Von Ralf Keuper

Der kürzlich vom U.S. National Institute of Standards and Technology (NIST) als einer von vier bekannt gegebene quantenresistente Algorithmus SIKE (Supersingular Isogeny Key Encapsulation)[1]NIST gibt vier quantenresistente Algorithmen bekannt ist von Forschern der Gruppe für Computersicherheit und industrielle Kryptografie an der KU Leuven außer Gefecht gesetzt worden. In ihrem Paper An Efficient Key Recovery Attack on SIDH (Preliminary Version) beschreiben die Forscher eine Technik, die komplexe Mathematik und einen einzigen herkömmlichen PC verwendet, um die Verschlüsselungsschlüssel wiederherzustellen, die die SIKE-geschützten Transaktionen schützen. Der gesamte Prozess benötigt nur etwa eine Stunde Zeit. Aufgrund dieser Leistung haben die Forscher Wouter Castryck und Thomas Decru Anspruch auf eine Belohnung von 50.000 Dollar von Microsoft[2]Post-quantum encryption contender is taken out by single-core PC and 1 hour.

Ars technica fragte David Jao, Miterfinder von SIKE, warum die Schwachstelle erst jetzt, in einem relativ späten Stadium der Entwicklung, ans Licht gekommen ist. Seine Antwort:

Es stimmt, dass der Angriff Mathematik verwendet, die in den 1990er und 2000er Jahren veröffentlicht wurde. In gewissem Sinne erfordert der Angriff keine neue Mathematik; er hätte jederzeit bemerkt werden können. Eine unerwartete Facette des Angriffs ist, dass er Kurven des Genus 2 verwendet, um elliptische Kurven (die Kurven des Genus 1 sind) anzugreifen. Eine Verbindung zwischen den beiden Arten von Kurven ist ziemlich unerwartet. Um ein Beispiel zu geben, das veranschaulicht, was ich meine: Seit Jahrzehnten wird versucht, die reguläre Kryptographie mit elliptischen Kurven anzugreifen, einschließlich einiger Versuche, die auf Kurven der Gattung 2 basieren. Keiner dieser Versuche war erfolgreich. Dass dieser Versuch im Bereich der Isogenese erfolgreich ist, ist also eine unerwartete Entwicklung.

Im Allgemeinen gibt es eine Menge tiefgründiger Mathematik, die in der mathematischen Literatur veröffentlicht wurde, die aber von Kryptographen nicht gut verstanden wird. Ich selbst gehöre zu den vielen Forschern, die sich mit Kryptographie beschäftigen, aber nicht so viel von Mathematik verstehen, wie wir eigentlich sollten. Manchmal braucht es also nur jemanden, der die Anwendbarkeit der bestehenden theoretischen Mathematik auf diese neuen Kryptosysteme erkennt. Genau das ist hier geschehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.