Đầu tháng 7/2022, Viện Tiêu chuẩn và Công nghệ Quốc gia (National Institute of Standards and Technology - NIST) đã công bố những thuật toán chiến thắng trong cuộc thi kéo dài nhiều năm để phát triển các tiêu chuẩn mã hóa mới, được thiết kế để bảo vệ chống lại mối đe dọa giả định (hiện tại) là máy tính lượng tử. Thiết bị phần cứng này được dự đoán một ngày nào đó sẽ có khả năng giải mã mật mã khóa công khai ngày nay một cách dễ dàng (các hệ mật như RSA và Diffie-Hellman). Để ngăn chặn mối đe dọa trong tương lai này, chính phủ Hoa Kỳ đã đầu tư vào việc tạo ra các tiêu chuẩn mã hóa mới có thể vượt qua các cuộc tấn công bằng trong tương lai.
NIST đã tổ chức cuộc thi trong nhiều năm, qua 3 vòng tuyển chọn và thu hút rất nhiều ứng cử viên từ khắp nơi trên thế giới. Sau khi chọn 4 thuật toán để chuẩn hóa, NIST đã công bố 4 ứng viên khác để vào vòng xem xét thứ 4. Đơn vị này cũng có kế hoạch chuẩn hóa các thuật toán mật mã, nghĩa là những thuật toán khác sẽ được so sánh với chúng.
Thật không may! 1 trong 4 thuật toán bổ sung đó có vẻ không được chắc chắn cho lắm - đó là SIKE (Supersingular Isogeny Key Encapsulation). Một tấn công được phát hiện gần đây đã phá vỡ SIKE một cách tương đối dễ dàng. Tệ hơn nữa, máy tính thực hiện cuộc tấn công là một PC lõi đơn (có nghĩa là nó chậm hơn rất nhiều so với PC thông thường của người dùng, có bộ xử lý đa lõi) và chỉ mất một giờ để giải mã mật mã được cho là phức tạp của SIKE.
"Điểm yếu mới được phát hiện rõ ràng là một đòn giáng mạnh vào SIKE. Cuộc tấn công thực sự bất ngờ", David Jao - một trong những người tạo ra chia sẻ.
Cuộc tấn công vào SIKE được phát hiện bởi một nhóm các nhà nghiên cứu bảo mật thuộc Khoa An toàn Máy tính và Mật mã Công nghiệp, được điều hành bởi trường Đại học Katholieke Universiteit Leuven (Bỉ). Nhóm đã xuất bản một bài báo [2] chỉ ra cách một máy tính đơn giản nhưng dùng toán học cao cấp để mở khóa mật mã của SIKE và trích xuất các khóa mã. Tấn công nhằm vào một giao thức được gọi là Supersingular Isogeny Diffie-Hellman (SIDH), là một trong những thành phần cơ bản của SIKE. Bài báo xuất hiện trên trang web của Hiệp hội nghiên cứu mật mã quốc tế ngày 30/7/2022 có tên là “Một tấn công khôi phục khóa hiệu quả trên SIDH (phiên bản sơ bộ)” của Wouter Castryck và Thomas Decru.
Đây là tóm tắt nội dung của bài báo: "Chúng tôi trình bày một tấn công khôi phục khóa hiệu quả trên SIDH, dựa trên Định lý "gắn-và-tách" do Kani đưa ra vào năm 1997. Tấn công của chúng tôi khai thác sự tồn tại của một tự đồng cấu không vô hướng nhỏ trên đường cong ban đầu xuất phát và nó cũng dựa vào thông tin điểm xoắn bổ trợ mà Alice và Bob chia sẻ trong giao thức. Cài đặt Magma của chúng tôi phá vỡ phiên bản SIKEp434 nhằm vào cấp độ bảo mật 1 của quá trình chuẩn hóa mật mã hậu lượng tử do NIST tiến hành, trong khoảng một giờ trên một lõi duy nhất. Đây là phiên bản sơ bộ của một bài báo dài hơn đang được chuẩn bị".
Giải thích rõ thêm là hòn đá tảng của SIKE là giao thức SIDH mà nó bị tổn thương bởi Định lý “gắn-và-tách” cùng với các công cụ được phát kiến bởi các nhà toán học xuất sắc Howe, Leprévost và Poonen vào năm 2000. Kỹ thuật mới xây dựng trên Tấn công thích nghi GPST được diễn tả vào năm 2016. Tấn công này khai thác thực tế là SIDH có các điểm bổ trợ và bậc của đẳng giống bí mật lại được biết. Các điểm bổ trợ trong SIDH luôn là nỗi phiền phức, là điểm yếu tiềm tàng và chúng đã bị khai thác bởi các tấn công gây lỗi, tấn công thích nghi GPST, các tấn công điểm xoắn,… Điểm đặc biệt của tấn công lần này là hoàn toàn tuân theo cách truyền thống và nó không đòi hỏi các máy tính lượng tử.
Việc tạo ra các biện pháp bảo vệ kỹ thuật số không phải là một nhiệm vụ dễ dàng. Tuy nhiên, chúng ta còn phải trải qua một chặng đường dài trước khi mọi bí mật được an toàn trước những kẻ mê toán học tài năng trên thế giới. Cũng cần nói thêm là muốn an toàn hậu lượng tử thì trước hết vẫn phải là an toàn truyền thống.
|
Tài liệu tham khảo 1. . 2. |
Trần Duy Lai
08:00 | 20/08/2020
09:00 | 04/07/2023
14:00 | 04/03/2022
16:00 | 30/11/2022
09:00 | 21/08/2018
15:34 | 30/03/2011
14:00 | 11/09/2024
Ngày nay, các cuộc tấn công mạng ngày càng trở nên phức tạp và tinh vi hơn, các giải pháp bảo đảm an toàn thông tin, an ninh mạng truyền thống đòi hỏi duy trì một lượng lớn dữ liệu về các dấu hiệu xâm nhập, các quy tắc và phải cập nhật thường xuyên khi có bất kỳ hình thức hoặc kỹ thuật tấn công mới nào xuất hiện. Tính tự động hóa trong việc này vẫn còn nhiều hạn chế. Trong bài báo này, nhóm tác giả sẽ trình bày một giải pháp sử dụng ưu điểm vượt trội của công nghệ học máy để dự đoán các truy cập bất thường cụ thể là các cuộc tấn công Dos/DDos, PortScan, Web Attack, Brute Force… từ đó đưa ra các cảnh báo kịp thời và chính xác.
16:00 | 25/06/2024
Với mục tiêu góp phần phát triển chính phủ số, kinh tế số, xã hội số, kiến tạo quốc gia số, Ban Cơ yếu Chính phủ đã chỉ đạo tổ chức nghiên cứu, xây dựng thuật toán mã khối dân sự với tên gọi MKV. Để có thể hiểu rõ hơn về vấn đề này, kính mời quý bạn đọc đón xem Tọa đàm với chủ đề: “MKV - Thuật toán mã khối dân sự phục vụ chiến lược “Make in Vietnam”" sẽ được Tạp chí An toàn thông tin tổ chức vào sáng ngày 28/6.
08:00 | 17/04/2024
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
09:00 | 13/10/2023
Đánh giá năng lực được sử dụng khá nhiều trong các hoạt động của Quản lý nguồn nhân lực. Là thông tin giá trị để phục vụ cho nhiều nghiệp vụ khác nhau. Đánh giá năng lực đối với đánh giá viên thường được lựa chọn dựa theo phương pháp, cách thức, quy trình. Điều này được thực hiện bởi các chuyên gia hay cá nhân có thẩm quyền đánh giá. Từ đó, tổ chứng đánh giá sự phù hợp có thể thu thập thông tin về thực trạng năng lực về kiến thức, kĩ năng, xác định tiềm năng phát triển của cá nhân người được đánh giá. Dựa trên kết quả năng lực của cá nhân đó có thể phân loại nhân viên theo mức độ đáp ứng yêu cầu về năng lực. Từ đó có thể đề ra các phương án phù hợp để phân công giao việc, đào tạo một cách hợp lý. Việc thống kê, phân loại trong quản lý nhân lực vô cùng quan trọng. Mỗi nhóm đối tượng khác nhau sẽ có cách thức, biện pháp quản lý, nâng cao hay khai thác khác nhau. Do đó, các yêu cầu tối thiểu về kiến thức, kỹ năng và yêu cầu hiệu quả của các cá nhân trong dự thảo tiêu chuẩn này nhằm đáp ứn
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
