uredi› krajšaj› T:208 M:372 Z: [×]

Iskanje nezlomljive kode

Naše zaupanje v spletno varnost temelji na matematiki…

Stephen Ornes, MIT Technology Review

Ko preverjamo elektronsko pošto, se prijavljamo v spletno banko in si izmenjujemo sporočila na družabnih omrežjih, naša gesla in podatke varuje šifriranje, kamufliranje podatkov s tajnim ključem. Deluje kot kibernetična ključavnica in podatke lahko odklene tisti, ki ima pravi ključ, brez njega pa nam preostanejo le zahtevne metode vdiranja, digitalne ustreznice lomilke in žage.

Kodirni sistemi so nastali na podlagi družin matematičnih problemov, imenovanih enosmerne funkcije – enačbe, ki jih je preprosto rešiti v eno smer, z nasprotne pa skoraj nemogoče hitro preračunati s še tako močnim računalnikom. Gre za nekakšno računalniško ustreznico ježevkam na cesti, kot jih imajo nekatere letališke izposojevalnice avtomobilov ob izhodu s parkirišča. Če peljete v pravo smer, jih komaj opazite, če bi želeli peljati vzvratno, pa ne bi prišli daleč (in kupiti bi morali nove gume).

A obstaja tudi težava. Čeprav matematiki menijo, da obstaja prava enosmerna funkcija, je še niso dokazali. Torej niso dokazali, da ni mogoče ali vsaj ne brez izjemnih naporov rešiti enačb, na katere se opiramo. Mogoče samo nismo našli ustreznega matematičnega sredstva za razčlenitev teh problemov. Takšni zadržki pestijo celotno kodiranje. Naši podatki so zaščiteni, ker nihče ne ve, kako razvozlati zaščitne metode – vsaj za zdaj.

Razlog za zaskrbljenost niso le hekerji. Strokovnjaki za varnost že dolgo opozarjajo na grožnjo, ki se še ni uresničila: kvantne računalnike. V prihodnosti bi te naprave lahko poganjale program, ki hitro stre matematične orehe, na katerih temelji sodobno kodiranje. To predstavlja grožnjo osebnim financam, medicinskim arhivom in drugim podatkom. Hekerji bi lahko ukradli zdaj šifrirane podatke, jih shranili in počakali na odkritje novih tehnoloških ključev za dešifriranje.

Informatiki, matematiki in programerji za kodiranje zato iščejo nove kodirne algoritme, ki bi lahko prestali napade ne le današnjih običajnih računalnikov, temveč tudi kvantnih naprav prihodnosti. Iščejo trdovraten, zahteven matematičen problem, dovolj robusten, da bo odbijal napade klasičnih in kvantnih računalnikov, a hkrati obvladljiv, da bi ga lahko uporabili v kibernetičnem prostoru.

Žal nihče še ni našel takšnega problema, ki bi ga računalniki, tako klasični kot kvantni, potrjeno težko rešili. (V svetu šifriranja pridevnik 'težek' pridajajo problemu, katerega reševanje zahteva osupljivo veliko korakov oziroma ogromno računalniške moči.) Če enosmerne funkcije ne obstajajo, bodo strokovnjaki za šifriranje do konca svojih dni iskali pomanjkljivosti in večno razvijali vse močnejših varovalke za onemogočanje premetenih hekerjev.

»Vprašanje, ali enosmerne funkcije res obstajajo, je pravzaprav najpomembnejša težava,« je prepričan Rafael Pass, strokovnjak za teoretično računalništvo na univerzi v Tel Avivu. To je zagonetka še iz 70. let, iz časa, ko se je šele rojevalo raziskovalno področje, ki ga danes poznamo pod imenom teorija računalniške kompleksnosti. Teoretiki in kriptografi že dolgo iščejo načine, kako ugotoviti, ali takšne funkcije obstajajo. Morda so problemi, za katere upamo ali sumimo, da so enosmerni, v resnici le zamaskirani lažji in obvladljivi problemi.

Pass raziskuje, kako so enosmerne funkcije povezane s snopom drugih nerešenih težav. To je obetavna veja raziskav, ki je k iskanju privabila še druge teoretike. Hkrati pa ljudje, ki so osredotočeni na praktične plati šifriranja, utirajo pot in iščejo nove možnosti, ki se vsaj zdijo – če tega že ni mogoče dokazati – dovolj močne za zoperstavljanje kvantnim računalnikom.

Citat: Računalniški strokovnjaki so se znašli na nenavadnem križišču in niso prepričani, ali so postkvantni algoritmi res odporni na vse napade – ali pa le prevladuje takšno prepričanje.

Zadnjih sedem let je na čelu iskanja najboljših kandidatov državni inštitut za standarde in tehnologije (National Institute of Standards and Technology − NIST), ameriška vladna agencija, pristojna za zbiranje, preizkušanje in standardizacijo kodirnih algoritmov za javno uporabo. NIST na stotine mogočih postkvantnih algoritmov podvrže vrsti preizkusov, nato pa jih sprosti za uporabo na zunanjih testiranjih. Tako se je izkristaliziralo nekaj finalistov in NIST je avgusta sporočil, da bo algoritem CRYSTALS-Kyber, ki bi s svojim odločnim pristopom verjetno lahko odbil kvantne napade, prvi kandidat, ki ga bo uradno priporočil za splošno uporabo, pozneje pa naj bi s tem algoritmom podatke šifrirali podjetja in države.

Se bo izkazal? Od odgovora bo odvisna kratkoročna smer kibernetične varnosti. Nič še ni dorečeno. Zgodovina nas uči, da je naše zaupanje v nezlomljivost pogosto zgrešeno, in v dolgih letih so tudi šifrirni kandidati, ki so se zdelo zanesljivi, podlegli presenetljivo preprostim napadom. Računalniški strokovnjaki so tudi sami na nenavadnem razpotju, saj ne vedo, ali so postkvantni algoritmi dejansko nepremagljivi ali tako samo mislijo. To je pomembna razlika v sami srčiki sodobne kodirne varnosti.

Mit in resnica o nezlomljivosti

Zaščita tajnih sporočil ni že od nekdaj povezana z zahtevnimi matematičnimi problemi – do nedavnega šifriranje ni imelo veliko skupnega z matematiko. V stari Grčiji so vojaški poveljniki sporočila kodirali z valjasto napravo (scytale), na kateri se je razkrilo skrito sporočilo, ko so okrog nje ovili trak z navidezno pomešanimi črkami. Čez stoletja so rimljanski zgodovinarji opisali kod, ki so ga pogosto pripisali Juliju Cezarju, v katerem so črke v sporočilu vedno zamenjali s tistimi, ki so v abecedi tri mesta prej, in tako bi črko d v slovenski abecedi zapisali kot b.

Tako v zgodovini kot danes so tajne šifre pogosto tudi razvozlali. V 16. stoletju je škotska kraljica Marija, ki jo je dala zapreti njena sestrična, kraljica Elizabeta I., uporabljala zapletene simbolne znake, da je šifrirala na stotine pisem, s katerimi si je večinoma želela izboriti svobodo in vnovič zasesti prestol. Ni ji uspelo: kraljičina ekipa vohunov in kriptografov je prestregla, razvozlala in kopirala pisma. V tistem, ki je zapečatilo njeno usodo, je odobrila načrt za atentat na Elizabeto, in sicer s šestimi besedami: sett the six gentlemen to woork (naj se šest gospodov loti dela). Elizabeta je nato leta 1587 ukazala sestričnino obglavljenje.

Leta 1932 so kriptografi na Poljskem razvozlali šifre prve nemške enigme, naprave, ki so jo izumili konec prve svetovne vojne. Informacije so pozneje delili z britanskimi kriptografi, ki so med drugo svetovno vojno razbili naprednejšo različico enigme.

Pass obdobje pred 70 leti napol v šali imenuje temno obdobje šifriranja.

»Šifriranje takrat pravzaprav ni veljalo za znanstveno področje,« je pojasnil, »temveč bi lahko govorili predvsem o boju umetnikov proti napadalcem. Za izum kodirne sheme so nujne umetniške sposobnosti. Uporabljali so jo, dokler je ni dovolj pametna oseba dešifrirala. In to se potem ponavljalo v nedogled.«

Nato je prišel november 1976, je pripovedoval Pass, ko se je vse spremenilo. Kriptografa Whitfield Diffie in Martin Hellman s Stanforda sta opisala novo metodo, kako lahko dve osebi izdelata ključ, ki ga bosta razumeli le onidve in si tako posredovali tajna sporočila. Prelomno pri tem je bilo, da se jima ni bilo treba osebno srečati. Nekoč sta namreč tako pošiljatelj kot prejemnik morala fizično imeti v lasti ključ za šifriranje in dešifriranje. Za sporočilo, sestavljeno z enigmo, je moral prejemnik imeti list s šiframi, da je imel vpogled v sistem zamenjave črk.

Skrivnost njune kodirne strategije je, da sta osebi sestavili svoj ključ na podlagi preprostega matematičnega problema, ki ga je v eno smer mogoče brez težav rešiti, v drugo smer pa to zahteva res ogromna truda. Takole deluje: Osebi, ki se želita tajno sporazumevati, izbereta vsaka svoje tajno število, nato se dogovorita za par števil, ki ga javno delita (prvo je veliko praštevilo, drugo pa se imenuje baza). Osebi nato izpeljeta vrsto matematičnih operacij, da izbrani tajni števili kombinirata s praštevilom in z bazo.

Nato si izmenjata rezultate in vsaka izpelje še eno serijo matematičnih operacij z novimi števili. Na koncu opravita iste operacije z istimi števili – vendar ne v enakem zaporedju – in dobita enak odgovor. Dobljeni številki postaneta šifra. Oseba, ki bi prestregla ta prenos, bi le z veliko vloženega truda in časa razvozlala matematično zmešnjavo, če ne pozna vsaj ene od tajnih izbranih številk. Lahko bi začela s poskusi na slepo, vendar to pomeni ogromno računanja in ni racionalno.

Zapletena težava, s katero se torej sooča tretja oseba, je iskanje diskretnega logaritma. Pristop Diffieja in Hellmana se uporablja še danes, na primer za zaščito nekaterih navideznih zasebnih omrežij, in je vključen tudi v nekatere postkvantne metode.

Diffie in Hellman sta v svoji razpravi izpostavila, da ni algoritma, ki bi problem z diskretnim logaritmom razrešil v razumnem času. Tudi danes še ne obstaja. Tako sta prvič v zgodovini uvedla pojem enosmernih funkcij kot temelj za varno šifriranje.

Danes na tej izhodiščni zamisli temelji varna spletna interakcija, ki vključuje tudi overjanje in digitalno podpisovanje. A brez matematičnega dokaza, da so problemi, na katerih sloni, res enosmerne funkcije, še vedno obstaja možnost, da bo nekdo odkril učinkovito metodo za njeno dešifriranje.

Kvantna nadloga

Dandanašnji se spletne transakcije začnejo z nekakšnim digitalnim stiskom roke in njegovo zanesljivost pogosto zagotavlja drugi, domnevno zahteven matematični problem. Danes najbolj priljubljeni sistem šifriranja je leta 1977 uvedla trojica mladih računalničarjev, ki jih je navdihnila leto dni starejša razprava Diffieja in Hellmana. Svoj pristop so poimenovali RSA, po začetnicah svojih priimkov (ti strokovnjaki so bili Ron Rivest, Adi Shamir in Leonard Adleman).

RSA, ki temelji na tem, da je praštevila razmeroma težje najti kot jih množiti med seboj, se nekoliko razlikuje od pristopa Diffieja in Hellmana z deljeno skrivnostjo: uporabnikoma omogoča sestavo ključa prek nevarnega kanala (kot je internet), ta ključ pa se potem uporablja za zakamufliranje sporočil. Pri RSA prva oseba uporablja ključ druge – na temelju velikega praštevila –, da šifrira sporočilo, ki ga potem lahko razvozla le drugi. RSA lahko zaščiti podatke, ki jih ena oseba pošlje drugi.

Ta metoda je kmalu postala ena najbolj priljubljenih metod šifriranja z javnim ključem, saj je preprosta za uporabo in prilagodljiva. Sčasoma, ko so se pojavili novi algoritmi za hitrejše faktoriranje in so računalniki postali zmogljivejši, je NIST za večjo varnost svetoval uporabo vse večjih števil. Ta so prikazana v binarni obliki z enicami in ničlami in te binarne številke so bolje znane pod izrazom biti. Na primer številka 13 je v binarni obliki zapisana kot 1101, kar so štirje biti. NIST trenutno priporoča uporabo ključa, zapisanega z najmanj 2.048 biti, kar ustreza številu z več kot 600 števkami. (Doslej najvišje število, ki so ga faktorirali, sestavlja 250 številk, postopek pa je trajal skoraj tri tisoč računalniških ur.) To je prednost RSA – čeprav ni nepremagljiv, je brez težav mogoče povečevati število in njegovo iskanje je z računalniškega vidika izjemno nepraktično.

Leta 1994 se je pojavila drugačna grožnja. Ameriški matematik Peter Shor, takrat zaposlen v Bell Labs, je razvil algoritem za kvantne računalnike, s katerim bi težavo s faktoriranjem lahko rešili v razumnem času. (Pravzaprav je bila grožnja dvojna, saj bi s tem pristopom lahko premagali tudi problem z diskretnim logaritmom v pristopu Diffieja in Hellmana.)

Shorova razprava je povzročila veliko razburjenja in strahov med tistimi, ki so želeli sestaviti kvantne računalnike, in drugimi, ki so se zavedali, kako veliko grožnjo pomeni za kibernetično varnost. A na veliko srečo kriptografov za to ne bi bil dovolj poljubni kvantni računalnik.

Citat: Zadnja tri desetletja se kibernetična varnost zdi kot vse bolj zapletena igra, v kateri strokovnjaki nenehno sestavljajo in spodkopavajo – oziroma poskusijo spodkopati – vedno nove kandidate.

Pred nekaj leti so raziskovalci pri Googlu in na švedskem Kraljevem tehnološkem inštitutu ocenili, da bi kvantni računalnik, sestavljen iz 20 milijonov kvantnih bitov oziroma kubitov, za razbitje današnje 2.048-bitne varnosti RSA potreboval približno osem ur. Današnje najmodernejše naprave niso še niti približno tako zmogljive – IBM je lani predstavil doslej največji kvantni računalnik s 433 kubiti.

Odgovor, ali je RSA neposredno ogrožen zaradi kvantnega napada, je odvisen od tega, koga vprašamo, pravi računalniški strokovnjak Ted Shorter, soustanovitelj podjetja za kibernetično varnost Keyfactor. Opaža kulturni razkorak med teoretiki, ki preučujejo matematično plat šifriranja, in kriptografi, ki skrbijo za njegovo uporabo.

Nekateri so prepričani, da je konec blizu. »Teoretični računalniški znanstveniki pravijo, da je z RSA konec, saj si to znajo predstavljati,« je pojasnil Shorter. Dodal je, da po njihovem mnenju obstoj Shorovega algoritma nakazuje konec šifriranja, kot ga poznamo danes.

Številni kriptografi, ki skrbijo za varnostne sisteme v resničnem svetu, so manj zaskrbljeni zaradi kvantne prihodnosti kot najbolj premetenih hekerjev. Navsezadnje ljudje že tisočletja poskušajo učinkovito faktorirati in zdaj za edino znano metodo potrebujemo računalnik, ki ne obstaja.

Thomas Decru, kriptograf na Katoliški univerzi v belgijskem Leuvnu, meni, da je treba kvantno grožnjo resno jemati, je pa težko napovedati, ali bo RSA kvantnim računalnikom podlegel že v petih letih, pozneje – ali nikoli. »Dokler kvantni računalniki ne obstajajo, lahko o njih pravzaprav samo ugibamo,« je komentiral. Pass je o grožnji bolj prepričan: »Najbrž lahko z gotovostjo trdimo, da obstoj tega kvantnega algoritma pomeni, da so v problemu razpoke, kajne?«

Muke z izvajanjem

Pripravljeni moramo biti na vse, opozarja Lily Chen, vodja skupine za kodirno tehnologijo v NIST, ki sodeluje pri prizadevanjih za postkvantne kodirne standarde. Kvantni računalniki se že nakazujejo na obzorju, pa če jih bomo zares dobili čez tri leta ali tri desetletja, in takrat bodo kodirne sheme, kot sta RSA in metoda Diffieja in Hellmana, mogoče ogrožene.

Iskanje šifriranja, ki bo odporno na kvantne računalnike, je zahtevna naloga. Zadnja tri desetletja kibernetične varnosti se zdijo kot vse bolj zapletena igra, ker nimamo matematičnega problema, ki je računalniško trd oreh, in raziskovalci neprestano sestavljajo in dešifrirajo – ali poskušajo dešifrirati – nove kandidatke.

Ta večni sem ter tja je že vplival tudi na postkvantni program NIST. Februarja lani so kriptografi odkrili usodno napako v algoritmu Rainbow, ki je pred tem preživel tri kroge internega analiziranja. Nekaj mesecev pozneje, ko so seznam NIST vnovič oklestili, sta Decru in njegov kolega iz Leuvna Wouter Castryck objavila, da sta razvozlala še enega finalista, algoritem po imenu SIKE.

Razvili so ga pred nekaj leti in je umski otrok sodelovanja med raziskovalci in inženirji Amazona, Microsofta, univerze v Versaillesu in drugih. Temelji na posebnem matematičnem grafu, imenovanem izogenija, sestavljenem iz povezav med eliptičnimi krivuljami. Te grafe je v komunikaciji mogoče pretvoriti v šifre in tako nepooblaščeni ne morejo prisluškovati, če niso seznanjeni s temi grafi.

V Leuvnu pa Decru in Castryck dodelujeta metode, kako tako imenovane izogenije uporabiti za pripravo novih, hitrejših pristopov k šifriranju. Najzahtevnejšo različico SIKE sta razvozlala v le nekaj računalniških urah na navadnem namiznem računalniku. (Pozneje so tudi druge ekipe odkrile še hitrejše načine.) Za nameček se jima je to posrečilo skoraj po naključju in le malo po tistem, ko so SIKE razglasili za drugega mogočega finalista NIST. »Sploh se nisva trudila dešifrirati, temveč sva želela le generalizirati,« vztraja Decru.

Chenova pravi, da primera SIKE in Rainbowa ponazarjata živčnost v resničnem svetu, zaradi katere si toliko strokovnjakov prizadeva najti algoritme za kvantno dobo. Kot je pojasnila, je po eni strani treba najti problem, ki je zahteven tako za kvantne kot klasične računalnike, potem pa je tu še sama izvedba: pretvorba tega težkega problema v takšnega, ki bo uporaben v dejanskem kodirnem sistemu. Celo z današnjimi dobro definiranimi problemi je zelo težko napovedati in preprečiti luknje v vseh operacijskih sistemih ter napravah, ki so trenutno na voljo na trgu, je poudaril Shorter. »Za nameček so tu še preizkusi interoperabilnosti, certificiranje in drugi testi za zagotavljanje pravilne in varne uporabe,« je povedal.

Matematični problem, na katerem temelji SIKE, se zdi računalniško zahteven, ker je toliko različnih grafov, ki bi lahko nastali med krivuljami. Mogoče je celo enosmerni problem, torej tudi odporen na kvantne računalnike. Napaka se je skrivala v zasnovi, ki je razgalila preveč posredovanih podatkov. Decru in Castryck sta SIKE dešifrirala, ker sta nehote našla način, kako razkriti dovolj stičnih točk, da je razvidna tudi celota.

Drugi sistemi so se odrezali bolje. CRYSTALS-Kyber, prvi postkvantni kodirni algoritem, ki so ga standardizirali, varnost zagotavlja s pristopom, ki vključuje probleme na mrežah, matematičnih objektih, ki jih je mogoče modelirati kot razporeditev posameznih točk. (Poznamo pet glavnih družin postkvantnih kodirnih metod, izogenija in mreže sta dve od njih.)

CRYSTALS-Kyber je splošna kodirna metoda, tako kot RSA, in uporabna med drugim za varno spletno sporazumevanje. Trije drugi odobreni algoritmi so namenjeni preverjanju pristnosti digitalnih podpisov za zagotavljanje, da podpis na digitalnih dokumentih ni ponarejen. NIST jih namerava standardizirati do prihodnje pomladi. V prihodnjih nekaj letih bi lahko standardizirali še tri (dokler niso razbili SIKE, so bili štirje kandidati), če bodo le uspešno prestali naslednje kroge preverjanja.

A če matematiki ne bodo dokazali obstoja enosmernih funkcij, pravi Pass, bodo vzorci, od nekdaj prisotni pri šifriranju, vztrajali. »Pa smo spet pri igri mačke z mišmi, se pravi pri igri med razvijalci algoritmov, ki predlagajo nove kandidate, in drugimi razvijalci, ki jih poskušajo razkrinkati,« je povedal. Razen seveda, če si on ali kdo drug z njegovega področja ne bo izmislil izvedljive, dokazljivo enosmerne funkcije in za vedno rešil vprašanja šifriranja.

Dotlej bodo kriptografi izpostavljeni negotovosti, v kateri je prepričljivo zanesljivemu šifriranju mogoče zaupati, dokler ne dobimo nasprotnega dokaza.

Ta negotovost bi se lahko razblinila, če bi našli popolni matematični problem, kar pa se ne bo zgodilo kmalu in ne bo preprosto. Rešitev bo morala biti v popolnem ravnovesju med matematiko in šifriranjem, računalniško zahtevna, a hkrati preprosto izvedljiva. S prevelikim odmikom od teh zaželenih lastnosti bi postala ranljiva – če ne takoj, pa v prihodnosti. Brez ravnovesja ni pretekle, sedanje in prihodnje varnosti vseh podatkov vseh ljudi. Nikogar ne želimo priganjati.

Copyright Technology Review, distribucija Tribune Content Agency