Estandarización de la criptografía poscuántica del NIST

Proyecto del NIST para estandarizar la criptografía poscuántica

La estandarización de criptografía poscuántica ^[1] es un programa y una competencia del NIST para actualizar sus estándares para incluir la criptografía poscuántica . ^[2] Se anunció en PQCrypto 2016. ^[3] Se presentaron 23 esquemas de firma y 59 esquemas de cifrado/ KEM antes de la fecha límite de presentación inicial a fines de 2017 ^[4] de los cuales 69 en total se consideraron completos y adecuados y participaron en el primera ronda. Siete de ellos, de los cuales 3 son esquemas de firma, han avanzado a la tercera ronda, anunciada el 22 de julio de 2020.

Fondo

La investigación académica sobre el impacto potencial de la computación cuántica se remonta al menos a 2001. ^[5] Un informe publicado por el NIST en abril de 2016 cita a expertos que reconocen la posibilidad de que la tecnología cuántica haga que el algoritmo RSA comúnmente utilizado sea inseguro para 2030. ^[6] Como Como resultado, se buscó la necesidad de estandarizar las primitivas criptográficas cuánticas seguras . Dado que la mayoría de las primitivas simétricas son relativamente fáciles de modificar de una manera que las haga resistentes a los cuánticos, los esfuerzos se han centrado en la criptografía de clave pública, es decir, firmas digitales y mecanismos de encapsulación de claves . En diciembre de 2016, el NIST inició un proceso de estandarización al anunciar una convocatoria de propuestas. ^[7]

La competencia se encuentra ahora en su tercera ronda de las cuatro previstas, donde en cada ronda algunos algoritmos se descartan y otros se estudian más de cerca. El NIST espera publicar los documentos de estandarización para 2024, pero puede acelerar el proceso si se logran avances importantes en la computación cuántica .

Actualmente no está decidido si los estándares futuros se publicarán como FIPS o como Publicación Especial (SP) del NIST.

Ronda uno

Se consideraron: ^[8]
( tachado significa que había sido retirado)

Ataques publicados en las presentaciones de la primera ronda

• Adivina otra vez de Lorenz Panny ^[16]
• RVB de Lorenz Panny ^[17]
• RaCoSS de Daniel J. Bernstein , Andreas Hülsing, Tanja Lange y Lorenz Panny ^[18]
• HK17 de Daniel J. Bernstein y Tanja Lange ^[19]
• SRTPI por Bo-Yin Yang ^[20]
• NogalDSA
  • por Ward Beullens y Simon R. Blackburn ^[21]
  • por Matvei Kotov, Anton Menshov y Alexander Ushakov ^[22]
• DRS de Yang Yu y Léo Ducas ^[23]
• DAGS de Elise Barelli y Alain Couvreur ^[24]
• Edon-K de Matthieu Lequesne y Jean-Pierre Tillich ^[25]
• RLCE de Alain Couvreur, Matthieu Lequesne y Jean-Pierre Tillich ^[26]
• Hila5 de Daniel J. Bernstein, Leon Groot Bruinderink, Tanja Lange y Lorenz Panny ^[27]
• Giophantus de Ward Beullens, Wouter Castryck y Frederik Vercauteren ^[28]
• RankSign de Thomas Debris-Alazard y Jean-Pierre Tillich ^[29]
• McNie, de Philippe Gaborit; ^[30] Terry Shue Chien Lau y Chik How Tan ^[31]

Segundo round

Los candidatos que pasaron a la segunda vuelta fueron anunciados el 30 de enero de 2019. Son: ^[32]

Tercera ronda

El 22 de julio de 2020, NIST anunció siete finalistas ("primera pista"), así como ocho algoritmos alternativos ("segunda pista"). La primera pista contiene los algoritmos que parecen más prometedores y se considerarán para su estandarización al final de la tercera ronda. Los algoritmos de la segunda vía aún podrían convertirse en parte del estándar, una vez finalizada la tercera ronda. ^[52] El NIST espera que algunos de los candidatos suplentes sean considerados en una cuarta ronda. El NIST también sugiere que podría reabrir la categoría de firmas para propuestas de nuevos esquemas en el futuro. ^[53]

Del 7 al 9 de junio de 2021, el NIST llevó a cabo virtualmente la tercera conferencia de estandarización de PQC. ^[54] La conferencia incluyó actualizaciones y debates de los candidatos sobre implementaciones, actuaciones y cuestiones de seguridad de los candidatos. Se dedicó una pequeña cantidad de atención a cuestiones de propiedad intelectual.

Finalistas

Candidatos alternos

Preocupaciones por la propiedad intelectual

Después del anuncio del NIST sobre los finalistas y los candidatos suplentes, se expresaron varias preocupaciones sobre la propiedad intelectual, en particular en torno a los esquemas basados ​​en celosías como Kyber y NewHope . El NIST posee declaraciones firmadas de los grupos que las presentan aclarando cualquier reclamo legal, pero todavía existe la preocupación de que terceros puedan presentar reclamos. El NIST afirma que tendrán en cuenta estas consideraciones al elegir los algoritmos ganadores. ^[55]

Ataques publicados en las presentaciones de la tercera ronda

• Rainbow: de Ward Beullens en una computadora clásica ^[56]

Adaptaciones

Durante esta ronda, algunos candidatos han demostrado ser vulnerables a algunos vectores de ataque. Obliga a estos candidatos a adaptarse en consecuencia:

CRYSTAL-Kyber y SABRE

puede cambiar los hashes anidados utilizados en sus propuestas para que se mantengan sus reclamos de seguridad. ^[57]

HALCÓN

ataque de canal lateral por . Se puede añadir una máscara para resistir el ataque. Esta adaptación afecta el rendimiento y debe considerarse al realizar la estandarización. ^[58]

Algoritmos seleccionados 2022

El 5 de julio de 2022, NIST anunció el primer grupo de ganadores de su competencia de seis años. ^{[59] [60]}

cuarta ronda

El 5 de julio de 2022, NIST anunció cuatro candidatos para la Ronda 4 de estandarización de PQC. ^[61]

Ataques publicados en las presentaciones de la cuarta ronda

• SIKE: de Wouter Castryck y Thomas Decru en un ordenador clásico ^[63]

Primera ronda de esquemas de firma digital adicionales

El NIST recibió 50 presentaciones y consideró que 40 estaban completas y adecuadas de acuerdo con los requisitos de presentación. ^[64] Se están considerando: ^[65]
( tachado significa que ha sido retirado)

Ataques publicados de envíos de firmas adicionales de la primera ronda

• 3WISE de Daniel Smith-Tone ^[82]
• EagleSign de Mehdi Tibouchi ^[96]
• KAZ-SIGN de ​​Daniel J. Bernstein; ^[97] Scott Führer ^[98]
• Xifrat1-Sign.I de Lorenz Panny ^[99]
• eMLE-Sig 2.0 por Mehdi Tibouchi ^[100]
• HPPC de Ward Beullens ^[101] ; Pierre Briaud, Maxime Bros y Ray Perlner ^[102]
• ALTEQ por Markku-Juhani O. Saarinen ^[103] (¿solo implementación?)
• Galleta de Charles Bouillaguet ^[104]
• MEDS por Markku-Juhani O. Saarinen y Ward Beullens ^[105] (solo implementación)
• FuLeeca de Felicitas Hörmann y Wessel van Woerden ^[106]
• LESS por el equipo LESS (solo implementación) ^[107]
• DME-Sign de Markku-Juhani O. Saarinen ^[108] (¿solo implementación?); Pierre Briaud, Maxime Bros, Ray Perlner y Daniel Smith-Tone ^[109]
• EHTv3 de Eamonn Postlethwaite y Wessel van Woerden; ^[110] Keegan Ryan y Adam Suhl ^[111]
• pqsigRM mejorado por Thomas Debris-Alazard, Pierre Loisel y Valentin Vasseur; ^[112] Pierre Briaud, Maxime Bros, Ray Perlner y Daniel Smith-Tone ^[113]
• HAETAE por Markku-Juhani O. Saarinen ^[114] (¿solo implementación?)
• HuFu de Markku-Juhani O. Saarinen ^[115]
• SDitH de Kevin Carrier y Jean-Pierre Tillich; ^[116] Kevin Carrier, Valérian Hatey y Jean-Pierre Tillich ^[117]
• VOX de Hiroki Furue y Yasuhiko Ikematsu ^[118]
• AIMer de Fukang Liu, Mohammad Mahzoun, Morten Øygarden, Willi Meier ^[119]
• SNOVA de Yasuhiko Ikematsu y Rika Akiyama ^[120]
• PROV de Ludovic Perret y River Moreira Ferreira ^[121] (solo implementación)

Ver también

• Proceso del estándar de cifrado avanzado
• Concurso CAESAR – Concurso para diseñar esquemas de cifrado autenticados
• Criptografía basada en celosía
• Competencia de función hash del NIST

Referencias

1. "PQC de criptografía poscuántica". 3 de enero de 2017.
2. "Estandarización de la criptografía poscuántica - Criptografía poscuántica". Csrc.nist.gov . 3 de enero de 2017 . Consultado el 31 de enero de 2019 .
3. Moody, Dustin (24 de noviembre de 2020). "El futuro es ahora: difundir la criptografía poscuántica". NIST .
4. "Presentación final recibida". Archivado desde el original el 29 de diciembre de 2017 . Consultado el 29 de diciembre de 2017 .
5. Hong, Zhu (2001). "Estudio de los supuestos computacionales utilizados en criptografía rotos o no por el algoritmo de Shor" (PDF) .
6. "NIST publicó NISTIR 8105, Informe sobre criptografía poscuántica". 21 de diciembre de 2016 . Consultado el 5 de noviembre de 2019 .
7. "NIST pide al público que ayude a preparar la información electrónica para el futuro". NIST . 20 de diciembre de 2016 . Consultado el 5 de noviembre de 2019 .
8. División de Seguridad Informática, Laboratorio de Tecnología de la Información (3 de enero de 2017). "Presentación de la ronda 1 - Criptografía poscuántica - CSRC". Csrc.nist.gov . Consultado el 31 de enero de 2019 .
9. "Envío de criptografía posterior al NIST". Archivado desde el original el 29 de diciembre de 2017 . Consultado el 29 de diciembre de 2017 .
10. "Grupos de Google". Grupos.google.com . Consultado el 31 de enero de 2019 .
11. Equipo qTESLA. "Esquema de firma basado en celosía seguro, eficiente y poscuántico". qTESLA.org . Archivado desde el original el 9 de diciembre de 2023 . Consultado el 4 de marzo de 2024 .
12. "qTESLA". Investigación de Microsoft . Archivado desde el original el 31 de diciembre de 2022 . Consultado el 4 de marzo de 2024 .
13. "ROLLO". Pqc-rollo.org . Consultado el 31 de enero de 2019 .
14. RSA utiliza 2 ³¹ números primos de 4096 bits para un tamaño de clave total de 1 TiB. "La llave casi cabe en un disco duro" Bernstein, Daniel (28 de mayo de 2010). "McBits y RSA poscuántico" (PDF) . Consultado el 10 de diciembre de 2019 .
15. Bernstein, Daniel ; Heninger, Nadia (19 de abril de 2017). "RSA post-cuántica" (PDF) . Consultado el 10 de diciembre de 2019 .
16. "Queridos todos, el siguiente script de Python recupera rápidamente el mensaje de un texto cifrado" Guess Again " determinado sin conocer la clave privada" (PDF) . Csrc.nist.gov . Consultado el 30 de enero de 2019 .
17. Panny, Lorenz (25 de diciembre de 2017). "Ataque de recuperación rápida de clave contra el envío" RVB "a #NISTPQC: t.... Calcula privado a partir de clave pública". Gorjeo . Consultado el 31 de enero de 2019 .
18. "Comentarios sobre RaCoSS". Archivado desde el original el 26 de diciembre de 2017 . Consultado el 4 de enero de 2018 .
19. "Comentarios sobre HK17". Archivado desde el original el 5 de enero de 2018 . Consultado el 4 de enero de 2018 .
20. "Estimados todos, hemos roto SRTPI según CPA y TPSig según KMA" (PDF) . Csrc.nist.gov . Consultado el 30 de enero de 2019 .
21. Beullens, barrio; Blackburn, Simon R. (2018). "Ataques prácticos contra el esquema de firma digital Walnut". Archivo ePrint de criptología .
22. Kotov, Matvei; Menshov, Antón; Ushakov, Alejandro (2018). "Un ataque al algoritmo de firma digital de nuez". Archivo ePrint de criptología .
23. Yu, Yang; Ducas, Leo (2018). "El aprendizaje ataca de nuevo: el caso del esquema de firma DRS". Archivo ePrint de criptología .
24. Barelli, Elise; Couvreur, Alain (2018). "Un ataque estructural eficiente a los DAGS de envío del NIST". arXiv : 1805.05429 [cs.CR].
25. Lequesne, Matthieu; Tillich, Jean-Pierre (2018). "Ataque al mecanismo de encapsulación de claves de Edon-K". arXiv : 1802.06157 [cs.CR].
26. Couvreur, Alain; Lequesne, Matthieu; Tillich, Jean-Pierre (2018). "Recuperación de claves secretas cortas de RLCE en tiempo polinómico". arXiv : 1805.11489 [cs.CR].
27. Bernstein, Daniel J.; Groot Bruinderink, León; Lange, Tanja; Lange, Lorenz (2017). "Hila5 Pindakaas: sobre la seguridad CCA del cifrado basado en celosía con corrección de errores". Archivo ePrint de criptología .
28. "Comentarios oficiales" (PDF) . Csrc.nist.gov . 13 de septiembre de 2018.
29. Escombros-Alazard, Thomas; Tillich, Jean-Pierre (2018). "Dos ataques a esquemas basados ​​en códigos de métricas de clasificación: RankSign y un esquema de cifrado basado en identidad". arXiv : 1804.02556 [cs.CR].
30. "Me temo que los parámetros de esta propuesta tienen como máximo una seguridad de 4 a 6 bits bajo el ataque de decodificación de conjuntos de información (ISD)" (PDF) . Csrc.nist.gov . Consultado el 30 de enero de 2019 .
31. Lau, Terry Shue Chien; Tan, Chik How (31 de enero de 2019). "Ataque de recuperación de claves contra McNie basado en códigos de verificación de paridad de rango bajo y su reparación". En Inomata, Atsuo; Yasuda, Kan (eds.). Avances en Seguridad de la Información y Informática . Apuntes de conferencias sobre informática. vol. 11049. Publicación internacional Springer. págs. 19–34. doi :10.1007/978-3-319-97916-8_2. ISBN 978-3-319-97915-1.
32. División de Seguridad Informática, Laboratorio de Tecnología de la Información (3 de enero de 2017). "Presentaciones de la ronda 2 - Criptografía poscuántica - CSRC". Csrc.nist.gov . Consultado el 31 de enero de 2019 .
33. Schwabe, Peter. "CRISTALES". Pq-crystals.org . Consultado el 31 de enero de 2019 .
34. "FrodoKEM". Frodokem.org . Consultado el 31 de enero de 2019 .
35. Schwabe, Pedro. "Nueva Esperanza". Newhopecrypto.org . Consultado el 31 de enero de 2019 .
36. "NTRU Prime: Introducción". Archivado desde el original el 1 de septiembre de 2019 . Consultado el 30 de enero de 2019 .
37. "SABLE" . Consultado el 17 de junio de 2019 .
38. "Tres osos". FuenteForge.net . Consultado el 31 de enero de 2019 .
39. "Halcón". Halcón . Consultado el 26 de junio de 2019 .
40. "BICICLETA: encapsulación de clave de inversión de bits". Bikesuite.org . Consultado el 31 de enero de 2019 .
41. "HQC". Pqc-hqc.org . Consultado el 31 de enero de 2019 .
42. "Módulo de encapsulación de claves LEDAkem". Ledacrypt.org . Consultado el 31 de enero de 2019 .
43. "Criptosistema de clave pública LEDApkc". Ledacrypt.org . Consultado el 31 de enero de 2019 .
44. "NTS-Kem". Archivado desde el original el 29 de diciembre de 2017 . Consultado el 29 de diciembre de 2017 .
45. "RCC". Pqc-rqc.org . Consultado el 31 de enero de 2019 .
46. "Esfinges". Sphincs.org . Consultado el 19 de junio de 2023 .
47. "GeMSS". Archivado desde el original el 31 de enero de 2019 . Consultado el 30 de enero de 2019 .
48. "LUOV: un esquema de firma MQ" . Consultado el 22 de enero de 2020 .
49. "Firma post-cuántica MQDSS". Mqdss.org . Consultado el 31 de enero de 2019 .
50. "SIKE - Encapsulación de claves de isogenia supersingular". Sike.org . Consultado el 31 de enero de 2019 .
51. "Picnic. Una familia de algoritmos de firma digital seguros poscuánticos". microsoft.github.io . Consultado el 26 de febrero de 2019 .
52. De mal humor, Dustin; Alagic, Gorjan; Apoón, Daniel C.; Cooper, David A.; Dang, Quynh H.; Kelsey, John M.; Liu, Yi-Kai; Miller, Carl A.; Peralta, René C.; Perlner, Ray A.; Robinson, Ángela Y.; Smith-Tone, Daniel C.; Alperin-Sheriff, Jacob (2020). "Informe de estado de la segunda ronda del proceso de estandarización de criptografía poscuántica del NIST". doi : 10.6028/NIST.IR.8309 . S2CID  243755462 . Consultado el 23 de julio de 2020 .
53. Tercera conferencia de estandarización de PQC - Sesión I Bienvenida/Actualizaciones de candidatos, 10 de junio de 2021 , consultado el 6 de julio de 2021
54. División de Seguridad Informática, Laboratorio de Tecnología de la Información (10 de febrero de 2021). "Tercera Conferencia de Estandarización PQC | CSRC". CSRC | NIST . Consultado el 6 de julio de 2021 .
55. "Requisitos de presentación y criterios de evaluación" (PDF) .
56. Beullens, Ward (2022). "Breaking Rainbow requiere un fin de semana en una computadora portátil" (PDF) . Eprint.iacr.org .
57. Grubbs, Pablo; Maram, Varún; Paterson, Kenneth G. (2021). "Cifrado de clave pública post-cuántica robusto y anónimo". Archivo ePrint de criptología .
58. Karabulut, Emre; Aysu, Aydin (2021). "Falcon Down: rompiendo el esquema de firma post-cuántica de Falcon mediante ataques de canal lateral". Archivo ePrint de criptología .
59. "NIST anuncia los primeros cuatro algoritmos criptográficos resistentes a los cuánticos". NIST . 5 de julio de 2022 . Consultado el 9 de julio de 2022 .
60. "Algoritmos seleccionados 2022". CSRC | NIST . 5 de julio de 2022 . Consultado el 9 de julio de 2022 .
61. "Presentación de la cuarta ronda". CSRC | NIST . 5 de julio de 2022 . Consultado el 9 de julio de 2022 .
62. "Equipo SIKE - Prólogo y posdata" (PDF) .
63. Goodin, Dan (2 de agosto de 2022). "El contendiente de cifrado post-cuántico es eliminado por una PC de un solo núcleo y en 1 hora". Ars Técnica . Consultado el 6 de agosto de 2022 .
64. Moody, Dustin (17 de julio de 2023). "¡Las presentaciones de Onramp están publicadas!".
65. "Esquemas de firma digital". csrc.nist.gov . 29 de agosto de 2022 . Consultado el 17 de julio de 2023 .
66. "SMAUG Y HAETAE - HAETAE".
67. "Hufu".
68. "MAPACHE - ¡No solo una firma, toda una familia!".
69. "masksign/raccoon: esquema de firma de mapache - código de referencia". GitHub .
70. "Ardillas - Introducción".
71. "Cripto CRUZADO".
72. "FuLeeca: un esquema de firma basado en Lee - Lehrstuhl für Nachrichtentechnik".
73. "MENOS proyecto".
74. "MEDIOS".
75. "OLA".
76. "MIRA".
77. "MiRitH".
78. "MQOM".
79. "BENEFICIO".
80. "RYDE".
81. "SD en la cabeza".
82. Smith-Tone, Daniel (17 de julio de 2023). "COMENTARIO OFICIAL: 3WISE".
83. "Inicio".
84. "COMENTARIO OFICIAL: Ataque de recuperación de clave DME". grupos.google.com . Consultado el 10 de septiembre de 2023 .
85. "MAYO".
86. "PROV".
87. "QR-UOV".
88. "SNOVA". snova.pqclab.org . Consultado el 23 de septiembre de 2023 .
89. "TUOV".
90. "UOV".
91. "VOX".
92. "Signo SQI".
93. "Firma de AIMer".
94. "Ven y únete al algoritmo de firma FAEST | FAEST".
95. "ALTEQ".
96. Tibouchi, Mehdi (17 de julio de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: EagleSign".
97. Bernstein, DJ (17 de julio de 2023). "COMENTARIO OFICIAL: KAZ-SIGN".
98. Fluhrer, Scott (17 de julio de 2023). "FIRMA KAZ".
99. Panny, Lorenz (17 de julio de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: Xifrat1-Sign.I".
100. Tibouchi, Mehdi (18 de julio de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: EagleSign".
101. Beullens, Ward (18 de julio de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: HPPC".
102. Perlner, Ray (21 de julio de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: HPPC".
103. Saarinen, Markku-Juhani O. (18 de julio de 2023). "COMENTARIO OFICIAL: ALTEQ".
104. Bouillaguet, Charles (19 de julio de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: Biscuit".
105. Niederhagen, Rubén (19 de julio de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: MEDS".
106. van Woerden, Wessel (20 de julio de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: FuLeeca".
107. Persichetti, Edoardo (21 de julio de 2023). "COMENTARIO OFICIAL: MENOS".
108. Saarinen, Markku-Juhani O. "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: DME-Sign".
109. "COMENTARIO OFICIAL: Ataque de recuperación de clave DME". grupos.google.com . Consultado el 10 de septiembre de 2023 .
110. van Woerden, Wessel (25 de julio de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: EHTv3".
111. Suhl, Adam (29 de julio de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: EHT".
112. VASSEUR, Valentín (29 de julio de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: pqsigRM mejorado".
113. "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: pqsigRM mejorado". grupos.google.com . Consultado el 30 de septiembre de 2023 .
114. Saarinen, Markku-Juhani O. (27 de julio de 2023). "Desbordamientos de búfer en HAETAE / Sobre errores de criptografía frente a errores de implementación".
115. Saarinen, Markku-Juhani O. (29 de julio de 2023). "HuFu: grandes falsificaciones y desbordamientos de búfer".
116. Carrier, Kevin (3 de agosto de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: SDitH".
117. Portador, Kevin; Hatey, Valérian; Tillich, Jean-Pierre (5 de diciembre de 2023). "Decodificación y aplicación de Projective Space Stern a SDitH". arXiv : 2312.02607 [cs.IT].
118. Furue, Hiroki (28 de agosto de 2023). "Ronda 1 (Firmas adicionales) COMENTARIO OFICIAL: VOX".
119. Liu, Fukang; Mahzoun, Mohammad; Øygarden, Morten; Meier, Willi (10 de noviembre de 2023). "Ataques algebraicos contra RAIN y AIM utilizando representaciones equivalentes". Impresión electrónica de la IACR (2023/1133).
120. Ikematsu, Yasuhiko; Akiyama, Rika (2024), Revisando el análisis de seguridad de SNOVA , consultado el 28 de enero de 2024.
121. Ferreira, río Moreira; Perret, Ludovic (2024), Ataque de recuperación de claves en tiempo polinómico a la especificación ${\tt NIST}$ de ${\tt PROV}$ , consultado el 4 de abril de 2024

enlaces externos

• Sitio web oficial del NIST sobre el proceso de estandarización
• Sitio web de criptografía post-cuántica por djb