.
Getty Images
O padrão da indústria FIDO2 adotado há cinco anos fornece a maneira mais segura conhecida de fazer login em sites porque não depende de senhas e possui a forma mais segura de autenticação integrada de dois fatores. Como muitos esquemas de segurança existentes hoje, porém, o FIDO enfrenta uma ameaça ameaçadora, embora distante, da computação quântica, que um dia fará com que a criptografia atualmente sólida que o padrão usa desmorone completamente.
Na última década, matemáticos e engenheiros se esforçaram para evitar esse criptopocalipse com o advento do PQC – abreviação de criptografia pós-quântica – uma classe de criptografia que usa algoritmos resistentes a ataques de computação quântica. Nesta semana, pesquisadores do Google anunciaram o lançamento da primeira implementação de criptografia resistente a quantum para uso no tipo de chaves de segurança que são os blocos básicos de construção do FIDO2.
A implementação mais conhecida do FIDO2 é a forma de autenticação sem senha: senhas. Até o momento, não há como as senhas serem derrotadas em ataques de phishing de credenciais. Dezenas de sites e serviços agora permitem que os usuários façam login usando senhas, que usam chaves criptográficas armazenadas em chaves de segurança, smartphones e outros dispositivos.
“Embora os ataques quânticos ainda estejam em um futuro distante, a implantação de criptografia na escala da Internet é um empreendimento enorme, e é por isso que fazê-lo o mais cedo possível é vital”, Elie Bursztein e Fabian Kaczmarczyck, diretor de pesquisa em segurança cibernética e IA e engenheiro de software, respectivamente , no Google escreveu. “Em particular, para chaves de segurança, espera-se que esse processo seja gradual, pois os usuários terão que adquirir novas, uma vez que a FIDO padronizou a criptografia resiliente à criptografia pós-quântica e esse novo padrão é suportado pelos principais fornecedores de navegadores”.
O caminho para o PQC é repleto de riscos. RSA e outros algoritmos de criptografia estão em uso há décadas, sem maneiras conhecidas de serem quebrados. Ao longo dos anos, esse histórico levou à confiança de que eles são seguros para uso. Os algoritmos de PQC estão engatinhando, e isso com razão levou à preocupação de que eles ainda não são confiáveis. Um exemplo: um algoritmo PQC chamado SIKE. No ano passado, depois de avançar como candidato da quarta rodada em um programa executado pelo Instituto Nacional de Padrões e Tecnologia do Departamento de Comércio dos EUA, o SIKE foi completa e espetacularmente quebrado por um único computador clássico.
O algoritmo PQC usado na implementação das chaves de segurança FIDO2 adota uma abordagem mais cautelosa. Ele combina o algoritmo de assinatura digital de curva elíptica – considerado inquebrável pela computação clássica, mas facilmente quebrado pela computação quântica – com um algoritmo PQC conhecido como Crystals-Dilithium. Crystals-Dilithium é agora um dos três algoritmos PQC selecionados pelo NIST para uso com assinaturas digitais.
O Dilithium específico usado na implementação da chave digital lançada recentemente parece resolver uma variedade de problemas. Primeiro, para que seja quebrado, um invasor teria que derrotar a criptografia ECDSA e a criptografia PCQ que sustenta sua segurança. E segundo, as chaves que ele usa são minúsculas em comparação com muitos outros algoritmos PQC em circulação agora. No post desta semana, os pesquisadores do Google escreveram:
Nossa implementação proposta se baseia em uma abordagem híbrida que combina o algoritmo de assinatura ECDSA testado em batalha e o algoritmo de assinatura quântica resistente recentemente padronizado, Dilithium. Em colaboração com a ETH, desenvolvemos este novo esquema de assinatura híbrida que oferece o melhor dos dois mundos. Contar com uma assinatura híbrida é fundamental, pois a segurança do Dilithium e outros algoritmos resistentes a quantum recentemente padronizados ainda não resistiram ao teste do tempo e ataques recentes ao Rainbow (outro algoritmo resiliente quântico) demonstram a necessidade de cautela. Essa cautela é particularmente garantida para chaves de segurança, pois a maioria não pode ser atualizada – embora estejamos trabalhando nisso para o OpenSK. A abordagem híbrida também é usada em outros esforços pós-quânticos, como o suporte do Chrome para TLS.
Do lado técnico, um grande desafio foi criar uma implementação de Dilithium pequena o suficiente para rodar em hardware restrito de chaves de segurança. Por meio de uma otimização cuidadosa, conseguimos desenvolver uma implementação otimizada de memória Rust que exigia apenas 20 KB de memória, o que era suficientemente pequeno. Também gastamos tempo garantindo que nossa velocidade de assinatura de implementação estivesse dentro da especificação de chaves de segurança esperada. Dito isso, acreditamos que melhorar ainda mais a velocidade da assinatura, aproveitando a aceleração de hardware, permitiria que as chaves fossem mais responsivas.
No futuro, esperamos ver essa implementação (ou uma variante dela) sendo padronizada como parte da especificação de chave FIDO2 e suportada pelos principais navegadores da web para que as credenciais dos usuários possam ser protegidas contra ataques quânticos. Se você estiver interessado em testar esse algoritmo ou contribuir para a pesquisa de chaves de segurança, acesse nossa implementação de código aberto OpenSK.
A segurança do RSA e de outras formas tradicionais de criptografia assimétrica é baseada em problemas matemáticos cuja resposta é fácil de verificar, mas difícil de calcular. O RSA, por exemplo, depende da dificuldade de fatorar números primos. Encontrar os primos para o número 27.919.645.564.169.759 é difícil, mas quando alguém é informado de que os primos são 48.554.491 e 575.016.749 leva alguns segundos para verificar (graças ao Boot.dev pelo exemplo).
Um método de fatoração conhecido como algoritmo de Shor torna teoricamente possível resolver esses tipos de problemas. Isso, por sua vez, significa morte certa para muitos dos esquemas criptográficos que agora protegem sessões da web criptografadas, dados bancários e médicos e outros segredos. A única coisa que impede esse cenário apocalíptico é a enorme quantidade de recursos de computação quântica necessários.
Enquanto os computadores clássicos não conseguem executar o algoritmo de Shor com eficiência suficiente para quebrar as chaves RSA em uso hoje, os computadores quânticos com poder suficiente serão capazes de resolvê-los em questão de oito horas. Ninguém sabe quando esse dia chegará, embora um especialista na área tenha dito recentemente que não será durante a nossa vida. Ainda assim, como apontaram os pesquisadores do Google, a adoção de qualquer esquema PQC será lenta, por isso faz sentido começar a trabalhar mais cedo ou mais tarde.
.
