(nem hivatalos e-kormányzati témájú oldal)
| Mottó: A déjà vu többnyire hiba a Mátrixban. /The Matrix, 1999/ | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 2026. február 10. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Post-Quantum Cryptography: ML-DSA, ML-KEM - ezeknél szükséges a "hiba a Mátrixban" | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| FIGYELEM! A jelen bejegyzésben lehetnek még pontatlanságok. Ezeket igyekszem javítani, ha érkeznek visszajelzések! Senki nem tudja, hogy mikor jelennek meg - nyilvánosan, vagy akár a háttérben, titokban - az olyan kvantumszámítógépek, amelyek veszélyt jelentenek a jelenleg használt kriptográfiára. Szinte naponta kapunk újabb és újabb híreket arról, hogy mennyi fizikai és mennyi logikai qubitnél tartanak, illetve, hogy milyen kvantumhiba-javító algoritmusok, optimalizációk érhetők el. Így viszont valóban nehéz azt megmondani, hogy 5 év múlva vagy 50 év múlva érkezik-e el az idő. Azt viszont fontos látni, hogy előbb-utóbb elérkezik ez az idő és - még ha az aláírások, felülhitelesítések kapcsán rá is érünk az utolsó előtti pillanatig - a rejtjelezés, titkosítás igazából már a mai napon igényelné a váltást. Sokszor lehet hallani a "harvest/store now, decrypt later" szállóigét, ami már előrevetíti, hogy aki nem vált minél hamarabb, arról annál több dolog kerül(het)/derül(het) majd ki egy esetleges post-quantum WikiLeaks oldalon.
Hol tartunk most? Utoljára az Ibtv. (2013. évi L. törvény) kapcsán foglalkoztam a témával (amibe 2022-07-01-én váratlanul bekerült a "poszt-kvantumtitkosítás" fogalom), azóta viszont - 2024-08-13-án - megjelentek a NIST FIPS specifikációk és szépen halad az adatstruktúrák kidolgozása is. Halad, de sok esetben még nem véglegesedett. Éppen ezért a jelen összefoglalóban maradnék a NIST FIPS által leírtak bemutatásánál:
A NIST szabványok között lenyomat-alapú (hash-based) algoritmus csak egy található. Ennél kizárólag a hash-képzés a mögöttes logika, amit nem érint végzetesen a kvantumszámítógép. És mivel csak hash-képzés van (azaz nem kell pl. prímtényezőket keresgélni, mint RSA törésénél), emiatt nem is kell aggodalmaskodni, mint akár a rácsoknál (lattice) hogy pl. miért pont olyan konstansokat állított be az a) NIST FIPS 205 - SLH-DSA (SPHINCS+) A NIST FIPS 205 a lenyomat-alapú (hash-based) aláírásról szól. Korábban - jóval korábban, amikor még nem voltak ezek szabványosítva - már foglalkoztam a hash-alapú aláírás témával: a 2015-ös Hacktivity konferencián mutattam be egy ilyen algoritmus - a Lamport-Diffie-Winternitz-Merkle (LDWM) - működését, saját kódokkal. Ez ma már Leighton-Micali Hash-Based Signatures név alatt érhető el az IETF RFC 8554 specifikációban. A hash-alapú aláírásokra általánosságban az jellemző, hogy a tanúsítványuk, pontosabban a kulcsuk lejárata nem időhöz kötődik, hanem tranzakciószámhoz. Ennek az az oka, hogy egy - nagy, de akkor is - korlátos számú esetben lehet csak használni egy adott kulcsot. A humán folyamatokhoz ez is bőven elegendő lehet, a gépi folyamatoknál viszont a korábban megszokottakhoz képest más üzemeltetést, odafigyelést igényel(ne). De ha még ezt a - tranzakciószámra vonatkozó - nagyon magas határértéket nem is nézzük (hiszen elvileg pont ettől jobb a "stateless" megoldás, mint a "stateful"), a hatalmas méretű aláírások is korlátozzák az alkalmazhatóságát, főleg IoT környezeteknél (NIST Security Level 5 szinten az aláírás lehet akár 49856 byte is, ami jóval több, mint a legerősebb ECDSA-nál a 132 byte). Ezen okok miatt valószínűleg nem is ez a megoldás lesz a nyerő pl. egy Apache web server SSL/TLS csatorna felépítésénél, ahol a háttérben aláírási műveleteket is végre kell hajtani. LATTICE-BASED A NIST szabványok között rács-alapú (lattice-based) algoritmus kettő található. Ezeknek a matematikai nehézséget az adja, hogy sok dimenziós térben kell egy ponthoz megtalálni a legközelebbit. A rácspontról ugyanis a hozzáadott hiba/zaj miatt "leugrik" a pont és csak az képes gyorsan megtalálni/visszafejteni az eredeti értéket, aki ismeri a titkos kulcsot, amivel a hiba javítható. Mindenki más számára - legyen szó hagyományos vagy akár kvantumszámítógépről - a hiba javítása és a legközelebbi rácspont megtalálása matematikailag nehéz feladat a Closest Vector Problem (CVP) miatt, ami visszavezethető a Shortest Vector Problem (SVP) problémára. A rács-alapú algoritmusoknál tehát más értelmet nyer az, hogy van "hiba a Mátrixban": itt pont a szándékosan elhelyezett, titkos hiba az, ami biztosítja a rendszerben az adatok bizalmasságát, sértetlenségét, hitelességét. Ennek a matematikai okaival a matematikusok foglalkoznak (Kutas Péter publikációiról, illetve Hornyai Alex magyarázó előadásáról beraktam linket alább), engem - rendszertervezőként, fejlesztőként - inkább az érdekel, hogy mi a folyamata a kulcsok generálásának, az aláírási/rejtjelezési műveletek elvégzésének és ezekhez milyen paramétereket kell használni és azoknál mikre kell figyelni. Ehhez pedig először érdemes valamilyen segédalkalmazással legyártani a teszt adatokat aztán pedig végig kell bogarászni a NIST leírásokat, a könnyebb érthetőség érdekében pedig kis számokkal végiglépkedni a folyamatokon. Szerencsére, az OpenSSL 3.5.0+ változatai már beépítve tartalmazzák a PQC algoritmusokat megvalósító oqs-provider kódjait, így a megszokott parancsokkal pár lépésben el tudjuk végezni a tanúsítványok - Root CA, Intermediate CA és a végfelhasználói tanúsítványok - kiadását és az aláírási/rejtjelezési műveleteket. a) NIST FIPS 204 - ML-DSA (CRYSTALS-DILITHIUM) A NIST FIPS 204 a rács-alapú (lattice-based) aláírásról szól.
A teszt adatok létrehozásához meg kellett adni az algoritmust és annak paramétereit. Ezek határozzák meg a biztonsági szintet, a kulcsméreteket, illetve a kódolt adat (aláírás) méretét.
Az OpenSSL parancsoknál az mldsa87 került megadásra, így a legerősebb, 4896 byte (39168 bit) méretű titkos kulcs és 2592 byte (20736 bit) méretű nyilvános kulcs, illetve 4627 byte (37016 bit) méretű kódolt adat (aláírás) jött létre.
Vessük össze a legyártott teszt adatokat a NIST FIPS 204 specifikációban leírtakkal és nézzük meg, hogy ezekkel miképp lehet aláírást létrehozni és ellenőrizni! Az alábbi példánál kis számok szerepelnek, de ahol lehetett, ott megadtam a szabványban szereplő - mldsa87 szintre vonatkozó - értékeket is.
Fejlesztői, üzemeltetői szemmel nézve... Az első dolog, ami feltűnik, hogy egy - az összes "jósági" feltételnek megfelelő - aláírás létrehozása valószínűleg többszöri lefutásra lehetséges csak (pl. a tapasztalatok alapján ML-DSA-87 esetében átlagosan 4-7 iteráció is szükséges lehet). Vannak biztonsági szempontok is (ld. "rejection sampling" és a méretkorlátok), de a lényeg, hogy a "segítő" bitek (Hint vector) révén az ellenőrzés során kiszámolt, zajos w' értéket ki kell hozni úgy, hogy azonos legyen a létrehozás során számolt w értékkel. Ha csak kicsit is eltérnek, akkor ezek lenyomata már teljesen más lesz (a hash-függvények lavina-hatása miatt). Az eltérés emiatt hibát jelent, így újra meg kell próbálni az aláírás létrehozását egy következő iterációban. Ha tehát majd performancia értékeket nézünk egy pl. smart card vagy HSM kulcstárolónál, akkor valószínűleg másképp kell értelmezni a megadott számokat. A második dolog, hogy még ha ugyanaz is az összes paraméter, kulcs, sőt, még az üzenet is, akkor a tranzakció egyediségét végső soron az y kiszámításához használt Kappa számláló adja (ami mindig 0-ról indul), illetve a 32 byte "töltelék". A NIST FIPS 204 megengedi, hogy ez a "töltelék" rögzítetten csak 32 byte 0x00 legyen ("deterministic"), de jobb esetben ez véletlenszerű adattal van feltöltve ("hedged"). Ez - többek között - azt is befolyásolja, hogy ha ugyanazt az M' üzenetet ugyanazzal a kulccsal írjuk alá, akkor ugyanaz lesz-e z aláírás értéke is vagy sem. A PKCS#1 padding-es RSA-alapú aláírásoknál ez így volt korábban is ("deterministic"), de az ECC-alapú ECDSA aláírásoknál már ez nem volt igaz, hiszen ott aláírásonként is került be véletlenszám ("hedged"). A hibakeresésnél okozhat nehézséget, ha mindig más aláírás-értéket kapunk ugyanazon bemenő adatok esetén, de a nagyobb biztonság érdekében ezt be kell vállalni (ahogy az ECDSA aláírásoknál is ezt már korábban megszoktuk). A harmadik dolog is kapcsolódik ehhez az y értékhez. Fontos látni az y képletében, hogy az felhasználja az adott M' üzenet lenyomatát. Ez miért érdekes? Azért érdekes, mert ha y csak egy - az adott M' üzenet lenyomatától független - hagyományos véletlenszám lenne, akkor érzékeny lenne a "nonce reuse" támadásra, amiről már pl. az ECDSA és a Sony PlayStation 3 kapcsán sokszor hallottunk. (És ez az, ami miatt pl. egy Thales HSM kulcstárolónál meg kell venni a kibővített licenszt és be kell kapcsolni az emelt szintű entrópia használatát, ha egyébként nem támogatja az IETF RFC 6979 szabványban leírt "deterministic" megoldást.) Annak a lényege, hogy két eltérő M' üzenet, és két azonos y véletlenszám esetén két eltérő aláírás keletkezik és ezek különbségéből kifejezhető az s1 titkos kulcs. Az y képletéből viszont látszik, hogy két eltérő M' üzenet esetén nem lehet két azonos y véletlenszám, sem "hedged", sem "deterministic" esetben. De... Az y kiszámítása csak az aláírás létrehozásánál számít, az aláírás ellenőrzésénél (pl. az ellenőrző oldalán futó másik kódnál) nem történik meg. Ez azt jelenti, hogy lehet azzal trükközni, hogy egy kendácsolt 3rd party library suttyomban csak - egyáltalán nem NIST FIPS 204 szabványos módon - egy gyenge minőségű véletlenszámot generál az y változónak. Érdemes lesz tehát az auditált kriptográfiai megoldásoknál maradni - legalább a forráskód-szintű, pl. Common Criteria EAL4 tanúsítottaknál -, amik ellenőrzötten jól - NIST FIPS 204 alapján - számítják ki az y értékét! Így lehet elkerülni, hogy a Sony PlayStation 3-hoz hasonló módon kiszivárogjon a titkos kulcsunk az alábbi képlet megoldásával:
A negyedik dolog is a performancia értékekhez kapcsolódik. Legalábbis, az EJBCA fejlesztők (Keyfactor/PrimeKey) által végzett teszteknél kiderült, hogy jelentős különbség van a teljesítményekben a különböző HSM kulcstárolóknál attól függően, hogy a teljes üzeneten végzett lenyomatképzés belül - a HSM-ben - vagy kívül - a környezetben - hajtódik-e végre ML-DSA esetén. Ez elsőre furcsán hangzik, hiszen az RSA és ECDSA aláírásoknál mindig csak a lenyomat került elküldésre a kulcstároló felé, azaz még a környezet számolta ki azt. És ennek részben pont az volt az oka, hogy egy pl. több GB-os videó állományt nagyon lassan lehetett volna áttolni egy kis chipkártyán. De még egy HSM is megizzadt volna vele. Ezen felül van azonban egy másik ok is, amiért ez nem így volt: a jogi oldal. Vannak olyan szektorok, ahol az érzékeny adatok nem kerülhetnek ki a felhasználó környezetéből - pl. banktitok vagy ügyvédi titok miatt, de akár még a GDPR-t is emlegethetném - és ilyenkor csatolt aláírást kell létrehozni. Ez jellemzően úgy történik ilyenkor, hogy még az ügyfél oldalán - pl. a banki dokumentumkezelő rendszerben - készül el a lenyomat és a 3rd party aláírás-szolgáltató a megkapott lenyomatot írja alá (azaz nem a teljes dokumentumot), majd ezt küldi vissza a banknak. De, ha ehelyett be kell küldeni a teljes aláírandó adatot a kulcstárolóba - a HSM-be vagy akár a kis chipkártyába -, akkor az egyrészt baromi lassúvá teszi a folyamatot (és emiatt az ügyfél elégedetlen lesz), másrészt sérülnek a titoktartási kötelezettségek (és emiatt az ügyfél még elégedetlenebb lesz). Éppen ezért furcsa számomra, hogy egyáltalán létezik ez az "external mu" témakör (és nem alapértelmezett ez a működési mód), ahol egyébként a "mu" értéke nem más, mint a nyilvános kulcs lenyomatának és az üzenet lenyomatának (meg még néhány adatnak) az összefűzése és ennek az egésznek a lenyomata. Ez szükséges az y kiszámításához is: H(tr || M')), ami jobban kifejtve HASH(HASH(public key) || .. || HASH(message)). Az "external mu" fontosságát mutatja, hogy külön oszlopban szerepel a HSM-ek táblázatában a Keyfactor/PrimeKey oldalán. Néhányan ugyan támogatják ezt a funkciót (mint az i4p Trident HSM), de a táblázat készítésekor a Thales Luna még nem tudta (csak az újabb változatoknál írnak erről). Erre a paraméterre tehát érdemes figyelni, amikor valaki rendszert tervez és a jogi követelményeknek, illetve a performancia kritériumoknak meg kell felelni! b) NIST FIPS 203 - ML-KEM (CRYSTALS-KYBER) A NIST FIPS 203 a rács-alapú (lattice-based) (kulcs)rejtjelezésről szól.
A teszt adatok létrehozásához meg kellett adni az algoritmust és annak paramétereit. Ezek határozzák meg a biztonsági szintet, a kulcsméreteket, illetve a kódolt adat (rejtjel) méretét.
Az OpenSSL parancsoknál az mlkem1024 került megadásra, így a legerősebb, 3168 byte (25344 bit) méretű titkos kulcs és 1568 byte (12544 bit) méretű nyilvános kulcs, illetve 1568 byte (12544 bit) méretű kódolt adat (rejtjel) jött létre.
Vessük össze a legyártott teszt adatokat a NIST FIPS 203 specifikációban leírtakkal és nézzük meg, hogy ezekkel miképp lehet rejtjelezett kulcsot létrehozni és egyeztetni! Az alábbi példánál kis számok szerepelnek, de ahol lehetett, ott megadtam a szabványban szereplő - mlkem1024 szintre vonatkozó - értékeket is.
Fejlesztői, üzemeltetői szemmel nézve... Az első dolog, amit érdemes megemlíteni, hogy az ML-KEM egy "deterministic" lefutású algoritmus: azonos m üzenet - és azonos ek nyilvános kulcs - adatok esetén azonos K "shared secret key" - és azonos r véletlenszám - jön létre. A többi lépésnél/rétegben van ugyan "randomness", de eddig a pontig ugyanúgy kell tudni elvinni a folyamatot. Ennek oka az, hogy a "re-encryption" visszaellenőrzésnél ugyanazt az adatot kell tudni előállítani, így titkos véletlenszámokat - vagy egyéb nem "deterministic" adatokat - nem lehet használni, nyilvános véletlenszámra meg nincs szükség eddig a pontig. A második dolog, ami gyakran elhangzik, hogy az ML-KEM egy kizárólag kulcsrejtjelező algoritmus, nem pedig egy aszimmetrikus rejtjelező algoritmus. És valóban: az m üzenet neve ugyan arra utalhat, hogy esetleg itt lehet megadni a nyílt szöveget, de valójában ez egy titkos véletlenszám, amiből - lenyomatképzés révén - közvetlenül áll elő az egyeztetendő adatrejtjelező (pl. AES) kulcs. Ezzel szemben az RSA képes akár közvetlenül is rejtjelezni a nyílt szöveget, de... Tény, hogy az esetek túlnyomó többségében ez nem így történik, hanem hybrid módon: az RSA is csak az AES kulcsot rejtjelezi és az AES fogja a nyílt szöveget rejtjelezni. Ilyen szempontból tehát mindegy, hogy az ML-KEM tud-e közvetlenül nyílt szöveget rejtjelezni vagy sem, mert általában erre nincs is szükség. Ha pedig valakinek mégis szüksége van rá, akkor jó hír, hogy néhány módosítás - "Fujisaki-Okamoto (FO) transform" eltávolítása - révén akár még erre is jó (bár, a ténylegesen biztonságos alkalmazhatósága még erősen kutatási fázisban van), úgyhogy alkalmas lehet "homomorphic encryption" funkció megvalósítására is pl. e-voting rendszereknél vagy statisztikai célú, egészségügyi adatok feldolgozásánál. A harmadik dolog, hogy az ML-KEM algoritmusnál is van olyan rész, ami egy NIST FIPS 203 szabvány szerinti működésnél nem fordulhatna elő, de a nem bevizsgált, "kitudjamilyen" kódoknál megeshet: ha ugyanis azonos r véletlenszámmal és azonos nyilvános kulccsal kódolnánk m üzeneteket, akkor pl. az azonos c rejtjelezett szövegek alapján tudhatnánk, hogy azonosak az m nyílt szövegek is, de különböző c rejtjelezett szövegek esetén is, az eltérések mértéke alapján lehetne következtetni a különböző m nyílt szövegek közötti eltérésekre is. Ez akkor veszélyes leginkább, amikor ismert az egyik m nyílt szöveg és az ahhoz tartozó c rejtjelezett szöveg. (Halkan megjegyzem, hogy ez majdnem pont olyan eset, mint amikor CTR vagy GCM módban használjuk az AES algoritmust és elkövetjük a "nonce reuse" hibát, mint ahogy azt a WPA2-t is érintő KRACK esetében is láttuk.) Az eltérés ismerete pedig már adhat támpontot ahhoz, hogy milyen tartományban érdemes pl. "brute-force" támadással próbálkozni. Egy biztonságosnak számító rendszernél ilyen információra tehát nem szabad tudni következtetni kizárólag a rejtjelezett szöveg alapján. Szerencsére, ha az elvárt módon készül az r, akkor csak kicsit is különböző m nyílt szöveg esetén teljesen eltérő lesz a c rejtjelezett szöveg (a hash-függvények lavina-hatása miatt). Fontos hangsúlyozni, hogy ha ugyanazt a sérülékeny kódot használják "encapsulation" és "decapsulation" során is, akkor a rossz minőségű r létrehozása és használata észrevétlen marad, a külső - megfigyelő - fél viszont ezen "backdoor" alapján már tud információt szerezni a c rejtjelezett szövegekről. Itt is el lehet mondani, hogy érdemes lesz tehát az auditált kriptográfiai megoldásoknál maradni - legalább a forráskód-szintű, pl. Common Criteria EAL4 tanúsítottaknál -, amik ellenőrzötten jól - NIST FIPS 203 alapján - számítják ki az r értékét! A negyedik dolog, hogy a hybrid módban alkalmazandó ML-KEM algoritmus megjelenése leginkább az SSL/TLS protokollnál érdekes. Nagy talány volt azonban az elején, hogy miképp kerül bevezetésre egy RSA-szerű kulcsrejtjelező megoldás egy olyan verzióba (TLS v1.3), aminél már pont kivezették ezt és csak a DH-szerű kulcsegyeztető megoldásokat hagyták meg (a Perfect Forward Secrecy biztosítása érdekében). A - jelenleg még nem végleges - specifikációk alapján a "quantum-safe" ML-KEM és a hagyományos, elliptikus görbés Diffie-Hellman algoritmus hybrid módon kerül alkalmazásra: a Curve25519 görbén alapuló ECDH (X25519) algoritmus adja az adatrejtjelezésre használandó pl. AES kulcs származtatásához - a lenyomatképzésen alapuló függvényhez - a bemeneti adatok egyik felét és az ML-KEM algoritmus a másik felét. A csomagméretek optimalizációja miatt ennél a kombinációnál a NIST Security Level 3 szintnek megfelelő X25519MLKEM768 változatot kezdték el használni. A NIST Security Level 5 szinthez a SecP384r1MLKEM1024 (NIST P-384 görbe és ML-KEM-1024) kombináció jelent meg az IETF specifikációiban. A hybrid megoldás miatt érdemes lesz figyelni a paraméterek megfelelő beállítására pl. a tanúsítvány keyUsage mezőjénél is (keyEncipherment/keyAgreement). Ez a CA és web server üzemeltetőket is érinti majd.
Mire várunk még? A NIST FIPS specifikációk ugyan leírják az algoritmusok működését és listázzák a paramétereket, de hogy ezek az algoritmusok milyen azonosítókat kapnak az XML/JSON-világban, illetve hogy ezek a paraméterek miképp fognak megjelenni a különböző adatstruktúrákban, azt még el kell dönteni (simán összefűzve/konkatenálva? vagy szét lesznek szedve? ASN.1 körítést kapnak? vagy másféle konténerbe kerülnek?). Ezeknek a szabványosítása jelenleg zajlik, ezért addig még nem lehet "quantum-safe" módon rejtjelezett és aláírt JSON-alapú (JWE/JWS-réteges JWT) vagy XML-alapú (XML Signature/Encryption) adatokat, üzeneteket gyártani. De a munka halad, és van is, aminek a szabványosítását már lezárták: elsőként a CMS (Cryptographic Message Syntax) adatstruktúra lett véglegesítve (IETF RFC 9882, IETF RFC 9814). Ezt használják pl. a PDF-be ágyazott aláírásoknál is (PAdES). És ez pontosan az, amit a DÁP eAláírás is támogat, azaz itt már - akár a mai napon - át lehetne váltani a "quantum-safe" megoldásra... Kapcsolódó anyagok:
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| vissza | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
info@ugyfelkapu.info
