Quando você visita um site e o URL começa com HTTPS, você está contando com um protocolo criptográfico de chave pública seguro para proteger as informações que você compartilha com o site de bisbilhoteiros casuais. A criptografia de chave pública sustenta a maioria dos protocolos de comunicação seguros, incluindo aqueles que usamos internamente no Google como parte de nossa missão de proteger nossos ativos e os dados de nossos usuários contra ameaças. Nosso próprio protocolo interno de criptografia em trânsito, Application Layer Transport Security (ALTS), usa algoritmos de criptografia de chave pública para garantir que os componentes da infraestrutura interna do Google se comuniquem com a garantia de que a comunicação é autenticada e criptografada.
Algoritmos de criptografia de chave pública amplamente implantados e controlados (como RSA e criptografia de curva elíptica ) são eficientes e seguros contra os adversários de hoje. No entanto, como o Google Cloud CISO Phil Venables escreveu em julho , esperamos que os computadores quânticos de grande escala quebrem completamente esses algoritmos no futuro. A comunidade criptográfica já desenvolveu várias alternativas para esses algoritmos, comumente referidos como criptografia pós-quântica (PQC), que esperamos que sejam capazes de resistir a ataques quânticos direcionados a computadores. Temos o prazer de anunciar que o Google Cloud já habilitou um dos algoritmos em nosso protocolo ALTS interno hoje.
O modelo de ameaça PQC
Embora os computadores quânticos atuais não tenham a capacidade de quebrar esquemas de criptografia amplamente usados como o RSA na prática, ainda precisamos começar a planejar nossa defesa por dois motivos:
- Um invasor pode armazenar dados criptografados hoje e descriptografá-los quando obtiver acesso a um computador quântico (também conhecido como ataque armazenar agora descriptografar mais tarde).
- A vida útil do produto pode coincidir com a chegada dos computadores quânticos e será difícil atualizar os sistemas.
A primeira ameaça se aplica à criptografia em trânsito, que usa acordos de chaves assimétricas quânticas vulneráveis. A segunda ameaça se aplica a dispositivos de hardware com longa vida útil — por exemplo, certos aplicativos de inicialização segura que dependem de assinaturas digitais. Nós nos concentramos na criptografia em trânsito nesta postagem do blog, já que o tráfego ALTS é frequentemente exposto à Internet pública e discutiremos as implicações para inicialização segura em nossa próxima postagem no blog.
Por que escolhemos o NTRU-HRSS internamente
Com os padrões PQC do Instituto Nacional de Padrões e Tecnologia (NIST) ainda pendentes, a implementação da criptografia resistente a quantum atualmente só pode acontecer de forma efêmera, onde os dados trocados são usados uma vez e nunca mais são necessários. O protocolo interno de criptografia em trânsito do Google, ALTS, é um candidato ideal para esse lançamento, pois controlamos todos os endpoints usando esse protocolo e podemos alternar para um algoritmo diferente com relativa facilidade se o NIST adotar padrões diferentes. O controle de todos os endpoints pode nos dar a confiança necessária para derrotar ataques do tipo armazenar agora, descriptografar e depois, sem nos preocuparmos em manter uma solução fora do padrão.
A implantação de nova criptografia é arriscada porque não foi testada em campo. De fato, vários dos candidatos do processo NIST sofreram ataques devastadores que nem sequer exigiram um computador quântico. Evitamos um cenário em que nossa tentativa de proteger nossa infraestrutura contra uma arquitetura de computação teórica a torna indefesa contra um laptop recuperando chaves privadas durante um fim de semana adicionando o algoritmo pós-quântico como uma camada adicional. Essa tática ajuda a garantir que as propriedades de segurança de nossa criptografia verificada e testada atualmente implantada ainda estejam em vigor.
Observe que ainda não precisamos abordar algoritmos de assinatura. Um adversário que forjar uma assinatura no futuro não afetará as sessões passadas do protocolo. Por enquanto, precisamos apenas abordar os ataques “armazenar agora, descriptografar depois”, pois eles podem afetar nossos dados hoje. Como as ameaças do algoritmo de assinatura não são imediatas, conseguimos simplificar o processo de verificação de duas maneiras:
- Só tivemos que adicionar o PQC para as principais partes do acordo do protocolo.
- Permitiu-nos apenas alterar as peças que dependem de chaves efêmeras. Para autenticidade, ainda dependemos da criptografia clássica, que provavelmente só será afetada quando existir um computador quântico de grande escala.
Entre as escolhas resistentes a quantum mais promissoras, o NIST favoreceu algoritmos baseados em treliça, com o NIST anunciando recentemente a seleção de Kyber para se tornar o primeiro mecanismo de encapsulamento de chave de criptografia pós-quântica (KEM) aprovado pelo NIST. Kyber tem alto desempenho (tem um custo de latência mais equilibrado ao considerar operações do que contrapartes alternativas baseadas em rede), mas ainda carece de algum esclarecimento do NIST sobre seu status de propriedade intelectual (consulte o relatório de status da terceira rodada do NIST ).
Do mesmo reino dos KEMs baseados em treliça, existe o algoritmo NTRU-HRSS KEM. Este é um descendente direto do conhecido esquema NTRU proposto em 1996 e é considerado por muitos especialistas como uma das escolhas mais conservadoras entre os esquemas estruturados e eficientes baseados em treliça. Devido ao seu alto desempenho e maturidade, selecionamos este esquema para proteger nossos canais de comunicação interna usando o protocolo ALTS.
A migração de criptografia pós-quântica traz desafios únicos em escala, escopo e complexidade técnica que não foram tentados antes na indústria e, portanto, requerem cuidados adicionais. É por isso que estamos implantando o NTRU-HRSS no ALTS usando a abordagem híbrida. Por híbrido, queremos dizer combinar dois esquemas em um único mecanismo de tal forma que um adversário interessado em quebrar o mecanismo precise quebrar ambos os esquemas subjacentes. Nossa escolha para esta configuração foi: NTRU-HRSS e X25519 do Google Chrome 2018 , correspondendo assim à escolha perspicaz de nosso experimento CECPQ2 e nos permitindo reutilizar a implementação CECPQ2 do BoringSSL .
Proteger o ALTS contra adversários com capacidade quântica é um grande passo à frente na missão do Google de proteger nossos ativos e dados de usuários contra ameaças atuais e futuras. Continuamos a participar ativamente dos esforços de padronização da criptografia pós-quântica: os Googlers são coautores de um dos esquemas de assinatura selecionados para padronização ( SPHINCS+ ) e duas propostas atualmente consideradas pelo NIST na quarta rodada de sua competição PQC KEM ( BIKE e Classic McEliece ). Podemos reavaliar nossas escolhas algorítmicas quando o status IP de Kyber for esclarecido e quando esses padrões selecionados da quarta rodada forem publicados.
13 thoughts on “Protegendo o amanhã hoje: por que o Google agora protege suas comunicações internas contra ameaças quânticas”
Comments are closed.