Sammanfattning av material - Implementation av RSA

3.3 Implementation av RSA

4.2.2 Sammanfattning av material

De artiklar och rapporter som granskats skiljer sig p˚a vissa punkter men har ocks˚a mycket gemensamt. En jämförelse finns presenterad i tabell 4.2 p˚a nästa sida och utvecklas ytterligare i efterföljande textstycken.

Tabell 4.2: Sammanfattning av studerat material Material Kvantbitar ˚Artal Allvarlighetsgrad ˚Atgärdsförslag Accenture [17] 600 2025 Mycket hög

1. Kontrollera att befintliga standarder f¨oljs.

2. Utbyte till kvants¨akra system.

3. Kvantkryptering

Mosca [18] 10 mn - 1 md 2032+ Mycket h¨og 1. Utbyte till kvants¨akra system.

2. Kvantkryptering.

Ziegler [19] 10 000 N/A Medell˚ag N/A

Entrust [20] 4000 2029+ Medell˚ag 1. Utbyte till kvants¨akra system.

2. Kvantkryptering.

NIST [15] N/A 2030 Mycket h¨og

Projekt f¨or standardisering av kvants¨akra system.

˚Atg¨arder beh¨over vidtas inom 10 ˚ar.

Beauregard [21] 4009 N/A N/A N/A

J¨amf¨orelsen har gjorts p˚a fyra olika omr˚aden och motsvarar svaren p˚a fr˚agorna:

• Hur m˚anga kvantbitar krävs för att en kvantdator ska kunna knäcka RSA-2048?

• Vilket ˚ar kommer en kvantdator att kunna kn¨acka RSA-2048?

• Hur allvarligt ¨ar problemet?

• Vilka ˚atg¨arder b¨or vidtas?

Kvantbitar

Gällande antalet kvantbitar som behövs för att en kvantdator ska kunna knäcka RSA är meningsskiljaktigheterna stora. Accenture presenterar en estimering där 600 kvantbitar behövs medan Moscas artikel uppskattar antalet till över tiotals miljoner. Tv˚a rapporter, Entrust och Beauregard, l˚ag nära varandra i estimeringen av antal kvantbitar. De p˚astod att en kvantdator behöver 4000 respektive 4009 kvantbitar för att utgöra ett hot mot RSA-2048.

˚ Artal

Gällande vilket ˚artal kvantdatorn kommer att n˚a denna kapacitet görs den tidigaste tidsestimeringen av Accenture. De bedömer att kvantdatorn kommer att utgöra ett hot mot RSA-2048 ˚ar 2025. Resterande material presenterar uppskattningar fr˚an

˚ar 2029 och fram˚at. Ziegler anger inte n˚agot specifikt ˚artal men beskriver att det

ar ”ett tag” kvar.

Allvarlighetsgrad

Alla artiklar f¨orutom den skriven av Beauregard behandlade fr˚agan om hur orolig

NISTs rapporter beskriver l¨aget som kritiskt och uppmanar till omedelbar handling.

Entrust och Ziegler uttrycker sig inte lika angel¨aget och beskriver hotet mot RSA som ett framtidsproblem med l¨osningar som kommer att hinna utvecklas i tid.

˚ Atg¨ ardsf¨ orslag

Fyra av artiklarna, skrivna av Accenture, Mosca, Entrust och NIST, redovisar även vilka ˚atgärder som bör vidtas. Sammanfattningsvis är de överens om att organ-isationer bör 1) Kontrollera sina befintliga system och se till att standarder och rekommendationer följs. 2) Invänta standardisering av kvantsäkra krypteringssys-tem och förbereda sig p˚a implementation av dessa. 3) G˚a över till kvantkryptering den dagen tekniken finns tillgänglig.

Kapitel 5 Diskussion

Syftet med denna uppsats var att undersöka RSA-systemets s˚arbarheter och vilka framtida hot det st˚ar inför. För att uppfylla detta syfte formulerades tre forskn-ingsfr˚agor:

1. Hur och i vilka sammanhang implementeras RSA idag?

2. Vilka k¨anda attacker existerar mot RSA idag?

3. Vilka framtida utmaningar st˚ar RSA inf¨or?

I detta kapitel diskuteras alla delar av resultatet var för sig. Därefter förs en sam-manfattande diskussion om hela uppsatsens resultat.

5.1 Kartl¨ aggning av k¨ anda attacker mot RSA

Resultatet av kartläggningen bidrar till en enklare och mer lättförst˚aelig samman-fattning av kryptoanalytiska attacker mot RSA. Tidigare sammanställningar, som

ar p˚a engelska och mer matematiskt komplicerade, har anv¨ants som referenser.

Kartläggningen är den första av sitt slag med avseende p˚a antalet attacker som beskrivs, hur ing˚aende de förklaras och spr˚aket som används (svenska).

De vetenskapliga artiklar och studier som använts för att sammanställa resultatet anses vara lämpliga för syftet. Artiklarnas publikations˚ar, som visas i tabell 5.1 p˚a nästa sida, varierar mellan 1994 och 2018 vilket är anmärkningsvärt med tanke p˚a att forskning hela tiden utvecklas och att nyare resultat anses vara mer p˚alitliga.

Trots detta är bedömningen att attackerna är s˚a pass matematiska och teoretiska att äldre artiklar p˚a just detta ämne inte blir mindre relevanta med ˚aren.

Kartläggningen av kända attacker är övergripande och ger en kort introduktion till vissa attacker, exempelvis ”L˚agt värde för dekrypteringsnyckeln d”, och en längre förklaring av andra attacker, exempelvis ”(Wo)man in the middle”. Anledningen till detta är attackernas variation gällande komplexitet. Vissa attacker är för matem-atiskt avancerade i relation till omfattningen av denna uppsats. Därför förklaras dessa inte i lika stor utsträckning som andra mindre komplexa attacker.

Tabell 5.1: Publikations˚ar f¨or artiklar om attacker mot RSA

Material Publikations˚ar

Hoffsterin, Pipher & Silverman [10] 2008

Boneh [11] 1998

Yan [12] 2008

Kocher [13] 1996

Mavroeidis, Vishi, Zych & Josang [14] 2018

NIST [15] 2016

Shor [16] 1994

Med tanke p˚a att de attacker som beskrivs är kända för allmänheten kan det ifr˚agasättas huruvida resultatet är intressant och om det kommer att bidra med n˚agon nytta i en verklig situation. Idag finns exempelvis standarder och rekom-mendationer kring hur RSA ska implementeras och följs dessa är attackerna verkn-ingslösa [22]. Trots detta anses det vara motiverat att fortsätta informera och utforska redan kända attacker d˚a de kan ligga till grund för nya idéer och varianter som standarder inte har anpassats efter ännu.

Att utforska och sprida information om kryptoanalytiska attacker kan anses oetiskt med tanke p˚a att det kan inspirera eller indirekt leda till intr˚ang. Trots detta bedöms resultatet av denna uppsats harmlöst i den bemärkelsen. För att skydda organisationer mot attacker behövs kunskapen om attackerna och en strävan att alltid ligga steget före. Därför är denna typen av upplysning och informationssprid-ning inte negativ sett ur ett etiskt perspektiv.

5.2 Estimering av kvantdatorhotet

Resultatet av litteraturstudien som syftade till att estimera vilket ˚ar kvantdatorn kommer att skadliggöra RSA sammanställde vad olika forskare p˚astod och presen-terade detta i en sammanfattning. Vid beräkning av medelvärdet av de uppskat-tningar som presenterades blir det estimerade ˚aret 2029. En parameter som hade bidragit till ett mer grundat utl˚atande vore om mer material undersökts. Anled-ningen till att detta inte skedde var att f˚a konkreta uppskattningar är gjorda p˚a

amnet. Det är även värt att ha i beaktning vid analys av detta resultat att in-gen av artiklarna utgav sig för att vara helt säker p˚a sin sak. Studien är baserad p˚a antagandet och kvalificerade gissningar vilket innebär att den inte kan besvara n˚agon fr˚aga med hundra procents säkerhet. Detta är ˚a andra sidan självklart d˚a det inte förväntas att n˚agon ska kunna bidra med en helt säker framtidsförutsägelse.

Artiklarnas publikations˚ar varierar mellan 2003 och 2018, se tabell 5.2 p˚a nästa sida, och kan s˚aledes influera de resultat som presenteras. De äldsta artiklarna, Beauregard (2003) och Entrust (2009), är de som framst˚ar som minst oroliga för

bero p˚a att den inte behandlar n˚agra subjektiva bedömningar alls. Ingen särskild bedömning av n˚agot nutid- eller framtidsläge görs över huvud taget d˚a artikeln snarare fokuserar p˚a matematik och teori kring kvantbitar. Däremot kan Entrusts p˚ast˚aende om att kvantdatorns hot mot RSA är ett ”framtidsproblem” vara ett tecken p˚a att deras rapport är skriven flera ˚ar tidigare och att det rimligtvis var ett framtidsproblem d˚a.

Vissa av upphovsmakarna, exempelvis Entrust och Accenture, är vinstdrivande företag vilket kan ha en viss inverkan p˚a datan som presenteras. Entrust är ett företag som arbetar med att utveckla och förvalta olika IT-säkerhetslösningar för andra organisationer och det kan därför ligga i deras intresse att f˚a omvärlden att betrakta kvantdatorn som ett hot. Ju större rädsla och behov av säkerhet en or-ganisation har desto fler tjänster finns det för Entrust att sälja. Accenture arbetar p˚a liknande sätt med att hjälpa andra organisationer att förutse risker och vidta proaktiva säkerhets˚atgärder inom IT. Det behöver allts˚a inte vara en slump att Accentures rapport visade p˚a störst angelägenhet och att de uppskattar att RSA

ar hotat redan ˚ar 2025.

Tabell 5.2: Meta-information om studerad litteratur Material Publikations˚ar Position

Accenture [17] 2018 Privat IT-f¨oretag

Mosca [18] 2018 Grundare av Quantum Computing at the University of Waterloo Ziegler [19] 2015 Forskare vid College of Saint Benedict and Saint John’s University Entrust [20] 2009 Privat IT-f¨oretag

NIST [15] 2016 En del av USA:s handelsdepartement

Beauregard [21] 2003 Forskare vid Département de physique - Université de Montréal

N˚agot som inte tagits med i resultatet av denna uppsats är det tvivel som finns mot kvantdatorns utveckling och framtida förm˚aga. Det finns forskare som anser att kvantdatorn inte utgör ett hot mot kryptering över huvud taget. Att det mate-rial som analyserats, i viss bemärkelse, är entydigt kring att kvantdatorn är ett hot kan bero p˚a hur datainsamlingen har genomförts. Det är möjligt att de forskare som inte anser att kvantdatorhotet är av betydelse i mindre utsträckning har valt att publicera material som berör ämnet. Därför har s˚adan information inte dykt upp i sökningar p˚a vissa nyckelord och s˚aledes inte tagits med i litteraturstudien.

5.3 Sammanfattande diskussion

Den första forskningsfr˚agan som avser hur och i vilka sammanhang RSA imple-menteras är besvarad i kapitel 3. Där förklaras asymmetrisk kryptering vilket är den samling krypteringssystem som RSA är en del av. RSA-algoritmen beskrivs därefter p˚a ett enkelt och pedagogiskt vis för att skapa en grundkunskap inför kom-mande avsnitt om matematiska attacker. N˚agra konkreta exempel p˚a vart RSA

implementeras idag tas även upp för att f˚a en bild av hur RSA praktiseras i verk-ligheten. All denna teori refererar till relevant forskning p˚a omr˚adet och veten-skapliga artiklar. Att ta reda p˚a mer exakt hur en viss organisation implementerar RSA hade kunnat vara ett intressant komplement till teorikapitlet. Det hade kun-nat genomföras med hjälp av intervjuer med en specifik organisation men bedömdes inte relevant med hänvisning till tids˚atg˚ang och vilken nytta resultatet skulle bidra med till resten av uppsatsen.

Fr˚agan ”vilka kända attacker existerar mot RSA idag” är besvarad i avsnitt 4.1 där flera kända attacker kategoriseras och förklaras. I slutet av denna del beskrivs

aven kvantdatorn och Shors algoritm. Detta bryggar överg˚angen till nästa del där estimeringen av kvantdatorhotet görs. Dessa delar besvarar s˚aledes b˚ade fr˚agan om vilka befintliga attacker som finns och vilka framtida utmaningar RSA st˚ar inför.

Det sammantagna resultatet av denna uppsats bed¨oms vara relevant d˚a ingen tidi-gare utforskat och beskrivit s˚arbarheter med RSA p˚a svenska och p˚a denna kom-plexitetsniv˚a. Att positionera sig p˚a detta vis bland andra arbeten har varit m˚alet under arbetets g˚ang och detta har n˚atts. Uppsatsens syfte anses vara uppfyllt och fr˚agest¨allningarna besvarade.

Kapitel 6 Slutsats

Hur och i vilka sammanhang implementeras RSA idag?

I denna uppsats undersöks hur och i vilka sammanhang krypteringssystemet RSA implementeras idag. RSA-systemet har använts sedan 40 ˚ar tillbaka och anses vara ett av de säkraste och bredast implementerade krypteringssystemen idag. Sys-temet bygger p˚a asymmetrisk kryptering vilket innebär att olika nycklar används för kryptering respektive dekryptering. Den huvudsakliga styrkan i RSA-systemet grundas i sv˚arigheten att faktorisera stora tal. Det innebär att tv˚a tal som mul-tipliceras med varandra och bildar en produkt inte kan ˚aterskapas om enbart pro-dukten är känd för den som försöker. Vanliga användsomr˚aden är säker e-mail-kommunikation och elektronisk handel (e-handel) där stora mängder känslig infor-mation hanteras. RSA används ofta som en del eller som ett komplement i ett större krypteringssammanhang. N˚agra protokoll som RSA ing˚ar i är Pretty Good Privacy (PGP), Transport Layer Security (TLS) samt Secure Socket Layer (SSL).

Vilka k¨ anda attacker mot RSA existerar mot RSA idag?

I den andra delen av denna uppsats görs en kartläggning där flertalet kända attacker mot RSA beskrivs p˚a ett strukturerat och pedagogiskt sätt. Attackerna förklaras och exemplifieras och delas upp i fyra kategorier; grundläggande attacker, attacker till följd av implementationsfel, sidokanalsattacker och framtida hot. Först ut är grundläggande attacker som faktoriseringsattacker, gissningsattacker och man in the middle-attacker. Nästa kategori av attacker är enbart genomförbara om RSA har implementeras p˚a ett inkorrekt sätt, exempelvis om för korta nycklar väljs.

Sidokanalsattacker innefattar attacker som g˚ar ut p˚a att skadliggöra RSA genom att mäta elkonsumtion eller ta tid p˚a de beräkningar som h˚ardvaran utför.

Vilka framtida utmaningar st˚ ar RSA inf¨ or?

Ett framtida hot mot RSA är datorer baserade p˚a kvantmekanik, även kallade kvantdatorer. Dessa datorer är ännu bara i ett utvecklingsstadie men om utvecklin-gen fortsätter att g˚a fram˚at kan de eventuellt med hjälp av Shors algoritm, en faktoriseringsalgoritm för kvantdatorer, faktorisera de tal som RSA förlitar sig

p˚a att ingen kan faktorisera. En litteraturstudie har genomförts i syfte att es-timera detta hot mot RSA och resultatet sammanställer olika uppskattningar. Sam-manställningen visar att en kvantdator uppskattas att vara tillräckligt kraftfull, för att utgöra ett reellt hot mot 2048 bitars RSA, runt ˚ar 2029. De ˚atgärder som föresl˚as

ar att dels se över befintliga system och följa de standarder som finns tillgängliga.

Därefter invänta nya standardiserade kvantdatorsäkra krypteringssystem, dessa är under utveckling och analys i skrivande stund. Slutligen kan det, i förlängningen, bli aktuellt att g˚a över till krypteringsmetoder som redan fr˚an början är baserade p˚a kvantmekanik. Dessa metoder faller under begreppet kvantkryptering.

Kapitel 7

F¨ orslag till vidare forskning

En fr˚aga som dykt upp under arbetet med denna uppsats är: hur kommer världen att reagera och förändras om, eller när, kvantdatorn knäcker RSA? Att utforska vad som konkret kommer att ske i ett s˚adant scenario vore intressant. Vilka

˚atgärdsplaner finns och hur stor p˚averkan kommer det att f˚a inom olika specifika omr˚aden? Kommer all e-handel att st˚a helt still, eller kanske bara fungera l˚angsamt till följd av att längre nyckellängder implementeras?

Fortsatt utveckling och evaluering av kvantsäkra krypteringsmetoder är ocks˚a ett intressant ämne att forska vidare i. Vilka system kommer att st˚a emot och samtidigt vara effektiva? Hur kommer dessa system att skilja sig fr˚an de tidigare använda?

Förhoppningsvis är detta n˚agot som NISTs projekt kring evaluering och standard-isering av kvantsäkra metoder kommer att ge svar p˚a.

Referenser

[1] Samuel, J. (2014). The factoring dead: Preparing for the Cryptopoca-lypse. San Fransisco: iSEC Partners. H¨amtad fr˚an nccgroup: https:

//www.nccgroup.trust/globalassets/our-research/us/whitepapers/

cryptopocalypse_reference_paper.pdf.

[2] Kahn, D. (1996). The codebreakers: the story of secret writing. (Rev. and up-dated ed.). New York: Scribner.

[3] Singh, S. (2000). The code book: the secret history of codes and codebreaking.

(Paperback ed.) London: Fourth estate.

[4] Bj¨orklund, M. & Paulsson, U. (2013). Seminarieboken att skriva, presentera och opponera. Johanneshov: MTM.

[5] Diffie, W. & Hellman, M. (1976). New Directions in Cryptography. Information Theory. IEEE Transactions on Information Theory, Volume 22, Number 6, Pages 644-654, November 1976.

[6] Rivest, R. L., Shamir, A. & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, Volume 21, Issue 2, Pages 120-126, February 1978.

[7] Galla, L. K., Koganti, V. S. & Nuthalapati, N. (2016). Implementation of RSA.

2016 International Conference on Control, Instrumentation, Communication and Computational Technologies (ICCICCT), Kumaracoil, pages 81-87.

[8] Al-Slamy, Dr. Nada M. A. (2008). E-Commerce security. IJCSNS International Journal of Computer Science and Network Security, Volume 8, Number 5, May 2008.

[9] Yasin, S., Haseeb, K. & Qureshi, R. J. (2012). Cryptography Based E-Commerce Security: A Review. IJCSI International Journal of Computer Science Issues, Volume 9, Issue 2, Number 1, March 2012.

[10] Hoffstein, J., Pipher, J.C. & Silverman, J.H. (2014). An introduction to math-ematical cryptography. (2. ed.) New York: Springer.

[11] Boneh, D. (1998). Twenty Years of Attacks on the RSA Cryptosystem. Notices of the American Mathematical Society (AMS), Volume 46, Number 2, pages 203-213.

[12] Yan, S.Y. (2008). Cryptanalytic attacks on RSA. New York: Springer.

[13] Kocher, P. C. (1996). Timing Attacks on Implementations of Diffe-Hellman, RSA, DSS, and Other Systems. CRYPTO 1996: Advances in Cryptology — CRYPTO ’96, Pages 104-113.

[14] Mavroeidis, V., Vishi, K., Zych, M.D., & Jøsang, A. (2018). The Impact of Quantum Computing on Present Cryptography. International Journal of Ad-vanced Computer Science and Applications (IJACSA), 9(3), Pages 405-414, March 2018.

[15] Chen, L., Jordan, S., Liu, Y.-K., Moody, D., Peralta, R., Perlner, R. &

Smith-Tone, D. (2016). NIST: Report on Post-Quantum Cryptography (NISTIR 8105). H¨amtad fr˚an NIST: https://nvlpubs.nist.gov/nistpubs/ir/2016/

NIST.IR.8105.pdf

[16] Shor, P. W. (1994). Algorithms for quantum computation: discrete logarithms and factoring. Proceedings 35th Annual Symposium on Foundations of Com-puter Science, Santa Fe, NM, USA, 1994, Pages 124-134.

[17] O’Connor, L., Dukatz, C., DiValentin, L. & Farhady, N.

(2018). Cryptography in a Post-Quantum World. H¨amtad fr˚an Accenture: https://www.accenture.com/_acnmedia/PDF-87/

Accenture-809668-Quantum-Cryptography-Whitepaper-v05.pdf.

[18] Mosca, M. (2018). Cybersecurity in an Era with Quantum Computers: Will We Be Ready?. IEEE Security & Privacy, Volume 16, Number 05, Pages 38-41, 2018.

[19] Ziegler, L. (2015). Online security, cryptography, and quantum com-puting, Forum Lectures, College of Saint Benedict and Saint John’s University DigitalCommons@CSB/SJU, Paper 119. H¨amtad fr˚an Digi-talCommons https://digitalcommons.csbsju.edu/cgi/viewcontent.cgi?

article=1118&context=forum_lectures.

[20] Moses, T. (2009). Quantum Computing and Cryptography: Their impact on cryptographic practice. H¨amtad fr˚an Entrust: https://www.entrust.com/

wp-content/uploads/2013/05/WP_QuantumCrypto_Jan09.pdf.

[21] Beauregard, S. (2003). Circuit for Shor’s algorithm using 2n+3 qubits, Quan-tum Information and Computation, Volume 3, Number 2, Pages 175-185.

[22] Moriarty, K., Kaliski, Ed. B., Jonsson, J. & Rusch, A. (2016). PKCS #1: RSA Cryptography Specifications Version 2.2. H¨amtad fr˚an Internet Engineering Task Force (IETF): https://tools.ietf.org/html/rfc8017.

Besöksadress: Kristian IV:s väg 3 Julia Gårdlund

In document RSA-systemets sårbarheter idag och i framtiden (Page 35-50)