NEW SCIENTIST ⟩ Matemaatikud kahtlustavad, et luurajad sokutavad uutesse krüpteerimise algoritmidesse nõrkusi (1)
/nginx/o/2023/10/20/15668718t1h5cd5.jpg)
- Tänapäeva krüpteerimine on tulevikus kvantarvutite poolt murtav, teadlased otsivad uusi lahendusi
- Matemaatikud kahtlustavad, et USA luureasutused sokutavad uutesse algoritmidesse teadlikult nõrkusi
- Riiklike standardite instituut on teinud uutesse algoritmidesse kogemata või teadlikult vigu
Üks silmapaistvatest krüptograafiaekspertidest ütles New Scientistile, et USA spiooniagentuur võib nõrgendada uue põlvkonna algoritme, mis on loodud kaitsma kvantarvutitega ründavate häkkerite eest.
Daniel Bernstein Chicago Illinoisi ülikoolist ütleb, et USA Riiklik Standardite ja Tehnoloogia Instituut (NIST) varjab teadlikult USA riikliku julgeolekuagentuuri (NSA) kaasatuse ulatust uute krüpteerimisstandardite väljatöötamisel kvantarvutite järgse krüptograafia jaoks. Samuti usub ta, et NIST on oma uute standardite turvalisust kirjeldavates arvutustes teinud vigu – kas siis kogemata või tahtlikult. NIST lükkab väited tagasi.
«NIST ei järgi protseduure, mille eesmärk oleks takistada NSA-d kvantarvutite järgset krüptograafiat nõrgestamast,» ütleb Bernstein, «inimesed, kes loovad krüptostandardeid, peaksid läbipaistvalt ja kontrollitavalt järgima selgeid avalikke reegleid, et me ei peaks muretsema kellegi motivatsiooni pärast. NIST lubas läbipaistvust ja väitis seejärel, et on näidanud kogu oma tööd, kuid see väide lihtsalt ei vasta tõele.»
Iga kord, kui NSA-d mainitakse, on krüptograafid mures
Neid matemaatilisi lahendusi, mida me andmete kaitsmiseks praegu kasutame, on tänapäeval praktiliselt võimatu murda isegi suurimatel superarvutitel. Aga kui kvantarvutid muutuvad piisavalt töökindlateks ja võimsateks, suudavad need hetkega praegused salastuslahendused lahti muukida.
Kuigi pole selge, millal sellised arvutid välja ilmuvad, on NIST alates 2012. aastast vedanud projekti uue põlvkonna algoritmide standardiseerimiseks, mis peavad vastu ka rünnakutele kvantarvutitega.
Bernstein, kes võttis 2003. aastal kasutusele mõiste postkvantkrüptograafia, et viidata seda tüüpi algoritmidele, ütlebki, et NSA tegeleb aktiivselt salajaste nõrkuste lisamisega uutesse krüpteerimisstandarditesse, mis võimaldaksid neid õigete teadmistega hõlpsamini lahti murda. NIST-i standardeid kasutatakse aga kogu maailmas, seega võivad need nõrkused avaldada väga suurt mõju.
Bernstein väidab sedagi, et NIST-i arvutused ühe tulevase sellise standardi Kyber512 kohta on «räigelt valed», mistõttu näib see turvalisem kui tegelikult on. Ta ütleb, et NIST korrutas kaks arvu kokku siis, kui oleks olnud õigem need liita, mille tulemuseks oli Kyber512 rünnakukindluse kunstlikult kõrge hinnang.
«Me ei nõustu tema analüüsiga,» ütleb Dustin Moody NIST-ist, «see on küsimus, mille puhul puudub teaduslik kindlus ja intelligentsetel inimestel võivadki olla erinevad vaated. Me austame Dani arvamust, kuid ei nõustu tema järeldustega.»
Moody lisab, et Kyber512 standard vastab NISTi «esimese taseme» turbekriteeriumidele, mis muudab selle mahamurdmise vähemalt sama raskeks kui tavapäraselt kasutatavatel olemasolevatel algoritmidel AES-128. Sellegipoolest soovitab NIST, et inimesed peaksid praktikas kasutama tugevamat versiooni Kyber768, mis oli Moody sõnul algoritmi arendajate enda soovitus.
Saladused või läbipaistvus?
NIST on praegu oma standarditega avaliku arutelu perioodis ning loodab järgmisel aastal avaldada postkvantkrüptograafia lõplikud standardid, et organisatsioonid saaksid neid kasutusele võtma hakata. Kyberi algoritm näib tõenäoliselt sobivat, kuna see on juba mitu valikukihti läbinud.
Arvestades selle algoritmi salajast olemust, on raske kindlalt öelda, kas NSA on neid standardeid mõjutanud või mitte, kuid juba pikka aega on ringelnud kuulujutte, et agentuur nõrgendab teadlikult krüpteerimisalgoritme.
2013. aastal teatas The New York Times, et luureagentuuri eelarve oli just selle ülesande täitmiseks 250 miljonit dollarit ning NSA dokumendid, mille vilepuhuja Edward Snowden samal aastal lekitas, sisaldasid samuti viiteid sellele, et NSA paigutas uuele krüptoalgoritmile tahtlikult tagaukse, kuigi see algoritm hiljem eemaldati ametlikest standarditest.
Moody eitab, et NIST oleks kunagi olnud nõus NSA käsul mõnda standardit tahtlikult nõrgendama ja ütleb, et mis tahes salajane nõrkus oleks tulnud sisestada siis juba tema teadmata. Ta mainib ka seda, et pärast Snowdeni paljastusi on NIST karmistanud juhiseid, et tagada läbipaistvus ja turvalisus ning taastada usaldus krüptoekspertidesse.
«Me poleks kunagi tahtlikult midagi sellist teinud,» rõhutab Moody, kuid tunnistab samas, et Snowdeni lekked põhjustasid olulise vastureaktsiooni: «Iga kord, kui NSA teema tõstatatakse, on paljud krüptograafid mures ja me oleme püüdnud sellepärast olla oma suhtluses avatud ja läbipaistvad.»
Moody ütleb, et ka NSA on – nii palju kui salajane luureagentuur saab avaldada – püüdnud olla avatum. Kuid nad ikkagi keeldusid New Scientisti nende poole pöördudes kommentaaridest.
«Kõik, mida me teha saame, on öelda inimestele, et NIST-is on need inimesed, kes meie ruumides otsuseid teevad, aga kui te meid ei usu, ei saa te seda kuidagi kontrollida ilma NIST-is viibimata,» nendib Moody.
«Luureagentuurid on varemgi krüptimist nõrgendanud, kuid nende praeguste kandidaatide kohta on tehtud nii palju turvaanalüüse, et ma oleksin üllatunud, kui algoritmidesse oleks midagi varjatult sisse sokutatud.»
Alan Woodward Ühendkuningriigi Surrey ülikoolist
Bernstein aga väidab, et NIST ei ole olnud avameelne NSA osaluse taseme kohta, olles vastustes väga kidakeelne, kui ta on neilt teavet pärinud. Selle tulemusena on silmapaistev krüptograaf esitanud teabevabaduse kaebuse ja andnud NIST-i kohtusse, sundides seda asutust avaldama oma NSA-ga seotuse üksikasju.
Bernsteinile avaldatud dokumendid näitavad, et töörühmas, mida kirjeldati kui «Post Quantum Cryptography Team, National Institute of Standards and Technology», oli palju ka NSA liikmeid ning et NIST oli kohtunud kellegagi Ühendkuningriigi valitsuse kommunikatsiooni peakorterist (GCHQ), mis on NSA vaste Ühendkuningriigis.
Alan Woodward Ühendkuningriigi Surrey ülikoolist leiab, et krüpteerimisalgoritmidega on põhjust olla ettevaatlik. Näiteks leiti 1990ndatel ja 2000ndatel mobiiltelefonivõrkudes kasutatud GEA-1 koodil viga, mis muutis selle krüpteeringu lahtimuukimise miljoneid kordi vähem arvutusmahukaks, kui see oleks pidanud olema. Selle vea sisestanud süüdlast pole õnnestunud kunagi tuvastada.
Kuid Woodward lisab, et akadeemiline teadlaskond ja tarkvaratööstus on praeguseid standardi kandidaate põhjalikult kontrollinud ja nendest pole veel puudusi leitud, samas kui teised konkursi varasemates etappides esinenud algoritmid on osutunud vigaseks ja need kõrvaldati.
«Luureagentuurid on varemgi krüptimist nõrgendanud, kuid nende praeguste kandidaatide kohta on tehtud nii palju turvaanalüüse, et ma oleksin üllatunud, kui Kyberi algoritmidesse oleks midagi varjatult sisse sokutatud,» ütleb ta.
Algselt populaarteaduslikus ajakirjas New Scientist avaldatud artikkel ilmub Postimehes väljaande loal. Inglise keelest tõlkis Kaido Einama.