Спецпроекты

Безопасность Техника

Найден способ взлома постквантового шифрования

Уязвимости в механизме инкапсуляции ключей шифрования Kyber позволяют вычислять секретный ключ через анализ временной разницы. Проблема, впрочем, решается довольно простым способом.

Уязвимости в постквантовом шифровании

«Многочисленные уязвимости в механизме инкапсуляции ключей шифрования для постквантового шифрования Kyber могут приводить к тому, что ключи оказывается возможным извлечь», - утверждается в публикации издания Bleeping Computer. Эксперты компании Cryspen Гутам Тамвада (Goutam Tamvada), Картикеян Бхаргаван (Karthikeyan Bhargavan) и Францискус Кифер (Franziskus Kiefer) обозначили выявленные ими уязвимости в Kyber общим наименованием KyberSlash.

Механизмы инкапсуляции ключей (KEM) - это класс методов шифрования, предназначенных для защиты содержимого симметричного криптографического ключа при передаче с использованием асимметричного (открытого) ключа.

В свою очередь, постквантовым (или квантово-устойчивым) называется шифрование, которое достаточно устойчиво, чтобы противостоять попыткам взлома с применением (пока что гипотетических) квантовых компьютеров.

Хакеры нашли способ выкрасть секретный ключ постквантового шифрования

У механизма Kyber есть официальная реализация, которая называется CRYSTALS-Kyber, и которая входит в набор Cryptographic Suite for Algebraic Lattices (криптографический набор [алгоритмов] для алгебраических решеток). Эти алгоритмы одобрены американским Национальным институтом стандартов и технологий (National Institute of Standards and Technlology).

CRYSTALS-Kyber, в частности, использует мессенджер Signal (в качестве дополнительного слоя защиты).

Уязвимости KyberSlash связаны с тем, как Kyber осуществляет определенные операции деления при декапсуляции ключа: анализируя разницу во времени исполнения, потенциальные злоумышленники могут вычленить сведения, которые позволят скомпрометировать шифрование.

Например, если служба, использующая Kyber, допускает направление множественных запросов на операции к одной и той же паре ключей, то, измеряя разницу во времени выполнения этих операций оказывается возможным постепенно вычислить секретный ключ шифрования.

Патчи на подходе

Эксперты Cryspen проинформировали разработчиков Kyber о выявленных уязвимостях в ноябре, и уже первого декабря появился патч к первой уязвимости (из двух).

Однако это исправление вообще не было отмечено как что-либо, имеющее отношение к безопасности, так что далеко не все разработчики проектов, использующих Kyber, осознали, что им тоже следует принять меры.

С середины декабря эксперты Cryspen начали целенаправленно оповещать разработчиков о необходимости внести исправления. А 30 декабря стало известно о второй уязвимости в Kyber, вызванной теми же причинами, что и первая.

Разработчики VPN-продукта Mullvad утверждают, что, в их случае уязвимости в Kyber использовать невозможно, поскольку для каждого туннеля используется уникальная пара ключей.

«Соответствующие патчи уже выпущены, и владельцам проектов необходимо как можно скорее обновиться, но обновление защитит проекты только от этих двух конкретных уязвимостей. Если будет выявлена аналогичная проблема - возможность ее эксплуатации не исчезнет», - считает технический директор компании SEQ Алексей Водясов. По его словам, можно использовать и другой подход кроме обновления: уникальные ключи для каждого потока. «Это действенный метод предотвращения подобных атак, поскольку анализ разницы во времени оказывается невозможным, а значит, и сама атака - неосуществимой. Но здесь встает вопрос в том, насколько затратной оказывается генерация уникальных ключей», - заключил Алексей Водясов.

Роман Георгиев

Короткая ссылка