מהם התנאים המוקדמים לאבטחת תשתית מפתח ציבורי (PKI) כיום? האם מחשבים קוואנטיים יהפכו השימוש במפתחות ציבוריים למיושנים בעתיד? האם Blockchain יוכל לספק פתרון לכך? ומתי מחשבים קוואנטיים יהיו מוכנים לייצור?
המחשב הקוואנטי כאיום – מה ניתן לעשות?
כיצד מחשבים קוואנטיים משפיעים על עולם ההצפנה. ד"ר פרנסואה וייסבאום (Scientist for cryptography, Swiss department of defense) ניסה לענות על שאלה זו. ראשית, השאלה היא מהו מחשב קוואנטי ומה הוא יכול לעשות? בניגוד למחשבים קונבנציונליים, מחשבים קוואנטיים מבוססים על קיוביטים (QUBIT) במקום ביטים (Bit) כיחידת הזיכרון הקטנה ביותר. על פי מחקרים תיאורטיים, מחשבים קוואנטיים יכולים לפתור בעיות מסוימות בזמן פחות בהרבה ממחשבים רגילים.
אלגוריתם שור: איום על אלגוריתמים אסימטריים
ויסבאום שאל את השאלה: נניח שבעתיד הנראה לעין מחשבים קוואנטים יהיו זמינים עם לפחות 64 QUBIT: אילו בעיות הם יפתרו? ויסבאום מסביר שישנם שני אלגוריתמים קוואנטיים: אלגוריתם גרובר ו אלגוריתם שור. בעזרת אלגוריתם שור, ניתן למצוא מחלק לא טריוויאלי של מספר מורכב באמצעות מחשב קוואנטי במהירות רבה יותר מאשר במחשב רגיל. אך, בגלל מגבלות טכניות לא ניתן להשתמש באלגוריתם שור באופן מעשי. יחד עם זאת, אם המחשב הקוואנטי האוניברסלי אכן ייוצר, כל האלגוריתמים האסימטריים הסטנדרטיים יהיו ניתנים לפיצוח: Diffie-Hellman, RSA, Elliptic Curve, ElGamal וכו'.
אלגוריתם גרובר: אלגוריתמים של 128 סיביות בסכנה
האלגוריתם של גרובר, מאפשר מציאת ערך מסוים מתוך סט ערכים אפשריים. מחשב קוואנטום יוכל למעשה לפצח מפתח סימטרי בעל 128 סיביות בכ-264 פעולות חוזרות (איטרציות).
מה ניתן עשות בכדי לשמור על האבטחה הקיימת?
ויסבאום מסביר- "בכדי לשמור על רמת האבטחה הקיימת, יש להכפיל את אורך המפתח, וזאת מכיוון שמתקפה בעזרת חיפוש ממצה ממחשב רגיל כנגד הצפנה סימטרית בעלת 128 סיביות הינה שוות ערך לחיפוש ממצה של מחשב קוואנטי בהצפנה של 256 סיביות. מכאן שיש צורך להעלות את סטנדרט ההצפנה המתקדמת של AES" ניתן להשתמש באלגוריתם של גרובר גם נגד פונקציות גיבוב (Hush). יחד עם זאת, פונקציית Hash המתחילה מ-384 סיביות הינה תיאורטית חסינה קוואנטית. "גם התקפות מעשיות נגד SHA-256 כמו גם SHA3-256 בלתי נתפסות בעתיד הנראה לעין", הסביר ויסבאום.
אסטרטגיות להגנה על PKIs
ויסבאום מציע את האפשרויות הבאות לאבטחת PKIs בעתיד:
- החלף את ה- PKI במפתח מרכזי הפועל רק באופן סימטרי
- מצא אלגוריתם חדש, א-סימטרי, חסין קוואנטים.
עבור הגישה האחרונה, יש עד כה ארבע גישות מלאות תקווה:
- קריפטוגרפיה מבוססת Hash
- קריפטוגרפיה מבוססת קוד
- קריפטוגרפיה מבוססת רשת
- קריפטוגרפיה מבוססת על משוואות פולינומיות מרובות משתנים.
ויסבאום תולה את התקווה הגדולה ביותר בגישה הרביעית: "זה קרוב לפתרון". ראוי גם להזכיר שהמכון הלאומי האמריקאי לתקנים וטכנולוגיה (NIST) השיק פרויקט למציאת אלגוריתמי הצפנה עמידים לקוואנטים עבור מפתחות ציבוריים.
מחשבי קוואנטום כגוזלי אנרגיה
ויסבאום אינו רואה כיום איום על תהליך האימות, או על חתימות סטנדרטיות ואף לא על הצפנת מידע שלא צריך להיות מוגן במשך עשרות שנים. יחד עם זאת, חתימות ומידע החייבים להיות מוגנים לאורך תקופה של מעל עשר שנים אכן מאוימים. ויסבאום טען שאפילו הפיזיקאים האופטימיים ביותר אינם מצפים למחשבים קוואנטיים אוניברסליים בפרק זמן קרוב של עשר או חמש עשרה שנים. "כיום, אפשר לייצר מחשבים קוואנטיים עם שלושה עד ארבעה Qubit. אך הם לא ניתנים להרחבה ואינם יציבים. בנוסף, הפעלה של מחשב קוואנטי אוניברסלי יחיד תדרוש ביצועים של תחנת כוח גרעינית שלמה. היתרון בכך יהיה שניתן יהיה לקבוע בקלות למי באמת יש מחשב קוואנטי בשימוש.
הדרך המסורבלת לניהול אופטימלי של מפתחות
ניהול מפתח בתוך PKI הינה משימה מאתגרת. מרסל סוטר (Vice President Engineering, Securosys ) מסביר שיש לקחת בחשבון היבטים רבים. אלה כוללים ממשל, זמינות, אבטחה, הדרכה וחלוקת מפתחות. "הקושי הוא" לדבריו, "שיש לשלב היבטים רבים בכדי לגבש מסגרת".
רשימת NIST כסיוע לתכנון
סאטר מציע לתכנן ניהול מפתח לפי המלצות המכון הלאומי לתקנים וטכנולוגיה בארה"ב (NIST). באתר של NIST ישנם מסמכים רבים כגון המלצות ושיטות עבודה מומלצות.
בעיקרון, נדרשת תוכנית בת חמישה שלבים:
- הגדרת השירות: מה השירות צריך לעשות?
- אבטחה: האם סודיות, שלמות נתונים, שלמות אימות, אימות מקור, הרשאה, הכרה, שירותי תמיכה ושירותים משולבים מאובטחים?
- תכנון: האם הכל נלקח בחשבון? באילו אלגוריתמים קריפטוגרפים להשתמש, מה גדול אורכי המפתחות, אחריות, דרישות ומנגנוני הגנה, שימוש וסוגי מפתחות וכו'?
- מפרט: היבטים של יישום קריפטוגרפי, ניהול מפתחות, בקרת גישה, שחזור והפצת מפתחות וכו'.
- יישום
סאטר ממליץ להמציא מפרט מפורט. כל היבט מתחלק להמון היבטי משנה אשר יש להגדירם בקפדנות. לדוגמה, חשוב ביותר להשתמש באורך מפתח ארוך יותר עבור נתונים המצריכים הגנה בטווח הארוך. דבר זה מחייב לאתר אילו נתונים חייבים להיות מוגנים בטווח הארוך.
מהיכן מגיעים המפתחות?
היבט חשוב בניהול מפתחות הינו לדעת מהיכן מגיעים המפתחות. פתרון מומלץ לכך הינו רכישת מודול אבטחת חומרה (HSM – hardware security module). עם זאת, סאטר טוען כי יש לבחון היטב את יצרן ה-HSM. אחרי הכל, המערכת תפעל במשך כעשור ולא יהיה ניתן לחלץ את המפתחות ממערכת ה-HSM. יש לבדוק את מהימנות יצרן ה-HSM ובנוסף כיצד המפתחות נוצרים במערכת. אפשרות בטוחה ליצירת מפתח הינה מדידה של תופעות פיזיקליות אקראיות. אחד מהאלמנטים שיש לבדוק במקרה זה הינו שלא ניתן יהיה לעקוב או לרגל אחרי מדידה זו. אפשרות נוספת הינה ניהול המפתחות בענן. לסיכום, הקמת ניהול מפתח מתאים הינו תהליך ארוך, המכיל פרטים רבים אשר יש לקחת בחשבון.
כיצד להגן ביעילות על מפתחות ההצפנה?
מפתחות קריפטוגרפים הינם הכרחיים בעולם הדיגיטלי. כיום, הם משמשים במגוון רחב של תחומים, לרבות תעבורת תשלומים, חתימות דיגיטליות "מוסדרות", אימות שרתי אינטרנט, שירותי תשתית, כגון DNSSEC או SMTP ולאחסון נתונים.
אילו סוגי מפתח קיימים?
בתשתית PKI ישנם מפתחות הצפנה, חתימה ואישור. מפתחות אלה מאורגנים בדרך כלל באופן היררכי. אפילו עבור PKI פשוט נדרשים מספר זוגות מפתח. יתרה מכך, עבור יישומים שונים יש צורך בעקרונות שונים לניהול המפתחות. המשמעות שנדרשים סוגים שונים של תעודות. מכיוון שניתן לבטל מפתחות, על רשות אישורים (CA) להנפיק ולחתום על רשימת ביטולים (CRL). בהתבסס על מורכבות זו, מובן הצורך לניהול אקטיבי של המפתחות.
מפתחות בכל מקום, איפשהו זו טעות גורלית.
הצפנה הינה דבר חשוב. אך לעתים קרובות בעת אחסון המפתחות נוצרת שגיאה וזאת מכיוון שמפתחות מאוחסנים לרוב בקבצים, ולרוב בספריית הבית של משתמשים המוגנים על ידי הרשאות גישה. משתמשים בעלי הרשאות רחבות יכולים לגשת אליהם. כתוצאה מכך, המפתחות לרוב כלל אינם מוגנים כראוי. ניתן לתאר זאת כאילו הבית סגור והמפתח נמצא מתחת לשטיח.
פתרון לכך הינו שימוש ב-HSM. HSM הינו התקן ייעודי למפתחות הצפנה המגן עליהם מפני אובדן וגניבה, ומשמש כסמכות מרכזית לתשתית ה-PKI: שימוש בHSM מספק אחסון מפתחות פרטיים וסודיים כמו כן ניתן להפיקם והם לעולם לא יצאו מהאתר. התקן HSM יוכל להגן מפני מחשבים קוואנטיים כאשר יעודכנו בהצפנה המתאימה וכאשר האלגוריתמים החדשים יהיו זמינים.
אמנם הצפנה פוסט-קוואנטית אינה זמינה עדיין אך כבר היום ניתן לבנות תשתית מאובטחת על ידי:
- קריפטוגרפיה סימטרית, למשל עם AES ו-Kerberos
- אחסון מפתחות ב-HSM
- באמצעות מפתחות וחתימות עם אורך סיביות ארוך יותר
- שימוש בחומרה ובתוכנה קריפטוגרפיה הניתנת לעדכון
- ניהול מפתחות הצפנה
- עבודה עם ספקים אמינים
אסטרטגיה זו מגנה גם על נתונים בענן כאשר הפתרונות מיושמים כהלכה.
Blockchain כהגנה מפני מחשבים קוואנטיים?
אנדרה קלרק (André Clerc – Expert IT Security Consultant, TEMET AG) תהה האם טכנולוגיית Blockchain יכולה להחליף PKI בטווח הארוך יותר. הוא הניח שניתן לפצח PKI כיום עם מחשב קוואנטי.
קלרק טען של-PKI ישנן חסרונות: אימות הזהות יכול להיות לא מספק, או שרשות האישורים (CA) יכולה לעבוד עם רשימה מיושנת כך שלא תזהה התנהגות לקויה של CA במשך זמן רב מאוד. ולגבי העתיד, האלגוריתמים המשתמשים עם PKIs, כפי שכבר נאמר, אינם חסינים לקוואנטים.
האם ניתן לפצות על חוסרים אלו באמצעות טכנולוגיית ה- Blockchain?
כיצד עובדת טכנולוגיית ה- Blockchain
Blockchain הינו מסד נתונים מבוזר של עסקאות (ספר חשבונות) השומר על רשימה הולכת וגדלה של רשומות (בלוקים). כל ערך ברשימה מקושר לערך קודם (Blockchain). ככלל, הרשימה מופצת וגלויה בציבור, כלומר אינה חסויה ואינה מרוכזת. הישות נקראת Distributed Open Ledger) DOL).
ECDSA (אלגוריתם אליפטי לחתימה דיגיטלית) משמש לחתימה על העסקאות. אורך המפתח שלו הוא 512 סיביות, כאשר נוצר מרווח אבטחה של 256 סיביות. הגיבובים (Hush) שבהם נעשה שימוש הם SHA256 ו-RIPEM-160 וכן SHA3-256. מכיוון שהאלגוריתמים הבסיסיים הללו אינם חסינים לקוואנטים, גם ה- Blockchain אינו חסין קוואנטים.
Blockchain מפצה על חוסר התאמה ב-PKI
ישנן כמה גישות יישום של Blockchain ב-PKI, המנסות לפצות על החולשות שלהן:
- Instant Karma PKI) IKP): בגישה זו, התנהגות לקויה של אישור (CA) מטופלת באמצעות Blockchain.
- PKI) DPKI מבוזר): בגישה זו, השליטה על הזהויות המקוונות מוחזרת לישויות אליהן הם משתייכות.בגישה זו, השליטה על הזהויות המקוונות מוחזרת לישויות אליהן הם משתייכות.
- תמיכה בנתוני גישה עם PKI Blockchain, אישורים מבוטלים נבדקים בעותק המקומי של ה- Blockchain.
- KSI (תשתית חתימה ללא מפתח): מערכת מבוזרת ברחבי העולם המציעה חותמות ושירותי חתימה דיגיטלית. מתאים להגנה ארוכת טווח על חתימות דיגיטליות – אך אינו מתאים להצפנה.
טיעונים בעד Blockchain
זמינות גבוהה
- תפעול על ידי רשות מבוזרת
- כל המעורבים יכול לבדוק את כל השינויים, הנתונים הקוד נגיש.
טיעונים נגד Blockchain
- גדילה ויכולת התפוקה נמוכים
- אם מישהו שולט ביותר ממחצית ממנהלי המערכת של מסד הנתונים המבוזר, אז הוא גם זה שקובע את הערכים החדשים בפנקס החשבונות
- תהליך הקישור צורך יותר מדי חשמל
- האלגוריתמים שבהם נעשה שימוש אינם חסיני קוואנטים
מכאן ש-Blockchain אינו מספק הגנה ארוכת טווח ל-PKI.
ובכל זאת, כיצד ארגונים יכולים להגן על עצמם?
לפני שההצפנה הפוסט-קוואנטית תהפוך לזמינה, על ארגונים להגן על עצמם על ידי אימות הפרטים הבאים:
- האם כל היישומים הקריטיים עובדים עם תעודות?
- האם יש תהליך לעדכון עקרונות הצפנה?
- האם אסטרטגיית ה- PKI מעודכנת?
- האם ניהול המפתחות והתעודות תואם את הארגון?
- האם מחזור המפתחות מעודכן?
- האם אימות התעודה מעודכן?
- האם אני מכיר את הסטנדרטים הנוכחיים לגבי אלגוריתמים מאובטחים קוואנטיים?
בנוסף, יש ליצור מלאי המפרט את כל היישומים וערוצי התקשורת המשתמשים בהצפנה א-סימטרית.
בהנחה שהקריפטולוגיה פוסט-קוואנטית (PQC) זמינה, מומלץ:
- לקבוע תהליך המאמת את הבשלות של אלגוריתם PQC
- לשלב את אלגוריתם ה-PQC בערוצי התקשורת והיישומים המושפעים.
מסקנות
לסיכום, ההליך הבא מומלץ בהערכות לעתיד:
- בדיקת ניהול המפתחות: בניית ניהול מפתח נקי, מפורט ומאומת עבור ה-PKI
- הגדלת אורכי המפתחות: מפתחות סימטריים של 256 סיביות או יותר לא ניתנים לפיצוח בהתבסס על הידע הקיים במחשבים קווטאנטיים. כמו כן, יש להגדיל את אורכי המפתח בשיטות אסימטריות כגון RSA לפחות ל-3072 סיביות או אפילו 4096 סיביות אם הנתונים מוגנים לאחסון לטווח ארוך
- הגנה על מפתחות: ההצפנה פועלת רק כאשר מפתחות ההצפנה מאוחסנים בצורה בטוחה ומוגנים היטב. זה מובטח רק ב-HSM מהימן
- Blockchain מציע גישה מעניינת, אך אינו מתאים להגנה על ה-PKI – במיוחד לא בעתיד עם מחשבים קוואנטיים. נדרש אלגוריתמים עמיד לקוואנטים.
- מגן על מפתחות מפני גישה לא רצויה, HSM מהיצרן מהימן כמם Securosys פועל ביעילות רבה עם אורכי מפתח גדולים יותר ותומך בניהול מפתחות מהימן. בנוסף, ניתן לשדרג את ה-HSM מבית Securosys עם אלגוריתמים קוואנטיים בעתיד. Securosys מציעה את ההגנה הדרושה ל-PKI – אפילו בעתיד בו קיימים מחשבים קוואנטיים.