На прошлой неделе директор по кибербезопасности Агентства национальной безопасности вызвал несколько ухмылок среди кибер-профессионалов, когда сказал Bloomberg, что в новых стандартах шифрования, над которыми его агентство работает с Национальный институт стандартов и технологий (НИСТ).
На языке кибербезопасности бэкдор — это преднамеренная уязвимость в системе или программном обеспечении, которая может быть тайно использована злоумышленником. В 2014 году слух о том, что стандарт шифрования, разработанный АНБ, содержит лазейку, привел к тому, что алгоритм был исключен из списка федеральных стандартов.
«Бэкдоры могут помочь правоохранительным органам и национальной безопасности, но они также создают уязвимости, которые могут быть использованы хакерами и могут быть потенциально неправомерно использованы агентствами, которым они предназначены помогать», — Джон Ганн, генеральный директор Рочестера, Нью-Йорк. Токенпроизводитель носимого кольца аутентификации на основе биометрии, сообщил TechNewsWorld.
«Любой лазейка в шифровании может и будет обнаружена другими», — добавил Джон Бамбенек, главный охотник за угрозами в Нетенрихкомпания, занимающаяся информационными технологиями и цифровой безопасностью, из Сан-Хосе, Калифорния.
«Вы можете доверять разведывательному сообществу США», — сказал он TechNewsWorld. «Но будете ли вы доверять китайцам и русским, когда они получат доступ к черному ходу?»
Доверяй, но проверяй
Лоуренс Гасман, президент и основатель Внутри квантовой технологии, Крозе, штат Вирджиния, поставщик информации и сведений о квантовых вычислениях, утверждает, что у общественности есть веские основания скептически относиться к замечаниям представителей АНБ. «Разведывательное сообщество не всегда говорит абсолютную правду, — сказал он TechNewsWorld.
«В АНБ работают одни из лучших криптографов в мире, и в течение многих лет ходили вполне обоснованные слухи об их попытках разместить лазейки в шифровальном ПО, операционных системах и оборудовании», — добавил Майк Паркин, инженер из Вулкан Киберпоставщик SaaS для устранения корпоративных киберрисков, в Тель-Авиве, Израиль.
«То же самое можно сказать и о программном обеспечении и микропрограммах, полученных из других стран, у которых есть собственные агентства, заинтересованные в том, чтобы увидеть, какой трафик проходит через сеть», — сказал он TechNewsWorld.
«Будь то во имя правоохранительных органов или национальной безопасности, власти давно пренебрегают шифрованием», — заявил он.
Когда речь идет о шифровании и безопасности в целом, должен применяться подход «доверяй, но проверяй», — посоветовал Дейв Кандифф, директор по информационной безопасности в Циватарсоздатель автоматизированной платформы управления кибербезопасностью, в Ирвине, Калифорния.
«У организаций могут быть самые лучшие намерения, но они не могут полностью реализовать эти намерения», — сказал он TechNewsWorld. «Государственные органы связаны законом, но это не гарантирует, что они не будут внедрять бэкдор преднамеренно или непреднамеренно».
«Обществу крайне важно протестировать и проверить любой из этих механизмов, чтобы убедиться, что они не могут быть скомпрометированы», — сказал он.
Приручение простых чисел
Одной из движущих сил новых стандартов шифрования является угроза квантовых вычислений, которые могут взломать широко используемые сегодня схемы шифрования.
«Поскольку квантовые компьютеры становятся массовыми, современные алгоритмы шифрования с открытым ключом устаревают, а защита становится недостаточной, как показано в алгоритме Шора», — пояснила Жасмин Генри, директор по безопасности ЮпитерОдинрасположенный в Моррисвилле, Северная Каролина, поставщик решений для управления и управления киберактивами.
Алгоритм Шора — это алгоритм квантового компьютера для вычисления простых множителей целых чисел. Простые числа являются основой шифрования, используемого сегодня.
«Шифрование зависит от того, насколько сложно работать с действительно большими простыми числами, — объяснил Паркин. «Квантовые вычисления могут сделать поиск простых чисел, на которые опирается шифрование, тривиальной задачей. То, что потребовалось бы поколениям для вычислений на обычном компьютере, теперь решается за считанные минуты».
Это представляет большую угрозу для современной технологии шифрования с открытым ключом. «Причина, которая так важна, заключается в том, что криптография с открытым ключом часто используется для передачи шифрования с «симметричным» ключом. Эти ключи используются для передачи конфиденциальных данных», — пояснил Эндрю Барратт, управляющий директор по решениям и расследованиям в Угольный огоньпоставщик консультационных услуг по кибербезопасности из Вестминстера, штат Колорадо.
«Это имеет серьезные последствия почти для всех передач шифрования, а также для всего, что требует цифровых подписей, таких как технологии блокчейна, поддерживающие криптовалюту, такую как биткойн», — сказал он TechNewsWorld.
Квантоустойчивые алгоритмы
Ганн утверждал, что большинство людей неправильно понимают, что такое квантовые вычисления и чем они сильно отличаются от классических вычислений, которые мы имеем сегодня.
«Квантовые вычисления никогда не будут в вашем планшете, телефоне или наручных часах, а будут использоваться для конкретных приложений, использующих специализированные алгоритмы для таких задач, как поиск и разложение на множители больших простых чисел», — сказал он. «Улучшение производительности исчисляется миллионами».
«Используя алгоритм Шора и будущие квантовые компьютеры, AES-256, стандарт шифрования, который защищает все в Интернете и все наши онлайн-финансовые транзакции, будет взломан в течение короткого периода времени», — добавил он.
Барратт утверждал, что, как только квантовые вычисления станут доступны для массового использования, криптография должна будет перейти от математики, основанной на простых числах, к системам, основанным на криптографии на основе эллиптических кривых (ECC). «Однако, — продолжил он, — это только вопрос времени, когда лежащие в основе алгоритмы, поддерживающие ECC, станут уязвимыми в масштабе для квантовых вычислений, поскольку квантовые системы разрабатываются специально для их взлома».
NIST при содействии АНБ разрабатывает квантово-устойчивые алгоритмы. «Требования к квантово-устойчивым алгоритмам могут включать в себя чрезвычайно большие подписи, большое количество операций обработки или массивные ключи, что может создать проблемы для реализации», — сказал Генри TechNewsWorld.
«Организациям придется столкнуться с новыми проблемами, чтобы внедрить квантово-устойчивые протоколы, не сталкиваясь с проблемами производительности», — добавила она.
Время прибытия?
Когда будет доступен работающий квантовый компьютер, пока неясно.
«Похоже, что мы еще не достигли точки перегиба в практическом применении, чтобы с уверенностью сказать, каковы временные рамки», — заметил Кундифф.
«Однако этот переломный момент может наступить завтра, что позволит нам сказать, что квантовые вычисления станут широко доступны через три года, — сказал он TechNewsWorld, — но пока не наступит момент, когда нужно выйти за пределы теоретического и перейти к практическому, все еще возможно, через десятилетие».
Гасман сказал, что, по его мнению, мир увидит квантовый компьютер раньше, чем позже. «Компании, занимающиеся квантовыми компьютерами, говорят, что это произойдет через 10–30 лет, — заметил он. «Я думаю, что это произойдет раньше, чем через 10 лет, но не раньше, чем через пять лет».
Закон Мура, предсказывающий, что вычислительная мощность удваивается каждые два года, неприменим к квантовым вычислениям, утверждает Гасман. «Мы уже знаем, что квантовая разработка движется с большей скоростью», — сказал он.
«Я говорю, что у нас будет квантовый компьютер быстрее, чем через 10 лет», — продолжил он. «Вы не найдете много людей, которые согласятся со мной, но я думаю, что мы должны беспокоиться об этом сейчас — не только из-за АНБ, но и потому, что есть люди намного хуже, чем АНБ, которые хотят использовать эту технологию».
