Machine Translated by Google

CRIPTOGRAFÍA DEL MUNDO REAL

Un acertijo envuelto en un enigma

Neal Koblitz | Universidad de Washington

Alfredo Menezes | Universidad de Waterloo

En agosto de 2015, la NSA publicó una importante declaración política sobre la necesidad de la criptografía poscuántica.
Ciertas peculiaridades en su redacción y oportunidad han desconcertado a muchas personas y han dado lugar a especulaciones
sobre la NSA, la criptografía de curva elíptica y la criptografía cuántica segura. De las diversas teorías que se han propuesto,
algunas parecen más plausibles que otras, pero resulta difícil encontrar una explicación definitiva.

“Es un acertijo envuelto en un misterio dentro de un enigma;
pero tal vez haya una clave”. —Winston Churchill, 1939 (en
referencia a la Unión Soviética)
En una
agosto de 2015,declaración
importante la NSA delpolítica
gobierno estadounidense
sobre la necesidadpublicó
de
desarrollar estándares para la criptografía poscuántica (PQC).1
La NSA, como muchas otras organizaciones, cree que es el
momento adecuado para dar un gran impulso al diseño de
protocolos criptográficos de clave pública cuya seguridad
depende de problemas difíciles. eso no puede resolverse
eficientemente con una computadora cuántica. Desde el trabajo
pionero de Peter Shor hace más de 20 años,2 se sabe que tanto
el problema de factorización de números enteros, en el que se
basa RSA, como el problema del logaritmo discreto de curva
elíptica (ECDLP), en el que se basa la criptografía de curva
elíptica (ECC). ) se basa, puede resolverse en tiempo polinómico
mediante una computadora cuántica.
El anuncio de la NSA dará un enorme impulso a los
esfuerzos para desarrollar, estandarizar y
comercializar criptografía cuántica segura. Si bien los estándares
para nuevos algoritmos poscuánticos son varios en el futuro
envejecidos inmediato, la NSA está alentando a los proveedores
a agregar resistencia cuántica a los protocolos existentes por
medio de herramientas convencionales de clave simétrica como
el Estándar de cifrado avanzado (AES). Dado el gran interés de
la NSA en PQC, la demanda de soluciones criptográficas
cuánticas seguras por parte de los gobiernos y la industria
probablemente crecerá dramáticamente en los próximos años.
La mayor parte de la declaración de la NSA fue intachable.
Sin embargo, un pasaje fue desconcertante e inesperado:1
Para aquellos socios y proveedores que aún no han
realizado la transición a los algoritmos de la Suite B,
recomendamos no realizar un gasto significativo para
hacerlo en este momento, sino prepararse para la próxima
transición del algoritmo resistente a los cuánticos….
Desafortunadamente, el crecimiento del uso de curvas
elípticas se ha topado con el hecho de que la investigación
sobre computación cuántica sigue avanzando, lo que
requiere una reevaluación de nuestra estrategia criptográfica.

34 noviembre/diciembre 2016 Publicado conjuntamente por IEEE Computer and Reliability Societies 1540­7993/16/$33,00 © 2016 IEEE
Machine Translated by Google
La NSA parecía estar sugiriendo que las computadoras
cuánticas prácticas llegarían tan pronto que las personas que aún
no habían actualizado de RSA a ECC no deberían molestarse en
hacerlo y, en cambio, deberían ahorrar su dinero para la futura
actualización a protocolos poscuánticos.
Poco después, la NSA publicó una versión revisada en
respuesta a numerosas consultas y solicitudes de aclaración. La
nueva redacción fue aún más explícita en su tono negativo sobre
el uso continuo de ECC: “la criptografía de curva elíptica no es la
solución a largo plazo que muchos alguna vez esperaron que fuera.
Por lo tanto, nos hemos visto obligados a actualizar nuestra
estrategia”. 1 Aunque otras partes de la declaración aseguraban al
público que la ECC todavía era recomendada antes de la llegada
de las computadoras cuánticas prácticas, la impresión general era
ineludible de que la NSA se estaba distanciando de la ECC.
Además, la gente del NIST y de otros lugares ha notado que la
NSA no ha tomado parte activa en las discusiones sobre nuevas
curvas para reemplazar las curvas del NIST que se recomendaron
para ECC en 1999. El anuncio de PQC sugiere que la NSA no tiene
ningún interés en este tema porque ahora considera que la ECC es
sólo una solución provisional. De hecho, la declaración desaconseja
“realizar un gasto significativo” para actualizar a cualquiera de los
algoritmos de la Suite B, y mucho menos a cualquier nuevo estándar
ECC que utilice curvas actualizadas.1 Incluso los usuarios
industriales y gubernamentales de protocolos anticuados deberían
quedarse sentados y esperar. para estándares poscuánticos. Esto
tomó a muchas personas por sorpresa, porque se cree ampliamente
que faltan muchos años para lograr un consenso sobre tales
estándares, y la ECC seguirá utilizándose ampliamente durante al
menos una o dos décadas más.
En este artículo evaluamos las diversas teorías, especulaciones
e interpretaciones que se han propuesto sobre el repentino cambio
de rumbo de la NSA. En aras de la brevedad, en esta versión
publicada hemos omitido los detalles matemáticos, la mayoría de
las referencias bibliográficas y un apéndice que ofrece una
descripción general de los principales candidatos para la criptografía
cuántica segura. La versión completa se encuentra en Cryptology
ePrint Archive.3
Historia: la NSA y la ECC
A finales de los años 1980 y principios de los 1990, cuando la
Guerra Fría llegó a su fin y las computadoras en red comenzaron a
desempeñar un papel importante en la economía, la NSA “salió del
frío” y comenzó a dedicar recursos a asesorar a los privados.
sector público en materia de ciberseguridad.
La primera década (1985­1995)
Casi desde el principio hubo indicios de que, de los sistemas de
clave pública disponibles, la NSA prefería el ECC. A principios de
la década de 1990, el NIST propuso un algoritmo de firma digital
(DSA) que había desarrollado la NSA. Aunque DSA se basa en el
registro discreto
www.computer.org/seguridad
problema en un campo finito, no en una curva elíptica,
Señaló una insatisfacción con los sistemas basados en factorización
en la NSA (quizás en parte debido a los elevados derechos de
licencia del algoritmo RSA patentado).
Poco después de que se aprobara DSA para uso gubernamental
en 1994, se desarrolló el protocolo ECDSA análogo que utiliza
curvas elípticas.
Los defensores de RSA se opusieron amargamente a DSA y
afirmaron que la NSA estaba promoviendo DSA porque le había
insertado una puerta trasera (“Sin puerta trasera” era el lema de la
campaña anti­DSA). Sin embargo, no dieron evidencia de una
puerta trasera, y en las dos décadas transcurridas desde entonces,
nadie ha encontrado una manera de insertar una puerta trasera en
DSA (o ECDSA).
La primera vez que la NSA apoyó pública y decisivamente a
ECC ocurrió en una reunión de ANSI en diciembre de 1995. Los
partidarios de RSA en la reunión estaban poniendo dudas sobre la
seguridad de los protocolos basados en ECC; A mediados de la
década de 1990, una página llamada “ECC Central” en el sitio web
de RSA contenía declaraciones de personalidades líderes en
criptografía que caracterizaban a ECC como no probada y basada
en matemáticas esotéricas. Los representantes no técnicos de la
industria en el comité ANSI quedaron impresionados por el
argumento de RSA. Mientras continuaba el acalorado debate, el
representante de la NSA se fue para hacer una llamada telefónica.
Cuando regresó, anunció que estaba autorizado a declarar que la
NSA creía que ECC tenía suficiente seguridad para ser utilizada en
comunicaciones seguras entre todas las agencias gubernamentales
de Estados Unidos, incluida la Reserva Federal. La gente quedó
atónita. En aquellos días, los representantes de la NSA en las
reuniones sobre normas se sentaban en silencio y apenas decían
una palabra. Nadie esperaba una declaración tan directa e
inequívoca por parte de la NSA. Se aprobaron las normas ECC.
La Segunda Década (1995­2005)
A finales de la década de 1990, el NIST propuso tres familias de
cinco curvas (cada una con un nivel de seguridad diferente) para
ECC (publicado como estándar federal de procesamiento de
información [FIPS] en 2000). Estas son las 15 "curvas NIST".
Dos de las familias constan de curvas sobre campos binarios y la
otra contiene curvas sobre campos primos.
Debido al reciente progreso en atacar el ECDLP en curvas sobre
campos binarios usando métodos de suma polinómica, algunos
expertos ahora tienen dudas sobre la seguridad a largo plazo de
todas las curvas elípticas sobre campos binarios, creyendo que
esos métodos eventualmente serán capaces de resolver el ECDLP
más más rápidamente que el algoritmo Pollard­rho en el rango
criptográfico. Sin embargo, la mayoría de los expertos dudan de
estas afirmaciones. Sin embargo, se cree ampliamente que la
elección más conservadora de curvas NIST es la familia definida
sobre un campo primo.
Esas curvas se denominan Pk, donde k es la longitud de bits del
número primo.
35
Machine Translated by Google
CRIPTOGRAFÍA DEL MUNDO REAL
El apoyo de la NSA a la ECC se hizo más evidente con el paso
de los años. En 2003, obtuvo la licencia de 26 patentes relacionadas
con ECC de Certicom por 25 millones de dólares, y en 2005 publicó el
“
artículo “Case for Elliptic Curve Crypto­graphy” en su sitio web.4 Este
documento describe a RSA como un documento público de primera
“
generación . ­tecnología clave que había sido reemplazada por ECC.
Junto con esta recomendación, el 16 de febrero de 2005, la NSA
anunció sus algoritmos recomendados Suite B.5 Irónicamente, en su
forma original no incluía protocolos RSA (o DSA), sino sólo ECC
(ECDSA para firmas y protocolo de curva elíptica). Di e­Hellman [ECDH]
y Elliptic Curve Menezes­Qu­Vanstone [ECMQV] para la concordancia
de claves) y sistemas de claves simétricas (AES y Secure Hash
Algorithm [SHA]).
Se proporcionaron dos niveles de
seguridad, con ECC a 128
bits de seguridad usando
Las revelaciones de Edward Snowden tuvieron un impacto
P­256 y a 192 bits de
seguridad usando P­384. dramático en la percepción pública del papel de la NSA en la
Debido a que Suite B se
promoción de la criptografía de curva elíptica (ECC).
puede utilizar para
comunicaciones clasificadas
del gobierno de EE. UU.
conexiones a través de Top
Secret (para niveles más altos de secreto, la NSA tiene la Suite A),
presumiblemente Secret requiere 128 bits de seguridad y Top Secret
requiere 192.
Tercera Década (2005­2015)
En 2010, ante la lentitud con la que tanto empresas privadas como
agencias gubernamentales se estaban convirtiendo a ECC, la NSA
actualizó Suite B para permitir el uso de RSA (y DSA) con un módulo
de 2.048 bits (que proporciona 112 bits de seguridad). El anuncio
decía que “Durante la transición al uso de criptografía de curva elíptica
en ECDH y ECDSA, DH [en el grupo multiplicativo de un campo
principal], DSA y RSA se pueden usar con un módulo de 2.048 bits
para proteger la clase. información publicada hasta el nivel Secreto”. 5
(No se mencionó RSA/DH/DSA para el nivel Top Secret).
En 2013, las revelaciones de Edward Snowden tuvieron un
impacto dramático en la percepción pública sobre el papel de la NSA
en la promoción de la ECC. El 5 de septiembre de ese año, el
New York Times informó que los documentos de Snowden mostraban
que la NSA había puesto una puerta trasera en la versión estandarizada
del Generador de Bits Aleatorios Determinísticos de Curva Elíptica
Dual (Dual EC_DRBG) y que, en el En Crypto 2007 Rump Session, dos
investigadores de Micro­so (no identificados en el artículo; eran Dan
Shumow y Niels Ferguson) habían llamado la atención sobre la
posibilidad de tal puerta trasera. (El estándar Dual EC_DRBG del NIST
incluía un par específico de puntos (P,Q) cuyo origen no fue explicado,
dejando abierto el
36 Seguridad y privacidad de IEEE
posibilidad de que la NSA hubiera seleccionado P y luego establecido Q
igual a un múltiplo conocido de P.)
El supuesto básico en cualquier reclamo de seguridad para la
curva elíptica DRBG es que los puntos duales P y Q se generan
aleatoriamente e independientemente uno del otro.
Desde el principio se entendió que el conocimiento de una relación que
expresa Q como un múltiplo conocido de P niega completamente esa
seguridad. De hecho, la solicitud de patente original de Certicom (WO
2006/076804 A1, publicada el 27 de julio de 2006) describe cómo se
puede utilizar la DRBG para el depósito de claves, es decir, la relación
entre P
y Q podría estar en manos de un tribunal que podría entregarlo al
gobierno al emitir una orden de registro.
Al principio, era un misterio por qué la NSA se habría molestado en
estandarizar el EC_DRBG con la puerta trasera, porque parecía que
casi nadie (excepto posiblemente
algunas agencias
gubernamentales de
EE.UU.) alguna vez usaría
ese generador de bits
aleatorios. . Era
aproximadamente 1000
veces más lento que los
DRBG basados en
construcciones de clave
simétrica, y se incluyeron tres generadores de clave simétrica con el
DRBG de curva elíptica en los mismos estándares. La única ventaja
posible de un DRBG basado en curvas elípticas era que tenía una
prueba de seguridad. Pero parecía dudoso que mucha gente optara
por un protocolo mucho más lento simplemente porque las primitivas
simétricas estándar como AES carecían de una prueba de seguridad.
El 20 de diciembre de 2013, Reuters informó que la empresa
RSA había recibido un pago secreto de 10 millones de dólares de la
NSA para que hiciera del Dual EC_DRBG el valor predeterminado en
su kit de herramientas BSAFE.6 (RSA nunca negó haber recibido el
pago, aunque dijo que bajo ninguna circunstancia se necesitaría un
soborno para debilitar la protección criptográfica de sus clientes). Ahora
estaba claro cómo la puerta trasera habría permitido a la NSA obtener
acceso a las claves de descifrado de muchos usuarios.
El Dual EC_DRBG es atípico, ya que ningún otro protocolo
Es
ECC estandarizado tiene una forma conocida de insertar una puerta
trasera. Sin embargo, la percepción pública de toda la ECC sufrió un
gran golpe. Algunos investigadores destacados, como Bruce Schneier
y Sco Aaronson, señalaron el papel desempeñado por la NSA a lo
largo de los años en la promoción de la ECC y sugirieron que eso por
sí solo podría ser razón suficiente para que las personas dejaran de
usar la ECC. Pero a pesar del enojo generalizado por el debilitamiento
deliberado de los estándares por parte de la NSA, en la práctica no
hubo una disminución notable en el uso de ECC. Más bien, la principal
reacción en la comunidad criptográfica fue un mayor interés en
noviembre/diciembre 2016
Machine Translated by Google
revisar los estándares ECC y proponer nuevas curvas recomendadas.
Finalmente, en agosto de 2015, la NSA publicó la declaración
sobre criptografía poscuántica que se mencionaba en la introducción.
En él, la NSA insinuaba que pronto tendría sus propias propuestas
para criptosistemas poscuánticos y afirmaba que el “paso... a un
conjunto de algoritmos resistentes a lo cuántico” se produciría “en
un futuro no lejano”.1 Mientras tanto , la gente debería seguir usando
Suite B, que todavía dependía principalmente de ECC—
aunque P­256 había desaparecido misteriosamente de la Suite B,
dejando solo P­384 (y RSA se incluyó con un módulo mínimo de
3.072 bits).
¿Puede la NSA romper la ECC?
Algunas personas han sospechado de la ECC precisamente porque
la NSA la promovió enérgicamente. Esas sospechas parecieron
confirmarse, o al menos darles una nueva vida, cuando los
documentos de Snowden revelaron la puerta trasera en Dual
EC_DRBG. Sin embargo, hay varias razones para dudar de esta
especulación.
En primer lugar, los documentos de Snowden son fascinantes en
parte por lo que no contienen. A juzgar por todos los informes
publicados e informales de periodistas y expertos que han visto los
documentos de Snowden, no hay evidencia de que la NSA esté por
delante de investigadores externos al atacar la factorización de
números enteros o el ECDLP.
En segundo lugar, la ECC existe desde hace tres décadas y la
NSA la ha estado promoviendo durante más de dos.
Si la NSA había descubierto un algoritmo ECDLP eficiente de
propósito general a principios de la década de 1990, resulta difícil de
creer que nadie en el mundo exterior haya pensado en él, a pesar de
todos los esfuerzos que se han puesto para atacar el ECDLP.
En tercer lugar, ECC comenzó a obtener un fuerte apoyo de la
Dirección de Garantía de Información (IAD) de la NSA durante la
época en que Brian Snow era el director técnico y Mike Jacobs era el
jefe de la IAD. Nunca ha habido ninguna evidencia (en los informes
sobre los documentos de Snowden o en cualquier otro lugar) de
acciones de Snow y Jacobs o sus investigadores que debilitarían o
socavarían los estándares criptográficos. Por el contrario, durante
ese período la DIA cooperó con otros sectores para impulsar una
seguridad sólida. Esto era coherente con la misión de la DIA como
brazo defensivo de la NSA. (El brazo ofensivo, llamado SIGINT, es
otra cuestión).
Casi todos los hechos sucios revelados por Snowden son
posteriores a 2001. Incluso antes de las filtraciones de Snowden, era
bien sabido que después de los ataques del 11 de septiembre y la
aprobación de la Ley PATRIOTA por el Congreso de Estados Unidos
en octubre de 2001, el equilibrio de poder entre IAD y SIGINT cambió
abruptamente. (En 2002, Snow fue trasladado de la dirección técnica
de IAD a un puesto diferente en la NSA que tenía un alto estatus pero
poca influencia, particularmente con respecto a las acciones que se
estaban llevando a cabo).
www.computer.org/seguridad
propuesto por SIGINT; Jacobs se retiró de la NSA el mismo año).
Una última razón para dudar de que la NSA pueda romper el ECC
es que no le interesa respaldar un criptosistema basado en un
problema matemático conjeturalmente difícil que la NSA sabe que
es débil. La razón es que es probable que la debilidad sea descubierta
por críticos ajenos a la NSA y también por adversarios. En el primer
caso, la NSA acaba perdiendo credibilidad y, en el segundo, los
usuarios estadounidenses (incluidos los del gobierno de EE. UU.)
pueden ser atacados por ciberdelincuentes y agentes hostiles.
Estados nacionales.
Lo bonito de la puerta trasera hacia Dual EC_DRBG desde el
punto de vista de la NSA era que sólo la NSA conocería el valor
logarítmico discreto que se utilizó para generar Q a partir de P. Al
resto del mundo, incluidos los matemáticos y piratas informáticos
más inteligentes. En toda Rusia y China, el generador de bits
aleatorios era tan inexpugnable como si la P y la Q hubieran sido
elegidas correctamente. La NSA y nadie más podían leer mensajes
cifrados cuya seguridad dependía de la pseudoaleatoriedad de la
DRBG. Y si no fuera por Snowden, lo más probable es que nadie
fuera de la NSA hubiera sabido jamás que la NSA conocía la relación
secreta entre P y Q.
¿Son débiles las curvas del NIST?
Hay razones tanto históricas como técnicas por las que es poco
probable que las curvas del NIST tengan una puerta trasera, aunque
esto de ninguna manera significa que la lista de curvas recomendadas
del NIST, que tiene más de 15 años, no deba ser reemplazada. Aquí,
primero resumimos algunas de las cuestiones centrales en la
selección de curvas y las circunstancias en las que se generaron las
curvas NIST. Omitimos detalles matemáticos, que se pueden
encontrar en la versión completa.3
Recordemos que la presunta intratabilidad del ECDLP es el
núcleo de la ECC. En términos generales, esto significa que, dados
dos puntos en una curva elíptica (adecuadamente elegida), lleva
muchísimo tiempo expresar uno como un múltiplo entero del otro. La
premisa principal para usar ECC es que el algoritmo de propósito
general más rápido conocido para resolver el ECDLP es el algoritmo
Pollard­rho, que tiene un tiempo de ejecución totalmente exponencial
aproximadamente igual a la raíz cuadrada del tamaño de la curva
elíptica. Esto contrasta con RSA, donde se conocen algoritmos de
tiempo subexponencial para resolver el problema subyacente de
factorización de enteros.
Por supuesto, el ECDLP podría ser más sencillo para curvas
elípticas específicas. La primera clase de curvas elípticas débiles se
descubrió en 1990.7 Esto no fue una preocupación importante,
porque este conjunto de curvas elípticas, conocidas como “curvas de
bajo grado de incrustación”, pueden identificarse fácilmente mediante
una simple verificación de divisibilidad y, por lo tanto, evitarse.
A mediados de la década de 1990, los organismos de
normalización, incluidos IEEE P1363, ANSI y la Organización Internacional para
37
Machine Translated by Google
CRIPTOGRAFÍA DEL MUNDO REAL
La estandarización (ISO) comenzó a considerar ECC. Mucha gente
todavía tenía dudas sobre la seguridad de ECC y pensaba que el
ECDLP no había recibido suficiente escrutinio por parte de
criptoanalistas y matemáticos. Sin embargo, los estándares ECC
fueron redactados por los organismos de normalización IEEE P133,
ANSI e ISO.
En 1997, el público se enteró de un resultado que demostraba
que si el número de puntos de la curva resulta ser exactamente igual
al número (primo) de elementos del campo, entonces el ECDLP se
puede resolver muy rápidamente.8–10
Estas curvas elípticas anómalas de campo primario son
extremadamente raras y pueden identificarse y evitarse fácilmente.
Sin embargo, el ataque preocupó a los miembros de los organismos
normalizadores, que se preguntaban si había otras clases débiles de
curvas elípticas.
Para mitigar el temor de que en el futuro se pudieran descubrir
nuevas clases de curvas elípticas débiles, el comité de estándares
ANSI X9F1 decidió incluir en sus estándares algunas curvas elípticas
que se habían generado al azar. La selección aleatoria de estas
curvas garantizaría que no pertenezcan a una clase especial y, por
lo tanto, es poco probable que sucumban a un ataque aún no
descubierto que sea efectivo en curvas con propiedades muy
especiales. Al seleccionar una curva elíptica, para asegurarse de
que evite los ataques conocidos, es de suma importancia determinar
el número de puntos de la curva. En 1997, contar el número de
puntos de una curva elíptica aleatoria seguía siendo un desafío
formidable. Un representante de la NSA en el comité ANSI X9F1 se
ofreció a proporcionar curvas adecuadas. (Tenga en cuenta que una
vez que se proporciona una curva elíptica y su supuesto número de
puntos, la exactitud de ese valor se puede verificar muy rápidamente
con un 100 por ciento de certeza).
Para garantizar que las curvas elípticas generadas por la NSA
no pertenecieran a una clase muy especial de curvas, se ideó un
procedimiento sencillo mediante el cual los coeficientes de una curva
elíptica se derivaban pasando una semilla a través de la función hash
SHA­1. Dada la semilla y su curva elíptica asociada, cualquiera podría
comprobar que la curva se había generado a partir de la semilla.
Como se considera que SHA­1 es una función unidireccional, sería
inviable para cualquiera seleccionar primero una curva con
propiedades muy especiales y luego encontrar una semilla que
produzca esa curva.
Las curvas elípticas fueron generadas por matemáticos de la
NSA alrededor de 1997 y, junto con las semillas, se incluyeron en el
estándar ANSI X9.62 ECDSA en 1999 y en el estándar FIPS 186­2
del NIST en 2000. Hay cinco curvas NIST sobre campos de primos.
orden y 10 curvas NIST sobre dos campos característicos. En
particular, las curvas elípticas del NIST P­256 (definidas sobre un
256­
campo principal de bits) y P­384 (definido sobre un campo principal
de 384 bits) se incluyeron en la Suite B de la NSA en 2005.
Tenga en cuenta que en el caso de curvas elípticas sobre campos
primos, no se han creado nuevas clases de curvas elípticas débiles.
38 Seguridad y privacidad de IEEE
descubierto desde 1997. En particular, no se han descubierto
debilidades en las curvas NIST desde que fueron propuestas hace
unos 19 años.
Desde las revelaciones de Snowden, muchas personas han
puesto en duda las curvas elípticas del NIST generadas por la NSA,
aunque no se han descubierto debilidades concretas en ellas desde
que fueron propuestas en 1997.
Estas personas especulan que los investigadores de la NSA podrían
haber conocido clases de curvas elípticas débiles en 1997.
Con este conocimiento, la gente de la NSA podría haber seleccionado
semillas repetidamente hasta obtener una curva elíptica débil.
Este escenario es altamente improbable por varias razones. En
primer lugar, la clase de curvas débiles tendría que haber sido
extremadamente grande para obtener una curva débil con el método
seeded­hash. Un cálculo lleva a la conclusión de que tendría que
haber habido un conjunto de aproximadamente 2209 curvas de las
cuales la NSA conocía un ataque del que nadie más estaba al tanto.
Es muy poco probable que una familia tan grande de curvas elípticas
débiles hubiera escapado a la detección por parte de la comunidad
de investigación criptográfica desde 1997 hasta el presente.
Es descabellado especular que la NSA habría seleccionado
deliberadamente curvas elípticas débiles en 1997 para uso del
gobierno de EE. UU. (tanto para comunicaciones clasificadas como
no clasificadas), confiando en que nadie más sería capaz de descubrir
la debilidad de estas curvas en las décadas siguientes. . Una medida
tan arriesgada por parte de la NSA habría sido inconsistente con la
misión de la agencia.
También hay una razón histórica importante por la que creemos
que las curvas NIST son seguras. Las curvas NIST fueron generadas
por IAD bajo Snow y Jacobs en la década de 1990, y la mayor parte
de las revelaciones de Snowden, incluida la puerta trasera Dual
EC_DRBG, se relacionan con eventos mucho posteriores.
Es ahistórico tomar todo lo que sabemos sobre la NSA en el período
posterior a 2001 y proyectarlo hacia los años noventa.
Aunque no hay ninguna razón plausible para desconfiar de las
curvas NIST, hay dos razones por las que es preferible utilizar otras
curvas (las curvas de Edwards recomendadas por Daniel Bernstein y
Tanja Lange, las curvas promovidas por el grupo Microsoft, o quizás
algunas otras). ). La primera razón es la percepción pública: aunque
es poco probable que las curvas NIST sean inseguras, ha habido
suficiente especulación en sentido contrario de que, para mantener a
todos contentos, sería mejor evitar las curvas NIST. La segunda
razón es que las otras curvas podrían tener algunas ventajas, como
tiempos de ejecución de puntos múltiples más rápidos y cierta
resistencia a ciertos tipos de ataques de canales laterales. No es un
descrédito para las curvas NIST que ahora existan alternativas más
eficientes; después de todo, han pasado 19 años y sería sorprendente
que a nadie se le hubiera ocurrido algo mejor hasta ahora.
noviembre/diciembre 2016
Machine Translated by Google
¿Tiene la NSA un algoritmo de raíz cúbica para
encontrar registros discretos de curva elíptica?
En la última revisión de la Suite B, la NSA eliminó el P­256, dejando
solo el P­384. Si resolver el ECDLP en un grupo de orden n requiere
aproximadamente n1/2 operaciones, entonces P­256 es suficiente.
ces para 128 bits de seguridad. Pero si se conociera un algoritmo
n1/3 , entonces se necesitaría P­384 para obtener el mismo nivel
de seguridad. (Otra posible
explicación de por qué la
NSA podría haber
No es del interés de la NSA apoyar un
abandonado el P­256 es
criptosistema basado en un problema
que el P­256 podría
sucumbir a los ataques matemático conjeturalmente difícil que
clásicos de Pollardrho. la NSA sabe que es débil.
o pequeñas mejoras de
los mismos—en las
próximas décadas, mientras que el P­384 estará a salvo de tales
ataques en el futuro).
También tenga en cuenta que en Asiacrypt 2013, Bernstein y
Lange presentaron un algoritmo n1/3 . Sin embargo, necesitó una
enorme cantidad de cálculos previos, lo que llevó un tiempo n2/3.
Entonces, desde un punto de vista práctico, como señalaron
Bernstein y Lange, no tiene valor. Sin embargo, es concebible que
la NSA haya encontrado (o crea que podría existir) un algoritmo
similar que requiera muchos menos cálculos previos.
¿Qué pasa con los ataques de
intrusión y de canal lateral?
No hay duda de que la NSA es la principal autoridad mundial
sobre cómo montar este tipo de ataques. La historia de ataques
exitosos de este tipo se remonta al menos a la Segunda Guerra
Mundial. Durante la Guerra Fría, ambos bandos dedicaron enormes
recursos a llevar a cabo y defenderse de ataques de canal lateral.
Aunque la elección de parámetros y los algoritmos de
implementación a veces pueden prevenir ciertos tipos de ataques
de canal lateral, no es realista esperar que las técnicas matemáticas
y el diseño de protocolos protejan contra la mayoría de tales
ataques. Más bien, si uno está realmente preocupado por la
intrusión y los ataques de canales laterales por parte de adversarios
hábiles, como la NSA, entonces necesita dispositivos a prueba de
manipulaciones y aislamiento físico; las matemáticas y el software
son de uso limitado.
¿Sabe la NSA algo que el mundo
exterior no sabe sobre las
computadoras cuánticas?
Las revelaciones de Snowden sugieren que no es así.
Según un artículo del Washington Post, los esfuerzos de la NSA
para desarrollar una computadora cuántica son parte de un programa
de 79,7 millones de dólares llamado “Penetración de objetivos
difíciles”.11 Esta es una fracción muy pequeña del presupuesto de
la NSA. Si la NSA estuviera cerca de desarrollar un método práctico
www.computer.org/seguridad
computadora cuántica, o si creyera que otra nación lo es, entonces
estaría dedicando mucho más dinero a este proyecto. El artículo del
Post concluye que “los documentos proporcionados por Snowden
sugieren que la NSA no está más cerca del éxito [en la computación
cuántica] que otros miembros de la comunidad científica”.11
Entre los usuarios corporativos de criptografía, la predicción
más comúnmente citada
proveniente de líderes de
investigación en
computación cuántica es
que, según el progreso
hacia la computación
cuántica escalable y
tolerante a fallas, hay una
probabilidad de 50 a 50
de que una computadora cuántica práctica esté disponible en 15
años. 12 Esta predicción se sitúa presumiblemente en el extremo
inferior de los plazos posibles, ya que a las personas que trabajan
en el área les interesaría pecar del lado del optimismo.
Cabe señalar que algunas personas se muestran muy escépticas
sobre este cronograma.
Es poco probable que la NSA tenga acceso a expertos con
más conocimientos que los consultados por la industria, quienes
podrían haberles dado un pronóstico incluso más optimista que la
predicción de 15 años. Además, si la NSA realmente creyera en un
marco temporal mucho más rápido para la computación cuántica,
entonces, como se mencionó antes, su programa de computación
cuántica no sería sólo uno de varios proyectos cubiertos por un
presupuesto de 80 millones de dólares.
Si faltan al menos 15 años para la práctica de las computadoras
cuánticas, y posiblemente mucho más, y si se necesitarán muchos
años para desarrollar y probar los sistemas PQC propuestos y llegar
a un consenso sobre los estándares, entonces la gente dependerá
de la ECC durante mucho tiempo para venir. Pero el anuncio del
PQC de la NSA deja claro que los estándares mejorados de ECC
(por ejemplo, una lista actualizada de curvas recomendadas) no
están en la agenda de la agencia.
Teorías sobre los motivos de la NSA
Una teoría (que el momento y la redacción del anuncio de la PQC
fueron un caso de descuido o descuido por parte de la NSA) puede
rechazarse de inmediato.
Una declaración de política del NIST o de la NSA se elabora
cuidadosamente durante un período de tiempo. El comité
responsable de su redacción analiza cada frase; nada se deja al
azar ni a una edición descuidada. Además, cuando se le pidió que
aclarara la declaración de agosto de 2015, la NSA publicó una
versión actualizada que no difería de manera significativa de la
primera. Así que deberíamos comenzar con la premisa de que la
NSA pretendía que la declaración transmitiera exactamente lo que
hizo.
A continuación examinamos algunas conjeturas sobre los
motivos de la NSA en su anuncio de PQC.
39
Machine Translated by Google
CRIPTOGRAFÍA DEL MUNDO REAL
La NSA puede romper el PQC
Una teoría sobre los motivos de la NSA se basa en la observación
de que la mayoría de los sistemas resistentes a los cuánticos que se
han propuesto son complicados, tienen criterios para la selección de
parámetros que no son completamente claros y, en algunos casos,
tienen un historial de ataques exitosos en versiones anteriores. .
Quizás la NSA cree que puede encontrar y explotar vulnerabilidades
en PQC mucho más fácilmente que en RSA o ECC, y por esa razón
quiere que el público se apresure a adoptar estándares PQC.
En la actualidad, el proceso de
desarrollo de estándares
PQC se encuentra en una Cualquier teoría sobre la capacidad de la NSA para
etapa temprana. No hay
descifrar RSA es tan especulativa como aquellas sobre su
consenso sobre cuál es el
capacidad para descifrar ECC o la criptografía poscuántica.
mejor enfoque y las
propuestas más comunes
no se basan en problemas
matemáticos “limpios” y
difíciles. Si la NSA consigue que los organismos de normalización
apresuren el proceso, tal vez cometan algunos errores, como hicieron
en el caso de Dual EC_DRBG. Entonces la NSA puede explotar las
vulnerabilidades resultantes.
Creemos que tal estrategia por parte de la NSA es improbable
por la misma razón por la que no creemos que la NSA pueda romper
la ECC. Aunque la NSA puede tener los mejores hackers del mundo,
esta superioridad técnica no parece extenderse a los ataques
matemáticos sobre algoritmos básicos, y la NSA lo sabe. Si la NSA
tiene algunas ideas sobre cómo atacar el PQC, es probable que en
poco tiempo personas ajenas a la NSA tengan ideas similares.
En particular, los criptógrafos de otras naciones (como Rusia y China)
pronto podrían reconocer a usuarios privados y gubernamentales en
los EE.UU., y parte de la misión de la NSA es evitar esto.
Esto no quiere decir que la NSA no tenga ideas propias sobre
el PQC. Por el contrario, los investigadores de la NSA han estado
estudiando los sistemas PQC durante muchos años y tienen planes
de desempeñar un papel importante (a través del NIST) en la
estandarización de algoritmos criptográficos cuánticos seguros.
La NSA puede romper el RSA
Otra teoría es que la NSA ha encontrado un algoritmo de factorización
de enteros mucho más rápido y quiere disuadir a los usuarios de
realizar la transición de RSA a ECC para que la agencia pueda utilizar
este nuevo algoritmo para descifrar una proporción significativa del
tráfico de Internet. Quizás sea más probable que la NSA pueda
romper RSA que ECC. De hecho, para el ECDLP en una curva de
campos primarios aleatorios, no ha habido avances significativos en
los 30 años de historia de ECC, mientras que ha habido avances
importantes en el problema de factorización de números enteros.
40 Seguridad y privacidad de IEEE
Es un poco extraño que la Suite B revisada permita RSA de 3072
bits pero solo P­384 y no P­256 para ECC. Un módulo RSA de 3072
bits proporciona solo 128 bits de seguridad contra ataques de
factorización conocidos, mientras que P­384 proporciona 192 bits de
seguridad contra ataques de ECDLP conocidos. Una de las razones
por las que Suite B podría permitir RSA de 3072 bits en lugar de RSA
de 7680 bits (que proporciona 192 bits de seguridad contra la
factorización de ataques) es en aras de la eficiencia.
Sin embargo, el RSA de 7680 bits no es mucho más lento que el RSA
de 3072 bits. Por otro lado, si se da el caso de que la NSA puede
descifrar el RSA de 3.072 bits pero
no el P­384, entonces
podría ordenar a sus
proveedores que
suministren el P­384 a los
usuarios del gobierno de
EE. UU. y esperar que el
resto del mundo. utiliza
RSA de 3072 bits (lo cual
es una posibilidad dado el nivel general de desconfianza en ECC y
el hecho de que RSA todavía se usa mucho más que ECC).
Por supuesto, cualquier teoría sobre la capacidad de la NSA para
romper RSA es tan especulativa como aquellas sobre su capacidad
para romper ECC o PQC.
La NSA apuntaba
principalmente a usuarios gubernamentales
Ésta fue la explicación dada por un funcionario de la NSA cuando
un proveedor corporativo cuestionó el tono y el momento del anuncio.
Es decir, la NSA sabía que algunas agencias gubernamentales de
EE. UU. con presupuestos de ciberseguridad limitados habían tardado
en pasar a ECC (es por eso que en 2010 decidió incluir RSA en la
Suite B, pidiendo que los usuarios al menos actualizaran a un módulo
más grande). No quería que esas agencias pusieran sus recursos en
una actualización de ECC y luego no tuvieran dinero para una
actualización posterior a PQC.
Es difícil decir si esta forma de pensar tiene o no sentido para
las agencias gubernamentales estadounidenses. Pero no tiene
sentido en el mundo empresarial. El presupuesto de seguridad de
una empresa este año no tiene nada que ver con lo que podría ser
su presupuesto de seguridad dentro de 15 años. Además, el anuncio
tiene un impacto negativo inmediato en el despliegue de ECC. La
adopción de ECDSA fuera de ciertas aplicaciones especializadas
(como PlayStation y Bitcoin) ha sido lenta, en gran parte debido a la
resistencia al cambio por parte de las autoridades de certificación
(CA), que se contentan con las firmas RSA. Ahora, el anuncio de la
NSA dará a las CA una excusa más para no actualizar su software
para admitir ECDSA.
En términos más generales, en el sector comercial, las empresas
suelen tardar mucho en mejorar su ciberseguridad. nosotros, muchos
usuarios agradecerán una buena
noviembre/diciembre 2016
Machine Translated by Google
justificación para posponer cualquier actualización hasta el futuro. La
redacción del anuncio de la NSA les da una excusa para hacer
precisamente eso.
En respuesta a las preguntas de un proveedor corporativo, la
fuente de la NSA también mencionó que estaba pensando
particularmente en agencias gubernamentales que necesitan
seguridad a muy largo plazo (en el nivel Top Secret o superior) que
podría extenderse más allá del momento en que las computadoras
cuánticas prácticas estén disponibles, de ahí la necesidad de realizar
la transición a PQC lo antes posible. Sin embargo, para estos
usuarios, la declaración de la NSA recomienda utilizar una capa
adicional de AES para proporcionar resistencia cuántica, sin esperar
estándares de clave pública de seguridad cuántica. En cualquier
caso, la declaración está dirigida al público en general y obviamente
va a tener un gran impacto en el sector privado. Si la NSA hubiera
querido dar consejos destinados únicamente a usuarios
gubernamentales de alta seguridad, lo habría hecho.
La NSA cree que RSA­3.072
Es mucho más resistente a lo cuántico
que ECC­256 y ECC­384
La complejidad cuántica de la factorización de enteros o del
logaritmo discreto depende esencialmente sólo de la longitud de bits
del orden del grupo. Por lo tanto, podría haber un gran desfase entre
el momento en que las computadoras cuánticas puedan resolver el
ECDLP en P­256 e incluso P­384 y el momento en que puedan
factorizar un número entero de 3.072 bits.
Sin embargo, se requieren avances importantes en física e
ingeniería antes de que la computación cuántica pueda escalar
significativamente. Cuando eso suceda, por supuesto, P­256 y P­384
caerán primero. Pero, como lo expresó el jefe de investigación de
ciberseguridad de una importante corporación, “después de eso es
sólo una cuestión de dinero” antes de que se rompa RSA­3.072. En
el momento en que P­384 se rompe, no sería prudente utilizar ECC
o RSA. Es poco probable que la brecha entre el criptoanálisis
cuántico de una clave de 384 bits y una clave de 3.072 bits sea lo
suficientemente grande como para servir como base para una
estrategia criptográfica.
La NSA está utilizando una estrategia de
desvío dirigida a Rusia y China
Supongamos que la NSA cree que, aunque eventualmente se
podría construir una computadora cuántica a gran escala, será
enormemente costosa. Desde el punto de vista de los costos, será
menos análogo a la bomba de Alan Turing que al Proyecto Manhattan
o al programa Apolo, y estará dentro de las capacidades sólo de un
pequeño número de Estados­nación y grandes corporaciones.
Supongamos además que la NSA ya tiene los secretos de
seguridad nacional más valiosos protegidos por primitivas de clave
simétrica cuántica segura como AES256, y no depende de la
criptografía de clave pública para el material que tiene la circulación
más restringida.
www.computer.org/seguridad
(para lo cual se utilizaría la Suite A en lugar de la Suite B).
De hecho, la NSA podría concluir que, en términos más generales,
la computación cuántica tendrá un impacto muy limitado en la
ciberseguridad: es poco probable que una empresa criminal invierta
varios miles de millones de dólares para poder acceder a la cuenta
de tarjeta de crédito protegida por RSA de Alice o al Bitcoin
protegido por ECC de Bob. billetera.
Supongamos también que, al pensar en la relación algo conflictiva
que todavía existe entre Estados Unidos y China y Rusia,
especialmente en el área de ciberseguridad, la NSA se preguntara:
“¿Cómo ganamos la Guerra Fría? La principal estrategia fue incitar
a la Unión Soviética a una carrera armamentista que no podía
permitirse, llevándola esencialmente a la bancarrota. Su PNB era
mucho menor que el nuestro; Lo que fue un pequeño revés para
nuestra economía fue un gran desastre para la Unión Soviética. Fue
una gran estrategia. Vamos a intentarlo de nuevo."
En otras palabras, según esta teoría, los principales destinatarios
del anuncio de la NSA eran los chinos y los rusos, quienes se verían
incitados a gastar inútilmente enormes sumas de dinero para
construir una computadora cuántica que no les servirá de mucho. De
esta manera, esos recursos no se utilizarán para usos que la NSA
consideraría mucho más amenazadores.
La NSA tiene una necesidad política de
distanciarse de la ECC
Hubo algunas peculiaridades en la publicación de la declaración de
agosto de 2015 sobre la preparación para las criptomonedas
poscuánticas. Normalmente, a todas las grandes corporaciones que
realizan trabajos criptográficos para el gobierno de EE. UU. se les
habría avisado con antelación, pero esto no se hizo. Aún más
sorprendente es que no se preguntó a la gente del NIST al respecto,
e incluso los investigadores del IAD fueron tomados por sorpresa.
Parece que quienquiera que haya preparado el comunicado en la
NSA lo hizo con una mínima retroalimentación de los expertos, y eso
incluye a sus propios expertos internos.
Esto sugiere que las principales consideraciones podrían no
haber sido técnicas en absoluto, sino más bien específicas de la agencia:
es decir, relacionado con la difícil situación de la NSA tras las
filtraciones de Snowden. La pérdida de confianza y credibilidad por
el escándalo sobre Dual EC_DRBG fue tan grande que la NSA
podría haber anticipado que cualquier otra cosa que dijera sobre los
estándares ECC sería desconfiada.
La NSA podría haber pensado que la forma más rápida de
recuperarse del golpe a su reputación sería hacer borrón y cuenta
nueva, abandonando su papel anterior como promotores de ECC y
avanzando con la transición a la criptografía poscuántica mucho
antes de lo que lo haría de otro modo. tener.
Si esto es correcto, entonces tal medida por parte de la NSA
plantea nuevas preguntas sobre la credibilidad. Para los usuarios
comerciales de criptografía, el momento de la transición de un
paradigma a otro debería estar determinado por los conocimientos
técnicos más avanzados y las mejores prácticas, no por
41
Machine Translated by Google
CRIPTOGRAFÍA DEL MUNDO REAL
el interés burocrático de una agencia gubernamental. Si
la NSA quiere ser considerada un socio confiable para el
aseguramiento de la información, necesita basar sus
políticas y recomendaciones no en algún cálculo político
sino en un proceso transparente que implique la
colaboración científica entre los sectores comercial,
académico y gubernamental. sectores. Un proceso así no
dejaría a la gente perpleja y no daría lugar a
especulaciones (y paranoia ocasional) sobre cuáles
podrían ser los verdaderos motivos de la NSA.
No podemos ofrecer
La razón poruna conclusión
la que la NSA definitiva;
se retiró deel ECC
sigue siendo un enigma. Se invita a los lectores a elegir
entre las posibles explicaciones que hemos dado o a
proponer sus propias teorías.
Referencias
1. “Cryptography Today”, Agencia Nacional de Seguridad, agosto de 2015;
tinyurl.com/SuiteB.
2. P. Shor, “Algoritmos para computación cuántica: logaritmos discretos y
factorización”, Proc. 35º año. Síntoma. Fundamentos de la informática
(SFCS 94) 1994, págs. 124­134.
Premio B. Ramakrishna Rau 2017
Convocatoria de nominaciones
Honrando las contribuciones al campo de la microarquitectura informática
Nueva fecha límite: 1 de mayo de 2017
Establecido en memoria del Dr. B. (Bob) Ramakrishna Rau, el
premio reconoce su distinguida carrera en la promoción y expansión
del uso de técnicas innovadoras de microarquitectura informática,
incluida su innovación en tecnología complier, su liderazgo en arquitectura
informática académica e industrial, y sus altísimos estándares
personales y éticos.
¿QUIÉN ES ELEGIBLE?: El candidato habrá realizado una contribución
o contribuciones innovadoras destacadas a la microarquitectura, el uso de técnicas de
microarquitectura novedosas o la interfaz compilador/arquitectura. Se espera, aunque
no es obligatorio, que el ganador también haya contribuido a la comunidad de
microarquitectura informática a través de la enseñanza, la tutoría o el servicio
comunitario.
PREMIO: Certificado y honorarios de $2,000.
PRESENTACIÓN: Presentada anualmente en el ACM/IEEE International
Simposio sobre Microarquitectura
PRESENTACIÓN DE NOMINACIONES: Este premio requiere 3 respaldos.
Las nominaciones se aceptan electrónicamente: www.computer.org/web
/premios/para
CONTÁCTENOS: envíe cualquier pregunta relacionada con los premios a Awards@computer.org
www.computer.org/premios
42 Seguridad y privacidad de IEEE
3. N. Koblitz y A. Menezes, “A Riddle Wrapped in an Enigma”, Cryptology
ePrint Archive, 20 de octubre de 2015; eprint.iacr.org/2015/1018.
“
4. El caso de la criptografía de curva elíptica”, Seguridad Nacional
Agencia, 13 de octubre de 2005; tinyurl.com/NSAandECC.
5. “Fact Sheet NSA Suite B Cryptography”, Agencia de Seguridad Nacional,
22 de marzo de 2010; tinyurl.com/NSASuiteB.
6. J. Menn, “Secret Contract Tied NSA and Security Indust­try Pioneer”,
Reuters, 20 de diciembre de 2013; tinyurl.com/osq39us.
7. A. Menezes, T. Okamoto y S. Vanstone, “Reducción de logaritmos de
curva elíptica a logaritmos en un campo finito”, IEEE Trans. Teoría de
la información, vol. 39, núm. 5, 1993, págs. 1639­1646.
8. T. Satoh y K. Araki, "Cocientes de Fermat y el algoritmo logarítmico
discreto de tiempo polinomial para curvas elípticas anómalas",
Commentarii Mathematica de la Universidad de Sancti Pauli, vol. 47,
núm. 1, 1998, págs. 81–92.
9. I. Semaev, “Evaluación de logaritmos discretos en un grupo de puntos
de torsión p de una curva elíptica en la característica p”, Matemáticas
de la Computación, vol. 67, núm. 221, 1998, págs. 353–356.
“
NP Smart, Curves e Problema de logaritmo discreto en la elíptica 10.
of Trace One”, J. Cryptology, vol. 12, núm. 3, 1999, págs. 193­196.
11. S. Rich y B. Gellman, “La NSA busca construir una computadora
cuántica que pueda descifrar la mayoría de los tipos de cifrado”,
Washington Post, 2 de enero de 2014; tinyurl.com
/NSAQuantumComputer.
12. M. Mosca, “Ciberseguridad en una era con computadoras cuánticas:
¿estaremos a salvo?”, Cryptology ePrint Archive, 5 de noviembre de
2015; eprint.iacr.org/2015/1075.
Neal Koblitz es profesor de la Universidad de Washington
en Sea le. Trabaja en teoría de números y criptografía
y ha escrito extensamente sobre temas educativos.
Koblitz recibió un doctorado en matemáticas de
Princeton. Es autor de seis libros, de los cuales el
último, Random Curves: Journeys of a Mathematician.
(Springer 2007), es autobiográfico. Contáctelo en
koblitz@uw.edu.
Alfred Menezes es profesor del Departamento de
Combinatoria y Optimización de la Universidad de
Water­loo. Sus intereses de investigación son la
criptografía y la teoría algorítmica de números. Menezes
obtuvo un doctorado en matemáticas de la Universidad
de Waterloo. Es coautor de cuatro libros, entre ellos
Handbook of Applied Cryptography y Guide to Elliptic Curve Crypto
Contáctelo en ajmeneze@uwaterloo.ca.
Lea sus suscripciones a través
del portal de publicaciones
myCS en http://mycs.computer.org
noviembre/diciembre 2016