Οι επιθέσεις KyberSlash θέτουν σε κίνδυνο τα έργα κβαντικής κρυπτογράφησης

Πολλαπλές υλοποιήσεις του μηχανισμού ενθυλάκωσης κλειδιού Kyber για κβαντικά ασφαλή κρυπτογράφηση, είναι ευάλωτες σε ένα σύνολο ελαττωμάτων που συλλογικά αναφέρονται ως KyberSlash, το οποίο θα μπορούσε να επιτρέψει την ανάκτηση μυστικών κλειδιών.

ΚΡΥΣΤΑΛΛΟΙ-Kyber

είναι η επίσημη εφαρμογή του μηχανισμού ενθυλάκωσης κλειδιού Kyber (KEM) για τον κβαντικό ασφαλή αλγόριθμο (QSA) και μέρος του

ΚΡΥΣΤΑΛΛΑ

(Cryptographic Suite for Algebraic Lattices) σουίτα αλγορίθμων.

Έχει σχεδιαστεί για γενική κρυπτογράφηση και αποτελεί μέρος της επιλογής αλγορίθμων του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας (NIST) που έχουν σχεδιαστεί για να αντέχουν σε επιθέσεις από κβαντικούς υπολογιστές.

Μερικά δημοφιλή έργα που χρησιμοποιούν υλοποιήσεις του Kyber είναι το Mullvad VPN και το

Signal

messenger. Η τελευταία ανακοίνωσε πέρυσι ότι υιοθέτησε το CRYSTALS-Kyber KEM ως πρόσθετο επίπεδο που πρέπει να σπάσουν οι εισβολείς για να υπολογίσουν τα κλειδιά που προστατεύουν τις επικοινωνίες των χρηστών.

Τα ελαττώματα του KyberSlash είναι επιθέσεις που βασίζονται στον χρόνο που προκύπτουν από τον τρόπο με τον οποίο η Kyber εκτελεί ορισμένες λειτουργίες διαίρεσης στη διαδικασία αποκαψουλοποίησης, επιτρέποντας στους εισβολείς να αναλύσουν το χρόνο εκτέλεσης και να αντλήσουν μυστικά που θα μπορούσαν να θέσουν σε κίνδυνο την κρυπτογράφηση.

Εάν μια υπηρεσία που εφαρμόζει το Kyber επιτρέπει πολλαπλά αιτήματα λειτουργίας προς το ίδιο ζεύγος κλειδιών, ένας εισβολέας μπορεί να μετρήσει τις διαφορές χρονισμού και να υπολογίσει σταδιακά το μυστικό κλειδί.

Τα προβληματικά κομμάτια κώδικα που κάνουν το

Ευπάθειες KyberSlash

(KyberSplash1 και KyberSplash2) ανακαλύφθηκαν από τους Goutam Tamvada, Karthikeyan Bhargavan και Franziskus Kiefer – ερευνητές στο

Κρίσπεν

πάροχος εργαλείων

επα

λήθευσης και μαθηματικά αποδεδειγμένου λογισμικού.

Σε μια επίδειξη Kyberslash1 σε ένα σύστημα PI Raspberry, οι ερευνητές ανακτούσαν το μυστικό κλειδί του Kyber από τους χρονικούς χρόνους αποκρυπτογράφησης σε δύο από τις τρεις προσπάθειες.

Σε εξέλιξη προσπάθεια επιδιόρθωσης

Οι αναλυτές της Cryspen ανακάλυψαν την Kyberslash1 αργά τον περασμένο Νοέμβριο και το ανέφεραν στους προγραμματιστές της Kyber, οι οποίοι έσπρωξαν ένα έμπλαστρο για το Kyberslash1 την 1η Δεκεμβρίου

2023

.

Ωστόσο, η επιδιόρθωση δεν επισημάνθηκε ως ζήτημα ασφάλειας και δεν ήταν μέχρι τις 15 Δεκεμβρίου ότι ο Cryspen υιοθέτησε μια πιο δημόσια προσέγγιση και άρχισε να ενημερώνει τα έργα που έπρεπε να αναβαθμίσουν τις υλοποιήσεις του Kyber.

Στις 30 Δεκεμβρίου, το KyberSlash2 διορθώθηκε μετά την ανακάλυψή του και την υπεύθυνη αναφορά του από

Prasanna Ravi και Matthias Kannwischer

.

Από τις 2 Ιανουαρίου 2024, το

κατάλογο των έργων

παρακάτω αναγνωρίστηκαν ότι επηρεάστηκαν από το πρόβλημα και είχαν την ακόλουθη κατάσταση επιδιόρθωσης:

• pq-crystals/kyber/ref – πλήρως επιδιορθωμένο
• symbolicsoft/kyber-k2so – πλήρως επιδιορθωμένο
• aws/aws-lc/crypto/kyber, κύριο υποκατάστημα – πλήρως διορθωμένο
• zig/lib/std/crypto/kyber_d00.zig – πλήρως επιδιορθωμένο
• liboqs/src/kem/kyber – διορθώθηκε μόνο για KyberSlash1
• υποκατάστημα aws/aws-lc/crypto/kyber, fips-2022-11-02 – διορθώθηκε μόνο για το KyberSlash1
• randombit/botan – διορθώθηκε μόνο για KyberSlash1
• mupq/pqm4/crypto_kem/kyber – διορθώθηκε μόνο για KyberSlash1
• 
  antontutoveanu/crystals-kyber-javascript – χωρίς επιδιόρθωση
  
• 
  Argyle-Software/kyber – μη επιδιορθωμένο
  
• 
  debian/src/liboqs/unstable/src/kem/kyber – unpatched
  
• 
  kudelskisecurity/crystals-go – δεν υπάρχει ακόμα
  
  ενημέρωση
  
  κώδικα
  
• 
  PQClean/PQClean/crypto_kem/kyber/aarch64 – χωρίς επιδιόρθωση
  
• 
  PQClean/PQClean/crypto_kem/kyber/clean – χωρίς επιδιόρθωση
  
• 
  rustpq/pqcrypto/pqcrypto-kyber (χρησιμοποιείται στο Signal) – χωρίς επιδιόρθωση
  

Επίσης, οι ακόλουθες βιβλιοθήκες επισημαίνονται ως μη επηρεασμένες επειδή δεν έχουν τμήματα με μυστικές εισόδους:

• boringssl/crypto/kyber
• filippo.io/mlkem768
• formosa-crypto/libjade/tree/main/src/crypto_kem/kyber/common/amd64/avx2
• formosa-crypto/libjade/tree/main/src/crypto_kem/kyber/common/amd64/ref
• pq-crystals/kyber/avx2
• pqclean/crypto_kem/kyber/avx2

Το χειρότερο σενάριο είναι η διαρροή του μυστικού κλειδιού, αλλά αυτό δεν σημαίνει ότι όλα τα έργα που χρησιμοποιούν το Kyber είναι ευάλωτα σε

διαρροές

κλειδιών.

Οι επιπτώσεις του Kyberslash εξαρτώνται από την υλοποίηση του Kyber και μπορεί να ποικίλουν ανάλογα με τις περιπτώσεις πρακτικής χρήσης και τα πρόσθετα μέτρα ασφαλείας.

Για παράδειγμα,

λέει ο Mullvad

Το Kyberslash δεν επηρεάζει το προϊόν VPN, επειδή χρησιμοποιεί μοναδικά ζεύγη κλειδιών για κάθε νέα σύνδεση σήραγγας, καθιστώντας αδύνατο να εκτελέσετε μια σειρά επιθέσεων χρονισμού κατά του ίδιου ζεύγους.

Ο BleepingComputer έχει έρθει σε επαφή με το Signal για να μάθει για την πραγματική επίδραση του Kyberslash στην κρυπτογράφηση και τις επικοινωνίες των χρηστών, καθώς και τα σχέδια αποκατάστασης του έργου, αλλά ένα σχόλιο δεν ήταν άμεσα διαθέσιμο.