Štandardizácia postkvantovej kryptografie má ďalší problém, v niektorých implementáciách Kyber bol postranný kanál

Značky: šifrovaniekryptografiakvantové počítačeUSA

DSL.sk, 16.1.2024

V oblasti postkvantovej kryptografie prišlo k ďalšiemu incidentu, ktorý vyvoláva ďalšie otázky o kvalite už roky prebiehajúceho procesu štandardizácie postkvantových kryptografických algoritmov americkým štandardizačným úradom NIST.

Vo viacerých implementáciách algoritmu CRYSTALS-Kyber, ktorý už NIST vybral do svojho pripravovaného štandardu, bol totiž identifikovaný postranný kanál umožňujúci potenciálny útok na tieto implementácie.

Problém sa netýka samotného algoritmu ale niektorých jeho implementácií a nemá žiadny dopad na bezpečnosť samotného algoritmu Kyber.

KyberSlash

Vo viacerých implementáciách sa nachádzalo viacero problémov rovnakej povahy, ktoré boli nazvané KyberSlash. Prvý identifikovali najskôr bezpečnostní experti zo spoločnosti Cryspen a podľa jeho informácií nezávisle v polovici decembra aj Daniel J. Bernstein. Neskôr zrejme pri hľadaní ďalších výskytov takýchto problémov na konci decembra objavili ďalšie podobné problémy Prasanna Ravi a Matthias Kannwischer.

Problémom bolo použitie delenia, v ktorom bola prvým argumentom tajná hodnota. Na viacerých procesoroch môže ale inštrukcia delenia trvať odlišný čas podľa hodnoty argumentov. Ide tak o postranný kanál, keď doba vykonávania kódu prezrádza tajné informácie.

Tieto rozdiely v dobe vykonávania kódu sú ale veľmi malé a nie je jasné, v akých všetkých scenároch by bolo možné postranný kanál prakticky zneužiť. Podľa informácií Bernsteina sa typicky dĺžka delenia podľa hodnôt argumentov líši iba o jeden až dva procesorové cykly.

Bernstein síce reálne demonštroval zneužitie tohto postranného kanálu na získanie privátneho kľúča. Použil ale referenčnú implementáciu Kyber na platforme Raspberry Pi 2, kde delenie kompilátor preložil na softvérovú implementáciu delenia a rozdiely v dĺžke delenia tu dosahujú až viac ako 20 cyklov.

Kyber

Nové kryptografické algoritmy sú potrebné, keďže viaceré súčasné algoritmy nebudú odolné voči očakávaným budúcim kvantovým počítačom.

CRYSTALS-Kyber je jedným zo zatiaľ štyroch algoritmov postkvantovej kryptografie vybraných americkým štandardizačným úradom NIST do pripravovaného štandardu, ktorý zatiaľ ale ešte nebol vydaný.

NIST výber týchto algoritmov oznámil už v polovici roka 2022, pre všeobecné šifrovanie respektíve vytvorenie kľúčov bol zatiaľ vybraný iba CRYSTALS-Kyber. CRYSTALS-Dilithium bol vybraný ako primárny algoritmus pre digitálne podpisy a FALCON a SPHINCS+ ako alternatívy pre digitálne podpisy. CRYSTALS-Kyber, CRYSTALS-Dilithium a FALCON sú algoritmami typu kryptografie založenej na štruktúrovanej mriežke, SPHINCS+ používa hashovacie funkcie.

Kyber už začali využívať niektoré dôležité softvéry na vytváranie kľúčov. Začína ho nasadzovať dokonca Google v dominantnom webovom prehliadači Chrome a tiež populárna komunikačná aplikácia a služba Signal.

Oba softvéry používajú ale hybridnú schému, pri ktorej sa kombinuje nový algoritmus odolný kvantovým počítačom s niektorým doterajším asymetrickým algoritmom spôsobom vyžadujúcim pre prekonanie bezpečnosti prekonanie oboch týchto algoritmov. V prípade zraniteľnosti nového algoritmu je tak kombinovaná schéma odolná aspoň proti útokom pomocou klasických počítačov.

Dopad incidentu

Problémy KyberSlash sa netýkajú samotného algoritmu Kyber ale niektorých jeho implementácií a nemajú žiadny dopad na bezpečnosť samotného algoritmu Kyber. Problémy v jednotlivých implementáciách sa dali samozrejme tiež jednoducho opraviť.

Zároveň nie je jasné, aké praktické dopady mohli mať tieto problémy a ako praktické by bolo ich zneužitie na bežných platformách s hardvérovým delením a nie na platforme s veľkými rozdielmi v dobe vykonávania delenia vďaka softvérovému deleniu.

Útok aspoň v zatiaľ demonštrovanej podobe zároveň vyžaduje opakované použitie Kyber s tým istým privátnym kľúčom a tento typ útoku podľa spôsobu použitia Kyber vôbec nemusí byť možný. Napríklad tvorcovia Mullvad VPN využívajúci Kyber na vytváranie kľúčov potvrdili, že vždy využívajú nový kľúčový pár a takýmto útokom sa na ich použitie principiálne nedá útočiť.

V prípade použitia hybridných schém, akým spôsobom sa typicky Kyber v súčasnosti nasadzuje, je aj v prípade úspešného prekonania Kyber bezpečnosť naďalej na úrovni druhého klasického použitého algoritmu a softvér má v takom prípade typicky bezpečnosť akú mal pred nasadením Kyber.

Problémy sa podľa informácií Bernsteina napríklad vôbec nenachádzali v kryptografickej knižnici BoringSSL od Google a nie je tak jasné, či sa nachádzali v implementácii Kyber v Chrome.

V súčasnosti tak celkovo nie je jasné, aký veľký dopad na bezpečnosť mali problémy KyberSlash v reálnych nasadeniach Kyber a či vôbec reálne znížili bezpečnosť oproti stavu pred nasadením Kyber alebo dokonca celkovo oproti očakávanej bezpečnosti nasadeného riešenia vrátane Kyber. V každom prípade nejde o problémy samotného algoritmu Kyber ale niektorých jeho konkrétnych implementácií.

Bohužial niektoré médiá informovali o problémoch KyberSlash veľmi nepresne až nesprávne, keď ich označujú za chyby v mechanizme Kyber a tvrdia že ide o vážny problém tohto postkvantového šifrovania.

Ako vždy je samozrejme ale v každom prípade odporúčané aktualizovať na nové verzie implementácií, ktoré majú problémy KyberSlash opravené.

Problémy KyberSlash sa ale nachádzali aj v referenčnej implementácii a vyvolávajú tak otázky, ako mohli byť problémy tohto dobre známeho typu problémov neobjavené až do takejto neskorej fázy štandardizačného procesu NIST. Tento proces má už pritom za sebou aj ďalšie problémy, keď boli reálne prelomené dva algoritmy posudzované NIST a to v pomerne neskorej fáze štandardizačného procesu, Rainbow a SIKE. Niektorí experti tak už vyzývali na opatrnejší a konzervatívnejší prístup v tomto štandardizačnom procese.

K tomu nakoniec aj fakticky prišlo, keď NIST následne v septembri 2022 vyhlásil výzvu na prihlásenie ďalších kandidátov na postkvantové algoritmy a v lete minulého roka oznámil posudzovanie ďalších 40 postkvantových algoritmov.

Bližšie informácie o KyberSlash od Daniela J. Bernsteina je možné nájsť na tejto stránke.




Najnovšie články:



Diskusia:

ultraradikálny špecifikácionalizmus Od: syntaxterrorXXX, . Y | Pridané: 16.1.2024 19:30 Za návrh algoritmu postkvantovej kryptografie, pri ktorom bezpečnosť závisí od implementácie, by mala byť navrhovateľom znížená známka minimálne o stupeň priekazne aj z výtvarnej výchovy. Odpovedať Známka: 2.5 Hodnotiť:

Re: ultraradikálny špecifikácionalizmus Od reg.: MackoPu1 | Pridané: 17.1.2024 7:13 Za algoritmus ktory znalostou jedneho z 20 dokazem prelomit to vidim o 2 stupne a aj zo spravania. Odpovedať Známka: 10.0 Hodnotiť:

ajajáj Od: teliatko | Pridané: 16.1.2024 19:31 Taký dlhý článok, uff. To dnešná mládež ani nebude celé čítať bo by im oči utiekli na traktore na protest do Berlína. Odpovedať Známka: 8.3 Hodnotiť:

Prauda Od: Sona Pekova | Pridané: 17.1.2024 8:52 No tak sa pouzije scitavanie/odpocitavanie namiesto delenia... Je tam toho. Odpovedať Známka: 5.0 Hodnotiť:

vždy sa nájde spôsob Od: Kelišová. | Pridané: 17.1.2024 8:59 Toto boli nejaké bočné dvierka. Ešte nájde aj predné dvierka a určite to bude mať aj zadné dvierka. Odpovedať Známka: 3.3 Hodnotiť:

kanál Od: kanál | Pridané: 17.1.2024 9:34 posraný kanál Odpovedať Známka: 10.0 Hodnotiť:

zlé kanálé Od: NSA | Pridané: 17.1.2024 10:21 tak tento backdoor nie je dobry, musime ho tam ukryt lepsie. NSA Odpovedať Známka: 5.0 Hodnotiť:

dfsgfdgfds Od: asdsfdagag | Pridané: 17.1.2024 11:26 a co stary dobry truecryt 7.1a ? Odpovedať Hodnotiť:

Maskovanie Od: Pete XYZ | Pridané: 17.1.2024 16:39 Tak mali to delenie zamaskovat nahodnymi cislami alebo jeho dlzku nejako randomizovat, amateri :D. Nech ten timing attack nie je taky jednoduchy. Btw. neboj mladi (ked sa ~40r este povazuju) to cele precitali ;). Odpovedať Hodnotiť:

Re: Maskovanie Od: ffdf | Pridané: 17.1.2024 19:41 Aj tak by sa H dozvedeli z tej dlžky delenia!! Toto sú len také tanečky! Odpovedať Hodnotiť:

Pridať komentár