În jurul anului 2010, un malware sofisticat numit Flame a compromis sistemul prin care Microsoft distribuia actualizări către milioane de computere Windows la nivel global. Se spune că malware-ul, dezvoltat în comun de SUA și Israel, a distribuit un update malițios într-o rețea a guvernului iranian.
Punctul central al acestui atac de tip “coliziune” a fost exploatarea funcției de hash criptografic MD5, utilizată de Microsoft pentru autentificarea certificatelor digitale. Prin crearea unei semnături digitale criptografic perfecte bazate pe MD5, atacatorii au falsificat un certificat care autentifica serverul lor de update-uri malițioase. Dacă atacul ar fi fost utilizat pe o scară mai largă, consecințele ar fi fost dezastruoase la nivel mondial.
Acest eveniment, devenit public în 2012, funcționează acum ca un semnal de alarmă pentru inginerii în criptografie, care examinează căderea a două algoritmi criptografici cruciali folosiți la scară largă. Din 2004, se știe că MD5 este vulnerabil la “coliziuni”, o defecțiune fatală care permite adversarilor să genereze două intrări distincte ce produc aceleași ieșiri.
În patru ani, alte două cercetări au demonstrat mai departe slăbiciunea MD5. Ultima a utilizat 200 de console Sony Playstation care au rulat timp de trei zile pentru a genera un certificat TLS falsificat. Deși era cunoscută această defecțiune fatală, o mică parte din infrastructura vastă a Microsoft încă folosea funcția de hash.
Hotărâți să prevină repetarea unui scenariu similar, organizațiile din întreaga lume implementează noi algoritmi pentru a înlocui RSA și curbele eliptice. De peste trei decenii, acești doi algoritmi de criptografie cu cheie publică sunt cunoscuți ca fiind vulnerabili la algoritmul lui Shor, o serie de ecuații care permit unui computer cuantic de forță suficientă să rezolve problemele matematice care stau la baza acestor doi algoritmi în timp polinomial, o accelerare dramatică față de timpul exponențial necesar calculatoarelor clasice.
La începutul acestei luni, atât Google cât și Cloudflare și-au accelerat termenele interne pentru pregătirea criptografiei post-cuantice (PQC) pentru anul 2029, o accelerare de aproximativ cinci ani. Aceste mișcări au fost provocate în mare parte de două cercetări care arată că computingul cuantic relevant criptografic (CRQC) ar putea apărea mai devreme decât se estima anterior.
Deși există puține dovezi că un CRQC va apărea în următorii patru ani, termenele revizuite stabilesc un exemplu bun pentru colegii de breaslă precum Amazon și Microsoft, ale căror cronologii sunt cu doi până la șase ani mai lungi. Ele se aliniază, de asemenea, în mare măsură cu obiectivele guvernului SUA; Departamentul Apărării cere ca toate sistemele de securitate națională să utilizeze algoritmi siguri cuantic până la 31 decembrie 2031, iar Institutul Național de Standarde și Tehnologie solicită renunțarea la algoritmii vulnerabili până în 2035. Deși mulți experți îndoiesc puternic că CRQC va apărea până în 2029, alții afirmă că o accelerare la nivelul întregii industrii este necesară având în vedere mizele.
Sursa: Ars Tehnica Technology
Poll: Care este cel mai important motiv pentru care organizațiile din întreaga lume implementează noi algoritmi pentru a înlocui RSA și curbele eliptice?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply