Специалисты компании Fujitsu провели исследование, которое может служить ответом на угрозу взлома RSA-ключей с помощью квантовых компьютеров. По данным компании, эта опасность крайне преувеличена. Запуск алгоритма на 39-кубитовом симуляторе показал, что до появления настоящей угрозы RSA-шифрованию пройдут долгие годы.

Источник изображения: Pixabay

Команда Fujitsu работала с одной из версий алгоритма Шора, который позволяет раскладывать большие числа на простые множители с помощью квантовых вычислителей. В рамках эксперимента удалось факторизовать 96 целых чисел типа RSA (произведение двух различных нечетных простых чисел) от N=15 до N=511 и подтвердить, что программа общего назначения может генерировать правильные квантовые схемы.

Затем специалисты использовали программу для генерации симулятора квантовых схем, с помощью которых они разложили на простые множители несколько RSA-ключей длиной от 10 до 25 бит и оценили требуемые ресурсы квантовых схем для взлома ключа длиной 2048 бит. Согласно расчётам, для факторизации числа RSA-2048 потребуется примерно 10 тыс. кубитов и 2,25 трлн вентилей с ними связанных (логических элементов). При этом отказоустойчивый квантовый компьютер с такой архитектурой должен будет работать 104 дня.

На основе расчётов команда Fujitsu сделала вывод, что до взлома с помощью алгоритмов Шора RSA-ключей криптографически значимой длины пройдут ещё многие годы, поскольку появление системы с 10 тыс. кубитов или классических компьютеров для её симуляции — этот вопрос довольно неблизкого будущего.

Исследование Fujitsu стало ответом на недавнюю статью китайских учёных, которые утверждают о возможности взломать ключ RSA-2048 с помощью квантовой системы на основе всего 372 кубитов. Китайцы использовали для доказательства концепции настоящий квантовый вычислитель на 10 сверхпроводящих кубитах. Они утверждают, что испытали алгоритм, кратно ускоряющий факторизацию. Использовали специалисты Fujitsu подобную оптимизацию или нет, не сообщается. Команда Fujitsu работала на суперкомпьютере Fugaku на архитектуре ARM, что, возможно, могло ограничить её специалистов в выборе алгоритмов.

Позже на этой неделе ожидается более подробный доклад о работе, которая будет представлена на конференции Symposium on Cryptography and Information Security 2023. Возможно мы узнаем больше подробностей.

В конце декабря была представлена работа группы китайских учёных, которая продемонстрировала возможность взлома достаточно длинных RSA-ключей с помощью современных квантовых компьютеров. В работе рассказано о первом в истории взломе 48-битного ключа системой всего из 10 сверхпроводящих кубитов. Для взлома ключа RSA-2048 потребуется не более 400 кубитов, что уже находится в диапазоне современных возможностей. RSA — всё?

Источник изображения: Pixabay

Как известно, с помощью квантового компьютера и квантового алгоритма Шора можно легко и просто разложить (факторизовать) большие числа на простые множители и, тем самым, намного быстрее, чем на классическом компьютере расшифровать ключ или сообщение. Единственная проблема с запуском алгоритма Шора в том, что для факторизации криптографически значимых длинных ключей требуются квантовые системы из сотен тысяч, если не миллионов кубитов.

С тех пор, как алгоритм Питера Шора стал известен, учёные пытаются масштабировать его, чтобы взлом RSA не был таким ресурсоёмким для квантовых систем. Одну из идей как это сделать в своё время выдвинул российский физик Алексей Китаев. В 2016 году группа физиков Массачусетского технологического института и Инсбрукского университета создала квантовый компьютер, который подтвердил масштабирование при выполнении алгоритма Шора. Но для серьёзного прорыва этого было недостаточно.

Китайские учёные располагали достаточно скромной квантовой системой и хотели большего. Они воспользовались рекомендациями другого специалиста по криптографии — Клауса-Питера Шнорра, который весной прошлого года предложил методику, значительно ускоряющую факторизацию.

Работа Шнорра была раскритикована специалистами, как неспособная выдержать масштабирование до взлома длинных ключей, «смерть» которых действительно могла бы закрыть историю с RSA-шифрованием. Но китайские исследователи утверждают, что нашли возможность обойти это ограничение и на практике это доказали, взломав 48-битный ключ 10-кубитной квантовой системой, а также уверяют, что метод работает для взлома ключей криптографически значимой длины.

По факту китайцы объединили классические методы факторизации с уменьшением решетки с алгоритмом квантовой приближенной оптимизации (QAOA). Согласно их расчётам, для взлома ключа RSA-2048 потребуется всего 372 кубита. Подобная система, например, скоро будет у компании IBM. Процессор IBM Osprey открывает доступ к 433 кубитам. Если за словами китайских учёных что-то есть, то до взлома RSA-2048 квантовыми компьютерами осталось не больше пары лет.

Стало известно о том, что консорциум, возглавляемый американской инвестиционной компанией Symphony Technology Group, договорился о покупке подразделения Dell Technologies, работающего в сфере информационной безопасности за $2,075 млрд. Об этом говорится в сообщении, которое было опубликовано на официальном веб-сайте Dell.

Подразделение RSA предлагает компаниям решения, предназначенные для обеспечения кибербезопасности, оценки и управления рисками, а также выявления, оперативного реагирования и расследования разного рода инцидентов. Разработки подразделения способствуют снижению рисков, связанных с кражей интеллектуальной собственности, мошенничеством и другими видами киберугроз. В сообщении говорится о том, что в настоящее время свыше 12 500 клиентов используют решения RSA для противостояния различным киберугрозам. Предполагается, что в рамках озвученной сделки нового хозяина обретут такие продукты, как RSA Archer, RSA NetWitness Platform, RSA SecurID, RSA Fraud and Intelligence и RSA Conference. Известно, что стороны пришли к окончательным договорённостям, поэтому сделка может быть полностью завершена в течение ближайших шести-девяти месяцев.

«Являясь одним из мировых лидеров в сфере обеспечения информационной безопасности, RSA предоставляет прекрасную возможность для решения некоторых быстроразвивающихся проблем клиентов, связанных с цифровым преобразованием. Покупка RSA будет способствовать нашему стремлению максимально эффективно использовать возможности талантливых и опытных сотрудников совместно с огромным потенциалом для роста RSA», — сказал один из руководителей Symphony Technology Group Уильям Чисхолм (William Chisholm).

«Это правильная долгосрочная стратегия для Dell, RSA, наших партнёров и клиентов. Сделка позволит упростить ведение бизнеса компании, поскольку портфель предлагаемых продуктов сократится», — прокомментировал ситуацию Джефф Кларк (Jeff Clarke), вице-президент компании Dell Technologies.

Программистам удалось посрамить электронщиков. Без улучшения аппаратной платформы ― фактически с опережением того самого пресловутого закона Мура ― группе исследователей по безопасности удалось поставить новый рекорд по взлому ключа RSA, который до сих пор удавалось вычислить. Подчеркнём ещё раз, рекорд поставлен не на росте голой производительности компьютерного «железа», а благодаря усовершенствованным алгоритмам для разложения большого числа на простые множители и с использованием улучшенной методики вычисления дискретного логарифма.

Многие алгоритмы шифрования с открытым ключом опираются на чрезвычайно большие числа, которые, в свою очередь, получаются путём перемножения двух или более простых чисел. Простые числа в данном случае служат секретными ключами, которые позволяют получить нужный ключ и расшифровать сообщение. Аналогичным образом используется сложность в нахождении дискретного логарифма. Разложение достаточно больших чисел на простые множители и вычисление дискретного логарифма ― это задачи, которые не подлежат взлому, а только вычислению. Все большие числа, которые можно разложить на простые в разумное время, являются скомпрометированными и для повышения защиты шифрования их разрядность необходимо увеличивать.

Новый рекорд, поставленный специалистами, позволил разложить на простые числа ключ RSA-240 длиной 240 десятичных разрядов или 795 бит. Эта же самая команда исследователей смогла вычислить дискретный логарифм такой же длины. Предыдущий рекорд разложения на простые множители был поставлен в 2010 году. Тогда удалось взломать ключ RSA с разрядностью 768 бит или с 232 десятичными разрядами. Простой дискретный логарифм для этой разрядности смогли вычислить в 2016 году. Похоже, ключ RSA 1024 бит в опасности и для надёжного шифрования данных необходимо переходить на 2048-разрядные ключи.

Важнейшим моментом исследования стал факт ускорения вычислений на той же самой аппаратной платформе, которая использовалась в 2016 году. По идее этого не должно было произойти. Растущая сложность вычисления дискретного логарифма длиной 795 бит должна была потребовать в 2,5 раза больших аппаратных ресурсов, чем для вычисления 768-битного числа. Фактически расчёты оказались в 1,33 раза быстрее, что говорит о 3-кратном превосходстве предсказания. Ускорение расчётов исследователи связали с обновлениями в программном обеспечении с открытым исходным кодом, которое опирается на вычисления с использованием метода решета числового поля (Number Field Sieving). Такой пакет как CADO-NFS содержит 300 тыс. строк кода, написанного на C и C ++.

Сумма времени для обоих новых рекордов составляет около 4000 ядро-лет. Аппаратная платформа для решения этой задачи состояла из процессоров Intel Xeon Gold 6130 с тактовой частотой 2,1 ГГц. На вычисление RSA-240 методом NFS ушло 800 ядро-лет, а матричным методом ― 100 ядро-лет. Вычисление логарифма DLP-240 методом NFS потребовало 2400 ядро-лет, а матричным ― 700 ядро-лет. Если не скупиться на ядра, взлом достаточно больших чисел в ключах RSA становится возможен в разумные сроки. Границу «безопасной» разрядности пора отодвигать.

Многие считают протоколы шифрования панацеей от всех бед, но и в средствах защиты часто находятся «дыры», которые могут использовать злоумышленники. Обнаруженная командой из 15 исследователей уязвимость касается ресурсов, использующих популярнейший протокол HTTPS. Она подвергла опасности более 11 млн веб-сайтов и почтовых сервисов. С помощью найденной бреши в безопасности можно провести атаку (она получила имя DROWN, сокращённо от Decrypting RSA with Obsolete and Weakened eNcryption0) с низкой стоимостью, которая расшифровывает сообщения всего за несколько часов. В некоторых случаях это время даже сокращается до нескольких минут.

Ars Technika

Предложенная атака работает против коммуникаций с защитой TLS, использующих криптосистему RSA. Уязвимость позволяет атакующему расшифровать TLS-соединение с помощью повторяющихся попыток соединения с сервером по устаревшему протоколу SSLv2. В ходе этого процесса злоумышленник по крупицам собирает информацию о ключе шифрования. Хотя эксперты по безопасности полагали, что исключение поддержки SSLv2 из браузеров и почтовых клиентов позволит избежать подобных ситуаций, некоторые не надлежащим образом сконфигурированные реализации TLS оставляют лазейку для хакеров. Самой известной такой уязвимой реализацией является криптографическая библиотека OpenSSL, для которой было выпущено соответствующее обновление. В стандартных настройках поддержка SSLv2 отключена, но администраторы иногда неосознанно активируют её для оптимизации таких приложений, как Apache, Nginx, Sendmail или Postfix.

Ars Technika

Сканирование Интернета показало, что более 5,9 млн веб-серверов непосредственно используют SSLv2. Кроме того, не менее 936 тысяч e-mail-серверов с TLS-защитой также поддерживают небезопасный протокол. И это несмотря на настоятельные рекомендации специалистов отключать SSLv2. Даже если сам сервер не поддерживает SSLv2, но пара асимметричных ключей используется на любом другом сервере, который поддерживает SSLv2, то атака возможна.

Так как информация об уязвимости стала публичной, то позаботиться об устранении «дыры» стоит как можно быстрее.

Многие эксперты безопасности отказались принять участие в конференции RSA, протестуя против секретных договоренностей, якобы существующих между компанией и американским Агентством национальной безопасности.

Так, исследователи ссылаются на информацию, переданную Эдвардом Сноуденом и опубликованную информагентством Reuters в прошлом месяце. Согласно обнародованным данным, АНБ заплатило компании RSA Security $10 млн за установку генератора случайных чисел Dual_EC_DRBG в качестве алгоритма по умолчанию для шифрования в BSAFE.

Эксперты напомнили, что бреши в Dual_EC_DRBG, позволяющие установить в системе бэкдор, были обнаружены еще в 2006 году, однако RSA предупредила пользователей об опасности и посоветовала не использовать технологию только в сентябре прошлого года.

Примечательно, что свой визит на конференцию уже отменил глава финской компании F-Secure Микко Хиппонен (Mikko Hyppönen), который планировал выступить с докладом на тему «Правительства — главные авторы вредоносных программ». По словам эксперта, он не ожидал, что другие участники конференции последуют его примеру, однако несколько исследователей решили бойкотировать проведение в следующем месяце конференции в Сан-Франциско, которая, по традиции, является крупнейшим мероприятием по информационной безопасности.

Среди тех, кто отказался принимать участие в конференции, оказались основатель и глава Taia Global Джефри Карр (Jeffrey Carr), инженер по безопасности программного обеспечения Google Крис Палмер (Chris Palmer), руководитель отдела глобальной конфиденциальности и общественной политики Mozilla Алекс Фаулер (Alex Fowler), юрист по цифровым правам EFF Марсия Хофманн (Marcia Hofmann) и другие. По словам экспертов в сфере ИБ, бойкот конференции просто необходим.

Примечательно, что сразу после отказа от участия в мероприятии Джефри Карр призвал общественность отказаться от покупки продукции RSA.

Ещё в прошлом году председатель компании Google Эрик Шмидт предрекал, что единственной защитой от слежки правительства может быть только одно решение — шифровать буквально всё. Но и шифрование не панацея, считают в издании Washington Post.

extremetech.com

Как сообщает источник, правительство США усиленно продвигает проект по созданию квантового компьютера, который сможет «взламывать» практически все известные на сегодня алгоритмы с открытым ключом. Мощности этого компьютера будет достаточно как для атак обычных защищенных веб-сайтов, так и ресурсов, содержащих секреты государственного уровня, утверждают в Washington Post.

thenextweb.com

Журналисты со ссылкой на Эдварда Сноудена сообщают, что АНБ проводит секретные эксперименты в больших экранированных камерах, защищенных от утечки электромагнитной энергии. Такие условия необходимы для проведения деликатных исследований в области квантовых вычислений. Эти эксперименты являются частью исследовательской программы «Достижение труднодоступных целей» с бюджетом почти $80 млн.

Вместе с тем Сноуден отметил, что на сегодняшний день АНБ не смогло продвинуться к созданию квантового компьютера ближе, чем общемировое научное сообщество. Но работа АНБ в этом направлении остаётся фактом и компании, работа которых тесно завязана на Интернет, должны быть готовы, что традиционная криптография в один прекрасный день перестанет быть спасательным кругом.

Представители RSA категорически отрицают информацию о том, что Агентство национальной безопасности (АНБ) США встроило бэкдор в набор инструментов BSafe. Об этом, напомним, стало известно из очередной порции секретных документов Эдварда Сноудена. При этом компанию также заподозрили в получении $10 миллионов за ослабление своих стандартов шифрования.

Экс-сотрудник американского ведомства раскрыл данные о том, что в предложенном АНБ генераторе крипто-последовательностей Dual EC DRBG (используется в BSafe) были преднамеренно размещены критические уязвимости, позволяющие следить за клиентами RSA.

Разработчики инструмента шифрования, в свою очередь, уверяют, что они «никогда не раскрывали конфиденциальные данные своих клиентов», а также «никогда не предпринимали каких-либо действий, направленных на ослабление надежности продуктов RSA».

Вместе с тем, тщательно сформированное заявление компании не дает возможности судить о том, действительно ли она получала от разведывательной организации Соединённых Штатов оплату за что-либо.

Группа европейских и американских математиков и криптографов обнаружила неожиданную уязвимость в системе шифрования с открытым ключом RSA, которая широко используется при онлайн-покупках, в интернет-банкинге, для защиты электронной почты и множества других онлайн-сервисов.

При генерации RSA-ключей используется случайный выбор больших простых чисел. Ученые утверждают, что механизм случайной генерации этих чисел не всегда срабатывает корректно. Хотя данная уязвимость проявляется в очень малом количестве случаев, всё же оставлять её без внимания нельзя. Из каждой тысячи сгенерированных ключей два оказываются небезопасными, согласно статистическим данным, полученным в результате исследования.

Была протестирована база данных, включающая 7,1 млн RSA-модулей, которые использовались для шифрования электронных писем, банковских онлайн-транзакций и других данных, требующих защиты. 27 тысяч из них оказались небезопасными и по ним можно было восстановить секретные ключи.

Эксперты заняты вопросом, почему генераторы случайных чисел выдают некорректные результаты.

Материалы по теме:

• TrueCrypt 7.1a: шифрование данных;
• Google зашифрует данные пользователей;
• Ультрабезопасные пластиковые карты выходят на рынок;
• Предложен безопасный вид передачи данных между смартфонами в виде вспышек на дисплее.

Источник:

• NY Times