На початку лютого представники Державної служби спеціального зв'язку та захисту інформації Україниповідомили про розробку базової блокчейн-системи з використанням вітчизняної криптографії з високою постквантовой стійкістю.
Разом з тим в Україні, як і в усьому світі, досих пір не прийняті стандарти постквантовой цифрового підпису. Крім того, не всі зазначені фахівцями стандарти є стійкими в постквантовий період, як було заявлено.
Спеціально для ForkLog доктор технічних наук,професор кафедри безпеки інформаційних систем і технологій Харківського національного університету ім. В.Н. Каразіна, дослідник в компанії IOHK Роман Олейников докладно пояснив, що вдають із себе перераховані стандарти і на які властивості блокчейна впливає наявність постквантовой стійкості.
ForkLog: Доброго дня, Роман. Чи вірно в даний час стверджувати про існування криптографічних стандартів?
Роман Олейников:Розробка постквантових стандартівасиметричних криптографічних перетворень все ще продовжується. В Україні є кілька робочих проектів нових стандартів цифрового підпису. Вони орієнтовані як збільшення швидкості перетворень, теж заснованих на еліптичних кривих, і забезпечення стійкості за умов появи гіпотетичного квантового комп'ютера для криптоаналізу (постквантової підпису). Але жодна з них не прийнята як стандарт.
Національний інститут стандартів США зараз такожпродовжує відкритий конкурс постквантових криптографічних примітивів, і після другого етапу на розгляді залишаються дев'ять кандидатів постквантовой підпису.
Тобто говорити про стандарт постквантовой підписи ще рано. Хороші алгоритми є, але вони ще не стандартизовані.
ForkLog: При розробці своєї блокчейн-системи Держспецзв'язку використовувала чотири стандарту. Розкажіть про їхні технічні характеристики.
Роман Олейников:СтандартДСТУ 4145: 2002визначає алгоритми формування та перевіркицифровий підпис, заснований на еліптичних кривих. Цей підпис є основою сучасних електронних довірчих послуг України, в тому числі інфраструктури відкритих ключів, але він не є постквантовим.
За мірками сучасних інформаційних технологій, ДСТУ 4145: 2002 існує вже досить тривалий досвід використання, проте як і раніше забезпечує необхідні властивості.
А ось ДСТУ 7564: 2014 року, ДСТУ 7624: 2014 і ДСТУ 8845: 2019 дійсно забезпечують високу стійкість і в постквантовий період.
СтандартДСТУ 7624 до: 2014задає сучасний блоковий шифр «Калина» та режими його роботи для приховування змістового вмісту та запобігання несанкціонованій модифікації повідомлень.
Шифр є гнучким і підтримує розмір блокуі довжину ключа аж до 512 бітів. Це єдиний в світі стандарт блочного шифрування, що підтримує такий рівень безпеки. Для порівняння широко поширений AES забезпечує максимальну довжину ключа 256 біт.
У той же час у програмній реалізації набільшості сучасних 64-бітових настільних та серверних платформ при однакових довжинах ключів «Калина» має більш високу продуктивність, ніж AES.
ДСТУ 7624:2014 задає десять режимів роботи блокового шифру. Для порівняння міжнародний стандарт ISO / IEC 10116 має тільки шість режимів (вони є і в національному стандарті України). Додаткові режими надають більше можливостей українським розробникам засобів криптографічного захисту інформації в порівнянні з колегами з країн регіону і всієї Європи в цілому.
«Калина» - Високостійкий і швидкий симетричний шифр, орієнтований на сучасні продуктивні апаратні платформи.
У стандартіДСТУ 7564 до: 2014визначено функцію хешування«Купіна», що забезпечує високостійке та гнучке криптографічне перетворення. «Купіна» використовується як незалежний стандарт при забезпеченні цілісності, так і як додаткове перетворення у складі цифрового підпису.
«Купіна» та «Калина»уніфіковані, тобто використовують єдиний набір підстановок та матриць лінійного перетворення, що додатково збільшує ефективність систем криптографічного захисту на їх основі. «Купина», як і «Калина», використовує підхід доказуваної стійкості (provable security) при обґрунтуванні властивостей, що є додатковою перевагою ДСТУ 7564 над SHA-256, де така властивість відсутня. Водночас забезпечення доведеної стійкості призводить до зниження швидкості перетворень "Купіни". проти SHA-256.
Відразу після введення в дію стандартів«Купіна» та «Калина» були опубліковані англійською мовою та представлені на міжнародних конференціях за межами України. Отримано незалежні результати дослідників з Канади, США, Австрії, Індії та інших країн, що підтверджують стійкість криптографічних перетворень. ДСТУ 7624 та ДСТУ 7564 були включені до складу програмних бібліотек, які розробляються за межами України, наприклад, Crypto++.
СтандартДСТУ 8845: 2019визначає поточний шифр.Він також орієнтований забезпечення конфіденційності, а відмінністю є висока швидкість перетворень, необхідна захисту магістральних каналів зв'язку.
Симетричні шифри ДСТУ 7624, ДСТУ 7564 та ДСТУ 8845 забезпечують стійкість і в постквантовий період.
У той же час гіпотетичний квантовий комп'ютер,здатний ефективно виконувати алгоритм Шора для відповідних довжин ключів, є загрозою стійкості еліптичних кривих (стандарту ДСТУ 4145, цифрового підпису), точно так же, як є загрозою і для ECDSA, EdDSA, DSA, RSA і інших. Але такий пристрій, як і раніше залишається гіпотетичним вже не перше десятиліття.
Національний інститут стандартів США плануєвведення в дію постквантових асиметричних криптографічних перетворень тільки до 2024 року, якщо не буде ранніх технологічних проривів в області квантового комп'ютера. Проект стандарту постквантовой підписи є і в Україні.
ForkLog: Що дає блокчейну постквантовая стійкість?
Роман Олейников:Якщо розглядати довгостроковий період довжиною вдесятиліття, з непрогнозованим ризиком появи квантового комп'ютера, застосування саме постквантових криптографічних примітивів забезпечить стійкість у цій моделі загроз.
Для сучасного біткоіни цей гіпотетичнийквантовий комп'ютер не дозволить витрачати довільний вихід (UTXO) на розсуд зловмисника. Як правило, в UTXO біткоіни зберігається не сам відкритий ключ, а його хеш (SHA-256 + RIPEMD-160); знаходження прообразу хешу виконується за допомогою набагато менш ефективного алгоритму.
Атака з гіпотетичним квантовим комп'ютером насучасний біткоіни можлива в досить жорстких умовах для зловмисника і тільки для транзакцій, які самі власники вже відправили в мережу (разом з відкритим ключем), але Майнер ще не включили в блок. У такій моделі у атакуючого буде в середньому до 10 хвилин на криптоаналіз і переконання Майнера включити в блок саме альтернативну транзакцію, яка витрачає той же вихід.
ForkLog: В чому полягає позитивний і негативний вплив постквантовой стійкості на властивості блокчейна?
Роман Олейников:Як правило, сучасні постквантові примітивименш продуктивні, ніж перетворення з урахуванням еліптичних кривих. Відповідно, їх використання за інших рівних умов призведе до зниження пропускної спроможності або збільшення вимог до доступних обчислювальних ресурсів вузла, що виконує обробку та підтвердження транзакцій.
Однак, якщо розглядати розподіленіреєстри, в тому числі блокчейни, не тільки як криптовалюта, то постквантовая стійкість має додаткові переваги. Вона дозволить забезпечити розподілене зберігання даних протягом десятиліть - реєстри нерухомості, сертифікати про освіту та інше, де основна вимога - надійність, а не висока пропускна здатність.
Природно, все це за умови стійкості і доатакам, що реалізовуються на традиційних комп'ютерах (не тільки на гіпотетичному квантовому), безпечної генерації та зберіганні ключів, і виконанні багатьох інших необхідних умов забезпечення безпеки.
ForkLog: Вітчизняний блокчейн планують використовувати для створення національної криптовалюта і смарт-контрактів, а зараз на ньому вже розгорнуто прототип системи електронного голосування. Наскільки можуть бути реалізовані всі ці проекти?
Роман Олейников:З глибокими технічними деталями проекту Держспецзв'язку я не знайомий, тому рівень його реалізованості чи нереалізовності коментувати зараз не можу.
В цілому, на сучасному рівні розвиткублокчейн-систем, ніяких проблем з оголошеним функціоналом бути не може. Залежно від команди, яка займається такою системою, можуть варіюватися терміни реалізації та витрачені ресурси.
ForkLog: Так чи необхідно використання постквантових рішень в системі електронного голосування?
Роман Олейников:Для забезпечення низки важливих властивостей системиголосування (наприклад, індивідуальної та універсальної перевірки) доступ до розподіленого реєстру необхідний кожному учаснику. У той самий час інші властивості (конфіденційність, справедливість, правомочність) забезпечуються криптографічної схемою.
У разі появи гіпотетичного квантовогокомп'ютера під потенційною загрозою опиняється конфіденційність голосів учасників, навіть якщо голосування було проведено 10-20 років тому (природно, якщо зловмиснику в цей час все ще доступний відповідний блокчейн, який було видно всім учасникам голосування при його проведенні).
Облік такої загрози в системі голосування, на мій погляд, є доцільним.
Природно, це збільшує складність реалізації проекту через нові криптографічних перетворень, але потенційно дає більше гарантій безпеки / надійності учасникам голосування.
***
Читайте по темі: Коли буде зламаний біткоіни, або наскільки реальна загроза з боку квантових комп'ютерів
Read this:
Україна створила блокчейн на базі вітчизняної криптографії
Власників криптовалюта в Україні вже моніторять? Фактчекінг ForkLog
Український кріпторинок готовий вийти з тіні
Вчені розробили проект квантового акумулятора, який не втрачає заряд
Читачі ForkLog провели 35 розіграшів через рандомайзер на блокчейне Waves
Блокчейн-проект Telegram оголосив про запуск ПО для нод і блокчейн-експорера