Компанія Google випустила, як вона описує, першу реалізацію ключа безпеки FIDO2, що має бути стійким до квантових атак. Про це повідомляє Security Week.
За останні роки відбувся значний прогрес у квантових обчисленнях, і технологічні гіганти все більше зосереджуються на квантовій безпеці. Основне занепокоєння, пов’язане з шифруванням, – поточна криптографія не зможе захистити інформацію від квантових атак, тому необхідна криптографія, стійка до квантових викликів.
У партнерстві зі швейцарським університетом ETH Zurich компанія Google розробила квантово стійку реалізацію ключа безпеки, яка використовує гібридну схему підпису, що включає традиційну еліптичну криптографію (зокрема, ECDSA) і CRYSTALS-Dilithium – квантову схему, яку Національний інститут стандартів і технологій США (NIST) недавно стандартизував, називаючи її «міцною з точки зору безпеки та з відмінною продуктивністю».
Дослідники, які розробили нову реалізацію ключа безпеки, зазначили, що потрібна гібридна схема, оскільки деякі алгоритми, стійкі до квантових атак, показали ознаки слабкості. Враховуючи, що більшість ключів безпеки не можна оновити, потрібна обережність, кажуть у Google.
Вихідний код Proof-of-of-concept (PoC) було опубліковано в межах проєкту Google OpenSK. Проєкт оголосили на початку 2020 року. Його мета – надати відкритий вихідний код для апаратних ключів безпеки. У межах проєкту технологічний гігант також надає ресурси, необхідні для 3D-друку корпусу ключа безпеки.
«З технічної точки зору серйозним завданням було створити реалізацію Dilithium, достатньо малу для роботи на обмеженому апаратному забезпеченні ключів безпеки. Завдяки ретельній оптимізації ми змогли розробити реалізацію, оптимізовану під розмір пам’яті для Rust, яка потребувала лише 20 КБ пам’яті, що було небагато. Також ми витратили час на те, щоб швидкість підпису нашої реалізації відповідала очікуваній специфікації ключів безпеки. Тим не менш, ми вважаємо, що подальше покращення швидкості підпису шляхом використання апаратного прискорення дасть змогу ключам працювати краще», – зазначено у блозі Google.
Хоча потрібен деякий час, поки квантові атаки стануть реальністю, у компанії вважають, що галузь має вжити заходів якомога раніше, враховуючи труднощі широкого розгортання нової криптографії в Інтернеті.
Було висловлено сподівання, що його впровадження буде стандартизовано в якийсь момент і підтримуватиметься всіма основними веббраузерами.
Раніше ProIT повідомляв, що Google виплатила понад $60 тисяч нагороди за виправлення трьох уразливостей високого рівня.