Приложение для обмена зашифрованными сообщениями Signal объявило об обновлении протокола Signal для добавления поддержки квантовой устойчивости путем обновления расширенной тройной спецификации Диффи-Хеллмана (X3DH) до постквантовой расширенной спецификации Диффи-Хеллмана (PQXDH).
"С этим обновлением мы добавляем уровень защиты от угрозы создания в будущем квантового компьютера, который будет достаточно мощным, чтобы нарушить текущие стандарты шифрования", - сказал Эрен Крэт из Signal.
Разработка началась через несколько недель после того, как Google добавила поддержку квантово-устойчивых алгоритмов шифрования в свой веб-браузер Chrome и анонсировала реализацию квантово-устойчивого ключа безопасности FIDO2 в рамках своей инициативы OpenSK security keys в прошлом месяце.
Signal Protocol представляет собой набор криптографических спецификаций, который обеспечивает сквозное шифрование (E2EE) для частных текстовых и голосовых сообщений. Оно используется в различных приложениях для обмена сообщениями, таких как WhatsApp и зашифрованные сообщения RCS от Google для Android.
Хотя квантовые компьютеры вряд ли станут массовыми в ближайшее время, существующие криптосистемы уязвимы для угрозы, известной как "Собери сейчас, расшифруй позже" (HNDL), при которой данные, зашифрованные сегодня, могут быть расшифрованы в будущем с помощью квантового компьютера.
Иными словами, субъект угрозы может украсть зашифрованные конфиденциальные данные у интересующих объектов и спрятать их, тем самым позволяя злоумышленнику использовать возможности квантового компьютера, когда он станет доступен, для вычисления закрытого ключа из открытого ключа и взлома зашифрованного содержимого.
Чтобы противостоять таким угрозам, Национальный институт стандартов и технологий Министерства торговли США (NIST) выбрал CRYSTALS-Kyber в качестве постквантового криптографического алгоритма для общего шифрования.
Но вместо полного переноса на CRYSTALS-Kyber, PQXDH от Signal использует гибридный подход, подобный подходу Google, сочетающий протокол согласования ключей с эллиптической кривой X25519 с Kyber-1024, который обеспечивает безопасность, примерно эквивалентную AES-256.
"Суть нашего обновления протокола с X3DH до PQXDH заключается в вычислении совместно используемых секретных данных, известных только сторонам, участвующим в сеансе частной связи, с использованием протокола согласования ключей elliptic curve X25519 и механизма постквантовой инкапсуляции ключей CRYSTALS-Kyber", - пояснил Крэт.
"Затем мы объединяем эти два общих секрета вместе, так что любой злоумышленник должен взломать как X25519, так и CRYSTALS-Kyber, чтобы вычислить один и тот же общий секрет".
Некоммерческая организация заявила, что новый протокол уже поддерживается последними версиями клиентских приложений и что она планирует отключить X3DH для новых чатов и требовать PQXDH для всех новых чатов "после того, как пройдет достаточно времени, чтобы все, кто использует Signal, обновились".
"PQXDH устанавливает общий секретный ключ между двумя сторонами, которые взаимно аутентифицируют друг друга на основе открытых ключей", - сказал Signal. "PQXDH обеспечивает постквантовую прямую секретность и форму криптографического отрицания, но все еще полагается на сложность проблемы дискретного логирования для взаимной аутентификации в этой версии протокола".
"С этим обновлением мы добавляем уровень защиты от угрозы создания в будущем квантового компьютера, который будет достаточно мощным, чтобы нарушить текущие стандарты шифрования", - сказал Эрен Крэт из Signal.
Разработка началась через несколько недель после того, как Google добавила поддержку квантово-устойчивых алгоритмов шифрования в свой веб-браузер Chrome и анонсировала реализацию квантово-устойчивого ключа безопасности FIDO2 в рамках своей инициативы OpenSK security keys в прошлом месяце.
Signal Protocol представляет собой набор криптографических спецификаций, который обеспечивает сквозное шифрование (E2EE) для частных текстовых и голосовых сообщений. Оно используется в различных приложениях для обмена сообщениями, таких как WhatsApp и зашифрованные сообщения RCS от Google для Android.
Хотя квантовые компьютеры вряд ли станут массовыми в ближайшее время, существующие криптосистемы уязвимы для угрозы, известной как "Собери сейчас, расшифруй позже" (HNDL), при которой данные, зашифрованные сегодня, могут быть расшифрованы в будущем с помощью квантового компьютера.
Иными словами, субъект угрозы может украсть зашифрованные конфиденциальные данные у интересующих объектов и спрятать их, тем самым позволяя злоумышленнику использовать возможности квантового компьютера, когда он станет доступен, для вычисления закрытого ключа из открытого ключа и взлома зашифрованного содержимого.
Чтобы противостоять таким угрозам, Национальный институт стандартов и технологий Министерства торговли США (NIST) выбрал CRYSTALS-Kyber в качестве постквантового криптографического алгоритма для общего шифрования.
Но вместо полного переноса на CRYSTALS-Kyber, PQXDH от Signal использует гибридный подход, подобный подходу Google, сочетающий протокол согласования ключей с эллиптической кривой X25519 с Kyber-1024, который обеспечивает безопасность, примерно эквивалентную AES-256.
"Суть нашего обновления протокола с X3DH до PQXDH заключается в вычислении совместно используемых секретных данных, известных только сторонам, участвующим в сеансе частной связи, с использованием протокола согласования ключей elliptic curve X25519 и механизма постквантовой инкапсуляции ключей CRYSTALS-Kyber", - пояснил Крэт.
"Затем мы объединяем эти два общих секрета вместе, так что любой злоумышленник должен взломать как X25519, так и CRYSTALS-Kyber, чтобы вычислить один и тот же общий секрет".
Некоммерческая организация заявила, что новый протокол уже поддерживается последними версиями клиентских приложений и что она планирует отключить X3DH для новых чатов и требовать PQXDH для всех новых чатов "после того, как пройдет достаточно времени, чтобы все, кто использует Signal, обновились".
"PQXDH устанавливает общий секретный ключ между двумя сторонами, которые взаимно аутентифицируют друг друга на основе открытых ключей", - сказал Signal. "PQXDH обеспечивает постквантовую прямую секретность и форму криптографического отрицания, но все еще полагается на сложность проблемы дискретного логирования для взаимной аутентификации в этой версии протокола".
