Украинский блокчейн неуязвим для квантового компьютера? Фактчекинг ForkLog

В начале февраля представители Государственной службы специальной связи и защиты информации Украины сообщили о разработке базовой блокчейн-системы с использованием отечественной криптографии с высокой постквантовой стойкостью.

Вместе с тем в Украине, как и во всем мире, до сих пор не приняты стандарты постквантовой цифровой подписи. Кроме того, не все указанные специалистами стандарты являются устойчивыми в постквантовый период, как было заявлено.

Специально для ForkLog доктор технических наук, профессор кафедры безопасности информационных систем и технологий Харьковского национального университета им. В.Н. Каразина, исследователь в компании IOHK Роман Олейников подробно объяснил, что представляют из себя перечисленные стандарты и на какие свойства блокчейна влияет наличие постквантовой стойкости.

ForkLog: Здравствуйте, Роман. Верно ли в настоящее время утверждать о существовании криптографических стандартов?

Роман Олейников: Разработка постквантовых стандартов асимметричных криптографических преобразований все еще продолжается. В Украине есть несколько рабочих проектов новых стандартов цифровой подписи. Они ориентированы как на увеличение скорости преобразований, тоже основанных на эллиптических кривых, так и на обеспечение стойкости в условиях появления гипотетического квантового компьютера для криптоанализа (постквантовой подписи). Но ни одна их них не принята в качестве стандарта.

Национальный институт стандартов США сейчас также продолжает открытый конкурс постквантовых криптографических примитивов, и после второго этапа на рассмотрении остаются девять кандидатов постквантовой подписи.

То есть говорить о стандарте постквантовой подписи еще рано. Хорошие алгоритмы есть, но они еще не стандартизированы.

ForkLog: При разработке своей блокчейн-системы Госспецсвязи использовала четыре стандарта. Расскажите об их технических характеристиках.

Роман Олейников: Стандарт ДСТУ 4145:2002 определяет алгоритмы формирования и проверки цифровой подписи, основанной на эллиптических кривых. Эта подпись лежит в основе современных электронных доверительных услуг Украины, в том числе инфраструктуры открытых ключей, но она не является постквантовой.

По меркам современных информационных технологий, ДСТУ 4145:2002 имеет уже достаточно длительный опыт использования, однако по-прежнему обеспечивает необходимые свойства.

А вот ДСТУ 7564:2014, ДСТУ 7624:2014 и ДСТУ 8845:2019 действительно обеспечивают высокую стойкость и в постквантовый период.

Стандарт ДСТУ 7624:2014 задает современный блочный шифр «Калина» и режимы его работы для сокрытия смыслового содержимого и предотвращение несанкционированной модификации сообщений.

Шифр является гибким и поддерживает размер блока и длину ключа вплоть до 512 битов. Это единственный в мире стандарт блочного шифрования, поддерживающий такой уровень безопасности. Для сравнения широко распространенный AES обеспечивает максимальную длину ключа 256 бит.

В то же время в программной реализации на большинстве современных 64-битовых настольных и серверных платформ при одинаковых длинах ключей «Калина» имеет более высокую производительность, чем AES.

ДСТУ 7624:2014 задает десять режимов работы блочного шифра. Для сравнения международный стандарт ISO/IEC 10116 имеет только шесть режимов (они есть и в национальном стандарте Украины). Дополнительные режимы предоставляют больше возможностей украинским разработчикам средств криптографической защиты информации по сравнению с коллегами из стран региона и всей Европы в целом.

«Калина» — высокостойкий и быстрый симметричный шифр, ориентированный на современные производительные аппаратные платформы.

В стандарте ДСТУ 7564:2014 определена функция хеширования «Купина», обеспечивающая высокостойкое и гибкое криптографическое преобразование. «Купина» используется и как независимый стандарт при обеспечении целостности, так и как дополнительное преобразование в составе цифровой подписи.

«Купина» и «Калина» унифицированы, то есть используют единый набор подстановок и матриц линейного преобразования, что дополнительно увеличивает эффективность систем криптографической защиты на их основе. «Купина», как и «Калина», использует подход доказуемой стойкости (provable security) при обосновании свойств, что является дополнительным преимуществом ДСТУ 7564 над SHA-256, где такое свойство отсутствует. Вместе с тем обеспечение доказуемой стойкости приводит к снижению скорости преобразований «Купины» по сравнению с SHA-256.

Сразу после введения в действие стандартов, «Купина» и «Калина» были опубликованы на английском языке и представлены на международных конференциях за пределами Украины. Были получены независимые результаты исследователей из Канады, США, Австрии, Индии и других стран, подтверждающие стойкость криптографических преобразований. ДСТУ 7624 и ДСТУ 7564 были включены в состав программных библиотек, разрабатываемых за пределами Украины, например, Crypto++.

Стандарт ДСТУ 8845:2019 определяет поточный шифр. Он также ориентирован на обеспечение конфиденциальности, а отличительной особенностью является высокая скорость преобразований, необходимая для защиты магистральных каналов связи.

Симметричные шифры ДСТУ 7624, ДСТУ 7564 и ДСТУ 8845 обеспечивают стойкость и в постквантовый период.

В то же время гипотетический квантовый компьютер, способный эффективно выполнять алгоритм Шора для соответствующих длин ключей, является угрозой стойкости эллиптических кривых (стандарта ДСТУ 4145, цифровой подписи), точно так же, как является угрозой и для ECDSA, EdDSA, DSA, RSA и прочих. Но такое устройство по-прежнему остается гипотетическим уже не первое десятилетие.

Национальный институт стандартов США планирует введение в действие постквантовых асимметричных криптографических преобразований только к 2024 году, если не будет ранних технологических прорывов в области квантового компьютера. Проект стандарта постквантовой подписи есть и в Украине.

ForkLog: Что дает блокчейну постквантовая стойкость?

Роман Олейников: Если рассматривать долгосрочный период длиной в десятилетия, с непрогнозируемым риском появления квантового компьютера, то применение именно постквантовых криптографических примитивов обеспечит стойкость в этой модели угроз.

Для современного биткоина этот гипотетический квантовый компьютер не позволит тратить произвольный выход (UTXO) по усмотрению злоумышленника. Как правило, в UTXO биткоина хранится не сам открытый ключ, а его хеш (SHA-256 + RIPEMD-160); нахождение прообраза хеша выполняется с помощью гораздо менее эффективного алгоритма.

Атака с гипотетическим квантовым компьютером на современный Биткоин возможна в достаточно жестких условиях для злоумышленника и только для транзакций, которые сами владельцы уже отправили в сеть (вместе с открытым ключом), но майнеры еще не включили в блок. В такой модели у атакующего будет в среднем до 10 минут на криптоанализ и убеждение майнера включить в блок именно альтернативную транзакцию, которая тратит тот же выход.

ForkLog: В чем заключается положительное и отрицательное влияние постквантовой стойкости на свойства блокчейна?

Роман Олейников: Как правило, современные постквантовые примитивы менее производительные, чем преобразования на основе эллиптических кривых. Соответственно, их использование при прочих равных условиях приведет к снижению пропускной способности или увеличению требований к доступным вычислительным ресурсам узла, выполняющего обработку и подтверждение транзакций.

Однако, если рассматривать распределенные реестры, в том числе блокчейны, не только как криптовалюту, то постквантовая стойкость имеет дополнительные преимущества. Она позволит обеспечить распределенное хранение данных на протяжении десятилетий — реестры недвижимости, сертификаты об образовании и прочее, где основное требование — надежность, а не высокая пропускная способность.

Естественно, все это при условии стойкости и к атакам, реализуемым на традиционных компьютерах (не только на гипотетическом квантовом), безопасной генерации и хранении ключей, и выполнении многих других необходимых условий обеспечения безопасности.

ForkLog: Отечественный блокчейн планируют использовать для создания национальной криптовалюты и смарт-контрактов, а сейчас на нем уже развернут прототип системы электронного голосования. Насколько реализуемы все эти проекты?

Роман Олейников: С глубокими техническими деталями проекта Госспецсвязи я не знаком, поэтому уровень его реализуемости или нереализуемости комментировать сейчас не могу.

В целом, на современном уровне развития блокчейн-систем, никаких проблем с объявленным функционалом быть не может. В зависимости от команды, которая занимается такой системой, могут варьироваться сроки реализации и затраченные ресурсы.

ForkLog: Так ли необходимо использование постквантовых решений в системе электронного голосования?

Роман Олейников: Для обеспечения ряда важных свойств системы голосования (например, индивидуальной и универсальной проверяемости), доступ к распределенному реестру необходим каждому участнику. В то же время другие свойства (конфиденциальность, справедливость, правомочность) обеспечиваются используемой криптографической схемой.

В случае появления гипотетического квантового компьютера под потенциальной угрозой оказывается конфиденциальность голосов участников, даже если голосование было проведено 10-20 лет назад (естественно, если злоумышленнику в это время все еще доступен соответствующий блокчейн, который был виден всем участникам голосования при его проведении).

Учет такой угрозы в системе голосования, на мой взгляд, является целесообразным.

Естественно, это увеличивает сложность реализации проекта из-за новых криптографических преобразований, но потенциально дает больше гарантий безопасности/надежности участникам голосования.

***

Читайте по теме: Когда будет взломан биткоин, или насколько реальна угроза со стороны квантовых компьютеров

Добавить комментарий