Hacker News Digest

Alfred Menezes, автор известного "Руководства прикладной криптографии", запустил образовательную платформу Cryptography 101 с курсами по всем областям прикладной криптографии. Платформа включает семь специализированных курсов: решеточная криптография, алгоритмы Kyber и Dilithium, редукция решеточных баз, схемы подписей на основе хеш-функций, фундаментальные криптографические примитивы и их практическое применение, а также коды исправления ошибок. Курсы сочетают видеолекции, конспекты и упражнения, причем некоторые уже доступны, а другие запланированы на 2024-2025 годы.

Особое внимание уделяется постквантовой криптографии: курс по Kyber и Dilithium (стандартам NIST) уже доступен, а запланирован курс по редукции решеточных баз на основе алгоритма LLL. Для преподавателей подготовлены отдельные ресурсы. Платформа дополняется исследовательскими материалами, публикациями и профессиональной деятельностью Менезеса, что делает ее комплексным ресурсом как для начинающих, так и для опытных специалистов в области криптографии.

• Современные криптографические библиотеки (libsodium, Tink) берут на себя выбор алгоритма, оставляя разработчику только выбор уровня безопасности и удобства использования.
• Для большинства задач достаточно использовать готовые решения, но для специфических задач нужно изучать документацию и выбирать алгоритм вручную.
• Надёжные источники информации включают "Handbook of Applied Cryptography" и "Cryptographic Right Answers".
• Для подписи и аутентификации используйте Ed25519, для шифрования — XChaCha20-Poly1305.
• Не пытайтесь реализовывать криптографию самостоятельно, используйте готовые библиотеки.

Cloudflare представляет сертификаты на основе деревьев Меркле для решения проблемы постквантовой криптографии. Квантовые компьютеры угрожают безопасности интернета, и уже около 50% трафика на сети Cloudflare защищено от угрозы "собери сейчас, расшифруй позже". Однако постквантовые алгоритмы для аутентификации в TLS имеют размеры в 20 раз больше традиционных: подписи ML-DSA-44 составляют 2,420 байт против 64 байт у ECDSA-P256, а открытые ключи - 1,312 байт против 64 байт. Это создает значительные накладные расходы на производительность TLS-рукопожатий.

Новые сертификаты Merkle Tree позволяют развертывать постквантовую криптографию сегодня без потери производительности. Решение, разработанное совместно с партнерами в IETF, не только устраняет проблему больших размеров ключей, но и может даже улучшить производительность. Это критически важно для безопасной миграции интернета на постквантовые стандарты до появления криптографически значимых квантовых компьютеров, так как переходы всегда занимают больше времени, чем ожидалось.

• Обсуждение в основном вращается вокруг трёх тем: пост-квантовая криптография, приватность и уязвимость квантовых компьютеров, и эволюция стандартов сертификатов.
• Участники обсуждают, какие именно алгоритмы подписи будут использоваться в будущем, и какие из них будут совместимы с пост-квантовыми сертификатами.
• Также обсуждается, какие именно сертификаты будут использоваться в будущем, и как они будут взаимодействовать с пост-квантовыми алгоритмами.
• Обсуждается, какие именно изменения в стандартах сертификатов будут необходимы для обеспечения безопасности в эпоху пост-квантовых компьютеров.
• Участники также обсуждают, какие именно изменения в стандартах сертификатов будут необходимы для обеспечения безопасности в эпоху пост-квантовых компьютеров.

Автор поднимает тревожный вопрос о возможности намеренного ослабления криптографических стандартов через процесс стандартизации в IETF. Он предполагает, что атакующие, включая государственные структуры вроде АНБ, могут лоббировать принятие уязвимых алгоритмов, маскируя это под законную стандартизацию. Это создаёт риски для безопасности данных, особенно в контексте постквантовой криптографии и гибридных схем.

В статье отмечается, что подобная практика может нарушать антимонопольное законодательство, если доминирующие игроки навязывают небезопасные решения. Автор призывает к повышенной бдительности и независимому аудиту предлагаемых стандартов, чтобы избежать повторения ошибок прошлого, таких как скандалы с Dual_EC_DRBG.

• DJB и другие критикуют предложение NSA отказаться от гибридного постквантового шифрования в пользу только PQ, видя в этом попытку ослабить стандарты безопасности.
• Участники выражают глубокое недоверие к NSA, ссылаясь на прошлые случаи ослабления стандартов (Dual EC, DES) и грязные методы агентства.
• Поднимаются вопросы о реальных целях NSA, поскольку технически подкованные цели и так используют гибриды, а за остальными можно следить через PRISM.
• Отмечается, что формальная жалоба DJB в IETF была отклонена, а процесс стандартизации подвергся критике за грубость и возможную ангажированность.
• Обсуждается, что даже частичное внедрение ослабленного стандарта выгодно разведке, так как увеличивает вероятность перехвата данных со временем.

Signal внедряет новый механизм безопасности SPQR для защиты от квантовых атак, сохраняя при этом все текущие гарантии — прямую секретность и безопасность после компрометации. Это дополнение к существующему протоколу Double Ratchet, создавая так называемый Triple Ratchet, который смешивает квантово-устойчивые алгоритмы с классическими. Для пользователей это изменение прозрачно: все чаты автоматически перейдут на обновлённый протокол без необходимости каких-либо действий с их стороны.

Ключевая идея в том, что SPQR защищает не только начальные ключи сессии (как ранее представленный PQXDH), но и непрерывно обновляемые ключи во время общения. Это предотвращает атаки «собрать сейчас — расшифровать позже», даже если в будущем появятся мощные квантовые компьютеры. Таким образом, Signal проактивно готовится к эпохе квантовых вычислений, обеспечивая долгосрочную конфиденциальность переписок.

• Критика зависимости Signal от номеров телефонов для идентификации и рисков, связанных с авторитарными режимами или взломом.
• Обсуждение приоритетов разработки: нехватка SDK, API и ботов при наличии экспериментальных функций, таких как истории и переводы денег.
• Вопросы о практической пользе и безопасности нового постквантового протокола (SPQR) и сравнении его с аналогами (iMessage PQ3, Cyph, Simplex).
• Дебаты о необходимости открытости платформы для сторонних разработчиков и самохоста против рисков для безопасности и спама.
• Обсуждение технических деталей и последствий новой системы шифрования, включая уязвимость истории сообщений и проблемы с реализацией.

Почему квантовые компьютеры всё ещё не разложили 21 на множители?

В 2001 году удалось разложить 15, но к 2025-му 21 остаётся «недоступным». Это не из-за отсутствия прогресса, а из-за взрывного роста сложности схемы.

• Схема для 15 требует всего 21 запутывающий двух-кубитный гейт (6 CNOT/CPHASE + 2 Toffoli, каждый из которых эквивалентен 6 CNOT).
• Схема для 21 содержит 191 CNOT и 369 Toffoli, то есть ≈ 2405 запутывающих гейтов — в 115 раз больше.

Три причины такой разницы:

1. Большинство констант при 15 равны 1, поэтому умножения «пропускаются».
2. Первое умножение почти бесплатно, так как аккумулятор известен.
3. Оставшееся умножение на 4 по модулю 15 сводится к двум CSWAP.

Для 21 все восемь умножений нужны, и каждое требует полноценного модульного умножения. Даже после агрессивной оптимизации схема остаётся на два порядка дороже.

• Квантовые компьютеры пока не факторизуют даже 21 без «подсказок»; эксперименты с 15 обошлись лишь потому, что задача свелась к сдвигам.
• Для RSA-2048 оценивается ≈ 7 млрд Toffoli-гейтов и миллионы логических кубитов с коррекцией ошибок; RSA-1024 всё ещё вне досягаемости.
• Реальные препятствия — экспоненциальный рост шума и количества физических кубитов, а не просто масштабирование схемы.
• Основной практический путь — квантовая химия и симуляция, а не взлом криптографии; «пост-квантовые» алгоритмы уже снижают мотивацию строить «крипто-разрушители».
• Общий вывод: полезные квантовые вычисления в XXI веке возможны, но факторизация крупных RSA-ключей остаётся гипотетической.

OpenSSH с 9.0 (2022) включает постквантовые алгоритмы согласования ключей:

• sntrup761x25519-sha512
• mlkem768x25519-sha256 (по умолчанию с 10.0)

В 10.1 появится предупреждение при использовании «квантово-уязвимых» схем; отключить его можно опцией WarnWeakCrypto.

Почему это важно

Квантовый компьютер способен решать задачи, недоступные классическим, и сломать современные алгоритмы Диффи–Хеллмана и ЭЦП. Ожидаемый срок появления — середина 2030-х. Атака «собери сейчас — расшифруй потом» позволяет сохранять трафик и расшифровывать его позже.

Что делать, если вы видите предупреждение

1. Обновите сервер до OpenSSH ≥ 9.0 (или другой реализации с поддержкой mlkem768x25519-sha256/sntrup761x25519-sha512).
2. Проверьте, что KexAlgorithms не запрещает новые алгоритмы.
3. Если обновить нельзя, временно отключите предупреждение:

   Match host unsafe.example.com
       WarnWeakCrypto no
   

Подписи

RSA/ECDSA тоже уязвимы, но «store-now-decrypt-later» для подписей невозможен; достаточно заменить ключи до появления квантовых компьютеров. Поддержка постквантовых подписей появится позже.

Надёжность новых алгоритмов

• Используются гибридные схемы: постквантовый + классический алгоритм.
• Выбраны с большим запасом прочности; даже при обнаружении слабостей останутся пригодными.

• OpenSSH уже реализует гибридные KEX-алгоритмы (mlkem768×25519 и sntrup761×25519), которые сочетают пост-квантовую и классическую криптографию.
• Главная причина спешки — «store-now-decrypt-later»: трафик, перехваченный сегодня, могут расшифровать через 10–20 лет.
• Размеры ключей PQ-алгоритмов действительно больше, но для редкого обмена ключами это приемлемо; подписи пока не меняют.
• FIPS-совместимость возможна, если весь криптомодуль сертифицирован; гибридные KEM NIST одобряет.
• На macOS Secure Enclave пока не умеет PQ, но скоро может поддержать ML-KEM, что откроет путь для Secretive.