“Imposibilitatea de a calcula corect” – așa sună titlul unui articol de blog scris de Daniel Bernstein, un criptograf renumit de la University of Illinois, care a stârnit un puternic interes. În acest articol, el critică dur NIST (Institutul Național de Standarde și Tehnologie) din SUA pentru o “greșeală de calcul prostească” care ar supraestima securitatea unui algoritm de criptare recomandat de aceasta. Într-o postare de peste 17.000 de cuvinte, el sugerează, de asemenea, că instituția ar putea avea o colaborare cu NSA. Cu toate acestea, nu toți împărtășesc opinia lui Bernstein, iar unii cred că acțiunile sale dăunează domeniului. Colegul său, Matthew Green de la Universitatea Johns Hopkins, a scris pe rețeaua socială X (fostul Twitter): “Știm că există lupi reali, și de aceea este atât de important să nu strigăm după lupi când nu există cu siguranță.”
Rezistența la calculul cuantic
Dezbaterea pe acest subiect nu este surprinzătoare, având în vedere că este vorba despre securitatea datelor noastre private. În 1994, matematicianul Peter Shor a demonstrat că, într-o zi, computerele cuantice vor fi capabile să spargă sistemele noastre de criptare actuale. Acesta a fost momentul în care lumea a intrat în panică, sau nu? În anii ’90, calculatoarele cuantice erau încă departe de a deveni realitate, iar amenințarea potențială era în mare parte ignorată.
Cu toate acestea, progresele tehnologice din ultimele decenii au făcut ca calculatoarele cuantice să devină o realitate. Astfel, amenințarea pentru datele noastre se apropie. În anii 2010, a devenit treptat clar că sunt necesare noi algoritmi de criptare “rezistente la calculul cuantic”. Caracteristica mecanică cuantică a calculatoarelor cuantice le permite să execute anumite operațiuni matematice mult mai rapid, dar nu toate. Astfel, noi sisteme de criptare pot fi dezvoltate, care să își protejeze datele de atacurile atât ale computerelor cuantice, cât și ale celor obișnuite.
Conceptul din spatele metodelor criptografice este următorul: trebuie să identificăm o problemă matematică ușor de efectuat (criptarea), dar aproape imposibil de inversat (decriptarea) fără informații suplimentare. Sistemele actuale de criptare se bazează în principal pe două tehnici: algoritmul RSA și criptografia curbelor eliptice. În cazul primei tehnici, problema constă în faptul că este relativ ușor să înmulțim două numere prime, dar foarte dificil să împărțim o cifră mare în factorii săi primi. A doua tehnică, mai eficientă și care a înlocuit în mare parte RSA, implică o adunare specială a punctelor pe curbe eliptice.
Cum a demonstrat Shor, calculatoarele cuantice ar putea sparge ambele probleme matematice într-un timp rezonabil. Prin urmare, sunt necesari noi algoritmi de criptare. Găsirea acestor algoritmi nu este o sarcină ușoară. În primul rând, trebuie să identificăm o problemă matematică adecvată care să poată fi transformată ulterior într-un protocol criptografic funcțional. Cheile trebuie să fie de dimensiuni rezonabile, iar operațiile trebuie să poată fi efectuate într-un timp rezonabil și fără mult efort de calcul.
În primul pas, există deja dificultăți. Cum știm că o problemă este potrivită pentru criptare și, în consecință, aproape imposibil de rezolvat invers? Până în prezent, nu există o modalitate sigură de a elimina această posibilitate. Pentru problemele matematice care stau la baza criptării, trebuie să avem încredere că acestea sunt greu de rezolvat, deoarece nu a fost găsită încă o soluție bună.
Metode bazate pe rețele | Această formă de criptare se bazează pe dificultatea găsirii punctului cel mai apropiat dintr-o rețea la un punct dat (reprezentat prin cerc). În două dimensiuni, problema pare ușoară, dar în sute de dimensiuni, computerele au dificultăți semnificative. Metodele bazate pe rețele, cum ar fi Kyber și NTRU, sunt considerate promițătoare pentru criptografia post-cuantică, deoarece nu există încă niciun algoritm cuantic cunoscut care să poată rezolva aceste probleme eficient.
Pentru a găsi un nou protocol criptografic care să fie sigur împotriva calculatoarelor cuantice (așa-numitele algoritmi post-cuantici), este nevoie de cunoștințe și experiență colectivă. NIST, agenția de standardizare americană, a recunoscut acest lucru. În 2016, a inițiat un concurs în care s-au cerut propuneri pentru algoritmi potențiali de criptare post-cuantică. Aceștia ar trebui să fie nu numai siguri, ci și versatili și eficienți. Într-un proces care a implicat comunitatea de cercetare în ansamblul său, au fost evaluate propunerile, și în iulie 2022, NIST a anunțat câștigătorii provizorii ai concursului: în total, patru algoritmi bazate pe două tipuri diferite de probleme matematice. Unul dintre acești câștigători ridică îngrijorări pentru Bernstein.
Conexiuni între NIST și NSA
Potrivit lui Bernstein, unul dintre algoritmii câștigători, Kyber-512, nu este la fel de sigur pe cât susține agenția. Argumentul său se bazează pe un calcul care conține o presupusă eroare de calcul. De asemenea, susține că agenția nu comunică deschis modul în care colaborează cu NSA. Deși Bernstein nu formulează explicit această acuzație, în timpul citirii blogului său apare ideea că agenția de standardizare ar putea alege în mod intenționat o formă de criptare mai slabă pentru a permite NSA să acceseze datele noastre în viitor.
Această gândire nu este complet fără temei, având în vedere istoricul celor două instituții. Un program recomandat de NIST începând cu anul 2006, Dual_EC_DRBG, care genera numere aleatoare pentru aplicații criptografice, s-a dovedit nesigur în 2013, când s-a descoperit că NSA a introdus o ușă din spate în algoritm, permițându-i să acceseze multe date protejate. Bernstein a fost unul dintre cercetătorii implicați în dezvăluirea acestei uși din spate. Nu este de mirare că este sceptic în ceea ce privește relația dintre NSA și NIST. Cu toate acestea, selecția generatorilor de numere aleatorii recomandați de NIST nu s-a desfășurat într-un proces deschis, și este de presupus că agenția nu știa de existența ușii din spate.
În ceea ce privește selecția algoritmilor post-cuantici, procesul este mult mai deschis. Există, de exemplu, un grup Google cu acces deschis în care se discută procesul de selecție. Cu toate acestea, Bernstein a rămas sceptic și a solicitat NIST să dezvăluie toate conexiunile cu NSA. Atunci când agenția a refuzat, ilegal, s-a adresat unui birou de avocatură, a intentat proces și a obținut câștig de cauză în martie 2022. În documentele făcute publice, s-a constatat că unele persoane care lucrează la NIST sunt și angajați NSA. De asemenea, s-au desfășurat mai multe întâlniri între echipa de algoritmi post-cuantici a NIST și angajați ai NSA și ai serviciului de informații britanic GCHQ.
“Mi-aș dori, de asemenea, ca orice comunicare între NIST și NSA să fie deschisă”, spune criptograful Peter Schwabe de la Universitatea Radboud din Nijmegen. “În orice caz, în ceea ce privește standardizarea post-cuantică, NIST a organizat un proces mult mai deschis, implicând comunitatea internațională de cercetare, decât multe alte organizații de standardizare (cum ar fi ETSI sau ISO).” Asemănătoare opinii au și alți cercetători din domeniu. Un purtător de cuvânt al BSI (numele său este cunoscut de Spektrum.de) subliniază: “Situția actuală este foarte diferită față de o discuție despre posibilele uși din spate, iar astfel de acuzații nu se află în discuție în prezent.”
Au calculat cercetătorii de la NIST greșit?
Nu există o opinie unanimă cu privire la presupusa eroare de calcul descoperită de Bernstein la NIST. Matthew Green scrie pe rețeaua X: “Comunitatea post-cuantică de criptografie discută activ acest subiect și nu este nici măcar sigură că există o eroare.” Problema majoră este că “Bernstein oferă exemple care nu au fost prezentate de NIST”, așa cum explică un purtător de cuvânt al BSI.
Matematicianul Dustin Moody, expert în securitate la NIST, a declarat pentru “New Scientist”: “Este o problemă cu privire la care nu există siguranță științifică, iar oameni inteligenți pot avea opinii diferite. Respectăm opinia lui Dan (Bernstein), dar nu suntem de acord cu ceea ce spune.” Alți experți, care nu sunt angajați NIST, au ajuns la concluzii similare, cum ar fi Chris Peikert de la Universitatea Michigan.
Calculul discutat se referă la numărul de pași de calcul pe care un computer ar trebui să îi efectueze pentru a sparge o criptare Kyber-512. Bernstein susține că NIST multiplică două mărimi care ar trebui, în mod normal, să fie adunate, rezultând astfel o valoare mult mai mare. Cu toate acestea, deoarece calculele respective nu apar în mod explicit în raportul NIST, acuzațiile lui Bernstein nu pot fi susținute sau respinse ușor. “Aceste calcule fac încă obiectul cercetării actuale”, rezumă un purtător de cuvânt al BSI.
În explicațiile sale ample din blogul său, criptograful explică de ce Kyber-512 nu este o alegere bună și de ce algoritmul NTRUprime ar fi mult mai potrivit. Trebuie menționat – chiar dacă articolul său nu o spune în mod clar – că Bernstein a contribuit la dezvoltarea lui NTRUprime.
În procesul de selecție a algoritmilor post-cuantici, NIST a ales Kyber în detrimentul lui NTRUprime. Ar putea fi posibil ca agenția să fi ales intenționat o criptare mai slabă pentru a permite NSA să acceseze datele noastre în viitor? Bernstein nu formulează explicit această acuzație, dar, la lectura blogului său, apare ideea. Cu toate acestea, evaluarea avantajelor și dezavantajelor diferitelor metode nu este atât de simplă, după cum explică Schwabe: “Am fost implicat în trei procese de selecție NIST (Kyber, NewHope și NTRU) și aș fi putut argumenta pentru fiecare dintre cele trei de ce este clar mai bun decât celelalte două.” Alți cercetători văd, de asemenea, motive pentru care Kyber ar putea avea avantaje față de NTRUprime în anumite domenii.
Mulți îl apreciază pe Bernstein pentru eforturile sale de a face conexiunile dintre NIST și NSA publice. De asemenea, este corect să atragă atenția asupra presupuselor erori ale agenției de standardizare. Cu toate acestea, alegerea sa de a face acest lucru în cel mai provocator mod posibil este pusă sub semnul întrebării, așa cum afirmă dezvoltatorul de software și cercetătorul în securitate Thomas H. Ptacek.
