symmetrisk asymmetrisk kvanteresistent kryptogra digitale...

Kvanteresistentkryptografi

Thomas Gregersen

Introduksjon

Kryptografi i dag

Symmetriskkryptografi

Asymmetrisknøkkeletablering

Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme

Kryptografiskekonsekvenser

Veien motkvanteresistentkryptografi


Kodebasertekryptosystemer

Lattice-basertekryptosystemer

Hash-basertesignaturer

Kvanteberegningerkommer, eller?

Oppsummering

Kvanteresistent kryptografi

Thomas Gregersen


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

Dagens meny

Introduksjon

Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer

KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser

Veien mot kvanteresistent kryptografiKvanteresistent kryptografi

Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer

Kvanteberegninger kommer, eller?


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Kvantedatamaskiner kan bli et problem for fundamentetbak dagens protokoller.

I Selv om vi ikke kjenner de nøyaktige forholdene ma viforberede oss.

I For mange parter ma informasjon beskyttes lenge.I Introduksjonen av nye algoritmer tar vanligvis lang tid.I Med et langsiktig perspektiv ma vi altsa starte tidlig for

a kunne klare omstillingen i tide.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

Dagens meny

Introduksjon







Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Utgangspunktet for a etablere konfidensialitet:

I Dette krever en felles nøkkel som ma etableres paforhand.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

Dagens meny

Introduksjon







Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I For a slippe a møtes, kan de to partene etablere enfelles nøkkel ved hjelp av asymmetriske algoritmer:

I Det er vanlig a kombinere dette i en hybridisert løsning:Den symmetriske algoritmen tar seg av bulktransportsiden den er mye raskere.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Det finnes flere varianter vi kan benytte tilnøkkeletablering:

I RSAI DHI ECDH

I I hver av dem antar vi at vi kan redusere det a finnenøkler eller klartekst til et beregningstungt problem(faktorisering, finne logaritmer).

I Kvantealgoritmer angriper disse underliggendeproblemene og utgjør en alvorlig trussel.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

Dagens meny

Introduksjon







Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Det finnes igjen flere varianter vi kan benytte:I RSAI DSAI ECDSA

I De underliggende problemene blir igjen angrepet avkvantealgoritmer.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

Dagens meny

Introduksjon







Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Algoritmen finner i elementer som avbilder til et oppgittelement gjennom en funksjon f .

I Kryptografisk relevant fordi vi f.eks. kan la f være etchiffer eller en kryptografisk hash-funksjon hvor viønsker a finne nøkler eller kollisjoner.

I Kompleksiteten for denne beregningen er en forbedringsammenlignet med klassiske varianter:

O(√N) versus O(N), (N = |dom(f )|).


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

Dagens meny

Introduksjon







Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Shors algoritme tar et naturlig tall N som input ogfinner en ikke-triviell divisor a.

I I RSA kan vi dermed faktorisere den offentligemodulusen vi bygger pa og finne den private nøkkelen.

I Algoritmens kjerne finner perioden til en funksjon, ogdette bruker Fourier-transformen som kanimplementeres effektivt i en kvantekrets. Oppsettet kanmodifiseres til a finne logaritmer i enkelte typer grupperog dermed utfordre DH/ECDH.

I Med andre ord kan en ikke forlate en enkelt algoritmefor a unnga dette angrepet.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

Dagens meny

Introduksjon







Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Tar vi et pessimistisk utgangspunkt blir vi nødt til adoble antall bits i symmetriske nøkler, men dette ermest sannsynlig ikke det endelige estimatet.

I For de asymmetriske algoritmene vi vanligvis bruker serdet verre ut: Det kan bli nødvendig a utvide tilstørrelser det er helt urealistisk a implementere.

I For a finne kandidater vi kan bytte til er det satt oppflere løp som organiserer veien fremover:

I National Institute of Standards and Technology (NIST)er allerede i gang med runde 2 for a komme til muligeerstattere1.

I PQCRYPTO (EU) er et annet inititiativ som skal leverekandidater og praksis2.

1https://csrc.nist.gov/Projects/Post-Quantum-Cryptography2https://pqcrypto.eu.org/


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

Dagens meny

Introduksjon







Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Hva ønsker vi oss av nye algoritmer?I Nøkler/signaturer/chiffertekst som ikke tar for mye

plass.I Kryptering/dekryptering/signering/autentisering som

ikke tar for lang tid.I Sikkerhet basert pa reduksjon til beregningsproblemer

som vi vet er vanskelige.

I Det er pa ingen mate lett a kombinere alt dettesamtidig, men det finnes kandidater.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I NIST startet med 69 algoritmer for nøkkeletablering ogsignaturer som na har blitt til 17 og 9.

I Til nøkkeletablering er kandidatene basert pakodebasert, lattice-basert eller isogeni-basertkryptografi:

I BIKE/Classic McEliece/HQC/LedaCrypt/NTS-KEM/ROLLO/RQC.

I CRYSTALS-KYBER/FrodoKEM/LAC/NewHope/NTRU/NTRU Prime/Round5/SABER/Three Bears.

I SIKE.

I Signaturalgoritmene er basert pa lattice, multivariatepolynomsystemer, Zero Knowledge Proof-system oghash-baserte signaturer:

I CRYSTALS-DILITHIUM/FALCON/qTesla.I GeMSS/LUOV/MQDSS/Rainbow.I Picnic.I SPHINCS+.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I McEliece/Niederreiter-system (1978/1986) basert pafeilkorrigerende koder.

I En feilkorrigerende kode C er en metode for a legge tilredundans til informasjon slik at feil kan rettes ettersending.

I Tilhørende finnes en dekodingsalgoritme DC som retterde ev. feil som har oppstatt.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I En lineær feilkorrigerende kode gjør dette ved abehandle informasjon som vektorer i et omkringliggendevektorrom.

I Dermed kan C en [n, k]-kode spesifiseres ved:

I Rekkerommet til en generatormatrise G ∈ F k×n2

C = {mG |m ∈ F k2 }

I Nullrommet til en paritetsjekkmatrise H ∈ F(n−k)×n2

C = {c |Hcᵀ = 0, c ∈ F n2 }


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Systemparametre: n, t ∈ N, t � n.I Nøkkelgenerering:

I G : k × n generatormatrise for en lineær kode (binær,irredusibel Goppa) C som kan korrigere opp til t feil.

I S : k × k tilfeldig binær invertibel matrise.I P : n × n tilfeldig permutasjonsmatrise.

Beregn sa G ′ = SGP.

I Public Key: (G ′, t).

I Private Key: (S ,P,DC).


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Kryptering: m ∈ F k2 sendes til

c = mG ′ + e

hvor e ∈ F n2 ,wt(e) = t.

I Dekryptering:

I BeregncP−1 = (mS)G ′ + eP−1

og far kodeordet

mS = DC(cP−1).

I Beregn til sluttm = mSS−1.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I A dekode en generell lineær kode er et NP-hardtproblem. Derfor er den private nøkkelen forkledd vedmatrisene S og P, og den er vanskelig a skille fra engenerell lineær kode.

I De raskeste angrepsalgoritmene viser seg a væreinformasjonssettdekoding(ISD)-angrep som dekodermeldinger fra en generell kode, men for binæreGoppa-koder er dette fortsatt langt fra effektivt.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Skolebokvariantene av McEliece/Niederreiter blir fortynne i seg selv: Det er muligheter for a brukestrukturen i kryptosystemet for a gjøre analysen lettere:

I Delvis kjent klartekst:Dette medfører at vi kan redusere raskestedekodingsangrep (ISD-varianter) til de komplementærebitene.

I Kjente relasjoner mellom meldinger:Disse forplanter seg til chifferteksten og kan brukes til aredusere antall feilvektorer vi trenger a teste iISD-analysen.

I Dette løser man ved a bruke en CCA2-sikret variantsom medfører overhead: Ekstra bits for en valgtsikkerhetstoleranse som avhenger av input tilhashfunksjonen som involveres.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Matrisene vi trenger er store og kan gi problemer nardet er lite plass.

I Vi kan velge mellom flere mulige koder, men mangeviser seg for svake til kryptografisk anvendelse.

De klassiske binære Goppa-kodene holder enda, menkanskje er det flere (LDPC/MDPC/Rank-Metric codes).


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Kan baseres pa flere strukturer som hviler palattice-teori: LWE, RLWE, MLWE, NTRU.

I Raske fakta:I Kryptering/dekryptering innebærer a kode informasjon

som heltallskombinasjoner av vektorer (et lattice).

I Sikkerhet ved reduksjon til geometriske problem i latticesom er velkjente, men ikke sa godt studert somMcEliece/Niederreiter.

I Mer effektive enn McEliece/Niederreiter og det erforeslatt varianter hvor vektorene tar form av polynomersom kompaktifiserer. Dette kan likevel ga utoversikkerheten hvis vi innfører for mye struktur.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Merkle signaturer3:

I Raske fakta:I Tar engangssignaturer som utgangspunkt (Lamport,

Winternitz,..).I Kan i utgangspunktet signere et endelig antall ganger

for en gitt offentlig nøkkel, noe som kan løses meddynamiske trær.

I Store signaturer hvis treet er stort.I Sikkerhet hviler pa styrken til den interne

hash-funksjonen H.

3https://postscryptum.lip6.fr/slides aline.pdf


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Noen observasjoner:I Nøkler/signaturer/chiffertekst er i noen tilfeller veldig

store (tall i bytes for Classic McEliece4 og SPHINCS+5):

I Regnetid man som regel kan leve med.I Sikkerhet er i noen tilfeller godt fundert, andre ganger

er det mindre kryptoanalyse a hvile pa.

4https://classic.mceliece.org/nist/mceliece-20190331.pdf5https://sphincs.org/data/sphincs+-round2-specification.pdf


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I I denne tidlige fasen er vi usikre pa hvor inngripendekvantealgoritmer faktisk blir. Det er foreslatt a brukehybridløsninger:

I Protokollene vi bruker kan i sa fall fa størrekompleksitet og vi blir nødt til a analysere hvordandette pavirker sikkerhet og effektivitet.

I Det kan bli standardisert mange muligheter avhengig avbrukercase, altsa ikke en variant til alle formal.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Masser av forskning peker mot det a realiserekvantekretser, men pa hvilket niva?

I Et lite modent eksempel6:

6https://www.dwavesys.com


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Med sa mange veier til mal for a realisere dem, virkerdet dumt a satse pa at ingen forsøk pa a realisere demvil lykkes.

I Det gjenstar en god del arbeid før vi har en stor ogstabil nok kvantekrets hvor en vilkarlig kvantealgoritmekan kjøres (logiske versus fysiske qubits).

I Det er satt av store ressurser til forskning og utvikling,og mange aktører vil bidra (Google, IBM, LockheedMartin..).


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

I Det er ikke lett a avgjøre nar vi ma være klare for ahandtere en kvantedatamaskin/kvantekrets.

I I denne fasen er det tatt utgangspunkt i at dette kanvære realistisk rundt 2030.

I For oss blir det viktigste a kunne handtere nyeprimitiver/algoritmer, altsa ha plass nok til a kunneintegrere dem.


Thomas Gregersen

Introduksjon

Kryptografi i dag



Digitale signaturer

Kvantetrusselen

Grovers algoritme

Shors algoritme








Oppsummering

Oppsummering

I Kvantealgoritmer tvinger oss til a finne nye byggesteineri kryptografien.

I Vi vet fortsatt ikke nar vi ma ha dem pa plass, men sasnart som mulig.

I For oss som jobber med planlegging er det en god ide afølge standardprosessen tett og sørge for at det blirplass til de nye primitivene der hvor vi ma bruke dem.

symmetrisk asymmetrisk kvanteresistent kryptogra digitale...

Documents