Investigadores de la Universidad Católica de Lovaina han desarrollado un método para atacar el mecanismo de encapsulación de claves SIKE (Supersingular Isogeny Key Encapsulation), que fue incluido en la final del concurso de criptosistemas poscuánticos organizado por el Instituto Nacional de Estándares y Tecnología de EE. UU. (SIKE se incluyó y una serie de algoritmos adicionales que pasaron las principales etapas de selección, pero se enviaron a revisión para eliminar comentarios antes de ser transferidos a la categoría de recomendado). El método de ataque propuesto permite, en una computadora personal normal, recuperar el valor de la clave utilizada para el cifrado basado en el protocolo SIDH (Supersingular Isogeny Diffie-Hellman) utilizado en SIKE.
Se ha publicado una implementación lista para usar del método de pirateo SIKE como script para el sistema algebraico Magma. Para recuperar la clave privada utilizada para cifrar sesiones de red seguras, utilizando el parámetro SIKEp434 (nivel 1) establecido en un sistema de un solo núcleo, tomó 62 minutos, SIKEp503 (nivel 2) - 2 horas 19 minutos, SIKEp610 (nivel 3) - 8 horas 15 minutos, SIKEp751 (nivel 5) - 20 horas 37 minutos. Se necesitaron 182 y 217 minutos, respectivamente, para resolver las tareas de competencia $IKEp4 y $IKEp6 desarrolladas por Microsoft.
El algoritmo SIKE se basa en el uso de isogenia supersingular (circulando en círculos en un gráfico de isogenia supersingular) y fue considerado por el NIST como un candidato para la estandarización, ya que se diferenciaba de otros candidatos por su tamaño de clave más pequeño y soporte para un secreto directo perfecto (comprometiendo uno de las claves a largo plazo no permite el descifrado de una sesión previamente interceptada). SIDH es un análogo del protocolo Diffie-Hellman basado en rodear un gráfico isogénico supersingular.
El método de craqueo SIKE publicado se basa en el ataque GPST adaptativo (Galbraith-Petit-Shani-Ti) propuesto en 2016 contra mecanismos de encapsulación de claves isogénicas supersingulares y explota la existencia de un pequeño endomorfismo no escalar al comienzo de la curva, respaldado por información adicional. información sobre el punto de torsión transmitida por los agentes que interactúan en el proceso del protocolo.
Fuente: opennet.ru