După cinci ani de testare, oficialii organismului de standardizare din SUA – Institutul Național de Standarde și Tehnologie (NIST) – au anunțat algoritmii criptografici aleși care vor păstra datele sensibile în siguranță în fața atacurilor calculatoarele cuantice.
De ce sunt necesari algoritmi noi?
Folosim criptografia în fiecare zi, indiferent dacă știm sau nu acest lucru. Mesajele noastre de pe rețelele sociale, serviciile bancare online, e-mailurile și cumpărăturile se bazează pe algoritmi criptografici, care sunt proiectați, testați, aprobati și adoptați de organismele de standardizare și dezvoltatorii de software din întreaga lume.
Criptografia are rolul de a împiedica citirea informațiilor fără cheia de decriptare corectă, iar algoritmii pe care îi folosim astăzi pentru a cripta datele se bazează pe probleme matematice, considerate prea dificile pentru a fi sparte chiar și de cele mai rapide computere.
Din păcate, în viitorul apropiat vor exista computere care ar putea fi capabile să rezolve aceste probleme. Practic, odată ce un computer cuantic este creat, distrugerea acestor algoritmi va deveni nu doar mai ușoară, ci trivială. În teorie, un astfel de computer cuantic ar face imediat e-mailurile, conturile bancare și criptomonedele vulnerabile la atacuri. Au existat chiar sugestii ale faptului că agențiile de spionaj au început să asculte datele criptate și să le stocheze, gata pentru eventuala sosire a unui computer cuantic care le va decripta.
Ce a realizat NIST în acest timp?
Din cauza sosirii iminente a calculatoarelor cuantice, în anul 2017, NIST a început să testeze 82 de algoritmi „post-cuantici” pe care îi consideră a fi rezistenți la capacitatea crescută de spargere a codurilor de programare a dispozitivelor. Unii algoritmi au fost respinși din cauza unor defecte de securitate sau a unor probleme legate de implementarea lor; unii sunt puternici, dar lenți, alții sunt slabi, dar simpli. NIST trebuia să ajungă la o soluție robustă la atac, dar care să nu ne îngreuneze viața de zi cu zi.
În martie 2022, grupul din cadrul NIST a declarat faptul că ultimii câștigători vor fi anunțați mai târziu în aceeași lună, dar acest termen limită a trecut. Dustin Moody din cadrul NIST a refuzat să detalieze motivele întârzierii, dar oricare ar fi fost blocajul misterios, acum pare să fi fost depășit. Organizația a ales patru algoritmi susținuți oficial: CRYSTALS-Kyber, CRYSTALS-Dilithium, FALCON și SPHINCS+.
De ce această decizie este luată de NIST?
NIST este organizația de standardizare din SUA, dar este posibil ca decizia sa să fie adoptată la nivel mondial, la fel cum o decizie a UE de a forța producătorii de telefoane mobile să folosească un încărcător comun va conduce probabil la modificarea designului la nivel global – este pur și simplu prea costisitoare și complexă. pentru a crea software sau hardware diferit pentru piețe diferite. De asemenea, UE face referire la competiția de algoritmi NIST atunci când vorbește despre securitatea post-cuantică.
Cand vor fi utilizați acești algoritmi?
Anunțul recent este rezultatul celei de-a treia runde de testare a NIST. Acești patru algoritmi au fost aleși imediat pentru standardizare, în timp ce alții au fost respinși și încă patru vor fi acum supuși unor teste suplimentare.
Vestea bună este că acum există opțiuni pentru dezvoltatorii de software – algoritmi pe care aceștia pot începe să îi încorporeze în aplicațiile, site-urile web și alte instrumente, fără teama de a reface întreg proiectul. Anunțul îi va liniști pe critici precum Google, care avertizase că întârzierea în alegerea algoritmilor punea în pericol securitatea.
Ali El Kaafarani din cadrul firmei de securitate PQShield susține că o mare parte din echipamentele pe care le-a vândut în ultimele luni sunt compatibile cu toți algoritmii de pe lista scurtă.
„Acest lucru înseamnă că clienții finali ar putea folosi software și aplicații care sunt protejate de un hibrid de criptografie clasică și post-cuantică în doar câteva luni, în funcție de viteza cu care companiile pot lansa aceste actualizări”, spune el. „Cu toate acestea, ar trebui să fim cu toții conștienți de faptul că o implementare completă a hardware-ului securizat cuantic în rețele și dispozitive nu poate avea loc peste noapte.” De fapt, ar putea dura ani înainte ca toate serviciile pe care le folosim să fie rezistente la atacurile cuantice.
