Algoritmi și protocoale clasice vs cuantice sigure / Abordarea aplicației

Sunt explorate diferite propuneri pentru certificatele X509 V3 într-o lume Post-Criptografie Cuantică (PQC).

Este aceasta înțelegere, corect?

Din punctul meu de vedere, există în esență două moduri de a avea certificate atât clasice, cât și postcuantice:

• Aveți un certificat „hibrid” (sau compus sau orice terminologie cu care vă simțiți confortabil) care conține într-un fel semnături clasice și postcuantice și chei publice. Există mai multe modalități propuse cum să faceți acest lucru, care au diferențe tehnice, dar nu contează cu adevărat la acest nivel înalt. În ceea ce privește controversa ȘI/SAU, părerea mea este: verificați întotdeauna toate semnăturile pe care știți să le verificați și le respingeți dacă vreunul eșuează (adică ȘI) - singura întrebare care apare este dacă vă întâlniți cu un public. cheie al cărei tip nu-l înțelegi...

• Alternativ, putem avea două certificate separate, unul pur clasic și unul pur postcuantic; am modifica protocolul folosind certificate pentru a solicita ambele certificate și am folosi ambele chei publice. Avantajul acestui lucru este că certificatele postcuantice sunt probabil să fie considerabil mai lungi; nu am adăuga cheltuieli cu cineva care nu acceptă încă postcuantica.

Nu am văzut niciun consens cu privire la care dintre aceste două opțiuni are mai mult sens; Nu aș fi surprins dacă utilizările diferite ale certificatelor ar putea adopta abordări diferite.

Întrebarea pe care o am este când ajungi la nivelul protocolului. Criptoagilitatea este definită ca abilitatea unui sistem de securitate de a putea comuta rapid între algoritmi, primitive criptografice și alte mecanisme de criptare fără ca restul infrastructurii sistemului să fie afectată semnificativ de aceste modificări.

Cum consideră industria TLS, de exemplu?

Voi presupune că această parte vorbește despre aspectul de confidențialitate, mai degrabă decât despre autentificare.

În ceea ce privește TLS 1.3 (și în prezent pare să existe puține motive pentru a revizui versiunile anterioare ale TLS), este destul de rezolvat: vom adăuga „grupuri numite” suplimentare [1], care sunt algoritmul de schimb de chei folosit. Pe lângă cel existent (cum ar fi X25519), am adăuga unul numit „NTRU” (care ar lista setul de parametri NTRU), precum și „X25519+NTRU”. Ceea ce ar face acesta din urmă este să implementeze atât X25519, cât și NTRU în paralel; partajările de cheie vor fi X25519 și partajările de cheie NTRU concatenate, iar secretul partajat este X25519 și partajările de cheie NTRU concatenate (TLS 1.3 are un KDF puternic și astfel concatenarea funcționează bine). Aceasta este detaliată în acest proiect IETF

Acest lucru face calea de upgrade ușoară; clienții ar propune grupurile de nume X25519+NTRU și X25519; serverele care înțeleg postquantum ar accepta primul; serverele care nu ar putea reveni la al doilea. Apoi, când vine timpul să renunțe la clasic, clienții ar începe să propună NTRU (numai); aceeași cale de upgrade funcționează și acolo.

Cred că OpenSSH merge pe o cale similară (doar cu NTRUprime); cu toate acestea, nu m-am uitat în detalii pentru a fi sigur.

[1]: „grupuri numite” este acum o denumire greșită, deoarece algoritmii postcuantici nu se bazează pe grupuri...