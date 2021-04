Tänkt om det blev en tjock spricka i internets säkerhetsskikt från en dag till en annan. Och tänk om skadan gick djupt ner i de kryptografiska algoritmernas matematiska grunder. Precis det tycks ha inträffat i mars i år. Då publicerades en vetenskaplig artikel med en drastisk sammanfattning: ”Detta förstör kryptosystemet RSA.”

Om detta visar sig stämma kan det innebära att en stor del av alla data som är krypterade – i vila eller i rörelse – inte är skyddade.

Här uppkommer två problem.

Det första är att ingen vet ifall författaren har rätt.

Det andra, större, problemet är att ingen vet vad vi ska ta oss till om påståendet stämmer.

När detta skrivs kämpar matematikerna med den första frågan. Andra ägnar sig åt den andra frågan och börjar skissera planer för vad de ska göra ifall en katastrofal svaghet dyker upp från ingenstans. De strävar efter en starkare grundval baserad på flera algoritmer, realiserade med protokoll som gör det enklare att växla om.

En del kryptografer letar efter ersättare för RSA. Orsaken är att den algoritmen hör till de krypteringsalgoritmer som kan vara sårbara för datorer som utnyttjar kvanteffekter. Världen måste bli mer lättrörlig, hävdar de, för det finns många andra potentiella sprickor som kan upptäckas.

Faktorering av stora tal

Artikeln heter Fast Factoring Integers by SVP Algorithms och är författad av Claus Schnorr, 77, en ansedd kryptograf som 2011 pensionerades från Johann Wolfgang Goethe-universitetet i Frankfurt. Han är bland annat känd för ett system för digitala signaturer som uppkallats efter honom. Den patenterades 1988 och används i modifierad form av en del digitala valutor, eftersom den är effektiv och ger korta signaturer. Blockkedjorna för Polkadot, Kusama och Zilliqa är tre användare. Systemets styrka hänger på att det diskreta logaritmproblemet anses ohanterligt (alltså omöjligt att lösa på rimlig tid).

RSA är en annorlunda algoritm. Den har en längre historia och är mer använd, åtminstone tidigare. Den hänger på svårigheten att hitta faktorerna till stora tal. Schnorrs sätt att angripa den svårigheten, som han alltså nyligen har publicerat, har han utvecklat i en serie artiklar som han publicerat de senaste åren, innebär att problemet omformuleras till att hitta den rätta vektorn i ett multidimensionellt gitter som definieras av mycket mindre tal.

Men hans artikel är huvudsakligen teoretisk, och många ställer sig frågan ifall hans teori, om den realiseras som ett datorprogram, verkligen kan leva upp till hans påståenden. Flera personer har kommit med utmaningar bestående av stora tal uppbyggda som RSA-nycklar. Alla som påstår att de kan knäcka RSA kan lätt bevisa det genom att tala om vilka faktorer talen har. Hittills har ingen lyckats offentliggöra en konkret lösning. Några som har försökt har medgett att de inte kan få algoritmen att fungera.

Fixa RSA:s svagheter

Att fixa problem som upptäcks i samband med en nyligen upptäckt attack är inget nytt. Mjukvaruföretag levererar regelbundet patchar som rättar till svagheter, och de ber ofta folk att rapportera problem som de upptäcker. Men om Schnorrs artikel visar sig vara korrekt så har han uppdagat svagheter i själva grunden för ett protokoll. Och det finns inget företag som tar ansvar för protokollet.

Ett företag, som också heter RSA, har en stor del av sin historia gemensam med algoritmen. Men patenten är utgångna och de flesta realiseringar av RSA-algoritmen på internet kommer inte från företaget RSA. Många av de ofta använda biblioteken har öppen källkod och underhålls av en samfällighet.

Och värre är att om svagheten faktiskt existerar så går det inte att täppa till den med några rader kod. Det kommer i så fall att ta åratal att ta fram något nytt, för det tar tid att testa och driftsätta nya algoritmer.

Att gå över till en ny algoritm behöver inte bli så svårt. Många krypteringssystem ger frihet att använda olika algoritmer med olika nyckellängd. En svårare utmaning är att uppdatera den infrastruktur för autentisering som är grunden för den certifikathierarki som validerar publika nycklar. De nuvarande versionerna av de vanligaste webbläsarna kommer med rotcertifikat från olika certifikatutfärdare och kan vara knutna till RSA.

Att byta ut rotcertifikaten i webbläsarna (och andra verktyg) förutsätter att nya versioner levereras. Det kan vara besvärligt, för rotcertifikat är väldigt kraftfulla. En del attacker bygger till exempel på att man smusslar in falska certifikat som ger angripare grönt ljus och låter dem anta andra sajters identitet. När detta skrivs bygger certifikaten från certifikatutfärdare som Verisign, Amazon, Godaddy och Entrust alla på RSA-algoritmen.

Kvantdatorfrågan

Ett annat bekymmer är hur man ska skydda sig mot potentiella kvantdatorer. Den kryptografiska världen har i flera år sökt efter nya krypteringsalgoritmer som kan stå emot kvantdatorer. En del räknar med att det snart finns praktiskt användbara kvantdatorer. Kvantdatorer skulle bli ett hot mot algoritmer som RSA, för en av de mest kända algoritmerna för kvantdatorer, utvecklad av Peter Shor, är till för faktorering av tal. De kvantdatorer som finns nu är inte särskilt kraftfulla – det största tal som de har faktorerat är 21 – men många förbereder sig på att det kommer mer kraftfulla kvantdatorer.

Shors algoritm är inte det enda hotet. Faktorering av stora tal är nämligen en lockande utmaning, delvis på grund av det ekonomiska värdet. I en ny artikel av Élie Gouzien och Nicolas Sangouard förutsätts en speciell typ av kvantminne. Deras konstruktion, som ligger långt in i framtiden, skulle kunna faktorera de 2048-bitars tal som används i RSA-baserad rotcertifikat på ungefär ett halvt år.

Drömmen om ett nytt kryptosystem utan RSA

Det är sådana här teoretiska utmaningar som har fått amerikanska National institute of standards and technology (NIST) att utlysa en tävling 2016 för att hitta potentiella ersättare för RSA. Bland bidragen sållades 26 semifinalister fram 2019 och sju finalister 2020. Urvalsprocessen pågår fortfarande, för juryn har valt att ta in åtta alternativa bidrag. NIST hoppas att utse en ersättare inom några få år, men pandemin kan fördröja processen.

Finalisterna utgår från tre olika matematiska angreppssätt. Det som NIST i ett tillkännagivande kallar för ”det mest lovande algoritmerna för allmänt bruk” använder gitter och hänger på svårigheten i att hitta ett element eller vektor i ett gitter. Det finns tre olika krypteringssystem (Crystals-Kyber, NTRU och Saber) och två olika signaturalgoritmer (Crystals-Dilithium och Falcon).

NIST har också valt ut ett äldre signatursystem som utvecklades redan 1978 av Robert McEliece. Det bygger på svårigheten i att hitta rätt lösning på en allmän felrättande kod. Dessa matematiska konstruktioner brukar annars användas i datalagring och dataöverföring för att återställa fel, men Robert McEliece upptäckte ett sätt att förändra deras uppbyggnad. Det gör att det är svårt att återställa felet för alla, utom för personer som har den rätta hemliga nyckeln. Den sista finalisten är känd som Rainbow code. Den konstruerar polynom sammansatta av många variabler som det är svårt för en angripare att lösa.

Flera alternativ omnämndes som ett sätt att uppmuntra mer forskning i deras grundvalar. Några bygger på samma matematiska grunder som finalisterna, men några använder helt andra angreppssätt. Sphincs+ skapar till exempel signaturer av kondenserade värden.

De nya potentiella ersättarna för RSA kan bli svåra att ersätta de befintliga algoritmerna med. En del är mycket långsammare. Andra erbjuder inte möjlighet att både generera signaturer och kryptera data. Många hänger på nycklar som är mycket långa, men en stor del av den aktiva forskningen går ut på att hitta lösningar med kortare nycklar. Det är inte ovanligt att man hör om nycklar på 500 kilobyte eller mer. Det är mycket mer än de flesta nycklar som används nu, ofta bara några hundra byte.

Whitfield Diffie, en av de kryptografer som var med och skapade kryptering med öppen nyckel, påpekar att de nya förslagen kan kräva mer datorkraft:

– Vi kommer troligen att behöva mer cacheminne, säger han:

– Om postkvantsystem blir beräkningsmässigt mer krävande än de nuvarande systemen så kanske du måste ägna en minut av körning för att förhandla fram en nyckel med Ebay eller Amazon, säg den 2 januari, behålla den hela året och göra autentisering på klassiskt sätt.

Dagens protokoll brukar förhandla fram en ny nyckel för varje interaktion. Att köra mer beräkningskrävande nyckelgenerering, men mer sällan, kan ge samma totalkostnad för beräkningarna, säger Whitfield Diffie, men till priset av ”minskad framtidssäkerhet och reducering av signaturernas bevisvärde”.

Martin Hellman, en annan av de matematiker som på 1970-talet började experimentera med kryptering med öppen nyckel, tror att vad som behövs är nya protokoll som kombinerar flera artskilda algoritmer. I stället för att enbart förlita sig på en enda algoritm för att generera en slumpmässig nyckel för att kryptera data borde protokollet köra flera algoritmer och kombinera nycklarna från dem till en enda nyckel – kanske med XOR eller kanske med mer invecklade envägsfunktioner.

Martin Hellman har ägnat mer än ett årtionde åt att tänka på hur vi ska överleva en knäckt krypteringsalgoritm. Att lägga till långtidssäkerhet av detta slag skulle kunna förebygga den potentiella panik som skulle kunna uppstå om en plötslig attack kommer.

Men även om det aldrig blir ett katastrofalt sammanbrott påpekar han att även små steg, baserade på utvecklingen av algoritmer för faktorering (eller andra attacker) kan leda långt. En bra plan för att möta ett katastrofalt sammanbrott borde också bidra till att möta den långsamma ökning av beräkningskraft som pågår år efter år.

– En del data som är hemliga i dag bör fortfarande vara hemliga om 50 eller 100 år, säger Martin Hellman:

– Därför kan en utveckling långt fram i tiden få allvarliga följder för data som vi i dag skyddar.