Naukowcy z Katolickiego Uniwersytetu w Leuven opracowali metodę atakowania kluczowego mechanizmu enkapsulacji SIKE (Supersingular Isogeny Key Encapsulation), która znalazła się w finale konkursu na kryptosystemy postkwantowe organizowanego przez amerykański Narodowy Instytut Standardów i Technologii (SIKE) został uwzględniony oraz szereg dodatkowych algorytmów, które przeszły główne etapy selekcji, ale zostały przesłane do sprawdzenia w celu wyeliminowania komentarzy przed przeniesieniem do kategorii polecane). Zaproponowana metoda ataku pozwala na odzyskanie na zwykłym komputerze osobistym wartości klucza użytego do szyfrowania w oparciu o protokół SIDH (Supersingular Isogeny Diffie-Hellman) stosowany w SIKE.
Gotowa implementacja metody hakerskiej SIKE została opublikowana w postaci skryptu dla systemu algebraicznego Magma. Odzyskanie klucza prywatnego używanego do szyfrowania bezpiecznych sesji sieciowych przy użyciu parametru SIKEp434 (poziom 1) ustawionego w systemie jednordzeniowym zajęło 62 minuty, SIKEp503 (poziom 2) - 2 godziny 19 minut, SIKEp610 (poziom 3) - 8 godzin 15 minut, SIKEp751 (poziom 5) - 20 godzin 37 minut. Rozwiązanie opracowanych przez Microsoft zadań konkursowych $IKEp182 i $IKEp217 zajęło odpowiednio 4 i 6 minut.
Algorytm SIKE opiera się na wykorzystaniu izogenii supersingularnej (krążącej na wykresie izogenii supersingularnej) i został uznany przez NIST za kandydata do standaryzacji, ponieważ różnił się od innych kandydatów najmniejszym rozmiarem klucza i obsługą doskonałej tajemnicy przekazu (naruszającej jedną kluczy długoterminowych nie pozwala na odszyfrowanie wcześniej przechwyconej sesji). SIDH jest analogiem protokołu Diffiego-Hellmana opartego na okrążaniu superosobliwego wykresu izogenicznego.
Opublikowana metoda pękania SIKE opiera się na zaproponowanym w 2016 roku adaptacyjnym ataku GPST (Galbraith-Petit-Shani-Ti) na supersingularne izogeniczne mechanizmy enkapsulacji klucza i wykorzystuje istnienie małego nieskalarnego endomorfizmu na początku krzywej, wspieranego przez dodatkowe informacja o punkcie skręcenia przekazywana przez agenty współdziałające w procesie protokołu.
Źródło: opennet.ru