Onderzoekers van de Katholieke Universiteit Leuven hebben een methode ontwikkeld om het sleutelinkapselingsmechanisme SIKE (Supersingular Isogeny Key Encapsulation) aan te vallen, dat werd opgenomen in de finale van de post-quantum cryptosystems-wedstrijd gehouden door het Amerikaanse National Institute of Standards and Technology (SIKE werd opgenomen en een aantal aanvullende algoritmen die de belangrijkste selectiefasen hebben doorstaan, maar ter herziening zijn verzonden om opmerkingen te elimineren voordat ze werden overgebracht naar de categorie aanbevolen). De voorgestelde aanvalsmethode maakt het mogelijk om op een gewone pc de waarde te herstellen van de sleutel die wordt gebruikt voor de codering op basis van het SIDH-protocol (Supersingular Isogeny Diffie-Hellman) dat in SIKE wordt gebruikt.
Een kant-en-klare implementatie van de SIKE-hackmethode is gepubliceerd als script voor het Magma-algebraïsche systeem. Het herstellen van de privésleutel die werd gebruikt om beveiligde netwerksessies te versleutelen, met behulp van de SIKEp434 (niveau 1)-parameterset op een single-core systeem, duurde 62 minuten, SIKEp503 (niveau 2) - 2 uur en 19 minuten, SIKEp610 (niveau 3) - 8 uur 15 minuten, SIKEp751 (niveau 5) - 20 uur 37 minuten. Het duurde respectievelijk 182 en 217 minuten om de door Microsoft ontwikkelde wedstrijdtaken $IKEp4 en $IKEp6 op te lossen.
Het SIKE-algoritme is gebaseerd op het gebruik van supersingulaire isogenie (cirkelend in een supersinguliere isogeniegrafiek) en werd door NIST beschouwd als een kandidaat voor standaardisatie, omdat het verschilde van andere kandidaten in zijn kleinste sleutelgrootte en ondersteuning voor perfecte voorwaartse geheimhouding (waarbij één van de twee wordt gecompromitteerd). van de langetermijnsleutels staat de ontsleuteling van een eerder onderschepte sessie niet toe). SIDH is een analoog van het Diffie-Hellman-protocol, gebaseerd op cirkelen in een supersinguliere isogene grafiek.
De gepubliceerde SIKE-kraakmethode is gebaseerd op de in 2016 voorgestelde adaptieve GPST-aanval (Galbraith-Petit-Shani-Ti) op supersingulaire isogene sleutelinkapselingsmechanismen en maakt gebruik van het bestaan van een klein niet-scalair endomorfisme aan het begin van de curve, ondersteund door aanvullende informatie over het torsiepunt verzonden door agenten die interactie hebben tijdens het proces van het protocol.
Bron: opennet.ru