По мнению аналитиков, человечество стоит в шаге от того, чтобы закрыть все дыры в программном обеспечении. Всё дело в том, что современное ПО слишком сложное, а значит найти все бреши человеку просто не под силу. Каждый раз, когда разработчики выпускают новый патч, хакеры обнаруживают там хорошие возможности для реализации обходных путей. Предполагается, что на помощь людям уже спешит искусственный интеллект. Умные алгоритмы окажутся способны переписать код, исправив все ошибки, допущенные человеком. Когда всё это случится, пока неясно, но есть целая армия аналитиков, которые настроены весьма оптимистично. Всё дело в том, что мы стоим на пороге квантовой эры. Это системы, которые окажутся чрезвычайно надёжными, а защиту обеспечат законы физики. Давайте ну будем вдаваться в подробности того, как происходит передача информации по квантовому каналу. Суть сводится к тому, что как только появляется наблюдатель, сигнал тут же искажается, а получатель узнает о вмешательстве в ту же секунду.
Похоже, не всё так просто, как предполагалось, ведь группа исследователей из компании Cryspen обнаружила серию уязвимостей в механизме инкапсуляции ключей (KEM) для шифрования Kyber. Считается, что это может привести теоретическому извлечению ключей, а все найденные уязвимости уже были объединены под наименованием KyberSlash. Эксперты приходят к выводу, что при использовании алгоритма создаётся угроза безопасности данных, а это кране опасная информация. Напомним, механизмы инкапсуляции ключей предназначены для защиты симметричного криптографического ключа при его передаче с использованием асимметричного (открытого) ключа. Kyber является частью Cryptographic Suite for Algebraic Lattices и ранее был одобрен специалистами американского Национального института стандартов и технологий (NIST). Эксперты доказали, что Kyber осуществляет операции деления при декапсуляции ключей таким образом, что разница во времени исполнения операций может быть проанализирована злоумышленниками. Это позволяет постепенно вычислить секретный ключ шифрования при множественных запросах на операции к одной и той же паре ключей.
Разработчики Cryspen уведомили создателей Kyber о выявленных уязвимостях ещё в ноябре 2023 года, тогда как патч к первой уязвимости был выпущен 1 декабря. Проблема в том, что данное исправление не получило нужно пометки в виде критически важного статуса, а в результате многие проекты, использующие технологии Kyber, не стали ничего загружать. Эти компании остаются под угрозой взлома, хотя уверены в полной безопасности передаваемых данных. Известно, что с начала декабря эксперты Cryspen активно направляли уведомления разработчикам о необходимости исправлений. Ну а пока разработчики раздумывали, несколько дней назад была найдена ещё одна уязвимость в алгоритме, которая не менее опасна, чем первая. В настоящее время доступны патчи для проектов, задействующих алгоритмы Kyber, а всем пользователям рекомендуется как можно скорее обновиться, хотя 100% безопасности мера и не несёт.
Некоторые эксперты утверждают, что даже в случае, если уязвимость и существует, она не несёт реальной опасности, поскольку для каждого туннеля применяется уникальная пара ключей. Это обеспечивает дополнительный уровень защиты, но другие аналитики с такой постановкой вопроса не согласны. Утверждается, что наиболее безопасным способом решить данную проблему считается генерация уникальных ключей для каждого потока данных. Этот метод делает невозможным анализ времени выполнения операций и существенно затрудняет проведение подобных атак. Проблема в том, что данный подход требует дополнительных вычислительных ресурсов и может быть затратным в реализации. Таким образом экономия ресурсов вступает в противоречие с необходимостью обеспечить безопасность системы. Пока мнения аналитиков разделились, но тот факт, что взлом квантового шифрования возможен, вызывает массу вопросов. Не исключено, что счастливое будущее с квантовым шифрованием так и останется красивой сказкой.
