Vlákno názorů k článku Blíží se kvantová bouře, která přepíše pravidla šifrování. Připravit se je potřeba už dnes od Ondřej Surý - Docela rád bych slyšel upřesnění pro toto tvrzení: >...

Docela rád bych slyšel upřesnění pro toto tvrzení:

> Kromě toho i symetrické šifry jako AES a hashovací algoritmy budou oslabeny natolik, že už nebudou poskytovat dostatečnou ochranu proti narůstajícím kybernetickým rizikům.

Jasně, pro RSA a eliptické křivky tady máme Shorův algoritmus (i když to už není tak 100% jednoznačné: https://pages.cs.wisc.edu/~jyc/Shor-Algorithm-with-Noise.pdf), ale pro symetrické šifry, speciálně pro AES, mi připadá výše uvedené tvrzení trochu postavené na vodě, viz například: https://eprint.iacr.org/2019/272.pdf a https://eprint.iacr.org/2017/847.pdf, kde se o nějakém oslabení mluví, ale rozhodně jejich závěry nejsou tak jednoznačné a alarmistické.

Jaký je tedy aktuální vývoj na poli prolamovaní symetrických šifer (a hashovacích algoritmů) podložený výzkumem?

A ještě jeden dotaz. V článku operujete s "Harvest Now, Decrypt Later". Nicméně většina TLS spojení nyní používá algoritmy s (P)FS. Myslím si, že je potřeba důkladně rozlišovat mezi dokumenty, které jsou aktuálně "staticky" šifrovány, a TLS spojeními, které používají forward secrecy.

Pokud se ohledně FS ve spojení s PQ kryptoanalýzou pletu, tak mne prosím opravte/doplňte. Do kryptografie pouze přištipkuji.

Podobných článků bude přibývat, je to stejne jako hrozny hype po bombastické zprávě o prolomení RSA Číňany, které se ukázalo, že tak úplně není pravda.
Je to jak píšete jednoznačně klasické asymetrické sifry mají problém.
Zatím co třeba u AES se mluví o tom že v jednoduchosti se dostanem na ponížení "kavlity" o "stupeň" tzn. kdyz pouziju AES 256 bude to jak kdybych lámal konvenční cestou AES128 což stále není úplně denní chleba. Z toho důvodu by zatím AES256 měla být ok.

Souhlasím, je to napsané trochu alarmisticky spíše z toho důvodu, že když už na tu všechnu kryptografii budeme šahat, tak ať zvětšíme i klíče pro symetrické šifry a délku hashů. Např. AES je pořád velmi dobré, pokud má dostatečně dlouhý klíč. Tedy pokud chcete zachovat teoretickou 128bitovou bezpečnost, tak klíč musíte zvětšit na 256. Z teoretického hlediska, algoritmy jako je Groverův nebo HBT mohou kvadraticky zrychlit útok, nicméně jejich výpočetní náročnost mnohem větší než u Shorova algoritmu a tak případný reálný útok je mnohem dále. Navíc nyní se objevil i preprint, https://arxiv.org/abs/2303.11317, že takový útok pomoci Grovera bude ještě obtížnější škálovat na reálný případy, než se myslelo. Takže tady jde opravdu spíše o prevenci.

S tím HNDL útokem to je vskutku složitější. V principu útočník někde sedí a zkopíruje si, co teče skrze něj a nějak systematicky si to ukládá. Tady největší hrozba je, když se útočník dostane dovnitř, jako stále vidíme velké případy USA, tak to je pro číňana ideální šance pro HNDL útok.
Nicméně pravda je, že útočník potřebuje získat veřejný klíč a k tomu soubor, který je příslušným klíčem zašifrovaný. Pokud tyto dvě věci nezíská ať už z jakéhokoliv důvodu, tak neuspěje. Zde nejsem úplně expert. V případě online útoku kvantovým počítačem, PFS vás nezachrání. U toho HNDL to je možná lepší. Nejsem si jist. Tohle je dobrý dotaz. Nad tím se budu muset ještě zamyslet.

Forward secrecy přímo nebrání harvest now, decrypt later (HNDL). Resp. mohl by tomu v prinicpu bránit protokol založený třeba na BB84, ale to není moc praktické řešení… Útočník stále může uložit přenesenou komunikaci, aby ji později uložil. Forward secrecy by mu mělo ubrat možnosti, ale ne to principiálně úplně znemožnit:

1. Začnu hypotetickým scénářem, kde je to ale patrné. Kdyby byl prolomen třeba AES (zde kvantové počítače zřejmě nejsou moc hrozbou, aspoň u AES-256), útočníka nebude zajímat počáteční výměna klíčů a forward secrecy mu je úplně jedno, útočí o krok dál.
2. Realističtější (zejména v kontextu kvantových počítačů) je prolomení DH a ECDH, zde by měl jít použít Shorův algoritmus. Jsem si celkem jistý, že toto by forward secrecy založená na DH/ECDH neustála.
3. I tak ovšem může forward secrecy komplikovat HNDL útoky. Bez FS by u TLS stačilo prolomit klíč z certifikátu a mohl by zpětně číst všechnu zachycenou komunikaci všech lidí. U PFS (a snad i FS) by takový útok musel provést na každou výměnu klíčů zvlášť. Dokud budou útoky pomocí kvantových počítačů drahé, mohlo by to znamenat, že nebude ekonomicky možné dělat takový útok hromadně, ale útočník by si spíše vytipoval zajímavé cíle. U něčeho, co má vydržet tajné stovky let, to asi nepomůže, ale hromadné HNDL to může o něco oddálit.