Гибридная криптография
На английском языке: Hybrid cryptography
Коротко
Гибридная криптография в контексте постквантовой криптографии подразумевает подход, при котором используется два (или более) алгоритмов инкапсуляции ключа. Один алгоритм является классическим, а другой постквантовым. В результате такого комбинирования общий ключ, сгенерированный в ходе алгоритма инкапсуляции, будет стойким как против атак с применением квантовых компьютеров, так и против атак с применением классических компьютеров.
Гибридная криптография в контексте постквантовой криптографии подразумевает подход, при котором используется два (или более) алгоритмов инкапсуляции ключа. Один алгоритм является классическим, а другой постквантовым. В результате такого комбинирования общий ключ, сгенерированный в ходе алгоритма инкапсуляции, будет стойким как против атак с применением квантовых компьютеров, так и против атак с применением классических компьютеров.
Подробно
Цель гибридной криптографии ― скорейшее развертывание постквантовых криптографических алгоритмов в условиях неопределенности насчет времени появления крупномасштабных квантовых компьютеров.
Зачем нужно именно совмещение? Почему бы не использовать только постквантовый алгоритм?
Одним из критериев надежности криптографического алгоритма является его проверка временем ("cryptographic agility"). Предложенные к стандартизации постквантовые алгоритмы, как правило, относительно новые, в то время, как используемые классические алгоритмы (RSA, (EC)DH) интенсивно исследуются и считаются безопасными (только против атак с использованием классических компьютеров) уже на протяжении нескольких десятилетий. В связи с этим в переходный период, до стандартизации постквантовых алгоритмов, предлагается использовать именно гибридный подход. Это позволит, как поддерживать безопасность данных на текущем уровне, так и провести апробацию постквантовых технологий в существующей информационной инфраструктуре.
Может ли гибридное решение в таком случае ослабить защиту против классических компьютеров?
Нет, не может. Криптографическая стойкость, достигаемая в гибридных решениях, не меньше криптографической стойкости используемого классического криптографического алгоритма.
Цель гибридной криптографии ― скорейшее развертывание постквантовых криптографических алгоритмов в условиях неопределенности насчет времени появления крупномасштабных квантовых компьютеров.
Зачем нужно именно совмещение? Почему бы не использовать только постквантовый алгоритм?
Одним из критериев надежности криптографического алгоритма является его проверка временем ("cryptographic agility"). Предложенные к стандартизации постквантовые алгоритмы, как правило, относительно новые, в то время, как используемые классические алгоритмы (RSA, (EC)DH) интенсивно исследуются и считаются безопасными (только против атак с использованием классических компьютеров) уже на протяжении нескольких десятилетий. В связи с этим в переходный период, до стандартизации постквантовых алгоритмов, предлагается использовать именно гибридный подход. Это позволит, как поддерживать безопасность данных на текущем уровне, так и провести апробацию постквантовых технологий в существующей информационной инфраструктуре.
Может ли гибридное решение в таком случае ослабить защиту против классических компьютеров?
Нет, не может. Криптографическая стойкость, достигаемая в гибридных решениях, не меньше криптографической стойкости используемого классического криптографического алгоритма.
Усилит ли гибридное решение защиту против классических компьютеров?
Используемый в гибридной системе постквантовый алгоритм усиливает ее защиту. Это связано с тем, что для взлома гибридной системы необходимо также взломать и постквантовый алгоритм, что вычислительно невозможно как с применением классического, так и с применением квантового компьютера. Более того, в случае появления новых подходов к криптоанализу классических алгоритмов, существенно снижающих безопасность современных криптографических алгоритмов, гибридный подход позволит сохранить информационную систему в безопасности.
Используемый в гибридной системе постквантовый алгоритм усиливает ее защиту. Это связано с тем, что для взлома гибридной системы необходимо также взломать и постквантовый алгоритм, что вычислительно невозможно как с применением классического, так и с применением квантового компьютера. Более того, в случае появления новых подходов к криптоанализу классических алгоритмов, существенно снижающих безопасность современных криптографических алгоритмов, гибридный подход позволит сохранить информационную систему в безопасности.
Что случится, если используемый постквантовый алгоритм окажется уязвимым?
На данный момент неизвестны атаки как с применением квантового, так и с применением классического компьютера, которые способны взломать постквантовые алгоритмы, включенные в нашу библиотеку PQLR. Тем не менее, в случае обнаружения уязвимости в постквантовом алгоритме, его можно будет заменить на другой. Обращаем ваше внимание на то, что абсолютной защиты в парадигме асимметричной криптографии никто гарантировать не может: даже RSA может оказаться уязвимым к атакам с применением классического компьютера. Для того, чтобы затраты на переход были невелики, предлагается изначально реализовывать сразу несколько постквантовых алгоритмов.
На данный момент неизвестны атаки как с применением квантового, так и с применением классического компьютера, которые способны взломать постквантовые алгоритмы, включенные в нашу библиотеку PQLR. Тем не менее, в случае обнаружения уязвимости в постквантовом алгоритме, его можно будет заменить на другой. Обращаем ваше внимание на то, что абсолютной защиты в парадигме асимметричной криптографии никто гарантировать не может: даже RSA может оказаться уязвимым к атакам с применением классического компьютера. Для того, чтобы затраты на переход были невелики, предлагается изначально реализовывать сразу несколько постквантовых алгоритмов.
Как уже сегодня использовать гибридные решения для защиты данных вашего бизнеса?
В основе любого гибридного решения лежат классический и постквантовый алгоритмы. Выбор классического алгоритма ограничен набором из нескольких стандартных алгоритмов, некоторые из которых наверняка уже используются для защиты данных вашего бизнеса. Выбор постквантового алгоритма представляется куда более сложным решением. Здесь необходимо учитывать требуемый уровень защиты данных, а также архитектурные особенности вашей информационной системы.
В нашей библиотеке PQLR представлены постквантовые алгоритмы цифровой подписи и инкапсуляции ключа из всех наиболее перспективных семейств постквантовых алгоритмов (lattice-based algorithms, code-based algorithms, hash-based algorithms). Именно это позволяет нашим экспертам подобрать наиболее подходящий для вашего бизнеса алгоритм постквантовой защиты данных. На сегодняшний день в состав библиотеки PQLR входят 9 квантово-устойчивых алгоритмов цифровой подписи и инкапсуляции ключа:
- Saber (Module-LWR based KEM);
- Falcon (Lattice-based signature);
- McEliece (Code-based KEM);
- SPHINCS+ (Hash-based signature);
- NewHope (Lattice-based KEM);
- Dilithium (Lattice-based signature);
- Hypericum (Hash-based signature);
- Kryzhovnik (Lattice-based signature);
- Shipovnik (Code-based signature).
В основе любого гибридного решения лежат классический и постквантовый алгоритмы. Выбор классического алгоритма ограничен набором из нескольких стандартных алгоритмов, некоторые из которых наверняка уже используются для защиты данных вашего бизнеса. Выбор постквантового алгоритма представляется куда более сложным решением. Здесь необходимо учитывать требуемый уровень защиты данных, а также архитектурные особенности вашей информационной системы.
В нашей библиотеке PQLR представлены постквантовые алгоритмы цифровой подписи и инкапсуляции ключа из всех наиболее перспективных семейств постквантовых алгоритмов (lattice-based algorithms, code-based algorithms, hash-based algorithms). Именно это позволяет нашим экспертам подобрать наиболее подходящий для вашего бизнеса алгоритм постквантовой защиты данных. На сегодняшний день в состав библиотеки PQLR входят 9 квантово-устойчивых алгоритмов цифровой подписи и инкапсуляции ключа:
- Saber (Module-LWR based KEM);
- Falcon (Lattice-based signature);
- McEliece (Code-based KEM);
- SPHINCS+ (Hash-based signature);
- NewHope (Lattice-based KEM);
- Dilithium (Lattice-based signature);
- Hypericum (Hash-based signature);
- Kryzhovnik (Lattice-based signature);
- Shipovnik (Code-based signature).