Журнал "Information Security/ Информационная безопасность" #1, 2019

суперсингулярными эллиптиче- скими кривыми основана схема SIKE. К прочим примитивам отно- сятся WalnutDSA (*) (группы кос 5 ), pqRSA (юмор), Guess Again (*), HK17 (*), Mersenne- 756839, RVB (*), Picnic. 30 января 2019 г. NIST опуб- ликовал 6 перечень кандидатов, прошедщих на второй этап кон- курса. В их число вошли сле- дующие схемы: 1. Для шифрования с откры- тым ключом и инкапсуляции ключа: BIKE, Classic McEliece, CRYSTALS-KYBER, FrodoKEM, HQC, LAC, LEDAcrypt (производ- ная схема от LEDAkem/LEDAp- kc), NewHope, NTRU (производ- ная схема от NTRUEncr ypt/NTRU-HRSS- KEM), NTRU Prime, NTS-KEM, ROLLO (производная схема от LAKE/LOCKER/Ouroboros-R), Round5 (производная схема от Hila5/Round2), RQC, SABER, SIKE, Three Bears. 2. Для схем цифровой подпи- си: CRYSTALS-DILITHIUM, FAL- CON, GeMSS, LUOV, MQDSS, Picnic, qTESLA, Rainbow, SPHINCS+. Можно отметить, что экспер- ты NIST не высказали явного предпочтения при выборе базо- вых синтезных решений, исклю- чив лишь наиболее экзотиче- ские, на которые и пришлась большая часть успешных атак. Следующим этапом будет внесение правок и улучшений в прошедшие на второй этап схемы, для этого отводится срок до 15 марта 2019 г. Важным вопросом является эффективность предлагаемых на конкурс NIST схем. Необхо- димо отметить, что все без исключения схемы имеют раз- мер параметров, длину ключей и, как правило, длину шифр- текста (подписи, общего ключа) большую, чем у традиционных криптографических схем (RSA, ECDH, ECDSA) при равном отно- сительно классического вычис- лителя уровне стойкости. Как правило, вычислительных ресур- сов (процессорного времени, памяти) также требуется боль- ше. Таким образом, переход к постквантовой криптографии потребует для сохранения функ- циональности защищенных сетей обработки информации значительного увеличения выделяемых на криптографи- ческие преобразования вычис- лительных ресурсов. Область постквантовой крип- тографии охвачена и в дея- тельности Международной орга- низации по стандартизации/Международ- ной электротехнической комис- сии. Так, профильным техниче- ском комитетом, отвечающим за стандартизацию механизмов обеспечения информационной безопасности, инициировано проведение работ по созданию установочного документа, в котором будут отражены основ- ные направления создания постквантовых криптографиче- ских схем. Заключение Таким образом, международ- ное сообщество активно гото- вится к наступлению посткван- товой эры. Очевидна необхо- димость подготовки отече- ственной информационной инфраструктуры к появлению квантовых криптоаналитических вычислителей, для чего потре- буется разработка семейства постквантовых стандартов в области криптографической защиты информации, учитывая, разумеется, и международный опыт. При этом, однако, надо принимать во внимание ряд сле- дующих соображений. 1. Российская система стан- дартизации традиционно при- держивается использования криптографических механиз- мов, прошедших проверку вре- менем: за длительный период исследований в данном меха- низме не должно быть найдено уязвимостей. История посткван- товой криптографии же насчи- тывает в лучшем случае десять лет, за исключением схем NTRU, основанных на теории кодирования схем типа Мак- Элиса и некоторых других. 2. Определенная спешка, с которой NIST проводит меро- приятия по внедрению посткван- товой криптографии (так, опуб- ликованный в 2015 г. меморан- дум 7 Агентства национальной безопасности США в явном виде предлагает американским раз- работчикам средств криптогра- фической защиты информации, не успевшим к настоящему вре- мени внедрить в свои продукты криптографические алгоритмы, основанные на операциях на эллиптических кривых, воздер- жаться от их реализации, чтобы сэкономить ресурсы для пред- полагаемого в ближайшем буду- щем перехода на постквантовые алгоритмы), заставляет тща- тельно проверять новые стан- дарты, разрабатываемые в рам- ках программ этой организации, во избежание повторения скан- дальной истории с алготитмом выработки псевдослучайных п о с л е д о в а т е л ь н о с т е й Dual_EC_DRBG, который был стандартизирован вопреки воз- ражениям ряда исследователей, указавших на его очевидные уязвимости, что в дальнейшем потребовало отзыва стандарта. 3. Очевидно, что момент перехода к постквантовой крип- тографии потребует коренной перестройки всей базовой инфраструктуры информацион- ной безопасности, всех средств криптографической защиты информации, использующих асимметричные криптографи- ческие алгоритмы, в частности инфраструктуры удостоверяю- щих центров. Учитывая объем затрат на данные мероприятия, решение о переходе к исполь- зованию постквантовой крип- тографии должно приниматься взвешенно, на основе точного прогноза развития мощности квантовых вычислителей. Таким образом, необходи- мость разработки семейства постквантовых криптографиче- ских механизмов является важ- ной, хотя на данный момент и не первоочередной задачей, которую предстоит решать не только в рамках Технического комитета "Криптографическая защита информации" (ТК 26), но и силами всего российского криптографического сообще- ства. l • 35 КРИПТОГРАФИЯ www.itsec.ru 5 Несостоятельность использования групп кос для построения стойких крип- тосхем была показана в 2014 г. российским спе- циалистом М.М. Глуховым (1930–2018). 6 https://csrc.nist.gov/news/ 2019/pqc-standardization- process-2nd-round-candidates 7 Cryptography Today https://www.nsa.gov/ia/pr ograms/suiteb_cryptograp- hy/index.shtml, 2015. Рис. 2. Кодовая криптосхема МакЭлиса Рис. 3. Общая схема криптосистемы на многочленах Ваше мнение и вопросы присылайте по адресу is@groteck.ru