Как спроектировать постквантовую информационную систему
Жан-Луи Олье, Ален Фернандо-Сантана; ноябрь 2022 г.
В этой статье представлена концепция постквантовых информационных систем (PQIS), новая концепция, направленная на определение информационных систем, предназначенных для противостояния любой атаке со стороны классических или квантовых компьютеров. В этой статье CyferAll предлагает определение PQIS и свой подход к проектированию таких систем и определению основных строительных блоков.
Фон
В нашей предыдущей статье мы обсуждали, почему и как информационные системы и цифровые данные, которые проходят через них, остаются уязвимыми для киберпреступности, несмотря на криптосистемы, развернутые в настоящее время для защиты цифровых данных. Мы также рассмотрели новые угрозы, которые квантовые вычисления будут генерировать по мере развития технологии, и почему эти новые угрозы создают непосредственную угрозу, требующую от правительств и бизнеса замены своих существующих криптосистем . Но как мы можем спроектировать информационные системы, чтобы сделать их устойчивыми к угрозам квантовых вычислений и обеспечить цифровым данным уровень защиты, близкий к «совершенной секретности» — концепции, первоначально сформулированной Клодом Шенноном в 1949 году? [1]Цель этой статьи состоит в том, чтобы предложить различные пути, следуя которым, мы сможем приблизиться к видению Шеннона, предоставив при этом предварительные строительные блоки для постквантовой информационной системы .
Определение постквантовой информационной системы
Для целей этой статьи постквантовая информационная система определяется как информационная система прикладного уровня, работающая на одном или нескольких компьютерах, связанных сетью, и, как предполагается, обеспечивающая пользователям системы полную защиту :
(i) обработанных цифровых данных во всех их возможных состояниях: «в использовании», «в состоянии покоя» и «в пути» , от создания до восстановления, от любой угрозы, будь то классические или квантовые компьютеры;
(ii) от вирусов и вредоносных программ , которые могут находиться на компьютерах, обрабатывающих цифровые данные; а также
(iii) во время регистрации пользователей и услуг входа в систему, поддерживаемых системой.
Полная защита данных
Давайте сначала проясним, что на самом деле означает «полная защита данных» и каковы реальные пределы защиты, которую информационная система может обеспечить для цифровых данных. Действительно, по разным причинам информационная система никогда не сможет обеспечить «тотальную» защиту как таковую, поскольку существуют практические реалии, которые сделают это невозможным. Например:
Поведение пользователя
Пользователи являются физическими лицами и, как таковые, являются конечными владельцами фактической информации или доступа к информации, подлежащей защите. Тем не менее, у этих лиц всегда есть возможность раскрыть информацию преднамеренно (с разрешения или без него) или непреднамеренно по простой или грубой небрежности. Независимо от того, насколько сложна информационная система, она никогда не сможет предотвратить несанкционированное преднамеренное или непреднамеренное раскрытие пользователем данных или учетных данных доступа. Это можно смягчить с помощью процедур проверки безопасности , разделения информации по критериям «необходимо знать», а также обучения персонала для повышения осведомленности о безопасности .
Кроме того, программные инструкции, лежащие в основе любой информационной системы, написаны людьми, у которых могут быть скрытые мотивы. Бэкдор, преднамеренно размещенный кодером во время разработки решения, который затем приведет к атакам нулевого дня, не может быть идентифицирован заранее и защищен от информационной системы. Это можно смягчить с помощью проверок кода и процедур внешней сертификации .
Наблюдение за объектами
Более того, пользователи и периферийные устройства находятся в физических объектах (корпоративных или домашних офисах), и эти объекты могут быть объектом несанкционированного наблюдения, способного перехватывать учетные данные для доступа/обмениваемыми данными, и информационная система не может защитить от такого сценария. Это можно смягчить с помощью систем, обнаруживающих присутствие нежелательных устройств.
Таким образом, определение «Полная защита» понимается как описание мер, которые находятся в технологическом объеме информационной системы и ее управления цифровыми данными .
Первоначальные соображения относительно постквантовой информационной системы (PQIS)
Оборудование/прошивка
В идеале PQIS должен быть легко доступен и, как таковой, не требует использования специального, специализированного или настроенного компьютерного оборудования. Более того:
я. компоненты аппаратного обеспечения компьютера и их микропрограммы не должны быть скомпрометированы, и процесс, обеспечивающий это «чистое» состояние, должен предшествовать их подключению к PQIS;
II. процессор, плата ЦП и оперативная память должны работать надежно; а также
III. периферийные устройства для захвата/рендеринга должны быть безопасными и не допускать скрытого доступа или утечки данных неавторизованным получателям.
Операционные системы
Операционная система играет фундаментальную роль в работе компьютера, но она является программным компонентом и, следовательно, может быть изменена вирусами или вредоносными программами . Сделать операционную систему менее восприимчивой к вирусам и вредоносному ПО имеет основополагающее значение для создания безопасной PQIS. Один из вариантов защиты операционной системы — запустить ее как виртуальную машину и полностью разместить в оперативной памяти, чтобы защитить ее от любых вредоносных модификаций.
Права доступа
Винтон Дж. Серф, один из разработчиков ключевых блоков Интернета, сказал, что при создании новой сети «мы не сосредоточились на том, как можно намеренно разрушить систему». Это остается проблемой и сегодня. Информационные системы предоставляют права доступа утвержденным пользователям, после чего перестают сомневаться в их намерениях. Эта логика оказалась в корне ошибочной, поскольку кажется, что пользователей с плохими намерениями снаружи столько же, сколько и внутри частной сети. Американский национальный институт стандартов и технологий (NIST) рассмотрел эту проблему в своей специальной публикации 2020 г. [2] , посвященной моделям информационных систем с нулевым доверием .. В такой модели права на доступ к данным в открытом виде предоставляются только компьютерам, пользователи которых доказали свою надежность при доступе к данным. Пока это предварительное условие не выполнено, компьютер не считается доверенным, а компонент системы, обеспечивающий соблюдение политик, предотвращает предоставление данных пользователю компьютера в открытом виде. Компонент обеспечения соблюдения политики действует под контролем точки принятия решения о политике, управляя правами всех пользователей на доступ к каждой категории данных. Однако эта модель нуждается в дальнейшей доработке.. Действительно, как мы видели, в целом компьютер нельзя считать заслуживающим доверия, так как он мог быть заражен вирусами или вредоносными программами, или информация доступа пользователя могла быть украдена с помощью методов, описанных ранее в этой статье. Для защиты от компьютера, зараженного вирусом или вредоносным ПО, реализация модели нулевого доверия должна создать неразрывную цепочку хранения данных между защищенными анклавами . В такой модели сквозное шифрование фактически реализовано как безопасный анклав для безопасного анклава с гораздо лучшими гарантиями защиты не только данных «в пути», но также данных «в использовании» и данных «в состоянии покоя».
Для защиты от пользователя, чья информация доступа была украдена, информационная система может регулярно проводить проверки личности , биометрические или иные, в зависимости от анализа информационной системой поведения пользователя, предыдущего доступа к этой же информации, времени суток, местоположения, из которого делается запрос на доступ и т. д. и т. д. Больше не следует исходить из того, что пользователь имеет какое-либо право находиться в сети и, тем более, получать доступ к запрошенной информации.
Роль браузера
Как следует из названия, интернет-браузер был изобретен для облегчения навигации в Интернете и получения информации с сайтов или других мест в Интернете. Браузер также является программой, которая устанавливает соединения для видеоконференций, голосовые соединения через Интернет, веб-почту и чат в определенных веб-приложениях. Большая часть информации, проходящей через браузер, находится в открытом виде, поскольку этот браузер является конечной точкой «сквозного шифрования».в этих веб-приложениях. Действительно, хотя протокол TLS обеспечивает симметричное шифрование данных и асимметричный обмен ключами с аутентификацией, он не может противостоять квантовым атакам. Кроме того, протокол TLS защищает данные только во время передачи между браузерами. До шифрования и после дешифрования данные находятся «в открытом виде» в кеше браузеров и могут быть извлечены или скомпрометированы вирусами и вредоносными программами. Появление файлов cookie и их способности отслеживать, собирать и хранить данные, полученные в результате активности пользователя в Интернете (интеллектуальный анализ данных), создало возможность получения дохода в такой пропорции, что браузер стал в такой же степени инструментом наблюдения, как и облегчающим интернет-серфинг / интернет-услуги. . Но для проведения интеллектуального анализа информации, которая проходит через браузер, эта информация должна быть в открытом доступе. Поскольку браузеры лежат в основе любого интернет-просмотра и взаимодействия с пользователем, и поскольку основное внимание издателя их браузера уделяется интеллектуальному анализу данных и монетизации данных., в PQIS, где необходимо полностью избегать раскрытия/компрометации данных, браузер не может играть роль, когда речь идет о защите данных . В PQIS компоненты компьютера должны быть проверены для выявления любых защищенных анклавов .которые могут хранить данные в открытом виде, и именно этими анклавами должен непосредственно управлять компонент обеспечения соблюдения политик. Только в этих анклавах данные могут находиться в открытом виде и где могут безопасно происходить изменения состояния данных при аутентификации пользователя при переходе из одного из трех состояний «используется», «в состоянии покоя». или «в пути» в другое из этих трех состояний. Эти защищенные анклавы также являются местами, где аппаратные периферийные устройства, необходимые для создания или отображения информации, такие как клавиатура, микрофон, камера, громкоговоритель или экран, должны захватывать и отображать данные.
Защищенные анклавы
Во всех современных компьютерах, без каких-либо конкретных аппаратных компонентов, тремя возможными местами хранения данных являются регистры процессора, энергозависимая оперативная память, также называемая основной памятью, и запоминающие устройства [3] . Регистры процессоров имеют очень ограниченную емкость и могут хранить только обрабатываемые данные. К запоминающим устройствам может получить доступ любое приложение, работающее на компьютере, и приложение может быть вредоносным, поэтому конфиденциальные данные не должны быть в открытом виде на запоминающих устройствах. В конце концов, единственным местом для создания защищенных анклавов является энергозависимая оперативная память (ОЗУ) .
В самом деле, фрагменты ОЗУ выделяются процессором для каждого запущенного процесса эксклюзивным образом. Если для приложения выделен фрагмент памяти, ни один из других одновременно запущенных процессов, включая вирусы и вредоносные программы, не сможет получить доступ к данным, хранящимся в выделенном фрагменте.
Описанная выше программная архитектура на основе оперативной памяти помогает устранить слабые места прикладного уровня большинства современных информационных систем , не требуя каких-либо конкретных аппаратных компонентов, но криптосистема, на которую она должна опираться, еще предстоит обсудить.
Криптосистема
Как было показано ранее, первым компонентом, который должна включать эта криптосистема, является алгоритм симметричного шифрования для шифрования/дешифрования данных, нуждающихся в защите, в определенных выше безопасных анклавах. Как видно из предыдущей статьи, этому алгоритму потребуется 512-битный ключ для защиты от атак квантовых вычислений, но он также должен: (i) противостоять атакам по сторонним каналам , (ii) обеспечивать проверку целостности, не создавая слабых мест или операционных ограничений при его использовании . и, (iii) поскольку данные будут обрабатываться непосредственно в оперативной памяти , алгоритм должен иметь очень высокую пропускную способность и сверхнизкую задержку .. Эта задержка определяется как количество тактовых циклов, необходимых для шифрования, дешифрования и проверки целостности каждого байта данных. Для достижения наивысшего стандарта устойчивости к криптоанализу алгоритм симметричного шифрования должен быть неразличим при атаке с адаптивным выбранным шифром (IND-CCA2) [4] .. Говорят, что алгоритм шифрования обладает таким свойством, если злоумышленник, получив два открытых текста и зашифрованный текст одного из этих двух открытых текстов, не может определить, какой из открытых текстов соответствует зашифрованному тексту с вероятностью выше ½. Более того, это свойство должно быть установлено, если злоумышленник также имеет доступ к оракулу дешифрования, который может предоставить любое количество расшифрованных форм зашифрованных сообщений, выбранных злоумышленником, за исключением, конечно, самого зашифрованного сообщения. Кроме того, всем этим требованиям должен удовлетворять алгоритм симметричного шифрования без использования какого-либо специального аппаратного компонента.
Вторым компонентом криптосистемы является алгоритм асимметричного шифрования , который позволит обмениваться описанным выше ключом алгоритма симметричного шифрования между двумя удаленными пользователями PQIS, когда точка принятия решения о политике разрешает этим пользователям обмениваться сообщениями или потоками в реальном времени. данных, зашифрованных этим симметричным алгоритмом. Асимметричный алгоритм должен быть постквантовым, точнее, способным противостоять квантовым вычислениям с уровнем защищенности не менее 256 бит. В июле 2022 года [5] NIST объявил , что после пятилетнего процесса отбора они решили стандартизировать алгоритм Crystals-Kyber. Это алгоритм IND-CCA2 и имеет версию с уровнем безопасности 256 бит.
Последний компонент, необходимый криптосистеме, — это еще один постквантовый асимметричный алгоритм. Этот асимметричный алгоритм позволит аутентифицировать пользователей при обмене ключами, зашифрованными с помощью первого асимметричного алгоритма, предоставляя этим пользователям средства для подписания этого обмена и проверки подписи своих партнеров. В своем объявлении от июля 2022 года NIST также предоставил список из трех алгоритмов цифровой подписи, подлежащих стандартизации : Crystals-Dilithium, Falcon и Sphincs+.
Доказательство концепции
Постквантовая информационная система, построенная на таких принципах, с программной архитектурой, основанной на модели нулевого доверия с шифрованием RAM-to-RAM [ 6] и криптосистемой, включающей симметричное и асимметричное шифрование, как указано выше, сможет предоставить пользователям с «полной защитой» цифровых данных. Чтобы доказать осуществимость этой концепции, французский стартап CyferAll реализовал ее на своей платформе SaaS, поддерживающей широкий спектр услуг шифрования, обмена сообщениями и связи. Архитектура программного обеспечения RAM-to-RAM и алгоритмы симметричного шифрования были предметом двух патентных заявок. Архитектура программного обеспечения соответствует принципам Privacy-By-Design .для обеспечения соответствия GDPR / HIPPA. Платформа CyferAll также соответствует французским и европейским нормам, направленным на предотвращение использования криптографических средств для злонамеренных действий и террористических актов . Первое новшество относится к архитектуре программного обеспечения и связанным с ним протоколам для подключения пользователей и входа пользователей в систему, что позволяет безопасно поддерживать концепцию программного обеспечения RAM-to-RAM при соблюдении нормативных ограничений.
Второе новшество касается определения алгоритма симметричного шифрования, который устраняет все недостатки, перечисленные в нашей предыдущей статье, связанные с недостаточной длиной ключа и непрямыми атаками. Алгоритм симметричного шифрования является производным от алгоритма «One Time Pad» (OTP) , который был предложен американским инженером Джозефом Моборном как улучшенная версия шифра Вернама [7] , изобретенного в 1917 году Гилбертом Вернамом.
Этот алгоритм считается семантически безопасным , поскольку он обладает интересной, математически доказанной характеристикой, заключающейся в том, что его невозможно взломать независимо от используемой вычислительной мощности. К сожалению, для этого требуется ключ той же длины, что и шифруемые данные, и требуется, чтобы этот ключ был разным для каждой передачи данных. Это сделало невозможным практическое использование алгоритма в современных информационных системах ., так как ключами, каждый раз разными, обмениваться так же сложно, как и сами сообщения, но этот алгоритм OTP — IND-CCA2 с бесконечным уровнем безопасности. Он также устойчив к атакам по сторонним каналам, поскольку не имеет фиксированного ключа, который можно получить с помощью статистического анализа, и имеет самую низкую задержку шифрования среди всех существующих алгоритмов шифрования. В рамках технологии криптосистемы CyferAll этот алгоритм был преобразован таким образом, что он может создавать потоки случайных блокнотов любой длины и разных для каждого сообщения из фиксированного ключа длиной 512 бит, а также имеет возможность проверки целостности . Можно доказать, что он остается IND-CCA2, но с уровнем безопасности, сниженным до 512 бит ., что достаточно, чтобы противостоять квантовым вычислениям. Это преобразование алгоритма также предназначено для сохранения его устойчивости к атакам по сторонним каналам . Возможность проверки целостности увеличивает задержку, но производительность остается намного выше, чем у любого другого существующего стандартного алгоритма . Когда эта разработка была завершена, NIST еще не опубликовал список постквантовых асимметричных алгоритмов, выбранных для стандартизации, поэтому постквантовыми алгоритмами, использованными в проверке концепции CyferAll, были RLCE [8] и XMSS-MT [9] .
Результаты, достижения
Сравнение технологий алгоритмов симметричного шифрования представлено ниже.
Безопасность
Производительность
Эти результаты подтверждают, что предложенный алгоритм симметричного шифрования при значительно меньшей задержке может обеспечить требуемый уровень безопасности 512 бит, с проверкой целостности и устойчивостью к атакам по сторонним каналам.
В заключение можно сказать, что можно построить постквантовые информационные системы, которые предлагают то, что мы определили как «полную защиту», уровень защиты, максимально приближенный к совершенной секретности, при этом учитывая необходимость обеспечения отличной работы приложений.
[1] Шеннон, Клод, Теория связи секретных систем , Технический журнал Bell System, 28 (4): 656–715, 1949 г.
[2] Роуз Скотт, Борхерт Оливер, Митчелл Стью и Коннелли Шон Архитектура нулевого доверия , Специальная публикация NIST 800–207, 2020 г.
[3] Джон Л. Хеннесси и Дэвид Паттерсон (2006). Компьютерная архитектура: количественный подход (Четвертое изд.). Морган Кауфманн. ISBN 978–0–12–370490–0
[4] Белларе, Михир; Рогауэй, Филипп (11 мая 2005 г. ). Введение в современную криптографию, Глава 5: Симметричное шифрование
[5] https://csrc.nist.gov/News/2022/pqc-candidates-to-be-standardized-and-round-4
[6] CyferAll зарегистрировал товарный знак RAM2RAM для описания своей программной архитектуры.
[7] Вернам, Гилберт С., Патент на секретную сигнальную систему , Google.com , Архивировано из оригинала 11 марта 2016 г.
[8] Yongee Wang, Схема шифрования с открытым ключом на основе случайного линейного кода с квантовой устойчивостью RLCE, eprint arXiv: 1512.08454, 2016
[9] А. Хюльсинг, Д. Бутин, С. Газдаг, Дж. Рейневельд, А. Мохайсен. XMSS : расширенная схема подписи Merkle ,https://datatracker.ietf.org/doc/html/rfc8391
![В любом случае, что такое связанный список? [Часть 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)
