Embed Size (px)
Citation preview
Criptografiapós-quântica
Segurança clássica na presença de computadores quânticos
Paulo S.L.M. Barreto, PhD
Resumo
Nesta palestra, serão abordados: o estado da arte na construção de processadores
quânticos; os principais esquemas pós-quânticos propostos com
suas vantagens, limitações e desafios para uma eventual migração;
o estágio atual do processo de padronização (processo PQC do NIST e a futura atualização da suíte B da NSA), com ênfase em cenários potenciais de utilização das principais propostas.
Motivação
A maioria esmagadora dos criptossistemas efetivamente adotados na atualidade baseiam-se em apenas duas hipóteses de segurança computacional: o problema da fatoração inteira (IFP); o problema do logaritmo discreto (DLP).
Não se conhece algoritmo clássico que resolva esses problemas eficientemente (complexidade polinomial).
O algoritmo quântico de Shor [1994] resolve eficiente-mente tanto o IFP quanto o DLP.
( = )
�̂�𝑯=�̂�𝑯
Motivação
O algoritmo de Shor exige computadores quânticos razoavelmente grandes.
[Roetteler-Naehrig-Svore-Lauter 2017] DLP sobre um corpo primo de bits: não mais que qubits; não mais que portas quânticas.
Exemplos: : qubits, bilhões de portas; : qubits, trilhão de portas.
Processadores quânticos atuais?
Motivação
Progresso inicialmente lento, mas acelerando.o 1998: 2 qubits (Oxford;
IBM-Berkeley-Stanford-MIT).o 2000: 5 qubits (TU München),
7 qubits (LANL).o 2006: 12 qubits (IQC-PI-MIT).o 2017: 17 qubits (IBM),
49 qubits (Intel), 50 qubits (IBM).
o 2018: 72 qubits (Google), 128(?) qubits
(Rigetti).o 2019: 53 qubits + “quantum
non-uselessness” (Google).
Soluções?
Criptossistemas quânticos. tecnologia ainda largamente não existente; tende a ser enormemente cara; depende de hipóteses adicionais clássicas; número muito limitado de aplicações de fato; algumas funcionalidades criptográficas parecem
impossíveis de obter num cenário quântico.
Criptossistemas pós-quânticos. tecnologia puramente clássica; hipóteses de segurança aparentemente excedem as
habilidades de um computador quântico.
Classe intrigante de criptossistemas baseados em problemas computacionais pouco comuns: reticulados (lattices); códigos corretores de erros; primitivas simétricas; isogenias supersingulares; sistemas multivariados (quadráticos); famílias menores (e.g. grupos não abelianos, núcleos
permutados, percéptrons permutados, mochilas densas, -SAT...).
Criptografia pós-quântica
PQC: Vantagens
Funcionalidades principais da criptografia convencional, além de características únicas. e.g. encriptação totalmente homomórfica.
Processamento potencialmente eficiente. Simplicidade de implementação e
disponibilidade imediata em tecnologia corrente.
Nem todas as funcionalidades convencionais têm um análogo pós-quântico eficiente. e.g. assinaturas cegas.
Dificuldades operacionais (tamanho de chaves, ocupação de banda, análise detalhada de segurança).
Custo de migração em larga escala.
PQC: Obstáculos
Hipóteses de segurança
Via de regra (mas nem sempre), a segurança das propostas pós-quânticas relaciona-se com algum problema computacional conjecturado NP-difícil.
Significado duvidoso ou vazio: problemas NP-difíceis só garantem dificuldade no pior caso, mas criptossistemas exigem dificuldade no caso médio (chaves arbitrárias).
Não se sabe com certeza qual é a dificuldade desses problemas num computador quântico…
… mas também não se sabe com certeza qual é a dificuldade do IFP, do DLP e outros problemas num computador clássico. em última análise, não se sabe com certeza se P ≠ NP.
Contra-exemplo
Grupos não abelianos (e.g. grupos de tranças). Problemas computacionais subjacentes tendem a
ser solúveis em complexidade polinomial mesmo em computadores clássicos.
Exemplo: WalnutDSA™. introduzido, quebrado, modificado, quebrado,
modificado novamente… vulnerabilidades estruturais, não contornáveis por ajuste
de parâmetros; melhor ataque conhecido capaz de quebrar a versão de
256 bits em menos de 1 minuto.
Códigos
Uma das famílias mais tradicionais. decodificação de Prange [1962]; encriptação McEliece [1978]; progresso em criptanálise (decodificação de síndromes):
complexidade assintótica inalterada (exponencial).
Dificuldades contornáveis(?) aplicações principais: acordo de chaves e encriptação
(assinaturas possíveis, mas difíceis de obter e ineficientes comparadas às alternativas);
impacto substancial em ocupação de banda; evidência de resistência quântica disponível.
Assinaturas simétricas
Popularmente baseadas em hash em árvore (construção Merkle-Lamport ou Merkle-Winternitz).
Esquemas recentes baseados em outras primitivas simétricas e provas de conhecimento zero (e.g. Picnic).
Contras apenas assinaturas (não oferece encriptação, acordo de
chaves, ou funcionalidades mais avançadas). assinaturas grandes, geração de chaves computacionalmente
pesada. Prós:
chaves públicas pequenas; efetivas em certas aplicações dedicadas (e.g. assinatura de
firmware).
Sistemas multivariados
Família recente (mais antiga apenas que isogenies supersingulares).
Aplicações basicamente restritas a assinaturas digitais. quase(?) todas as tentativas de definer esquemas de
encriptação falharam; apenas assinaturas convencionais (vs. assinaturas cegas
e outras); por outro lado, muitos esquemas como UOV são simples
e aparentemente robustos.
Reticulados
Famílias pós-quântica mais flexível(?) quase todas as funcionalidades convencionais; inclui propriedades interessantes como cifração baseada
em identidades, e outras únicas como cifração totalmente homomórfica.
Dificuldades contornáveis(?) amostragem gaussiana de alta qualidade (mitigada em
esquemas recentes); esquemas práticos tendem a estender as hipóteses de
segurança (e.g. reticulados ideais); evidência de resistência quântica disponível; segurança concreta: ainda assunto de pesquisa.
Isogenias supersingulares
Família mais recente: formulação não publicada de Couveignes [1997]; redescoberta por Rostovtsev e Stolbunov [2006]; refinada à forma atual (SIDH) por Jao e De Feo [2011].
Dificuldades contornáveis(?) escrutínio limitado; aplicações limitadas (acordo de chaves; novas variantes
com características mais variadas: CSIDH & similares); elevado custo computacional; menor ocupação de banda entre todas as propostas pós-
quânticas (balanceia a latência de comunicação).
Font
e: W
. Cas
tryck
<ht
tps:/
/ww
w.e
sat.k
uleu
ven.
be/c
osic
/?p=
7404
>
Experiências industriais
Google CECPQ1 (2016): experimentos com NewHope (e investigação preliminar
de Frodo e NTRU Prime); acordo de chaves baseado em reticulados é viável (ou:
não inviável) para adoção prática.
Google CECPQ2 (2018): experimentos com NTRU (variante HRSS-SXY). resultados preliminares positivos (pequenas vantagens
sobre NewHope: segurança CCA2 em vez de apenas CPA, ausência de erros de decriptação, velocidade ligeiramente maior, história mais longa de escrutínio).
Experiências industriais
Cloudflare (2019): acordo de chaves: aplicação arguivelmente mais maciça
de algoritmos criptográficos; NTRU (com parâmetros adequados) mais simples e
robusto que muitas alternativas baseadas em LWE; Estatísticas para o 95° percentil: ocupação de banda
observada como mais crucial para viabilidade prática que tempos de processamento (latência de comunicação supera latência de cálculo);
SIDH/SIKE competitivo por ter as menores chaves dentre (≈200 bytes) todas as propostas pós-quânticas para acordo de chaves (NTRU: ≈700 bytes), a despeito de tempos consideráveis de cálculo.
Experiências industriais
Várias propostas submetidas ao NIST para padronização contam com apoio ou coautoria industrial.
Amazon, Google, Intel, EvolutionQ, Infosec Global, Isara, LinkedIn, Microsoft, NXP Semiconductors , PQSecure, Texas Instruments…
Padronização
Suíte B da NSA foco em algoritmos elípticos (e simétricos); atualização pós-quântica prevista para ≈2024; “[...] we recommend not making a significant
expenditure to [elliptic curve algorithms] at this point but instead to prepare for the upcoming quantum resistant algorithm transition.”
Padronização
Processo PQC do NIST Três funcionalidades (assinaturas digitais,
encriptação assimétrica, acordo de chaves); Cinco níveis de segurança (I, II, V:
equivalentes a AES128, AES192, AES256 para busca exaustiva de chave; II, IV: equivalentes a SHA256, SHA384 para colisões);
Início: novembro de 2017; previsão de encerramento: 2022-2024, sujeita a revisão.
Padronização
Processo PQC do NIST Primeira rodada: 82 propostas recebidas, 69
aceitas como completas, 5 retiradas; Hipóteses de segurança: reticulados (26
propostas), códigos (19 propostas), sistemas multivariados (9 propostas), primitivas simétricas (3 propostas), isogenias (1 proposta), outras (6 propostas);
16 propostas quebradas ou seriamente comprometidas.
Padronização
Processo PQC do NIST Segunda rodada: várias fusões de propostas
similares; Hipóteses de segurança: reticulados (12
propostas), códigos (7 propostas), sistemas multivariados (4 propostas), primitivas simétricas (2 propostas), isogenias (1 proposta);
Progresso mais lento em criptanálise, foco em prós e contras.
Padronização
Fonte:<https://csrc.nist.gov/Projects/post-quantum-cryptography/presentations>
Padronização
Fonte:<https://csrc.nist.gov/Projects/post-quantum-cryptography/presentations>
PERGUNTAS?
APÊNDICE
Assinaturas digitais [SPOILER] Embora seja difícil prever a escolha do NIST para acordo de
chaves e cifração assimétrica, antever parcialmente a escolha de assinaturas digitais é no mínimo plausível.
Constatação: certas aplicações dedicadas beneficiam-se de assinaturas baseadas em hash. exemplo: legitimidade de firmware. motivos: envolvem apenas um número limitado de signatários, um
número limitado de assinaturas, e apenas algoritmos simétricos (eficientes em hardware).
Por isso, assinaturas desse tipo provavelmente constarão da seleção final de algoritmos do NIST.
Prévia: NIST incluirá assinaturas com estado (XMSS e LMS).
Curiosidades e barbaridades
Post-quantum RSA semi-hoax(?); ideia: aumentar tanto os parâmetros que um
ataque quântico se tornaria inviável praticamente;
obstáculo óbvio: igualmente inviável para usuários legítimos (chaves de terabytes, tempos de processamento de semanas).
Curiosidades e barbaridades
WalnutDSA tentativa de salvar investimentos(?); ideia: insistir no uso de grupos de tranças
(braids) extremamente complexas; obstáculo óbvio: evidências de que qualquer
trança complexa o bastante para resistir a ataques exige tempos e espaços inviáveis para usuários legítimos (ou, equivalentemente, que tempos e espaços plausíveis atingem níveis inadmissivelmente baixos de segurança).
Curiosidades e barbaridades
Mersenne-() proposta extremamente recente (aceita para
publicação com escrutínio insuficiente); quebra da proposta original exigiu aumentar as
chaves de bits para bits (quase 600× maiores).
