Дайджест останніх досягнень в області криптографії. Випуск перший

Привіт, %username%

Настав час для свіжої пачки криптоновостей, поки вони ще не перестали бути новинами. У цьому випуску:
  • Новий рекорд обчислення дискретного логарифма
  • VPN сервер і клієнт, використовують Noise протокол
  • Постквантовая криптографія в Chrome вже сьогодні!
  • Чого ви не знаєте про новий E2E шифруванні у Facebook
  • RLWE позбавляється від R і це йде йому на користь
  • Comodo хотів поиметь let's Encrypt, але сфейлил. А let's Encrypt з завтрашнього дня буде підтримувати ddns
  • З'явилися мінімальні вимоги до реалізацій алгоритмів RSA, DSA, DH, стійким до side-channel атак


Попередній випуск тут


Рекорд обчислення дискретного логарифма
Група дослідників з EPFL і Університету Лейпцига змогла порахувати логарифм за основою простого числа розміром 768 біт. Для цього їм знадобилося 200 ядер і час з лютого 2015 року. Використовували вони варіант цифрового решета. Таким чином логарифмування зрівнялася з факторизації де рекорд для звичайних чисел теж 768 біт

Wireguard. VPN, використовує самі модні криптоалгоритми
Не встигли опублікувати спечу по Noise protocol, як вже з'явилося рішення на його основі.
Дуже мінімалістичний VPN, в якому використовуються Noise protocol framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24 і HKDF. Працює в режимі ядра, але активно пиляються usermode версії на Go і Rust. Раджу придивитися, дуже крута штука.

Google додав постквантовое шифрування в Chrome Canary
Детальніше тут. Використовується алгоритм New Hope, який заснований на проблемі RLWE, яка в свою чергу є приватним варіантом криптографії на решітках. Це порівняно молода область криптографії, ще погано вивчена і тому її поки що не можна використовувати в реальному житті. Але в якості експерименту, чому б і ні?

E2E шифрування в Facebook дозволяє настукати на співрозмовника
Вони назвали цей механізм Franking. Він дозволяє відправити report Abuse у разі необхідності. Реалізується наступним чином:
  1. Генерується випадковий ключ Nf
  2. Вважається Tf = HMAC·SHA256(Nf, M)
  3. Nf конкатенируется з M і шифрується ключем одержувача. На сервер відправляється Tf і шифротекст
  4. Сервер вважає Rf= HMAC·SHA256(ключ фейсбуку, Tf || метадані (хто, кому,...))
  5. Одержувачу надсилається Rf, Tf, шифротекст
  6. Одержувач розшифровує шифротекст, вважає HMAC(Nf, M) і порівнює з Tf. Якщо порівняння не проходить, то викидає повідомлення
  7. Якщо одержувач хоче поскаржитися фейсбуку, то відправляє йому розшифроване повідомлення, Rf, Nf
  8. Фейсбук переконується, що це саме те повідомлення, яке надіслав відправник і приймає відповідні дії


Таким чином, отвертерться від обзивання Васі козлом не вийде.

RLWE без R

Отже, є криптографія на гратах. Хороша тим, що її в майбутньому не зламає квантовий комп'ютер. Але її параметри величезні, розміри ключів досягають мегабайтів. Є приватний її випадок, званий навчання з помилками. Так от, навчання з помилками хоч теж дуже круто, але тим не менше з-за обмежень на розмір ключа та інших було нереально використовувати в продакшені. Тому до LWE додали кільця і назвали це RLWE, який вже використовується в Chrome Canary, тобто там параметри стали вже більш-менш людськими за розмірами.

На жаль, ступінь вивченості обернено пропорційна нашорошеності алгоритму і додавання кілець можливо послабило LWE. Тому група товаришів реалізувала узгодження ключів без кілець і опублікував на цю тему доку. Розміри повідомлень в кожну сторону знаходяться в межах 12 кб, операція узгодження ключів займає близько 1.3 мс. Це приблизно в 5 разів більше за обсягом хэндшейка DH, а так само в 1.6 раз уповільнює пропускну здатність TLS сервера, але тим не менш це вже можна порівняти з New Hope і можна використовувати на практиці. При цьому структура виходить більш безпечною.

Comodo оборзів
І вирішив для кількох своїх сервісів зареєструвати торгову марку let's Encrypt. Мало того, що торгують повітрям, так ще й чужа слава спокою не дає. Але, співтовариство зібралося силами, надавало комоду по писку і відбило торговельну марку. Подробиці тут.

До речі, після завтрашнього апдейта можна буде прикручувати безкоштовний TLS до dyndns хостів! Це суперкруто, всі хом'яки тепер будуть з сертифікатами.

Захищаємося від Side channel атак

Не секрет, що нині інформацію про ключі шифрування можна віддалено знімати мало не через вентилятор. Тому, все більшу популярність знаходять constant-time алгоритми, які не залежать від вхідних даних. Німці випустили мінімальні вимоги для реалізацій, виконання яких ускладнить завдання отримання секретних даних через побічні канали даних. Цікавий документ, раджу ознайомитися.

На цьому у мене все, до нових зустрічей!
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.