เมื่อเร็ว ๆ นี้ NSA (เผยแพร่ซ้ำ?) หลักเกณฑ์ CNSA และข้อมูลบางอย่างเกี่ยวกับคอมพิวเตอร์ยุคหลังควอนตัม (ตามชื่อเรื่องของเอกสาร)
นี่คือลิงค์เพื่อความสะดวก (เอกสารนี้มีชื่อว่า 'Quantum Cryptography and Post-Quantum Computing' หากคุณไม่ต้องการไปที่ลิงก์โดยตรง)
ข้อแตกต่างที่เห็นได้ชัดเจนในชุดใหม่คือ แนะนำให้ใช้คีย์เสริม EC-384 เป็นอย่างน้อยจากการอ่านเอกสาร ปรากฏว่ามาตรฐานเหล่านี้ไม่ได้มีไว้สำหรับภาครัฐหรือผู้รับเหมาเอกชนที่จัดการเอกสารลับเท่านั้น ทุกคน (ภาครัฐและเอกชน).
ตัวอย่างเช่น คำถามหนึ่งที่ถูกโพสต์ในเอกสารของพวกเขาคือ "ข้อมูลที่ฉันมีใน NSS เฉพาะของฉันต้องการการป้องกันเพียงช่วงสั้นๆ เท่านั้น ฉันจำเป็นต้องปฏิบัติตามความแข็งแกร่งของอัลกอริทึมที่เพิ่มขึ้นของ CNSSP-15 หรือไม่" (โปรดจำไว้ว่าสิ่งเดียวที่ 'เพิ่ม' ในความแข็งแกร่งในที่นี้คือการทิ้ง SHA-256 & EC-384)
คำตอบสำหรับคำถามนั้นคือ "NSA กำหนดอัลกอริทึมการเปลี่ยนผ่านสำหรับ NSS เพื่อให้เป็นไปตามมาตรฐานทั่วไปและเพื่อให้แน่ใจว่าสามารถทำงานร่วมกันได้ นักพัฒนาและผู้ดำเนินการ NSS ควรเปลี่ยนไปปฏิบัติตามหรือปรึกษากับ NSA เกี่ยวกับปัญหาที่เกี่ยวข้องในสถานการณ์เฉพาะของตน"
ฉันใช้สิ่งนี้เพื่อหมายความว่าในเวลาที่พวกเขาตีพิมพ์ว่า EC-256 & SHA-256 ถูกพิจารณาว่าตายในน้ำ
ฉันดึง NIST SP 800-56A Rev3 ขึ้นมาเพื่อรวบรวมข้อมูลเพิ่มเติม และโดยพื้นฐานแล้วเอกสารนั้นระบุว่าแม้แต่ข้อมูลที่ไม่เป็นความลับก็ดูเหมือนจะเป็น ไม่ไป เมื่อมาถึงเส้นโค้งที่ต่ำกว่า EC-384
พวกเขากล่าวว่า "D/A วางแผนที่จะปรับใช้ ECC กับ P-256 อาจต้องมีการเปลี่ยนแปลงเพิ่มเติม (เช่น เป็น P-384) ก่อนที่อัลกอริธึมการต่อต้านควอนตัมจะเข้าถึงตลาดได้อย่างเพียงพอ" พวกเขาระบุว่าเจตนาคือเพื่อหลีกเลี่ยง "การกระโดด" ให้ได้มากที่สุดเท่าที่จะเป็นไปได้ (?) จากนั้นจึงจบด้วยการระบุว่า "ดังนั้น D/As จึงวางแผนที่จะปรับใช้ ECC ด้วยเส้นโค้งอื่นที่ไม่ใช่ P-384 เพื่อปกป้อง NSS ที่ไม่ได้รับการยกเว้น หรือเพื่อให้ชุมชนของ การแยกดอกเบี้ยปรึกษากับ NSA ก่อนดำเนินการต่อ"
โพสต์บล็อกนี้โดย 'Atsec Security' เสนอแนะว่าต้องทำการเปลี่ยนแปลงและเสร็จสิ้นภายในเดือนกันยายน 2564 (เพิ่งผ่านพ้นไป)
ตัวอย่างที่ชัดเจนในที่นี้เริ่มต้นด้วย Bitcoin และสกุลเงินดิจิทัลทั้งหมด Bitcoin ใช้ secp256k1 & SHA-256 เนื่องจาก Bitcoin เพิ่งมีมูลค่าสูงถึง 1 ล้านล้านดอลลาร์ในวันนี้ ใคร ๆ ก็สามารถสันนิษฐานได้ว่าหากมี ใดๆ วิธีการเข้ารหัสลับที่บางคนพบว่าอยู่ในขอบเขตของการปฏิบัติจริง (กล่าวคือสามารถถอดรหัสอย่างน้อยหนึ่งคีย์ภายในหนึ่งปี บางทีฉันไม่รู้ นั่นอยู่เหนือหัวของฉัน) ดังนั้นโปรโตคอลทั้งหมดนี้จึงมีปัญหา
ทุกท่านจะเห็นด้วยหรือไม่เห็นด้วย? และถ้าคุณไม่เห็นด้วย ทำไม? นอกจากนี้ Cloudflare ยังออกใบรับรองที่มีความแข็งแกร่งเริ่มต้น EC-256 / SHA-256 มาระยะหนึ่งแล้ว การเชื่อมต่อกับเว็บไซต์เหล่านั้นยังถือว่าปลอดภัยได้หรือไม่?
ฉันต้องการมาที่นี่ก่อนเพื่อรับฟังความคิดเห็นจากผู้เชี่ยวชาญก่อนที่จะกระจายข้อมูลที่ผิด/ตื่นตระหนกไปที่อื่น
NSA ถอด EC-256 และ SHA-256 ออกจาก CNSA เมื่อเร็วๆ นี้ เราควรตื่นตระหนกกับเรื่องนี้หรือไม่?
เลขที่
มีเหตุผลท่วมท้นประการหนึ่งดังที่ระบุไว้ในเอกสาร:
ระบบการเข้ารหัสที่ NSA ผลิต รับรอง และสนับสนุนมักจะมีวงจรชีวิตที่ยาวนานมาก NSA ต้องจัดทำข้อกำหนดในวันนี้สำหรับระบบที่จะใช้เป็นเวลาหลายทศวรรษในอนาคต และข้อมูลที่ได้รับการปกป้องโดยระบบเหล่านี้จะยังคงต้องการการป้องกันด้วยการเข้ารหัสเป็นเวลาหลายทศวรรษหลังจากโซลูชันเหล่านี้ถูกแทนที่
มาตรฐาน NSA และมาตรฐาน NIST สำหรับ "อุตสาหกรรม" นั้นไม่เหมือนกันจากมุมมองของการนำไปใช้งาน หากคุณต้องการให้เว็บเซิร์ฟเวอร์ของคุณเริ่มใช้เส้นโค้ง 512 บิตแทน 256 คุณอาจต้องอัปเกรด opensl แต่โดยปกติจะใช้เวลาน้อยกว่า วันเพื่อทำการเปลี่ยนแปลงเมื่อได้รับอนุญาต ในทางกลับกัน อุปกรณ์ฮาร์ดแวร์ที่ผ่านการรับรองจาก NSA นั้นใช้งานโดยผู้ปฏิบัติงานในที่กำบังลึก ไม่ใช่เรื่องง่ายที่จะเปลี่ยน นอกจากนี้ วิทยุ milspec, การสื่อสารผ่านดาวเทียม, ฮาร์ดแวร์ระบบสื่อสารที่ติดตั้งในเรือดำน้ำ.... ไม่มีสิ่งใดถูกแทนที่บ่อยครั้ง และอาจมีการทดสอบมากกว่าทศวรรษหลังจากการออกแบบเสร็จสิ้น สิ่งเดียวกันกับช่วงเวลาการหมุนเวียนคีย์และระยะเวลาที่ข้อมูลอาจต้องเก็บเป็นความลับ ทั้งหมดนี้นานขึ้นเพื่อความปลอดภัยของชาติ
เมื่อ "อุตสาหกรรม" ตั้งค่าระดับความปลอดภัยให้ต่ำกว่า 128 บิตในเวลาประมาณ 8 ปี และอาจต่ำกว่า 160 บิตในทศวรรษต่อมา ลองคิดเลขดูสิว่ามาตรฐาน NSA อาจต้องการความปลอดภัยมากกว่าอุตสาหกรรมประมาณ 2 ทศวรรษ.. . และนี่คือข้อเท็จจริงที่กล่าวถึงในเอกสาร:
การเข้ารหัสใหม่อาจใช้เวลา 20 ปีขึ้นไปในการนำไปใช้กับระบบรักษาความปลอดภัยแห่งชาติทั้งหมดอย่างสมบูรณ์
ตอนนี้จึงทำให้ สมบูรณ์แบบ รู้สึกว่าพวกเขากำลังพยายามที่จะนำหน้าแนวโน้มที่มีการจัดทำเป็นเอกสารไว้อย่างดีและเข้าใจเกี่ยวกับขนาดคีย์สำหรับใช้ในอนาคต แต่จำเป็นต้องดำเนินการทันทีเนื่องจากกรอบเวลาที่ยาวนานที่เกี่ยวข้องกับการตรวจสอบความถูกต้อง การซื้อ และการเปลี่ยนฮาร์ดแวร์และซอฟต์แวร์ใหม่
การทิ้ง SHA-256 สำหรับ SHA-384 นั้นมีเหตุผลหลายประการ สิ่งแรกและสำคัญที่สุด คุณต้องใช้เส้นโค้ง 384 บิตหรือใหญ่กว่า ประการที่สองคือประสิทธิภาพบนแพลตฟอร์ม 64 บิต และประการที่สามคือการใช้ฐานรหัสร่วมกันร่วมกับ SHA-512 ที่ใหญ่กว่าสำหรับการใช้งานแบบอสมมาตรที่ยังคงกำหนดเป้าหมายความปลอดภัย 256 บิต
นั่นทำให้เรากลับไปที่การทิ้ง P-256...เป็นเรื่องใหญ่ ณ จุดนี้หรือไม่? ในปี 2041 หรืออีก 20 ปีข้างหน้า มันจะไม่เป็นอย่างนั้นอย่างแน่นอน และนั่นคือเหตุผลที่เราไม่ควรตื่นตระหนกแม้แต่น้อย ผมคาดว่าการรักษาความปลอดภัยแบบ 160 บิตจะเป็นขั้นต่ำ แม้แต่สำหรับแอปพลิเคชันพลเรือนที่มีความปลอดภัยต่ำ สำหรับ AES ในขณะนี้ นั่นหมายถึง 192 บิตหรือใหญ่กว่า พร้อมรูปแบบลายเซ็น 384 บิตที่ตรงกัน และนั่นคือสิ่งที่ระบุไว้ในเอกสาร
หากคุณจำการแข่งขัน AES ได้ อายุการใช้งานเป้าหมายคือจนถึงปี 2030 ดังนั้นในปี 2041 เราอาจจะใช้รหัสบล็อกใหม่แฟนซีจากการแข่งขันรายอื่นแล้ว แน่นอนว่า AES สามารถรองรับการโจมตีทางคณิตศาสตร์ได้ดีมาก
จากการอ่านเอกสาร ปรากฏว่ามาตรฐานเหล่านี้ไม่ได้มีไว้สำหรับภาครัฐหรือผู้รับเหมาเอกชนที่จัดการเอกสารลับเท่านั้น ทุกคน (ภาครัฐและเอกชน).
ไม่จริง นี่เป็นเฉพาะเกี่ยวกับผลิตภัณฑ์เชิงพาณิชย์ที่ใช้การเข้ารหัสเพื่อใช้งานโดยรัฐบาลสหรัฐฯ ซึ่งใช้อัลกอริทึมที่ไม่จัดประเภทจากชุด CNSA เชิงพาณิชย์ในที่นี้อาจหมายถึงการปิดร้านหรือพัฒนาโดยผู้รับเหมาเพื่อตอบสนองความต้องการของรัฐบาล ผลิตภัณฑ์เหล่านี้ยังคงต้องได้รับการตรวจสอบความถูกต้องโดยใช้เกณฑ์อื่น ๆ แต่จะต้องใช้งานอัลกอริทึมที่ระบุไว้ในขณะที่ไม่ใช้อัลกอริทึมที่ไม่ต้องการข้อกำหนดด้านความปลอดภัยขั้นต่ำ (จำเป็นต้องอ้างอิงในข้อกำหนดนั้น) แม้ว่าผลิตภัณฑ์เหล่านี้อาจยังคงใช้อัลกอริทึม Suite B ที่มีความปลอดภัยสูง อย่างน้อยก็ตอนนี้.
ดังนั้น ให้โฟกัสที่วิธีที่เอกสารจัดการกับภัยคุกคามควอนตัมแทน: ใช้อัลกอริทึมแบบสมมาตรหรือรอจนกว่าชุด CNSA จะได้รับการอัปเดตด้วยอัลกอริทึมแบบอสมมาตรที่ทนทานต่อควอนตัม (เกือบจะเป็นแบบตาข่าย) หลังจากที่ NIST เผยแพร่ร่างมาตรฐานในช่วงระหว่างปีหน้าถึงปี 2024
หากพวกเขาคลั่งไคล้การโจมตีด้วยควอนตัมจริง ๆ อาจเป็นเพราะพวกเขาพัฒนาการโจมตีจริงขึ้นมาเอง และกังวลว่าจีน/รัสเซีย/อิหร่านจะตามหลังอยู่ไม่ไกล และจะดำเนินการขั้นรุนแรงด้วยค่าใช้จ่ายจำนวนมาก
ฉันดึง NIST SP 800-56A Rev3 ขึ้นมาเพื่อรวบรวมข้อมูลเพิ่มเติม และโดยพื้นฐานแล้วเอกสารนั้นระบุว่าแม้แต่ข้อมูลที่ไม่ได้รับการจำแนกประเภทก็ดูเหมือนจะไม่ต้องดำเนินการเมื่อพูดถึงเส้นโค้งที่ต่ำกว่า EC-384
คุณเห็นมันที่ไหน? ภายใต้ ตารางที่ 24: เส้นโค้งวงรีที่ได้รับอนุมัติสำหรับข้อตกลงคีย์ ECCแม้แต่เส้นโค้ง 224 บิตและกลุ่มไพรม์ 2048 บิตก็ยังแสดงรายการอยู่ แม้ว่าจะมีความชัดเจนมากเกี่ยวกับระดับความปลอดภัยที่เป็นเป้าหมายก็ตาม มันบังเอิญมากที่ CNSA cherry ถ่ายภาพ algos ที่ตรงตามข้อกำหนดด้านความปลอดภัย การนำไปใช้งาน ความยืดหยุ่น และการทำงานร่วมกัน
มาตรฐาน NIST เกี่ยวกับการบอกว่าคุณได้รับอนุญาตให้ใช้สิ่งนี้ในขณะนี้ และเอกสารของ NSA นั้นเกี่ยวกับสิ่งที่คุณได้รับอนุญาตให้ใช้ เริ่ม ใช้ตอนนี้ มีการทับซ้อนกัน แต่จุดประสงค์แตกต่างกันมาก ไม่มีอะไรผิดปกติ อันที่จริงฉันจะพิจารณาไม่บังคับขนาดคีย์ที่ใหญ่กว่าที่กำหนดในเอกสารเพื่อให้บอกได้มากที่สุดว่าเราไม่ควรตื่นตระหนก... ดังนั้นอย่า ไม่ต้องตื่นตระหนก
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
