Forskare från katolska universitetet i Leuven har utvecklat en metod för att attackera nyckelinkapslingsmekanismen SIKE (Supersingular Isogeny Key Encapsulation), som ingick i finalen i post-kvantkryptosystemtävlingen som hölls av US National Institute of Standards and Technology (SIKE). inkluderades och ett antal ytterligare algoritmer som klarade de huvudsakliga urvalsstadierna, men skickades för revision för att eliminera kommentarer innan de överfördes till kategorin rekommenderade). Den föreslagna attackmetoden tillåter, på en vanlig persondator, att återställa värdet på nyckeln som används för kryptering baserat på SIDH (Supersingular Isogeny Diffie-Hellman)-protokollet som används i SIKE.
En färdig implementering av SIKE-hackningsmetoden har publicerats som ett skript för det algebraiska systemet Magma. För att återställa den privata nyckel som användes för att kryptera säkra nätverkssessioner, med hjälp av parametern SIKEp434 (nivå 1) på ett enkärnigt system, tog det 62 minuter, SIKEp503 (nivå 2) - 2 timmar 19 minuter, SIKEp610 (nivå 3) - 8 timmar 15 minuter, SIKEp751 (nivå 5) - 20 timmar 37 minuter. Det tog 182 respektive 217 minuter att lösa tävlingsuppgifterna $IKEp4 och $IKEp6 utvecklade av Microsoft.
SIKE-algoritmen är baserad på användningen av supersingular isogeni (cirklar i en supersingular isogenigraf) och ansågs av NIST som en kandidat för standardisering, eftersom den skiljde sig från andra kandidater i sin minsta nyckelstorlek och stöd för perfekt framåtsekretess (komprometterar en av de långsiktiga nycklarna tillåter inte dekryptering av en tidigare avlyssnad session). SIDH är en analog till Diffie-Hellman-protokollet baserat på att cirkla i en supersingular isogen graf.
Den publicerade SIKE-krackningsmetoden är baserad på 2016 föreslagna adaptiva GPST (Galbraith-Petit-Shani-Ti)-attack på supersingular isogena nyckelinkapslingsmekanismer och utnyttjar förekomsten av en liten icke-skalär endomorfism i början av kurvan, med stöd av ytterligare information om torsionspunkten som överförs av agenter som interagerar under protokollet.
Källa: opennet.ru