Kryptografia - ryzyka. "Kupujemy gotowe rozwiązania z zagranicy" [WYWIAD]

III część wywiadu o kryptografii

Poprzednie dwie części można znaleźć pod linkami:

Rozmawiał Jarosław Jakimczyk

Naszym rodzimym przykładem takiego startupu może być spółka Flytronic, twórca drona FlyEye, który służy do rozpoznania obrazowego i od 2016 r. jest wykorzystywany przez siły zbrojne Ukrainy przeciwko Rosjanom. Właściciel spółki grupa WB Electronics prowadząc prace badawczo-rozwojowe w dziedzinie budowy bezzałogowych statków powietrznych stworzyła też amunicję krążącą Warmate, którą zakupiło więcej krajów, m.in. Indie i Zjednoczone Emiraty Arabskie. To jednak jest dość odosobniony przykład sukcesu polskiej firmy. Jedna jaskółka wiosny nie czyni.

Prof. dr hab. Stefan Dziembowski: Odnoszę wrażenie, że obecnie, po ataku Rosji na Ukrainę, Polska stawia raczej na kupowanie gotowych rozwiązań z zagranicy, dlatego, że nie mamy już czasu na rozwój niektórych własnych projektów. Tylko że to oznacza pewne ryzyko w kryptografii. Jeżeli bowiem mamy jakieś urządzenia kryptograficzne, a prawdziwą kryptografię robi się na urządzeniach kryptograficznych, a nie na zwykłych komputerach czy telefonach, to te urządzenia przychodzą od jakiegoś dostawcy i tak naprawdę nie wiadomo, co tam jest w środku. Nie wiadomo, czy dostawca nie dodał jakichś tajnych drzwiczek, które pozwalają mu odczytywać to, co jest szyfrowane.

Najlepiej znana jest historia ze szwajcarską firmą Crypto AG, o której od zawsze krążyły pogłoski, że ona współpracuje z amerykańskimi agencjami wywiadowczymi i wstawia taki tajny backdoor do sprzętu kryptograficznego sprzedawanego jakimś dziwnym dyktatorom w krajach rozwijających się. Parę lat temu wyszło na jaw, że to nieprawda, że oni w tej firmie z siedzibą w kantonie Zug współpracują z Amerykanami. Okazało się bowiem, że Crypto AG po prostu należy do CIA poprzez ileś tam firm pośrednich, a założono ją w Szwajcarii, bo specyficzni klienci, jakimi są dyktatorzy, wolą kupować tego typu technologie z kraju neutralnego, a nie z USA.

Oczywiście, jeśli się jest krajem afrykańskim, to nie ma wyboru i trzeba kupować od takich dostawców, którzy są pod kontrolą wywiadu innego państwa. No, ale Polska jest krajem na tyle dużym, że jednak powinna mieć własny przemysł kryptograficzny, bo to jest taki obszar, gdzie firmy i kapitał mają jednak narodowość, a nasz największy sojusznik szpieguje nas. Taka jest smutna rzeczywistość, mimo że produkcja urządzeń do kryptografii to jest taka dziedzina, w której Europa jest bardzo mocna. Spójrzmy chociażby na francuskie firmy.

Prof. UW dr hab. Piotr Sankowski: Tak, w Niemczech i we Francji - inaczej niż u nas, rodzime firmy kryptograficzne mają bardzo silną pozycję.

Czyli chyba jednak potrzebne są nam narodowe standardy kryptograficzne, a skoro tak, to czy jesteśmy w stanie stworzyć je w Polsce i czego wymagałoby to od państwa oraz od środowiska naukowego?

Prof. dr hab. Stefan Dziembowski: Jeśli chodzi o zastosowania cywilne, to oczywiście nie ma takiej potrzeby, ponieważ świat cywilny jest umiędzynarodowiony, ponadnarodowy. Natomiast jeśli chodzi o zastosowania w sferze militarnej czy związanej z działaniem służb bezpieczeństwa, czyli ogólnie mówiąc w sferze rządowej, to tym, co jest najważniejsze, jest lokalizacja produkcji urządzeń w Polsce. Urządzenia kryptograficzne muszą być ze sobą kompatybilne, więc tutaj konieczny jest jakiś standard. Kryptografia ma standardowe szyfry, które są znane i bardzo dobrze zbadane jak np. Advanced Encryption Standard (AES). Pojawia się więc pytanie, czy należy z nich korzystać do szyfrowania naszej komunikacji rządowej czy wymyślić własne. Wydaje mi się, że najlepszym podejściem jest korzystanie z istniejących ewentualnie wzmocnionych. Szansa, że wymyślimy coś zupełnie od nowa i że to będzie bezpieczniejsze niż to, co jest używane w sferze cywilnej, zwłaszcza w kryptografii symetrycznej, jest niewielka.

Jak zatem wygląda obecnie rozwój badań na algorytmami kryptograficznymi, które muszą odpowiedzieć na gwałtowny wzrost mocy obliczeniowej komputerów wykorzystywanych do łamania szyfrów?

Prof. dr hab. Stefan Dziembowski: Kryptografia rozwija się w wielu obszarach; jest kryptografia naukowa, kryptografia biznesowa i kryptografia rozwijana przez służby. I te obszary jakoś ze sobą się przenikają. My jako IDEAS NCBR reprezentujemy tę gałąź akademicką, ale z uwagi na profil naszej instytucji jesteśmy zainteresowani interakcją z tymi pozostałymi obszarami. Kryptografia akademicka generalnie rozwija się w sposób otwarty. To znaczy, że tak jak w całej nauce, gdy człowiek ma coś ciekawego do powiedzenia, to publikuje to. I to akurat dobrze współgra z metodologią tworzenia algorytmów kryptograficznych – mamy taką metodologię, która była już zaproponowana w XIX wieku – przez uczonego, który nazywał się Auguste Kerckhoffs. On zgłosił taki postulat, który przetrwał do dzisiaj i nazywa się zasadą Kerckhoffsa, że algorytmy kryptograficzne powinny być jawne, co brzmi może paradoksalnie, bo kryptografia z definicji kojarzy się z tajnością, ale zasada Kerckhoffsa mówi, że wszystko powinno być robione przy założeniu, że będzie to bezpieczne, nawet gdy algorytm zostanie ujawniony.

To, co jest tajne, to jest klucz, który wybieramy losowo przy każdym nowym użyciu, natomiast sam algorytm jest upubliczniony. W związku z tym to działa tak, że algorytmy, które są obecnie w użyciu masowym, zostały wymyślone w procesie naukowym, przeanalizowane w ramach otwartej społeczności naukowej, która – mówiąc potocznym językiem – bierze taki algorytm na tapetę i próbuje go złamać. One są potem używane w praktyce i myślenie jest takie, że skoro wielu naukowców na całym świecie próbuje te algorytmy złamać i nie ma żadnego postępu, to znaczy, że te algorytmy są najprawdopodobniej bezpieczne. To jest ten wkład nauki w kryptografię, że my tworzymy algorytmy i te algorytmy naprawdę są używane w praktyce.

Czy podobnie to wygląda w sferze związanej z aktywnością państwa i jego sekretami, które muszą być szyfrowane?

Prof. dr hab. Stefan Dziembowski: Trudno mi powiedzieć jak działa to na styku państwa z firmami, bo jestem naukowcem i to, co robię w tej chwili, to są zastosowania w blockchainie, którymi służby w niewielkim stopniu się interesują. To są inne aspekty kryptografii. Bardziej komercyjne i mniej związane z zastosowaniami, które interesują np. wojsko. Istnieje jednak cały obszar wojskowych czy - szerzej mówiąc - rządowych zastosowań, ale także biznesowych, gdzie myśli się na ten temat trochę inaczej, to znaczy, że jest część kryptografii, która jest utajniana, ale to jest tak robione, że cały czas, tworząc algorytmy, zakładamy, że one prędzej czy później wyciekną, natomiast z powodów komercyjnych czy militarnych, związanych z bezpieczeństwem państwa, jednak nie ujawniamy ich - licząc, że przez jakiś czas pozostaną tajne.

I to, co jest ważne z punktu widzenia rządowych agencji bezpieczeństwa, to jest coś, co w czysto matematycznej kryptografii jest ignorowane. Mam na myśli ataki na same implementacje kryptograficzne. Czyli to jest tak, że algorytmy bywają bezpieczne na papierze, ale w praktyce pojawia się kwestia, czy np. pobór mocy itd. nie zdradza informacji o tym, co znajduje się w środku tego urządzenia. Nam tutaj w Polsce potrzeba bazy naukowej złożonej z ludzi, którzy rozumieją do końca, jak to działa dzięki współpracy z tymi, którzy przekuwają wszystko na praktykę - dodając różne zabezpieczenia.

A czy uczeni z Polski mieli swój udział w opracowaniu rozwiązań, które napłynęły w odpowiedzi na konkurs ogłoszony w 2016 r. przez amerykański National Institute of Standards and Technology (NIST) na opracowanie nowych standardów algorytmów kryptograficznych, mających pomóc wyjść naprzeciw wyzwaniu, jakie w przyszłości stanowić może upowszechnienie komputerów kwantowych o niespotykanej dotąd mocy obliczeniowej?

Prof. dr hab. Stefan Dziembowski: Nie mieli i to pokazuje nasze miejsce na mapie nauki w tej dziedzinie. Było dużo algorytmów z Europy Zachodniej, ze Stanów Zjednoczonych.

Czy nowe algorytmy a) wymiany klucza i b) podpisu elektronicznego, wybrane przez NIST we wspomnianym konkursie, umożliwią opracowanie nowych standardów kryptograficznych, które zapewnią odporność na możliwe przyszłe ataki przeprowadzane z udziałem komputerów kwantowych?

Prof. dr hab. Stefan Dziembowski: Faktycznie konkurs wyłonił nowy standard. Wybrane algorytmy są oparte na solidnej teorii i wydają się bezpieczne, ale to, co wzbudza pewien niepokój, to jest to, że niektóre algorytmy, które zaszły bardzo daleko, bo aż do finału tego konkursu, zostały w ostatniej chwili złamane. Co prawda były one oparte na innych teoriach, ale zostały złamane i to całkowicie.

W tym sensie, że – jak się okazało – można je w parę godzin złamać na laptopie. W dodatku zostały one złamane metodami klasycznymi, a nie kwantowymi, czyli użycie ich pogarsza bezpieczeństwo, podczas gdy one miały być lepsze, bezpieczne również wobec metod kwantowych, podczas gdy okazały się bezbronne nawet wobec zwykłego laptopa. Oczywiście to była trochę inna teoria, inny paradygmat, więc można powiedzieć, że ten problem z bezpieczeństwem niekoniecznie dotyczy tych algorytmów, które zostały wybrane w konkursie, ale w kryptografii ogólnie jest tak, że w dużym stopniu dmuchamy na zimne i możemy wydawać się nieco paranoiczni.

Algorytmy, które są używane od lat 70., czyli takie klasyczne, są dobrze przebadane, tymczasem te, które wygrały konkurs NIST, były badane krócej. Wydaje się więc, że w tym momencie dobrym, pragmatycznym podejściem jest używanie podwójnych algorytmów, to znaczy, że jeśli chcemy być zabezpieczeni przed atakami kwantowymi, to szyfrujmy podwójnie, czyli najpierw klasycznym sposobem, a następnie postkwantowym. I w ten sposób mamy dwa w jednym.

Oczywiście w praktyce to zmniejsza wydajność urządzeń. Na komórkach będzie to powodowało szybsze wyładowywanie się baterii itd. No więc to jest wszystko kwestia tego, na ile chcemy być paranoiczni i jakie mamy mieć zastosowanie, bo umówmy się, że w przypadku zastosowania do takich celów jak bankowość dla zwyczajnych klientów może nie ma to aż tak wielkiego znaczenia, ale w przypadku spraw wagi państwowej to już się liczy, więc wydaje mi się, że najbezpieczniejszym rozwiązaniem jest łączenie tych dwóch metod, czyli tego, co wybrał NIST, ze starymi metodami, co oczywiście otwiera pytanie jak to w sposób inteligentny przeprowadzić i czy można trochę oszczędzić na wydajności, żeby niektórych rzeczy nie robić dwa razy. To jest cały czas pytanie badawcze.

Co w takim razie zapewnia stworzone przez polskie środowisko naukowe łącze transmisyjne kwantowej wymiany klucza między Warszawą a Poznaniem, które uruchomiono w ramach programu badawczego OpenQKD?

Prof. dr hab. Stefan Dziembowski: To, o czym teraz mówimy, to kryptografia kwantowa, która jest zupełnie inna niż postkwantowa. Ona się opiera na założeniu, że między odbiorcą i nadawcą istnieje łącze kwantowe, którym przesyłamy informacje. Jedną z głównych motywacji rozwoju kryptografii kwantowej jest przekonanie, że jej bezpieczeństwo jest oparte na prawach fizyki.

Firmy często mówią, że bezpieczeństwa można dowieść w sposób matematyczny na bazie praw fizyki kwantowej. To niestety nieprawda. Bezpieczeństwo kwantowe w praktyce nie jest cechą matematyczną czegoś, lecz fizyczną, więc mówienie, że można go dowieść matematycznie jest nieprawdziwe. Jest cała dziedzina, która nazywa się quantum hacking. Uprawiają ją ludzie zajmujący się łamaniem kwantowych algorytmów, które – jak się okazało - są bezpieczne tylko na papierze. To jest takie pytanie podstawowe, czy mamy problem i szukamy rozwiązania czy też mamy technologię i szukamy dla niej zastosowań. Fizycy kwantowi raczej reprezentują to drugie podejście, czyli mają fajną technologię kwantową i chcieliby ją koniecznie gdzieś zastosować.

Generalnie w świecie zajmującym się bezpieczeństwem panuje zgoda, że kryptografia kwantowa jest ciekawą dziedziną nauk podstawowych, ale nie ma praktycznego powodu, żeby jej używać. Koszt związany z jej wdrożeniem jest tak ogromny, że trudno wprost wyobrazić sobie przejście na te wszystkie łącza kwantowe.

Jak to w ogóle zrobić np. w warunkach bezprzewodowych, kiedy większość transmisji jest bezprzewodowa? Jak mam zbudować łącze kwantowe między telefonem w kieszeni moich spodni a serwerem na innym kontynencie w warunkach, w których nie chcę ufać żadnemu pośrednikowi, nawet routerowi w moim domu? Istniejące rozwiązania, wbrew temu, co uważa się za złoty standard w bezpieczeństwie (tzw. „end-to-end encryption”), często zakładają, że pośrednicy są zaufani. Parę lat temu opublikowano dokument o nazwie “Manifest Kwantowy”. To było takie wołanie fizyków o więcej pieniędzy na ich badania. Zresztą odniosło skutek, bo dostali te pieniądze. I oni napisali w tym manifeście, że założenie o zaufanych pośrednikach jest zaletą, bo dzięki temu rządy będą mogły podsłuchiwać obywateli. Takie myślenie to jakaś aberracja. Nie chciałbym deprecjonować tej dziedziny nauki, bo sam się zajmuję teorią przez większość mojego życia i wiem, jak ważna jest. Należy rozwijać badania podstawowe.

Kryptografia kwantowa to naprawdę dobrze umotywowana dziedzina nauk podstawowych, ale twierdzenie, że ona jest bardzo praktyczna i komuś dzisiaj koniecznie potrzebna, wydaje się nadużyciem. Uważam, że to jest nie do zastosowania w najbliższych dekadach. No, chyba że nie doceniam siły lobbingowej fizyków, którym uda się przekonać rządy, by zaczęły wymagać wprowadzenia gdzieś połączeń kwantowych.

Ale nie ma żadnych przesłanek, które by na to wskazywały?

Prof. dr hab. Stefan Dziembowski: Żadnych komercyjnych przesłanek nie ma, żeby obecnie używać kryptografii kwantowej. Oczywiście wszystko jest kwestią ceny. Bezpieczeństwo także. Jednak pieniądze, które byłyby potrzebne na zmianę dotychczasowych rozwiązań na kwantowe, lepiej wydać na zabezpieczenie systemów operacyjnych przed atakami.

Rozmawiał Jarosław Jakimczyk

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].