Şifreleme ve Anahtar Yönetimi, Güvenlik Operasyonları
Ed Gerck Araştırma Makalesini Hazırlarken Güvenlik Uzmanları Kanıt Görmek İstediklerini Söyledi
Mathew J. Schwartz (euroinfosec) •
1 Kasım 2023
Bir bilim adamı, dünyanın en yaygın kullanılan genel anahtar algoritması olan RSA’yı kırmak için kuantum hesaplamayı kullanan ucuz bir sistem geliştirdiğini iddia ediyor.
Ayrıca bakınız: UEBA ile İçeriden Gelen Tehditleri Önlemek
Çok sayıda kriptograf ve güvenlik uzmanından gelen yanıt şöyle: Doğruysa kulağa harika geliyor ama bunu kanıtlayabilir misiniz? İngiltere Surrey Üniversitesi’nden bilgisayar bilimi profesörü Alan Woodward bana “RSA-2048 kırılmış olsaydı çok şaşırırdım” dedi.
İddiayı ortaya atan bilim adamı Ed Gerck’tir. RSA çatlağı duyurusunu da yayınladığı LinkedIn’deki profiline göre, diğer işlerinin yanı sıra Mountain View, Kaliforniya’da kendi kurduğu Planalto Research adlı bir firmada kuantum bilişim geliştiricisi olarak çalışıyor.
Gerck, “Kuantum bilişimi gerçeğe dönüştü. RSA-2048 anahtarını kırdık” dedi.
Pek çok kriptograf, bu soruna en uygun yaklaşımın, algoritmayı RSA gibi algoritmalara karşı çalıştıracak yeterince güçlü bir kuantum bilgisayar oluşturulduktan sonra, bir tamsayının asal çarpanlarını bulmak için Peter Shor tarafından 1994 yılında geliştirilen bir kuantum algoritmasının kullanılmasını içereceğine inanıyor. 2048.
Woodward, “RSA’yı kırmak genellikle Shor’un algoritmasını bir kuantum bilgisayarda kullanarak deneniyor, ancak Shor’un 2048 anahtarı kıracak algoritmasını uygulamaya yetecek kadar kapı üretebilecek kuantum bilgisayarı mevcut değil” dedi.
Gerck, tüm “QC hesaplamalarının ticari bir cep telefonunda veya ticari bir Linux masaüstünde” 1.000 dolardan daha az bir sermaye maliyetiyle yapıldığını söyledi. “Hiçbir kriyojenik veya özel malzeme kullanılmadı.”
Yorum almak için ulaşılan Gerck, Ann Gerck ile birlikte yazdığı “QC Algoritmaları: Asal Sayıların Daha Hızlı Hesaplanması” başlıklı araştırma makalesinin ön baskısını paylaştı. Makalenin özeti çevrimiçi olarak mevcuttur. Araştırmacılar, anahtarları kırmak için Shor’un algoritmasını kullanmak yerine, hazır donanım kullanılarak çalıştırılabilen kuantum mekaniğine dayalı bir sistem kullandıklarını yazıyor.
Gerck’e bunun teorik olup olmadığını veya RSA-2048’i gerçek dünya ortamında kırıp kırmadıklarını, bunu bulgularına kefil olabilecek herhangi bir kuantum hesaplama uzmanına göstermeyi planlayıp planlamadıklarını ve hakemli bulguların ne zaman açıklanacağını sordum. yayınlanan.
Şöyle yanıt verdi: “Kamuya açık bir RSA-2048’i kırdık. Kimliğe bürünme riskini göze alamayız.”
Woodward, Gercks’in araştırma makalesini inceledikten sonra, “tüm teorilerin çeşitli varsayımları kanıtladığını ve bu kanıtların kesinlikle şüpheli olduğunu” söyledi.
Şöyle ekledi, “İnsanlar çarpanlara ayırmak için RSA modülünü gönderip iki asal sayıyı geri gönderdiklerinde bunu yaptıklarına inanacağım. Bunu görene kadar kafam karıştı ve iddia ettikleri şeyi yaptıklarına ikna olmadım. manşetler.”
Avustralya siber güvenlik firması ThreatDefence’ın baş işletme sorumlusu Anton Guzhevskiy de Gerck’e iddialarını kanıtlaması için meydan okudu. “Bir RSA-2048 genel anahtarını ve bu genel anahtar tarafından şifrelenen buna karşılık gelen bir özel anahtarı paylaştım. Eğer özel anahtarın şifresini çözebilirseniz, onunla bazı metin parçalarını imzalayabilirsiniz; bu, anahtara sahip olduğunuzu kanıtlayacaktır. özel anahtar” dedi Gerck’in LinkedIn’deki gönderisine yanıt olarak. “Bunu yapabilirmisin?”
Gerck, “Yayınlanmada bir gecikme var ve bunu ben kontrol edemiyorum” diye yanıt verdi.
Q-Day’e Geri Sayım
Gerck’in iddiası doğruysa, bu, hassas verileri şifrelemek için hâlâ RSA kullanan herhangi bir hükümet ve kuruluş için hoş karşılanmayan bir haber. Güvenlik uzmanları, birden fazla hükümetin, şifrelenmiş verilerin şifresini çözecek bir tekniğe sahip olduklarında, daha sonra bunları sözde “oynatma saldırılarına” maruz bırakmak için hassas iletişimlere müdahale ettiğini söylüyor.
Kuantum bilgisayarların bunu nasıl yapabileceği aşağıda açıklanmıştır: Bir RSA özel anahtarı oluşturmak, verileri şifrelemek için kullanılan bir anahtar oluşturmak üzere iki farklı büyük asal sayının çarpılmasını içerir. Bu sözde tuzak kapısı algoritmaları şifrelemeyi kolaylaştırır ancak şifre çözmeyi zorlaştırır.
Verileri sırayla işleyen klasik bilgisayarları kullanarak, güçlü bir anahtarı kaba kuvvetle kırmak çok büyük miktarda zaman gerektirir; belki de trilyonlarca olmasa da yüzlerce yıl. Ancak yeterince büyük bir kuantum bilgisayar, verileri paralel olarak işlemek için kübitleri kullanabildiğinden, RSA gibi algoritmalar kullanılarak oluşturulan büyük anahtarları bile saatler olmasa da günler içinde kolayca kırmak için kullanılabilir.
Güçlü kuantum bilgisayarlar bugün mevcut değil, ancak uzmanlar bunların birkaç yıl içinde kullanılabilir hale gelebileceğine inanıyor.
Oynatma saldırılarının sivil ve askeri iletişimin yanı sıra kritik ulusal altyapı açısından da oluşturduğu risk nedeniyle, ABD Ulusal Güvenlik Ajansı, ulusal güvenlik sistemlerinin bakımıyla ilgilenen kuruluşlara Ticari Ulusal Güvenlik Algoritması Paketi 2.0’a geçişlerini planlamaları gerektiğini söyledi. Bu, nihai NSS kullanımı için onaylanmış bir dizi kuantum dirençli algoritmadır (bkz.: ABD Hükümeti Kuantuma Dayanıklı Şifreleme Algoritmalarını Seçti).
NSA kriptograflarının kuantum hesaplamanın açık anahtar kriptografisi için bir tehdit oluşturacağına inandıkları zamana dayanarak, ABD hükümeti CNSA 2.0 uyumluluğunu görmek istediği tarihleri zorunlu kıldı:
Zamanlama: | CNSA 2.0’ı Destekleyin/Tercih Edin | Yalnızca CSNA 2.0’ı Kullanın |
---|---|---|
Yazılım ve ürün yazılımı imzalama | 2025 | 2030 |
Web tarayıcıları/sunucuları ve bulut hizmetleri | 2025 | 2033 |
Geleneksel ağ ekipmanı (VPN’ler, yönlendiriciler, anahtarlar) | 2026 | 2030 |
İşletim sistemleri | 2027 | 2033 |
Niş ekipman – kısıtlı cihazlar, büyük genel anahtar altyapı sistemleri | 2030 | 2033 |
Özel uygulamalar ve eski ekipmanlara yönelik NSA kılavuzu, bunların 2033 yılına kadar güncellenmesi veya değiştirilmesi yönündedir.
Bulut sağlayıcıları da dahil olmak üzere teknoloji devleri, kuantum sonrası kriptografiye geçiş yapmaya başladı bile. Ağustos ayında Chromium Projesi, Chrome ve Google Sunucuları için hibrit bir şifreleme algoritmasını (X25519Kyber768) benimsedi. 15 Ağustos itibarıyla Chrome’un en son sürümü, kuantum hibrit anahtar anlaşması mekanizmasını içeriyor. Amazon Web Services, Cloudflare, IBM ve Microsoft da kuantum sonrası kriptografiye yönelik ürünleri araştıran ve güncelleyen bulut sağlayıcıları arasında yer alıyor.