Рейтинг:1

Классические и квантово-безопасные алгоритмы и протоколы / Прикладной подход

флаг us
Moo

Изучаются различные предложения для сертификатов X509 V3 в мире постквантовой криптографии (PQC).

В настоящее время к ним относятся просто наличие сертификата для классического и PQ, наличие гибридного сертификата для классического и PQ с использованием расширений X509 или составных сертификатов, которые объединяют столько подписей в один большой двоичный объект, сколько необходимо. Если я правильно понимаю, первые два подхода представляют собой или функцию, то есть вы используете либо классическую, либо постквантовую сигнатуру. Составной подход может использовать все подписи, поэтому пользователям придется проверять все подписи, используемые в большом двоичном объекте.

Правильно ли это понимание?

У меня вопрос, когда вы доберетесь до уровня протокола. Гибкость шифрования определяется как способность системы безопасности быстро переключаться между алгоритмами, криптографическими примитивами и другими механизмами шифрования без значительного влияния этих изменений на остальную инфраструктуру системы.

Например, как промышленность рассматривает TLS? Существуют ли классический TLS и PQC TLS? Есть ли только два варианта протокола, которые, кажется, нарушают крипто-гибкость? Если их два, что нужно для переключения между ними в реальном экземпляре?

Другой подход заключается в использовании гибридного TLS, который позволяет выбирать классические алгоритмы или алгоритмы PQC при согласовании. Однако сколько лет потребуется на создание такого варианта органом стандартизации, ведь это сильно увеличивает сложность, но, может быть, в этом и смысл.Обратите внимание, что я знаю об открытом квантовом сейфе (https://openquantumsafe.org/), но все они создают только вариант PQ. Кроме того, в какой-то момент вы откажетесь от классических алгоритмов и будете поддерживать только PQ. Как мог произойти такой переход?

Такие же вопросы можно задать о SSH, OpenSSL, gnu utils и любом другом протоколе или приложении, использующем классические и квантово-безопасные алгоритмы.

Эти вещи просто не проработаны, и разработчикам протоколов и приложений потребуются годы, чтобы провести заседания рабочей группы, чтобы решить, как это будет сделано технически, логистически и тому подобное?

Рейтинг:1
флаг my

Изучаются различные предложения для сертификатов X509 V3 в мире постквантовой криптографии (PQC).

Правильно ли это понимание?

На мой взгляд, есть два основных способа иметь как классический, так и постквантовый сертификаты:

  • Иметь «гибридный» (или составной, или любую другую терминологию, с которой вам удобно) сертификат, который каким-то образом содержит как классические, так и постквантовые подписи и открытые ключи. Есть несколько предложенных способов, как это сделать, которые имеют технические различия, но на самом деле не имеют значения на этом высоком уровне. Что касается разногласий по И/ИЛИ, то мое мнение таково: вы всегда проверяете все подписи, которые вы знаете, как проверять, и отклоняете их, если какие-либо из них терпят неудачу (то есть И) — единственный вопрос, который возникает, — это если вы столкнетесь с публичным ключ, тип которого вы не понимаете...

  • В качестве альтернативы у нас может быть два отдельных сертификата, один чисто классический, а другой чисто постквантовый; мы бы изменили протокол, используя сертификаты, чтобы запрашивать оба сертификата и использовать оба открытых ключа. Преимущество этого заключается в том, что постквантовые сертификаты, вероятно, будут значительно длиннее; мы бы не стали увеличивать расходы тому, кто еще не поддерживает постквант.

Я не видел единого мнения относительно того, какой из этих двух вариантов имеет больше смысла; Я не удивлюсь, если разные способы использования сертификатов могут иметь разные подходы.

У меня вопрос, когда вы доберетесь до уровня протокола. Гибкость шифрования определяется как способность системы безопасности быстро переключаться между алгоритмами, криптографическими примитивами и другими механизмами шифрования без значительного влияния этих изменений на остальную инфраструктуру системы.

Например, как промышленность рассматривает TLS?

Я предполагаю, что эта часть говорит об аспекте конфиденциальности, а не об аутентификации.

Что касается TLS 1.3 (и в настоящее время кажется, что нет особых причин пересматривать более ранние версии TLS), то он в основном проработан: мы добавим дополнительные «именованные группы» [1], которые являются используемым алгоритмом обмена ключами. В дополнение к существующему (например, X25519) мы бы добавили один с именем «NTRU» (в котором будет указан набор параметров NTRU), а также «X25519+NTRU». Последнее будет реализовывать X25519 и NTRU параллельно; общими ключами будут X25519 и конкатенированные общие ключи NTRU, а общим секретом будут X25519 и конкатенированные общие ключи NTRU (TLS 1.3 имеет надежный KDF, поэтому конкатенация работает хорошо). Это подробно описано в этот проект IETF

Это упрощает путь обновления; клиенты будут предлагать группы имен X25519+NTRU и X25519; серверы, понимающие постквант, примут первое; серверы, которые не могли бы вернуться ко второму. Затем, когда придет время отказаться от классики, клиенты начнут предлагать NTRU (только); тот же путь обновления работает и там.

Я считаю, что OpenSSH идет по тому же пути (только с NTRUprime); однако я не изучал детали, чтобы быть уверенным.


[1]: термин «именованные группы» теперь является неправильным, поскольку постквантовые алгоритмы не основаны на группах...

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.