Kwantowa ochrona

Z Burtonem Kaliskim, dyrektorem laboratoriów badawczych firmy RSA Security, rozmawia Paweł Krawczyk.

Z Burtonem Kaliskim, dyrektorem laboratoriów badawczych firmy RSA Security, rozmawia Paweł Krawczyk.

Świat kryptologów jest na ogół bardzo konserwatywny. Czy rzeczywiście istnieje potrzeba wprowadzania kwantowej wymiany klucza, jeśli mamy sprawdzone protokoły, takie jak IPSec czy SSL?

Jak w przypadku każdej nowej technologii, tak i tutaj mamy początkowy entuzjazm i początkowe opory.

Entuzjazm wobec kryptografii kwantowej bierze się stąd, że jest to całkiem nowa metoda ochrony informacji polegająca na prawach fizyki. Nie brak jednak sceptyków pytających: po co nam jakieś kwanty? Mamy przecież sprawdzone i działające technologie, które w razie potrzeby możemy wzmocnić poprzez użycie lepszych algorytmów konwencjonalnych, dłuższych kluczy. Pomiędzy entuzjastami i sceptykami jest stanowisko pośrednie - kwantowa wymiana klucza nie rozwiąże wszystkich problemów z bezpieczeństwem, ale rozwiąże przynajmniej część z nich.

Na przykład?

Kwantowa ochrona

Jest bardzo poważny problem, który pojawia się przy planowaniu systemów ochrony informacji. W systemach korporacyjnych i rządowych informacja może krążyć nawet przez 30 lat i przez ten czas musimy ją utrzymać w tajemnicy. Jeśli jest ona przesyłana przez szyfrowane łącze między dwoma punktami, to zaszyfrowane dane mogą zostać przechwycone i zachowane, a nie wiadomo, co się wydarzy w ciągu tych 30 lat. Może złamane zostaną niektóre algorytmy, wynaleziona zostanie nowa metoda łamania 3DES lub RSA. Jeśli coś takiego się wydarzy, to trzeba wziąć pod uwagę, że dane podsłuchane na przestrzeni ubiegłych 30 lat mogą zostać rozszyfrowane. I tutaj kryptografia kwantowa może pomóc, oferując dodatkową warstwę ochrony, jeśli algorytm został złamany, a transmisja podsłuchana. Jeśli byłyby one tylko zaszyfrowane, to wrażliwa informacja zostanie skompromitowana, ale jeśli są one zaszyfrowane i dodatkowo stosujemy kwantową wymianę klucza, to wtedy trzeba złamać obie warstwy zabezpieczeń.

A to, jak mówią nam prawa fizyki, jest niemożliwe... Rozmawiamy o kwantowej wymianie klucza. Istniejące systemy używają kwantów do wymiany klucza sesyjnego, a właściwe dane są szyfrowane standardowym algorytmem. Ale dlaczego nie mówimy o kwantowej wymianie danych?

Przepustowości kanałów kwantowych nie dorównują przepustowościom obecnie dostępnym w telekomunikacji. Istota działania kanału kwantowego powoduje, że wymiana fotonów w celu ustalenia klucza zabiera większą część pasma. Aby wykorzystać ten kanał do wymiany danych z szybkością wymaganą przez współczesne systemy, należałoby znacznie zwielokrotnić przepustowość łącza albo - co jest drogie - zbudować wiele łączy w sumie zapewniających identyczną przepustowość. Zwykle więc bardziej opłaca się wykorzystać przepustowość do wysłania większej ilości danych, używając kwantowej wymiany klucza do ustalenia kluczy sesyjnych dla szyfru konwencjonalnego. Jeśli profil zagrożenia zakłada możliwość złamania np. AES, to należy użyć kanału kwantowego dla wszystkich danych, nie tylko wymiany klucza.

Jednak kanał kwantowy ma bardzo małą przepustowość, więc zwykle sensowne jest tylko przesyłanie w ten sposób najbardziej poufnych informacji. Jeśli natomiast za realne uważamy ryzyko złamania RSA, to kwantowa wymiana klucza rozwiązuje ten problem w sposób idealny - wstawiasz ją do swojego protokołu zamiast RSA, więc klucz jest wymieniany w sposób bardzo bezpieczny, a same dane są szyfrowane przez AES.

Wygląda to na dość bezpieczne rozwiązanie, biorąc pod uwagę, że w istniejących systemach kwantowych klucz sesyjny jest zmieniany co 20 ms. Jeśli rozmawiamy o perspektywach złamania AES, to akurat latem Nicolas Courtois, francuski kryptolog polskiego pochodzenia, opublikował nowe sposoby ataku na AES. Co sądzi Pan o atakach Courtois i w ogóle perspektywach ataku na AES?

AES ma już ponad dwa lata. Współczesna kryptologia ocenia przydatność i siłę algorytmów za pomocą obszernego zestawu technik, sprawdzonego przy analizowaniu algorytmów symetrycznych, takich jak AES. Wśród nich można wymienić kryptoanalizę różnicową (wynalezioną przez NSA w latach 70. i ponownie odkrytą przez badaczy z Izraela 15 lat później - przyp. red.) i kryptografię liniową. Courtois odkrył nową strategię ataku na algorytmy symetryczne, która nie została jeszcze dostatecznie poznana i nie doczekała się analizy ze strony środowiska badaczy. Nie ma dowodów na to, czy AES tak naprawdę jest na tę nową strategię podatny. Nie wiadomo, czy atak Courtois jest w ogóle praktyczny. Ponieważ jest to nowa strategia, zespoły badawcze potrzebują jeszcze trochę czasu, by to ocenić.

Na jakim polu kryptografii możemy oczekiwać czegoś nowego?

Przede wszystkim w szyfrach strumieniowych - są one wydajniejsze od obecnie stosowanych szyfrów blokowych. Nie ma cywilnie dostępnych szyfrów strumieniowych, które byłyby w dostatecznym stopniu zbadane. Po drugie musimy zrobić jeszcze bardzo wiele w zakresie funkcji haszujących, bo są one potrzebne o wiele częściej niż same szyfry. Tegoroczne ataki na MD5 i SHA pokazują, że potrzebny jest odpowiednik konkursu na szyfr AES, tylko mający na celu opracowanie standardowej funkcji haszującej.


TOP 200