13.6.18

Переход НПС на российскую криптографию и квантовые атаки

Решил продолжить предпоследнюю заметку и немного приземлить ее на отечественную реальность. Речь пойдет о постквантовой криптографии. В ФБ некоторые коллеги говорят, что Gartner - это не истина последней инстанции и он может ошибаться. На самом деле постквантовой криптографией занимаются многие компании (у Cisco тоже много внутренних проектов ей посвященных) и квантовые вычисления действительно могут быть определенной вехой в развитии не только вычислительной техники и коммуникаций, но и криптографии и всего, что на ней построено (того же блокчейна, криптовалют и т.п.).

Большинство современных средств криптографической защиты с симметричными алгоритмами, в том числе и встроенных в различные популярные продукты, базируются на предположении, что взломать криптографию в лоб очень сложно; при текущем уровне развитии вычислений на это уйдет тысячи лет. С асимметричными алгоритмами ситуация немного иная. Иная ситуация с квантовыми компьютерами, которые ускоряют процесс вычислений и делают многие криптографические системы уязвимыми к квантовым атакам.

Сейчас много говорят про уязвимость криптовалют к квантовым компьютерам. Согласно исследованиям текущая криптография во всех современных блокчейн-схемах будет взломана квантовыми компьютерами к 2027-му году. Это признает тот же Бутерин, который уже писал про квантовые атаки на криптовалюты. Решением проблемы могла бы стать модификация кошельков (хотя это тоже та еще работка). А вот защитить от квантовых атак майнинг гораздо сложнее. Но гораздо более опасны квантовые атаки для обычной криптографии.

Как показывают многочисленные исследования криптоалгоритмы, базирующиеся на сложности факторизации целых чисел (например, RSA) или дискретного логарифмирования (например, Эль-Гамаль или эллиптические кривые), находятся под ударом - они не являются квантовобезопасными, так как не могут адаптироваться к квантовым атакам просто увеличивая длину ключа (Диффи-Хеллман тоже уязвим). Симметричные алгоритмы AES или ГОСТ Р 34.12-2015 считаются квантовобезопасными, так как всего лишь достаточно увеличить длину ключа (считается, что квантовые компьютеры снижают эффективную длину криптографических ключей в два раза - ГОСТ с длиной ключа 256 бит для квантового компьютера - это тоже самое, что и ГОСТ с длиной ключа 128 бит для обычного компьютера).

Тем не менее у квантовобезопасных симметричных алгоритмов остается проблема распределения ключей, которая может быть решена с помощью соответствующих квантовых вычислений. Не случайно 20 июля 2017 года ФСБ утвердила «Временные требования к квантовым криптографическим системам выработки и распределения ключей для средств криптографической защиты информации, не содержащей сведений, составляющих государственную тайну». А что с самими криптографическими алгоритмами? И вот тут мы плавно подходим к тому, ради чего эта заметка писалась.

На заседании ПК1 ТК122 в Банке России 30-го мая прозвучало, что в новую редакцию 382-П, которая уже прошла все согласования и находится на регистрации в Минюсте, внесли требование по использованию в НСПК с 2024 года HSM российского производства, а с 2031 года - переход всей крипты в национально значимых платежных системах на российские алгоритмы. Обратите внимание, речь идет только о национально значимых; то же ПП-127 по категорированию объектов КИИ касается только системно или социально значимых. По данным на 8-е июня к национально значимым платежным системам относились (понятно, что этот список будет меняться):
  • Юнистрим
  • НКК
  • Юнион Кард
  • HandyBank
  • BLIZKO
  • НРД
  • Таможенная карта
  • Мультисервисная платежная система
  • Платежная система ВТБ
  • Платежная система Сбербанк
  • REXPAY
  • БЭСТ
  • CONTACT
  • Sendy.

Понятно, что переход на отечественную криптографию в масштабах упомянутых платежных систем будет происходит неодномоментно и потребует немало ресурсов (временных и финансовых) на протяжении оставшихся 13 лет (а для НСПК 6 лет). И начнут многие финансовые организации уже скоро. И вот тут основной вопрос. А на какую отечественную криптографию переходить? Учитывают ли принятые и введенные в действие ГОСТы по шифрованию, ЭП, хэшу квантовые атаки? Являются ли наши ГОСТы по электронной подписи и хэшу квантовобезопасными? А "симметричные" ГОСТы? Если да, то останутся ли они таковыми к 2031-му году, учитывая существующие прогнозы? Если нет, то каковы сроки внесения изменения в ГОСТы и реализации этих изменений в отечественной криптопродукции? И какова стоимость обновления текущих решений на будущие, квантовобезопасные?


Думаю, что оба регулятора, и Банк России, и 8-й Центр ФСБ, прекрасно все понимают и имеют ответы на поставленные вопросы и они готовы к ответу на них, если таковые будут от финансовых организаций. А они будут, как только 382-П будет зарегистрирован и увидит свет.

2 коммент.:

Oleg комментирует...

Вряд ли на 8 июня в списке мог присутствовать "Лидер". Он уже более двух месяцев как прекратил существование.

Алексей Лукацкий комментирует...

Да, в списке ЦБ все системы значатся, даже те, у кого отозвали лицензии.