”Jos ette ole vielä siirtyneet ECC-avainten käyttöön, niin ehkä kannattaa pysyä RSA-avaimissa ja valmistautua Post Quantum aikaan.” MITÄ IHMETTÄ?

Innostuin katsomaan Entrust Datacardin kolmen 45-minuutin webinaarin sarjan kvanttitietokoneiden vaikutuksesta kryptografiaan. Asiahan ei ole blogissammekaan uusi: kolleegani Markku Helli kirjoitti tästä jo 2016. Raflaava otsikko perustuu ensimmäisen seminaarin antiin. Siinä asiantuntija John Gray Entrustilta kertoo törmänneensä 2016 tuohon kommenttiin netissä ja kokeneen saman hämmästyksen tunteen, kuin itse koin nyt webinaaria katsellessa.

Sitten kun katsoo omasta varmennetoimittajan hiekkalaatikosta käsin, niin ei tästä ymmärtääkseni käytäntöön vielä mitään jää. Meillä jotkin asiakkaat ovat jo tehneet ECC-avaimilla varustettuja varmennehakemuksia (CSR) ja ottaneet niillä Entrustin ECS-portaalista varmenteita erityisesti tilanteisiin, jossa kuorma on kova ja tarvitaan mahdollisimman nopeaa varmennekäsittelyä. ECS-portaalihan sallii samasta varmenteesta maksuttomasti sekä RSA että ECC -duplikaatteja (multi-domain ja wildcard -varmenteista). Kaikki julkiset SSL-varmenteet tulevat kuitenkin olemaan jatkossa enintään vuoden mittaisia ja allekirjoitusvarmenteet enintään kolmen vuoden mittaisina, joten kvanttitietokoneet eivät niitä ehdi murtamaan.

Yleisemmin PKI-maailmassa tämä voi kuitenkin tulla jo esille. Jos esimerkiksi olisin modernisoimassa yrityksen PKI:ta seuraavaksi 10-15 vuodeksi ja miettisin sen avainkäytäntöjä, niin olisi ainakin hyvä ymmärtää RSA ja ECC avainten ero kvanttilaskennan kannalta, vaikka mitään tiettyä korvaajaa ei olekaan vielä valitettavasti tiedossa.

Kasaan alle muutamia nostoja. Sarja oli mielenkiintoinen, mutta meni kieltämättä välillä rankasti yli. Tämä kirjoitus voi osin olla väärinymmärrystä. Siis: ”Let the reader be aware” 😊

Pääset kolmeen webinaarin kirjautumissivulle tästä. Ja alla on otsikot sekä mukaelma virallisista sisällysluetteloista.

  • Webinaari 1: Quantum Computers and Cryptography
    • Mikä on kvanttitietokone
    • Miten kvanttitietokone vaikuttaa kryptografiaan
    • Milloin kvanttitietokoneet tulevat käytäntöön
  • Webinaari 2: Preparing for a Post Quantum World
    • Millaisia ehdokkaita on RSA ja ECC korvaajiksi?
    • Mitä standardointitoimijat tekevät post quantum valmistautumiseen?
  • Webinaari 3: The Road to Post Quantum Crypto Agility
    • Mitkä kryptoprotokollat pitää siirtää post quantum aikaan?
    • Eri post quantum algoritmien ja niiden vaikutusten vertailua
    • Nykyisen krypton mahdollisesta paljastumisajankohdasta

Ajatuksia ensimmäisestä webinaarista

RSA2048-avaimen purkamiseen tarvitaan nykyarvion mukaan kvanttitietokone, jossa on noin 4000 toimivaa kubittia eli kvanttilaskennan perusyksikköä. Koska ECC-avaimet ovat lyhempiä, tarvitaan esim. ECC256-avaimen purkamiseen saman arvion mukaan kone, jossa on 1500 kubittia. Joten tämän näkemyksen mukaan ECC-avaimet voidaan purkaa ensin.

RSA ja ECC -avainten purku ei tapahdu ihan heti. Nyt testeissä on koneita, joissa on esim. 17 tai 50 kubittia. Nämäkään eivät ole stabiileja. Kvanttitietokone perustuu aaltofunktion ylläpitämiseen kubiteissa ja mitä enemmän on kubitteja, sen haastavampaa tämä on. Ympäristön vaikutusten eliminointi on vaikeaa. Yksi ajattelumalli on muodostaa sadoista fyysisistä kubiteista vikasietoisia loogisia kubitteja. (D-Wave on jo jonkin aikaa myynyt 2000 kubitin koneita, mutta näiden ”annealing”-algoritmi on erilainen eikä salli avainten purkamista). Nykyisen krypton purkamiseen kykenevien koneiden rakentamiseen voi näin ollen mennä vielä aikaa. Seuraavassa on kaavio 22 alan asiantuntijan arviosta tarvittavasta ajasta.

22 asiantuntijan arviot nykyisen krypton purkamiseen kuluvaan aikaan

Ehkä mielenkiintoisin aikatauluihin liittyvä asia liittyy ensimmäisen webinaarin jälkeen saatuihin kuulijoiden näkemyksiin siitä, milloin heidän mielestään kvanttilaskenta pitää alkaa ottaa huomioon heidän IT-toiminnassaan. 88% toteaa, että heille vastaus on ”Nyt”.

Webinaarin jälkeen kuulijoiden näkemys siitä, milloin kvanttilaskenta kannattaa alkaa ottaa huomioon

Ajatuksia toisesta ja kolmannesta webinaarista

Webinaarin pitäjä innostuu kehumaan RSA -algoritmia sen toimivuuden ja monipuolisuuden vuoksi. Ja sitten hän toteaa, että tulevaisuudessa ei valitettavasti näytä löytyvän yhtä yksittäistä kattavaa ratkaisua vaan erilaisiin kryptotarpeisiin tarvitaan eri algoritmeja.

Ehdokkaita on kuitenkin useita ja niillä on erilaiset ominaisuudet. Useimpiin liittyy isot avainten koot ja monet ovat edelleenkin virhealttiita.  

NIST johtaa uusien standardien määritystä ja niiden odotetaan tai ainakin toivotaan olevan ehdotuskunnossa 2022/2023.

Ehdokkaita on useita ja aikataulu standardien esittämiseen on tiukka

Suuri osa kahdesta jälkimmäisestä webinaarista keskittyi eri algoritmiehdokkaisiin ja niiden ominaisuuksien ja mahdollisuuksien vertailuun. Oltiin alueella, jossa oma osaaminen ei riitä ja toisaalta tässä vaiheessa ei ole tarvettakaan tietää näistä enempää.

Normaalisti tässä lukisi ”Lisää tietoa …” mutta tällä kertaa lisää tietoa kvanttitietokoneista ei taida meiltä Wesentralta valitettavasti löytyä 😉 Keskustelemme kuitenkin mielellämme (tarvittaessa Entrustin tuella) algoritmeista sekä siitä, miten PKI-suunnittelussa tämä asiaa kannattaa huomioida.

Tätä varten ota yhteyttä: info(at)wesentra.com tai https://www.wesentra.com

(Pictures and diagrams in this blog entry are from the webinars of Entrust Datacard which has copyright to them).

Vastaa