谷歌開發(fā)量子安全密鑰
GK IMAGES/ALAMY
在量子計(jì)算機(jī)能夠破解當(dāng)前標(biāo)準(zhǔn)之前,有一場(chǎng)更新網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的競(jìng)賽正在進(jìn)行。現(xiàn)在,谷歌開發(fā)了一種量子彈性的方式來實(shí)現(xiàn)FIDO2安全密鑰標(biāo)準(zhǔn),這是一種越來越流行的身份驗(yàn)證方法,被用作密碼的替代品。
安全密鑰,如密碼,可以幫助用戶證明自己的身份,以便向數(shù)字服務(wù)進(jìn)行身份驗(yàn)證。但與密碼不同的是,安全密鑰不太可能被泄露,因?yàn)樗鼈兪菫閳?zhí)行身份驗(yàn)證而構(gòu)建的物理設(shè)備。它們有U盤大小,當(dāng)用戶需要進(jìn)行身份驗(yàn)證時(shí),它們可以插入筆記本電腦等輔助設(shè)備。安全密鑰可以抵御網(wǎng)絡(luò)釣魚攻擊,因?yàn)樗鼈冇袃蓚€(gè)方向:一是幫助用戶驗(yàn)證服務(wù),二是向服務(wù)驗(yàn)證用戶。由于身份驗(yàn)證是在一個(gè)設(shè)計(jì)成難以妥協(xié)的獨(dú)立設(shè)備上進(jìn)行的,因此這些密鑰通常非常安全。
Kudelsky Security的量子安全研究員Tommaso Gagliardoni說:“只要你有一個(gè)支持FIDO2身份驗(yàn)證的網(wǎng)站,你就可以使用你的安全密鑰。使用它的人仍然很少,但在安全專業(yè)人員中,我認(rèn)為它們已經(jīng)越來越普遍了。”
據(jù)悉,服務(wù)正在慢慢增加對(duì)安全密鑰的支持,首先是谷歌、微軟和Facebook等大型運(yùn)營(yíng)商。其中的缺點(diǎn)包括它們的成本——大多數(shù)其他形式的身份驗(yàn)證都是免費(fèi)的——以及用戶可能將安全密鑰放錯(cuò)地方,需要更換它們。
公鑰密碼學(xué)是一種通過提供身份證明邏輯來使用數(shù)字簽名驗(yàn)證用戶和服務(wù),從而使安全密鑰成為可能的技術(shù)。這項(xiàng)技術(shù)也使安全密鑰容易受到量子攻擊,因?yàn)槟壳八行问降墓€密碼術(shù)都很容易被量子計(jì)算機(jī)破解。
谷歌的執(zhí)行(https://security.googleblog.com/2023/08/toward-quantum-resilient-security-keys.html)使用了美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)去年批準(zhǔn)(https://csrc.nist.gov/News/2022/pqc-candidates-to-be-standardized-and-round-4)的一種后量子密碼算法進(jìn)行標(biāo)準(zhǔn)化。該算法名為Dilithium,是專門為數(shù)字簽名設(shè)計(jì)的。由于Dilithium還不是官方標(biāo)準(zhǔn),在現(xiàn)實(shí)世界中也沒有長(zhǎng)期使用,谷歌采取了一種混合方法,將傳統(tǒng)的公鑰密碼算法與Dilithim相結(jié)合進(jìn)行身份驗(yàn)證。
Gagliardoni表示,谷歌最大的貢獻(xiàn)是找到了一種優(yōu)化Dilithium算法的方法,使其能夠在內(nèi)存和處理能力有限的典型安全密鑰硬件上運(yùn)行。他說:“如果你采用NIST發(fā)布的量子電阻方案,并試圖將其放入硬件中,它將不起作用,因?yàn)樗枰鄡?nèi)存?!?/p>
為了讓它發(fā)揮作用,谷歌減少了Dilithium應(yīng)該運(yùn)行的內(nèi)存量。
管理無密碼身份驗(yàn)證標(biāo)準(zhǔn)的FIDO聯(lián)盟標(biāo)準(zhǔn)開發(fā)高級(jí)總監(jiān)David Turner表示,安全密鑰的量子后更改預(yù)計(jì)將帶來挑戰(zhàn)。為了創(chuàng)建更安全的連接,新算法可能會(huì)增加身份驗(yàn)證協(xié)議的復(fù)雜性,并需要更長(zhǎng)的時(shí)間來處理身份驗(yàn)證。
Gagliardoni說,谷歌的實(shí)施仍然缺乏對(duì)側(cè)信道攻擊的保護(hù)。這就是黑客通過直接物理訪問安全密鑰來破壞密碼的地方。一種典型的側(cè)通道攻擊可能涉及黑客闖入目標(biāo)的酒店房間,侵入他們放在桌子上無人看管的安全鑰匙,竊取目標(biāo)的數(shù)字簽名,一切都在目標(biāo)不知情的情況下進(jìn)行。谷歌的實(shí)施忽略了這些類型的本地威脅,只關(guān)注遠(yuǎn)程攻擊——這是有道理的,因?yàn)楹茈y將量子計(jì)算機(jī)偷偷帶進(jìn)酒店房間。
據(jù)悉,這是通過谷歌的安全密鑰開源項(xiàng)目OpenSK發(fā)布的。
許多依賴公鑰密碼的平臺(tái)很快需要向后量子算法過渡,特別是處理高度敏感的加密信息和壽命長(zhǎng)的重要服務(wù)(如衛(wèi)星)的平臺(tái)。壽命長(zhǎng)的服務(wù)和數(shù)據(jù)很容易受到量子攻擊,即使威脅需要幾十年才能實(shí)現(xiàn)。安全密鑰可以使用多年,但只是剛剛流行起來,所以它們是過渡的早期選擇。
在未來的幾年里,還會(huì)有更多這樣的轉(zhuǎn)變,包括谷歌最近在Chrome瀏覽器(https://blog.chromium.org/2023/08/protecting-chrome-traffic-with-hybrid.html)中的傳輸層安全方面的工作。
*博客內(nèi)容為網(wǎng)友個(gè)人發(fā)布,僅代表博主個(gè)人觀點(diǎn),如有侵權(quán)請(qǐng)聯(lián)系工作人員刪除。