Forscher der Katholischen Universität Leuven haben eine Methode zum Angriff auf den Schlüsselkapselungsmechanismus SIKE (Supersingular Isogeny Key Encapsulation) entwickelt, die ins Finale des Post-Quanten-Kryptosystemwettbewerbs des US-amerikanischen National Institute of Standards and Technology (SIKE) aufgenommen wurde wurde aufgenommen und eine Reihe zusätzlicher Algorithmen, die die Hauptauswahlphasen bestanden, aber zur Überarbeitung geschickt wurden, um Kommentare zu entfernen, bevor sie in die Kategorie der empfohlenen Algorithmen überführt wurden. Die vorgeschlagene Angriffsmethode ermöglicht es, auf einem normalen Personalcomputer den Wert des für die Verschlüsselung verwendeten Schlüssels wiederherzustellen, der auf dem in SIKE verwendeten SIDH-Protokoll (Supersingular Isogeny Diffie-Hellman) basiert.
Eine fertige Implementierung der SIKE-Hacking-Methode wurde als Skript für das algebraische System Magma veröffentlicht. Die Wiederherstellung des privaten Schlüssels, der zur Verschlüsselung sicherer Netzwerksitzungen verwendet wird, mithilfe des Parametersatzes SIKEp434 (Stufe 1) auf einem Single-Core-System dauerte 62 Minuten, SIKEp503 (Stufe 2) – 2 Stunden und 19 Minuten, SIKEp610 (Stufe 3) – 8 Stunden 15 Minuten, SIKEp751 (Stufe 5) – 20 Stunden 37 Minuten. Die Lösung der von Microsoft entwickelten Wettbewerbsaufgaben $IKEp182 und $IKEp217 dauerte 4 bzw. 6 Minuten.
Der SIKE-Algorithmus basiert auf der Verwendung supersingulärer Isogenie (Kreisen in einem supersingulären Isogeniediagramm) und wurde von NIST als Kandidat für die Standardisierung angesehen, da er sich von anderen Kandidaten durch seine kleinste Schlüsselgröße und die Unterstützung für Perfect Forward Secrecy (kompromittierendes Eins) unterschied der Langzeitschlüssel erlaubt keine Entschlüsselung einer zuvor abgefangenen Sitzung). SIDH ist ein Analogon des Diffie-Hellman-Protokolls, das auf dem Kreisen in einem supersingulären isogenen Graphen basiert.
Die veröffentlichte SIKE-Cracking-Methode basiert auf dem 2016 vorgeschlagenen adaptiven GPST-Angriff (Galbraith-Petit-Shani-Ti) auf supersinguläre isogene Schlüsselkapselungsmechanismen und nutzt die Existenz eines kleinen nichtskalaren Endomorphismus am Anfang der Kurve, unterstützt durch zusätzliche Informationen über den Torsionspunkt, die von Agenten übermittelt werden, die im Verlauf des Protokolls interagieren.
Source: opennet.ru