Hoje, quase todos os dados na Web, incluindo transações bancárias, registros médicos e bate-papos seguros, são protegidos com um esquema de criptografia chamado RSA (nomeado em homenagem aos seus criadores Rivest, Shamir e Adleman). Este esquema é baseado em um fato simples: é virtualmente impossível calcular os fatores primos de um grande número em um período de tempo razoável, mesmo no supercomputador mais poderoso do mundo. Infelizmente, grandes computadores quânticos, se e quando forem construídos, acharia essa tarefa muito fácilcomprometendo assim a segurança de toda a Web.
Felizmente, os computadores quânticos são melhores que os clássicos apenas em uma classe selecionada de problemas, e há muitos esquemas de criptografia em que os computadores quânticos não oferecem nenhuma vantagem. Hoje, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) anunciou a padronização de três esquemas de criptografia de criptografia pós-quântica. Com esses padrões em mãos, o NIST está encorajando os administradores de sistemas de computador a começar a transição para a segurança pós-quântica o mais rápido possível.
“Agora nossa tarefa é substituir o protocolo em todos os dispositivos, o que não é uma tarefa fácil.” —Lily Chen, NIST
Esses padrões provavelmente serão um grande elemento do futuro da Web. Os padrões de criptografia anteriores do NIST, desenvolvidos na década de 1970, são usados em quase todos os dispositivos, incluindo roteadores de Web, telefones e laptops, diz Lírio Chenchefe do grupo de criptografia do NIST que liderou o processo de padronização. Mas a adoção não vai acontecer da noite para o dia.
“Hoje, a criptografia de chave pública é usada em todos os lugares, em todos os dispositivos”, diz Chen. “Agora, nossa tarefa é substituir o protocolo em todos os dispositivos, o que não é uma tarefa fácil.”
Por que precisamos de criptografia pós-quântica agora
A maioria dos especialistas acredita que os computadores quânticos em larga escala não serão construídos para pelo menos mais uma década. Então por que o NIST está preocupado com isso agora? Há duas razões principais.
Primeiro, muitos dispositivos que usam segurança RSA, como carros e alguns dispositivos IoT, devem permanecer em uso por pelo menos uma década. Então, eles precisam ser equipados com criptografia segura quântica antes de serem lançados no campo.
“Para nós, não é uma opção apenas esperar para ver o que acontece. Queremos estar prontos e implementar soluções o mais rápido possível.” —Richard Marty, Serviços Financeiros LGT
Em segundo lugar, um indivíduo nefasto poderia potencialmente descarregar e armazenar dados encriptados hoje, e desencriptá-los quando tivessem um tamanho suficientemente grande. computador quântico vem on-line. Este conceito é chamado de “colha agora, decifre depois“e, por sua natureza, representa uma ameaça aos dados confidenciais agora, mesmo que esses dados só possam ser decifrados no futuro.
Especialistas em segurança em vários setores estão começando a aceitar a ameaça dos computadores quânticossério, diz Joost Renesarquiteto de segurança principal e criptógrafo em Semicondutores NXP. “Em 2017, 2018, as pessoas perguntavam ‘O que é um computador quântico?’”, diz Renes. “Agora, elas perguntam ‘Quando os padrões PQC sairão e qual deles devemos implementar?’”
Ricardo Martydiretor de tecnologia da LGT Serviços Financeirosconcorda. “Para nós, não é uma opção apenas esperar para ver o que acontece. Queremos estar prontos e implementar soluções o mais rápido possível, para evitar a coleta agora e descriptografar depois.”
Competição do NIST para o melhor algoritmo de segurança quântica
O NIST anunciou uma concurso público para o melhor algoritmo PQC em 2016. Eles receberam impressionantes 82 inscrições de equipes em 25 países diferentes. Desde então, o NIST passou por 4 rodadas de eliminação, finalmente reduzindo o grupo para quatro algoritmos em 2022.
Este longo processo foi um esforço de toda a comunidade, com o NIST recebendo contribuições da comunidade de pesquisa criptográfica, da indústria e de partes interessadas do governo. “A indústria forneceu um suggestions muito valioso”, diz Chen, do NIST.
Esses quatro algoritmos vencedores tinham nomes que soavam intensos: CRYSTALS-Kyber, CRYSTALS-Dilithium, Sphincs+ e FALCON. Infelizmente, os nomes não sobreviveram à padronização: os algoritmos agora são conhecidos como Federal Data Processing Normal (FIPS) 203 a 206. FIPS 203, 204 e 205 são o foco do anúncio de hoje do NIST. O FIPS 206, o algoritmo anteriormente conhecido como FALCON, deve ser padronizado no remaining de 2024.
Os algoritmos se dividem em duas categorias: criptografia geral, usada para proteger informações transferidas por uma rede pública, e assinatura digital, usada para autenticar indivíduos. Assinaturas digitais são essenciais para prevenir ataques de malware, diz Chen.
Todo protocolo de criptografia é baseado em um problema matemático que é difícil de resolver, mas fácil de verificar quando você tem a resposta correta. Para RSA, é fatorar números grandes em dois primos — é difícil descobrir quais são esses dois primos (para um computador clássico), mas quando você tem um, é direto dividir e obter o outro.
“Temos alguns casos de (PQC), mas para uma transição completa, não posso dar um número, mas há muito a fazer.” —Richard Marty, Serviços Financeiros LGT
Dois dos três esquemas já padronizados pelo NIST, FIPS 203 e FIPS 204 (bem como o próximo FIPS 206), são baseados em outro problema difícil, chamado criptografia de rede. A criptografia de treliça repousa no problema complicado de encontrar o menor múltiplo comum entre um conjunto de números. Geralmente, isso é implementado em muitas dimensões, ou em uma treliça, onde o menor múltiplo comum é um vetor.
O terceiro esquema padronizado, FIPS 205, é baseado em funções hash—em outras palavras, converter uma mensagem em uma sequência criptografada que é difícil de reverter
Os padrões incluem o código de computador dos algoritmos de criptografia, instruções sobre como implementá-lo e usos pretendidos. Há três níveis de segurança para cada protocolo, projetados para tornar os padrões à prova do futuro, caso algumas fraquezas ou vulnerabilidades sejam encontradas nos algoritmos.
Criptografia de rede sobrevive a alarmes sobre vulnerabilidades
No início deste ano, um pré-impressão publicado para o arXiv alarmou a comunidade PQC. O artigo, de autoria de Yilei Chen da Universidade Tsinghua em Pequim, alegou mostrar que a criptografia baseada em lattice, a base de dois dos três protocolos do NIST, não period, de fato, imune a ataques quânticos. Em uma inspeção mais aprofundada, o argumento de Yilei Chen revelou ter uma falha — e a criptografia de lattice ainda é considerada segura contra ataques quânticos.
Por um lado, esse incidente destaca o problema central no coração de todos os esquemas de criptografia: não há prova de que qualquer um dos problemas matemáticos nos quais os esquemas são baseados sejam realmente “difíceis”. A única prova, mesmo para os algoritmos RSA padrão, é que as pessoas têm tentado quebrar a criptografia por um longo tempo, e todas falharam. Como os padrões de criptografia pós-quântica, incluindo criptografia de rede, são mais novos, há menos certeza de que ninguém encontrará uma maneira de quebrá-los.
Dito isso, o fracasso dessa última tentativa só aumenta a credibilidade do algoritmo. A falha no argumento do artigo foi descoberta em uma semana, sinalizando que há uma comunidade ativa de especialistas trabalhando nesse problema. “O resultado desse artigo não é válido, o que significa que o pedigree da criptografia baseada em rede ainda é seguro”, diz Lily Chen do NIST (sem parentesco com Yilei Chen da Universidade de Tsinghua). “As pessoas tentaram arduamente quebrar esse algoritmo. Muitas pessoas estão tentando, elas tentam arduamente, e isso realmente nos dá confiança.”
O anúncio do NIST é emocionante, mas o trabalho de transição de todos os dispositivos para os novos padrões apenas começou. Vai levar tempo e dinheiro para proteger totalmente o mundo da ameaça dos futuros computadores quânticos.
“Passamos 18 meses na transição e gastamos cerca de meio milhão de dólares nela”, diz Marty da LGT Monetary Companies. “Temos algumas instâncias de (PQC), mas para uma transição completa, não posso dar um número, mas há muito a fazer.”
Artigos do seu website
Artigos relacionados na Internet