post-Quanten-Kryptographie empfohlene Public-Key-Verschlüsselungs- und Schlüsselkapselungsmechanismus CRYSTALS-Kyber wurde mithilfe von KI in Kombination mit Seitenkanalangriffen gebrochen.

Die drei Haupttreiber für Cyber-Regulierungen sind die Privatsphäre der Wähler, die Wirtschaft und die nationale Sicherheit – mit der Komplikation, dass erstere oft …

Fortinet hat am Montag einen Notfall-Patch herausgegeben, um eine schwerwiegende Sicherheitslücke in seinem SSL-VPN-Produkt FortiOS zu schließen, und warnt davor, dass Hacker die Sicherheitslücke bereits ausgenutzt haben.

Das in Los Gatos, Kalifornien, ansässige Datenschutz- und Privatsphärenunternehmen Titaniam hat 6 Millionen US-Dollar Startkapital von Refinery Ventures aufgebracht, unter Beteiligung von Fusion Fund, Shasta...

Viele Entwickler und Sicherheitsexperten geben zu, dass es zu einem Verstoß durch kompromittierte API-Zugangsdaten gekommen ist.

Der Virtualisierungstechnologieriese VMware hat am Dienstag dringende Updates veröffentlicht, um drei Sicherheitsprobleme in mehreren Softwareprodukten zu beheben, darunter eine virtuelle Maschine ...