Um dos quatro algoritmos de criptografia recomendados pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) como provável de resistir à descriptografia por computadores quânticos tem buracos chutados por pesquisadores usando um único núcleo de um processador Intel CPU Xeon, lançada em 2013.
O algoritmo Supersingular Isogeny Key Encapsulation (SIKE) foi escolhido pelo NIST no mês passado como candidato à padronização, o que significa que avançou para uma rodada extra de testes
en route para adoção.
Dentro do SIKE encontra-se um algoritmo de criptografia de chave pública e um mecanismo de chave encapsulada, cada um instanciado com quatro conjuntos de parâmetros : SIKEp434, SIKEp503, SIKEp610 e SIKEp751.
Microsoft – cuja equipe de pesquisa desempenhou um papel no desenvolvimento do algoritmo junto com várias universidades, Amazon, Infosec Global e Texas Instruments – estabeleceu uma recompensa de US$ 50.000 para qualquer um que pudesse decifrá-lo.
Os boffins belgas Wouter Castryck e Thomas Decru afirmam ter feito exatamente isso.
“Executado em um único núcleo, o código Magma anexado quebra os desafios do Microsoft SIKE $IKEp182 e $IKEp217 em cerca de 4 minutos e 6 minutos, respectivamente. Uma execução nos parâmetros SIKEp434, que anteriormente se acreditava atender ao nível 1 de segurança quântica do NIST, levou cerca de 62 minutos, novamente em um único núcleo”, escreveram Castryck e Decru, da Katholieke Universiteit Leuven (KU Leuven) em um artigo preliminar anunciando sua descoberta.
Os autores divulgaram seu código, bem como os detalhes de seu processador: uma CPU Intel Xeon E5-2630v2 a 2,60GHz. Esse kit foi lançado no terceiro trimestre de 2013, usava a arquitetura Ivy Bridge da Intel e um processo de fabricação de 22nm. O chip oferecia seis núcleos – não que cinco deles fossem de alguma forma prejudicados por esse desafio.
NSA: Nós ‘não sabemos quando ou mesmo se’ um computador quântico será capaz de quebrar a criptografia de chave pública de hoje
A pesquisa de criptografia resistente a quântica é um tema quente porque acredita-se que os computadores quânticos quase certamente se tornarão predominantes e suficientemente poderosos para quebrar os algoritmos de criptografia existentes. Portanto, é prudente preparar criptografia que possa sobreviver a ataques futuros, para que os dados criptografados hoje permaneçam seguros amanhã e as comunicações digitais possam permanecer seguras.
Assim, as recompensas para testar seus limites são abundantes.
A Microsoft descreveu o algoritmo como usando operações aritméticas em curvas elípticas definidas sobre campos finitos e mapas de computação, também chamados de isogenias, entre as curvas.
Encontrando tais uma isogenia foi considerada suficientemente difícil para fornecer segurança razoável – uma crença agora quebrada pela tecnologia de nove anos.
Juntamente com o processador vintage, Castryck e Decru usaram um ataque de recuperação de chave em o protocolo de troca de chaves Supersingular Isogeny Diffie–Hellman (SIDH) que foi baseado no teorema “colar e dividir” de Ernest Kani.
“O ataque explora o fato de que o SIDH tem pontos auxiliares e que o grau de isogenia secreta é conhecido. Os pontos auxiliares no SIDH sempre foram um incômodo e uma fraqueza potencial, um d eles foram explorados para ataques de falha, ataque adaptativo GPST, ataques de ponto de torção, etc.” argumentou o matemático da Universidade de Auckland Stephen Galbraith em seu blog de criptografia.
A matemática fica cerebral, e Galbraith sugere que se você realmente quer entendê-la, você precisa estudar isogenias Richelot e superfícies abelianas.
Droga. Mais uma oportunidade perdida durante o bloqueio.
Mas vamos divagar. Para quem já tem um background rico em criptografia de curva elíptica e quer uma imersão rápida, existem vários tópicos no Twitter que analisam a conquista com mais profundidade.
Alguns profissionais da área propõem que não tudo está perdido com o SIKE.
O co-criador do SIKE, David Jao, acredita que a versão do SIKE submetida ao NIST usou uma única etapa para gerar a chave, e uma possível variante mais resiliente poderia ser construída com duas etapas.
Essa possibilidade ainda está em uma parte ainda não descoberta da interseção da matemática e da ciência da computação. Enquanto isso, os especialistas em criptografia estão abalados.
“Não há dúvida de que esse resultado reduzirá a confiança nas isogenias. O aparecimento repentino de um ataque tão poderoso mostra que o campo ainda não está maduro ,” comentou Galbraith.
O pesquisador de segurança Kenneth White twittou sua admiração e observou “Em 10-20 anos (ou 50, ou nunca) nós *podemoster computadores quânticos práticos, então vamos rolar a substituição da criptografia PQ agora. Que poderia ser facilmente quebrada hoje, em um laptop.”
Mas como Kevin Reed, CISO da empresa de segurança cibernética Acronis, colocou em um post no LinkedIn: “Ainda é melhor do que se fosse descoberto depois de padronizado.”
