В начале февраля представители Государственной службы специальной связи и защиты информации Украины сообщили о разработке базовой блокчейн-системы с использованием отечественной криптографии с высокой постквантовой стойкостью
В начале февраля представители Государственной службы специальной связи и защиты информации Украины сообщили о разработке базовой блокчейн-системы с использованием отечественной криптографии с высокой постквантовой стойкостью.
Вместе с тем в Украине, как и во всем мире, до сих пор не приняты стандарты постквантовой цифровой подписи. Кроме того, не все указанные специалистами стандарты являются устойчивыми в постквантовый период, как было заявлено.
Специально для ForkLog доктор технических наук, профессор кафедры безопасности информационных систем и технологий Харьковского национального университета им. В.Н. Каразина, исследователь в компании IOHK Роман Олейников подробно объяснил, что представляют из себя перечисленные стандарты и на какие свойства блокчейна влияет наличие постквантовой стойкости.
ForkLog: Здравствуйте, Роман. Верно ли в настоящее время утверждать о существовании криптографических стандартов?
Роман Олейников: Разработка постквантовых стандартов асимметричных криптографических преобразований все еще продолжается. В Украине есть несколько рабочих проектов новых стандартов цифровой подписи. Они ориентированы как на увеличение скорости преобразований, тоже основанных на эллиптических кривых, так и на обеспечение стойкости в условиях появления гипотетического квантового компьютера для криптоанализа (постквантовой подписи). Но ни одна их них не принята в качестве стандарта.
Национальный институт стандартов США сейчас также продолжает открытый конкурс постквантовых криптографических примитивов, и после второго этапа на рассмотрении остаются девять кандидатов постквантовой подписи.
То есть говорить о стандарте постквантовой подписи еще рано. Хорошие алгоритмы есть, но они еще не стандартизированы.
ForkLog: При разработке своей блокчейн-системы Госспецсвязи использовала четыре стандарта. Расскажите об их технических характеристиках.
Роман Олейников: Стандарт ДСТУ 4145:2002 определяет алгоритмы формирования и проверки цифровой подписи, основанной на эллиптических кривых. Эта подпись лежит в основе современных электронных доверительных услуг Украины, в том числе инфраструктуры открытых ключей, но она не является постквантовой.
По меркам современных информационных технологий, ДСТУ 4145:2002 имеет уже достаточно длительный опыт использования, однако по-прежнему обеспечивает необходимые свойства.
А вот ДСТУ 7564:2014, ДСТУ 7624:2014 и ДСТУ 8845:2019 действительно обеспечивают высокую стойкость и в постквантовый период.
Стандарт ДСТУ 7624:2014 задает современный блочный шифр «Калина» и режимы его работы для сокрытия смыслового содержимого и предотвращение несанкционированной модификации сообщений.
Шифр является гибким и поддерживает размер блока и длину ключа вплоть до 512 битов. Это единственный в мире стандарт блочного шифрования, поддерживающий такой уровень безопасности. Для сравнения широко распространенный AES обеспечивает максимальную длину ключа 256 бит.
В то же время в программной реализации на большинстве современных 64-битовых настольных и серверных платформ при одинаковых длинах ключей «Калина» имеет более высокую производительность, чем AES.
ДСТУ 7624:2014 задает десять режимов работы блочного шифра. Для сравнения международный стандарт ISO/IEC 10116 имеет только шесть режимов (они есть и в национальном стандарте Украины). Дополнительные режимы предоставляют больше возможностей украинским разработчикам средств криптографической защиты информации по сравнению с коллегами из стран региона и всей Европы в целом.
«Калина» — высокостойкий и быстрый симметричный шифр, ориентированный на современные производительные аппаратные платформы.
В стандарте ДСТУ 7564:2014 определена функция хеширования «Купина», обеспечивающая высокостойкое и гибкое криптографическое преобразование. «Купина» используется и как независимый стандарт при обеспечении целостности, так и как дополнительное преобразование в составе цифровой подписи.
«Купина» и «Калина» унифицированы, то есть используют единый набор подстановок и матриц линейного преобразования, что дополнительно увеличивает эффективность систем криптографической защиты на их основе. «Купина», как и «Калина», использует подход доказуемой стойкости (provable security) при обосновании свойств, что является дополнительным преимуществом ДСТУ 7564 над SHA-256, где такое свойство отсутствует. Вместе с тем обеспечение доказуемой стойкости приводит к снижению скорости преобразований «Купины» по сравнению с SHA-256.
Сразу после введения в действие стандартов, «Купина» и «Калина» были опубликованы на английском языке и представлены на международных конференциях за пределами Украины. Были получены независимые результаты исследователей из Канады, США, Австрии, Индии и других стран, подтверждающие стойкость криптографических преобразований. ДСТУ 7624 и ДСТУ 7564 были включены в состав программных библиотек, разрабатываемых за пределами Украины, например, Crypto++.
Стандарт ДСТУ 8845:2019 определяет поточный шифр. Он также ориентирован на обеспечение конфиденциальности, а отличительной особенностью является высокая скорость преобразований, необходимая для защиты магистральных каналов связи.
Симметричные шифры ДСТУ 7624, ДСТУ 7564 и ДСТУ 8845 обеспечивают стойкость и в постквантовый период.
В то же время гипотетический квантовый компьютер, способный эффективно выполнять алгоритм Шора для соответствующих длин ключей, является угрозой стойкости эллиптических кривых (стандарта ДСТУ 4145, цифровой подписи), точно так же, как является угрозой и для ECDSA, EdDSA, DSA, RSA и прочих. Но такое устройство по-прежнему остается гипотетическим уже не первое десятилетие.
Национальный институт стандартов США планирует введение в действие постквантовых асимметричных криптографических преобразований только к 2024 году, если не будет ранних технологических прорывов в области квантового компьютера. Проект стандарта постквантовой подписи есть и в Украине.
ForkLog: Что дает блокчейну постквантовая стойкость?
Роман Олейников: Если рассматривать долгосрочный период длиной в десятилетия, с непрогнозируемым риском появления квантового компьютера, то применение именно постквантовых криптографических примитивов обеспечит стойкость в этой модели угроз.
Для современного биткоина этот гипотетический квантовый компьютер не позволит тратить произвольный выход (UTXO) по усмотрению злоумышленника. Как правило, в UTXO биткоина хранится не сам открытый ключ, а его хеш (SHA-256 + RIPEMD-160); нахождение прообраза хеша выполняется с помощью гораздо менее эффективного алгоритма.
Атака с гипотетическим квантовым компьютером на современный Биткоин возможна в достаточно жестких условиях для злоумышленника и только для транзакций, которые сами владельцы уже отправили в сеть (вместе с открытым ключом), но майнеры еще не включили в блок. В такой модели у атакующего будет в среднем до 10 минут на криптоанализ и убеждение майнера включить в блок именно альтернативную транзакцию, которая тратит тот же выход.
ForkLog: В чем заключается положительное и отрицательное влияние постквантовой стойкости на свойства блокчейна?
Роман Олейников: Как правило, современные постквантовые примитивы менее производительные, чем преобразования на основе эллиптических кривых. Соответственно, их использование при прочих равных условиях приведет к снижению пропускной способности или увеличению требований к доступным вычислительным ресурсам узла, выполняющего обработку и подтверждение транзакций.
Однако, если рассматривать распределенные реестры, в том числе блокчейны, не только как криптовалюту, то постквантовая стойкость имеет дополнительные преимущества. Она позволит обеспечить распределенное хранение данных на протяжении десятилетий — реестры недвижимости, сертификаты об образовании и прочее, где основное требование — надежность, а не высокая пропускная способность.
Естественно, все это при условии стойкости и к атакам, реализуемым на традиционных компьютерах (не только на гипотетическом квантовом), безопасной генерации и хранении ключей, и выполнении многих других необходимых условий обеспечения безопасности.
ForkLog: Отечественный блокчейн планируют использовать для создания национальной криптовалюты и смарт-контрактов, а сейчас на нем уже развернут прототип системы электронного голосования. Насколько реализуемы все эти проекты?
Роман Олейников: С глубокими техническими деталями проекта Госспецсвязи я не знаком, поэтому уровень его реализуемости или нереализуемости комментировать сейчас не могу.
В целом, на современном уровне развития блокчейн-систем, никаких проблем с объявленным функционалом быть не может. В зависимости от команды, которая занимается такой системой, могут варьироваться сроки реализации и затраченные ресурсы.
ForkLog: Так ли необходимо использование постквантовых решений в системе электронного голосования?
Роман Олейников: Для обеспечения ряда важных свойств системы голосования (например, индивидуальной и универсальной проверяемости), доступ к распределенному реестру необходим каждому участнику. В то же время другие свойства (конфиденциальность, справедливость, правомочность) обеспечиваются используемой криптографической схемой.
В случае появления гипотетического квантового компьютера под потенциальной угрозой оказывается конфиденциальность голосов участников, даже если голосование было проведено 10-20 лет назад (естественно, если злоумышленнику в это время все еще доступен соответствующий блокчейн, который был виден всем участникам голосования при его проведении).
Учет такой угрозы в системе голосования, на мой взгляд, является целесообразным.
Естественно, это увеличивает сложность реализации проекта из-за новых криптографических преобразований, но потенциально дает больше гарантий безопасности/надежности участникам голосования.
***
Читайте по теме: Когда будет взломан биткоин, или насколько реальна угроза со стороны квантовых компьютеров