Перейти к содержанию

Взломают ли шифрование на квантовом компьютере в 2023 году? | Блог Касперского


Рекомендуемые сообщения

В последние дни 2022 года «компьютерную» общественность взволновало исследование группы китайских ученых, которые намекают, что, умело комбинируя классические и квантовые вычисления, можно взломать фундаментальный для работы интернет-протоколов криптоалгоритм RSA с длиной ключа 2048 бит уже в ближайшем будущем. Насколько эта угроза реальна? Давайте разберемся.

Квантовая азбука

О теоретической способности квантового компьютера сверхбыстро проводить факторизацию гигантских целых чисел и таким образом подбирать ключи для ряда асимметричных криптоалгоритмов, в том числе RSA, известно уже давно. В нашем блогпосте подробно объяснено, что такое квантовый компьютер, как он работает и почему его сложно построить. Все эксперты единодушно сходились, что достаточно большой для взлома RSA квантовый компьютер построят через десятки лет. Для факторизации (разложения на множители) целого числа длиной 2048 бит, которое обычно используется в качестве RSA-ключа, требуется запустить алгоритм Шора на квантовом компьютере с миллионами кубитов (квантовых битов), то есть речь о деле неблизкого будущего, поскольку самые крутые квантовые компьютеры сегодня содержат 300–400 кубитов — и это после десятков лет исследований.

Но о будущей проблеме активно думают, и эксперты по безопасности призывают начать внедрение постквантовой криптографии, то есть алгоритмов, устойчивых к взлому на квантовом компьютере уже сейчас. На плавный переход, как казалось, есть десяток лет, а то и больше, поэтому новость о том, что RSA-2048 возможно падет уже в 2023 году, стала громом среди ясного неба.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Автор статьи сослался на скептичный ответ, который мы все (кто следит за темой) прочли сразу после новости. Автор статьи упомянул, что Шнорра пока не удалось никому масштабировать и есть мнение, что он не масштабируемый вовсе. Но автор статьи не указал на самый-самый первый аргумент скептиков, тогда как он очень весомый.

 

Quote

Если китайские учёные действительно смогли найти способ взломать RSA и любой другой асимметричный алгоритм, почему же китайское правительство сразу же не засекретило это исследование?

И действительно.

Ссылка на сообщение
Поделиться на другие сайты

В случае, если взломы будут успешными, это распространяется и на менеджеры паролей? Взломают учётку KPM и смогут получить доступ куда угодно?

Ссылка на сообщение
Поделиться на другие сайты

Конкретно исследование было про RSA - асимметричный алгоритм. Тогда как менеджеры паролей используют симметричные алгоритмы, типа AES. То есть _конкретно это_ не задевает менеджеры паролей. Но в общем и в целом квантовые компьютеры как раз и будут теми, что расколят современные алгоритмы. Сейчас начинается эра постквантового шифрования. Вроде как в следующем году NIST объявит, какие алгоритмы будут считаться пригодными для нового времени (в смысле, финалисты уже объявлены, но стандарт сам будет в 24-ом году). Но все умные ребятки уже сегодня начинают готовить свои приложения к постквантовому шифрованию.

 

К слову, все мессенджеры с шифрованием используют как раз асимметричные алгоритмы шифрования :) Хотя и не RSA, а, обычно, ECDH - протокол Диффи-Хеллмана на эллиптических кривых.

 

Есть очень старая, когда-то ещё шутка, про то, что вся современная криптография построена на надежде, что квантовые компьютеры появятся ещё не скоро. Забавно наблюдать, как эта шутка перестала быть шуткой прямо на моих глазах.

 

Ну и кстати, там тоже не всё так просто. Кубиты квантовых компьютеров должны быть правильно запутаны, работать прям вместе, а как раз это сейчас самая большая сложность. Это не как в привычнах компах можно сколько угодно ядер отсыпать, только денег плати.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Хотя «уход» западных поставщиков кибербезопасности больше не мелькает в заголовках новостей, импортозамещение ИБ-решений продолжается. По мере истечения контрактов и накопления ресурсов в организации отдельные задачи ИБ переводятся на выбранных российских поставщиков из Единого реестра отечественного ПО.
      В сфере почтовой безопасности замена Cisco ESA, Fortimail и других западных решений, как правило, происходит одновременно с общим выводом продуктов ранее выбранного вендора из оборота. Наиболее частой российской заменой становится Kaspersky Security для почтовых серверов. Рассмотрим на его примере преимущества, которые получает российская организация от своевременного импортозамещения.
      Повышение уровня защищенности
      Глобальная фрагментация рынка ИБ-решений, которую мы сейчас наблюдаем, понижает уровень защищенности для всех. Каждый ИБ-игрок начинает хуже «видеть» угрозы, доминирующие в тех частях света, где его решения мало распространены. В случае России ситуация усугубляется тем, что зарубежные производители, например Cisco, больше не поставляют свои потоки (фиды) с информацией об угрозах.
      Отечественные поставщики, хорошо знающие актуальный для России ландшафт угроз, постепенно будут наращивать отрыв от западных игроков. Поэтому те, кто перешел на отечественное решение, будут защищены все лучше и лучше по сравнению с теми, кто держится за «ушедших» поставщиков. Для спама и фишинга это наиболее актуально, поскольку такие угрозы всегда очень специализированы для каждого языка и страны.
      «Лаборатория Касперского», продолжая присутствовать на зарубежных рынках и сохраняя многолетнее мировое лидерство в независимых тестированиях по уровню защиты, сможет поддерживать высокий уровень защищенности лучше других российских игроков. Мы, с одной стороны, обладаем глубокими знаниями об актуальных в России угрозах, а с другой, информацией о тактиках злоумышленников за рубежом. К тому же информация о почтовых угрозах обновляется практически в реальном времени — например, базы анти-спама обновляются ежеминутно. Конечно, современная защита не может держаться на одних базах, поэтому наши системы машинного обучения классифицируют входящую почту по тысячам признаков, выявляя не только спам, но и целевые атаки.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Многие онлайн-сервисы позволяют — а иногда даже требуют — настроить двухфакторную аутентификацию с помощью одноразовых кодов. Среди пользователей самым известным и распространенным приложением-аутентификатором, генерирующим эти самые коды, стал Google Authenticator. Почти все сервисы совместимы с ним, а некоторые и вовсе дают ссылку на приложение при настройке двухфакторной аутентификации. Но обязательно ли пользоваться именно аутентификатором Google или можно предпочесть ему одну из многочисленных альтернатив вроде Microsoft Authenticator или Twilio Authy?
      Раз эти альтернативные аутентификаторы существуют и имеют какую-то аудиторию, логично предположить, что они вполне могут быть полноценной заменой Google Authenticator. Но нет ли тут каких-нибудь подводных камней? Для тех, кому некогда читать, могу сразу ответить на этот вопрос: можете не переживать, никаких камней, и даже дно не илистое — чистый песочек. Ну а если интересно разобраться, что, почему да как — читайте дальше.
      Как работают аутентификаторы
      Начнем с того, как вообще работают приложения-аутентификаторы. Несколько открытых стандартов надежной аутентификации были созданы так называемой «Инициативой за открытую аутентификацию» (Initiative for Open Authentication, OATH), объединяющей несколько десятков организаций по всему миру. Именно эти стандарты и лежат в основе приложений-аутентификаторов (на самом деле не только их, но не будем отходить слишком далеко от темы поста).
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Покупатель подносит к терминалу карточку или поддерживающее мобильные платежи устройство, а оплата не срабатывает. Почему? Может быть, была повреждена карточка, может быть, выходит из строя считывающий NFC-чип, но не исключено, что причина в другом — POS-терминал заражен зловредом Prilex, способным клонировать транзакции. Дело в том, что Prilex теперь умеет блокировать оплату через NFC.
      Что такое Prilex и зачем он блокирует транзакции по NFC?
      Prilex — группировка злоумышленников, охотящихся за данными банковских карточек с 2014 года. В последнее время они фокусируются на атаках через POS-терминалы. В конце прошлого года наши эксперты из Kaspersky Global Research and Analysis Team (GReAT) опубликовали подробное исследование эволюции этого зловреда, в котором пришли к выводу, что Prilex — одна из первых группировок, научившихся клонировать транзакции по кредитным картам, даже защищенным чипом и PIN-кодом.
      Но Prilex продолжает эволюционировать — при расследовании очередного инцидента наши эксперты обнаружили новые образцы того же зловреда. Среди усовершенствований — возможность блокировать транзакции через NFC. Дело в том, что при оплате с применением NFC может генерироваться уникальный идентификатор, действительный только для одной транзакции, а это не в интересах мошенников. Соответственно, мешая оплатить покупку бесконтактным способом, злоумышленники пытаются заставить клиента засунуть карточку в устройство.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Работа в сфере ИБ полна стрессов — ежедневное ожидание инцидентов, хронические переработки и бесконечные потоки оповещений дополняются постоянной борьбой с другими подразделениями, которые воспринимают безопасников как досадную помеху в работе. В лучшем случае про ИБ стараются не вспоминать, но в особо тяжелых случаях активно избегают всего, связанного с кибербезопасностью. Закономерный итог: 62% опрошенных «Лабораторией Касперского» топ-менеджеров признают, что недопонимание между бизнесом и ИБ-подразделениями привело к серьезным киберинцидентам. Чтобы изменить отношение к проблемам ИБ в организации, крайне важно заручиться поддержкой на высшем уровне, в совете директоров. Чему же нужно научить своего генерального директора или президента, учитывая, что он вечно занят и, возможно, не настроен думать про ИБ? Вот пять простых тезисов, которые надо повторять от встречи к встрече и детализировать небольшими порциями, пока высшее руководство ими не проникнется.
      Проводите обучение по информационной безопасности, начиная с директоров
      Любое обучение требует доверия к преподавателю, а доверие директора еще нужно заслужить. Установить мостик личных отношений и набрать авторитет будет проще, если начать не со стратегии, а с личной кибербезопасности руководства. Она напрямую влияет на безопасность всей организации, потому что личные данные и пароли директора часто становятся целью злоумышленников.
      Возьмите для примера скандал, случившийся на исходе 2022 года в США, — злоумышленники проникли в «VIP-соцсеть» Infragard, через которую ФБР конфиденциально информировала директоров крупных предприятий о самых серьезных киберугрозах. Хакеры украли базу из 80 тысяч контактных адресов электронной почты и телефонов директоров и выставили ее на продажу за 50 тысяч долларов. Покупатели, предположительно, смогут втереться в доверие к руководителям из этого списка или использовать данные в BEC-атаках.
      Исходя из вышесказанного, руководству очень критично использовать двухфакторную аутентификацию с использованием USB- или NFC-токенов на всех устройствах, применять уникальные и длинные пароли для всех рабочих аккаунтов, защищать все личные и рабочие устройства соответствующим софтом, а также максимально разделять рабочее и личное. В общем, обычные советы осторожному пользователю, но подкрепленные осознанием цены ошибки. По этой же причине важно перепроверять все подозрительные письма и вложения. Некоторым руководителям стоит предложить личную помощь кого-то из отдела ИБ для разбирательства с особо подозрительными ссылками или файлами.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Еще пару десятилетий назад жизнь любителя пива была проста и беззаботна: десяток местных сортов да пара дюжин импортных, перепробуешь их все — и вот ты уже отлично понимаешь свои предпочтения и ориентируешься в предлагаемом ассортименте. Все изменилось с приходом крафтовой революции десятых: и пивоварен-то сейчас стало столько, что все не упомнить, а уж сорта и вовсе меняются как картинки в калейдоскопе.
      Как во всем этом разнообразии не потеряться? Конечно же, с помощью приложения. Таких есть несколько, но стандартом среди поклонников крафтового пива де-факто стал Untappd. По сути это специализированная социальная сеть, в которой пользователи могут не только найти информацию о почти любом существующем в мире пиве, но также чекинить свои напитки, прикладывая фотографии и указывая подробности о месте приобретения и распития, ставить им оценки, отмечать своих друзей, составлять вишлисты и многое другое.
      Но, конечно, нельзя забывать, что не все люди одинаково спокойно относятся к употреблению алкоголя. Даже в максимально толерантных к этому культурах излишняя откровенность порой может привести к проблемам, и, когда речь идет о таком неоднозначном вопросе, стоит позаботиться о приватности.
      Согласитесь, делиться своими пивными похождениями со всем миром — не самое разумное решение. К сожалению, разработчики приложений для ценителей пива и вина почему-то так не считают. Как мы уже рассказывали, Vivino по умолчанию делает все действия пользователя в приложении открытыми для всего Интернета — их можно банально найти в поисковике. Точно так же ведет себя и Untappd: по дефолту ваши крафтовые приключения доступны всем желающим. Поэтому имеет смысл потратить немного времени, чтобы правильно настроить приватность в Untappd, — рассказываем, как же это сделать.
      1. Сделайте свой профиль закрытым
      Начнем с самого главного совета: сделайте свой профиль закрытым. Серьезно, вот прямо сейчас — возьмите и сделайте. Если этим не озаботиться, кто угодно сможет увидеть множество интересных подробностей о ваших чекинах просто через Интернет, даже не устанавливая приложение. С помощью поиска в Сети о вас можно будет узнать следующее:
      Максимально подробную информацию о пяти последних чекинах: фотографии, даты, геометки, отмеченных в них друзей, лайки и комментарии. Менее подробную информацию о 25 последних чекинах нового пива, включая даты. Данные о большинстве остальных ваших чекинов: дело в том, что поиск по ключевым словам с сортировкой и фильтрами по всем вашим отметкам почему-то не закрыт даже для незалогиненных пользователей, что позволяет получить доступ ко всем вашим чекинам — к счастью, не со всеми подробностями. Информацию о 25 локациях, в которых вы чаще всего делаете чекины. Опять-таки, с помощью сортировки и фильтров по категориям можно найти гораздо больше, чем 25 ваших любимых мест. Список ваших друзей. В теории ֫— только 25 ваших самых старых виртуальных собутыльников, но на практике с помощью поиска и сортировки можно обнаружить гораздо больше. Имя и примерное местоположение, если вы указали их в своем профиле. Некоторое количество менее приватной информации: вишлисты, полученные вами беджи, пивоварни, которым вы поставили лайки, и так далее.  
      View the full article
×
×
  • Создать...