I ricercatori dell’Università Cattolica di Leuven hanno sviluppato un metodo per attaccare il meccanismo di incapsulamento delle chiavi SIKE (Supersingular Isogeny Key Encapsulation), che è stato incluso nella finale del concorso sui crittosistemi post-quantistici indetto dal National Institute of Standards and Technology (SIKE) degli Stati Uniti. è stato incluso e una serie di algoritmi aggiuntivi che hanno superato le principali fasi di selezione, ma inviati per la revisione per eliminare i commenti prima di essere trasferiti nella categoria dei raccomandati). Il metodo di attacco proposto consente, su un normale personal computer, di recuperare il valore della chiave utilizzata per la crittografia basata sul protocollo SIDH (Supersingular Isogeny Diffie-Hellman) utilizzato in SIKE.
Un'implementazione già pronta del metodo di hacking SIKE è stata pubblicata come script per il sistema algebrico Magma. Per recuperare la chiave privata utilizzata per crittografare le sessioni di rete sicure, utilizzando il parametro SIKEp434 (livello 1) impostato su un sistema single-core, sono stati necessari 62 minuti, SIKEp503 (livello 2) - 2 ore 19 minuti, SIKEp610 (livello 3) - 8 ore 15 minuti, SIKEp751 (livello 5) - 20 ore 37 minuti. Per risolvere i compiti del concorso $IKEp182 e $IKEp217 sviluppati da Microsoft ci sono voluti rispettivamente 4 e 6 minuti.
L'algoritmo SIKE si basa sull'uso dell'isogenia supersingolare (circolare in un grafico di isogenia supersingolare) ed è stato considerato dal NIST come un candidato per la standardizzazione, poiché differiva dagli altri candidati per la dimensione della chiave più piccola e per il supporto per la perfetta segretezza in avanti (compromettendone uno delle chiavi a lungo termine non consente la decrittazione di una sessione precedentemente intercettata). SIDH è un analogo del protocollo Diffie-Hellman basato sul movimento circolare in un grafico isogenico supersingolare.
Il metodo di cracking SIKE pubblicato si basa sull'attacco adattivo GPST (Galbraith-Petit-Shani-Ti) proposto nel 2016 ai meccanismi di incapsulamento della chiave isogenica supersingolare e sfrutta l'esistenza di un piccolo endomorfismo non scalare all'inizio della curva, supportato da ulteriori informazioni sul punto di torsione trasmesse dagli agenti che interagiscono nel processo del protocollo.
Fonte: opennet.ru