Des chercheurs de l'Université catholique de Louvain ont développé une méthode pour attaquer le mécanisme d'encapsulation de clé SIKE (Supersingular Isogeny Key Encapsulation), qui a été incluse dans la finale du concours de cryptosystèmes post-quantiques organisé par l'Institut national américain des normes et de la technologie (SIKE). a été inclus et un certain nombre d'algorithmes supplémentaires qui ont passé les principales étapes de sélection, mais envoyés pour révision afin d'éliminer les commentaires avant d'être transférés dans la catégorie des recommandés). La méthode d'attaque proposée permet, sur un ordinateur personnel classique, de récupérer la valeur de la clé utilisée pour le chiffrement basé sur le protocole SIDH (Supersingular Isogeny Diffie-Hellman) utilisé dans SIKE.
Une implémentation prête à l'emploi de la méthode de piratage SIKE a été publiée sous forme de script pour le système algébrique Magma. Pour récupérer la clé privée utilisée pour chiffrer les sessions réseau sécurisées, à l'aide du paramètre SIKEp434 (niveau 1) défini sur un système monocœur, il a fallu 62 minutes, SIKEp503 (niveau 2) - 2 heures 19 minutes, SIKEp610 (niveau 3) - 8 heures 15 minutes, SIKEp751 (niveau 5) - 20 heures 37 minutes. Il a fallu respectivement 182 et 217 minutes pour résoudre les tâches de compétition $IKEp4 et $IKEp6 développées par Microsoft.
L'algorithme SIKE est basé sur l'utilisation de l'isogénie supersingulaire (encercler dans un graphe d'isogénie supersingulaire) et a été considéré par le NIST comme un candidat à la normalisation, car il différait des autres candidats par sa plus petite taille de clé et sa prise en charge d'un secret transmis parfait (compromettant un des clés à long terme ne permet pas le décryptage d'une session précédemment interceptée) . SIDH est un analogue du protocole Diffie-Hellman basé sur l'encerclement dans un graphe isogénique supersingulaire.
La méthode de craquage SIKE publiée est basée sur l'attaque adaptative GPST (Galbraith-Petit-Shani-Ti) proposée en 2016 sur les mécanismes d'encapsulation de clé isogénique supersingulaire et exploite l'existence d'un petit endomorphisme non scalaire au début de la courbe, soutenu par des éléments supplémentaires. informations sur le point de torsion transmises par les agents interagissant au cours du protocole.
Source: opennet.ru