Post-kvanttikryptografia puolustukseen: CNSA 2.0 -opas

Kvanttitietokoneet, jotka pystyisivät ajamaan Shorin algoritmia riittävällä skaalalla, murtaisivat julkisen avaimen kryptografian, joka on lähes kaiken nykyisen turvallisen viestinnän perustana: RSA, elliptinen käyräkryptografia (ECC) ja Diffie-Hellman-avaintenvaihto kaikki muuttuisivat turvattomiksi. Puolustusjärjestelmille tämä ei ole hypoteettinen tulevaisuuden ongelma, jota käsitellään aikanaan — se on tunnettu uhka uskottavalla aikataululla, joka edellyttää aktiivista valmistautumista nyt.

"Kerää nyt, pura myöhemmin" (HNDL) -hyökkäysstrategia tarkoittaa, että vastustajat keräävät jo nyt salattua puolustusviestintää ja tallentavat sen purettavaksi, kun riittävän tehokas kvanttitietokone tulee saataville. Pitkäikäinen luokiteltu tieto — strategiset suunnitelmat, tiedustelulähteet ja -menetelmät, kykyarvioinnit — on erityisen riskialtista: jos se salataan nyt algoritmeilla, jotka murtuvat vuoteen 2035 mennessä, sen salassapitoaika on käytännössä rajoitettu.

Kvanttitietokoneuhka: Aikataulu-arviot

Shorin algoritmi, joka kehitettiin vuonna 1994, tarjoaa polynomiaikaisen menetelmän suurten kokonaislukujen tekijöihin jakamiseen — RSA:n turvallisuuden matemaattisen perustan — kun sitä ajetaan riittävän suurella kvanttitietokoneella. Shorin algoritmi ratkaisee myös ECC:n ja Diffie-Hellmanin taustalla olevan diskreetin logaritmin ongelman. Kvanttitietokone, joka on riittävän suuri ajamaan Shorin algoritmia nykyisillä avainkoilla (2048-bittinen RSA, 256-bittinen ECC), vaatii miljoonia loogisia kubitteja erittäin alhaisilla virhenopeuksilla — selvästi nykyisen laitteistokyvyn ulkopuolella.

Uskottavimmat julkiset arviot "kryptografisesti relevantista kvanttitietokoneesta" (CRQC) — joka on riittävän suuri murtamaan nykyisin käytössä olevan julkisen avaimen kryptografian — vaihtelevat vuosien 2030–2035 välillä merkittävällä epävarmuudella molempiin suuntiin. NSA:n vuoden 2022 CNSA 2.0 -neuvonnassa ei hyväksytä tiettyä aikataulua, vaan käytetään vuotta 2035 suunnitteluhorisonttina järjestelmille, jotka tarvitsevat post-kvanttista suojaa. Jotkin tiedusteluarviot ovat aggressiivisempia. Asianmukainen asema puolustusohjelmille on valmistautua CRQC:n saatavuuteen vuoteen 2030 mennessä.

NSA CNSA 2.0: Velvoittavat algoritmit ja siirtymävaatimukset

Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), jonka NSA:n kyberturvallisuusosasto julkaisi syyskuussa 2022, määrittelee kryptografiset algoritmit, jotka on hyväksytty kansallisten turvallisuusjärjestelmien (NSS) suojaamiseen post-kvanttisella aikakaudella. CNSA 2.0 korvaa CNSA 1.0:n ja velvoittaa seuraavat post-kvanttialgoritmit:

ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism), standardoitu FIPS 203:na ja perustuva CRYSTALS-Kyber-algoritmiin, on hyväksytty avainten muodostamisalgoritmi. ML-KEM korvaa RSA:n ja ECDH:n avaintenvaihdossa protokollissa kuten TLS. Kolme parametrijoukkoa on määritelty: ML-KEM-512 (AES-128:aa vastaava turvallisuustaso), ML-KEM-768 (AES-192) ja ML-KEM-1024 (AES-256). CNSA 2.0 määrittelee ML-KEM-1024:n NSS-sovelluksiin.

ML-DSA (Module-Lattice-Based Digital Signature Algorithm), standardoitu FIPS 204:nä ja perustuva CRYSTALS-Dilithiumiin, on hyväksytty digitaalinen allekirjoitusalgoritmi useimmille sovelluksille, korvaten RSA-PSS:n ja ECDSA:n. ML-DSA tarjoaa allekirjoitusturvallisuuden pienemmillä avainkoilla kuin hajautuspohjaiset vaihtoehdot sekä suhteellisen nopean allekirjoituksen ja varmenteen.

SLH-DSA (Stateless Hash-Based Digital Signature Algorithm), standardoitu FIPS 205:nä ja perustuva SPHINCS+:aan, on vaihtoehtoinen digitaalinen allekirjoitusalgoritmi, jonka turvallisuus perustuu hajautustoimintoihin eikä hilapohjaisen matematiikkaan — tarjoten turvallisuusmonimuotoisuuden siltä varalta, että hilapohjainen kryptografia heikkenee tulevaisuuden matemaattisten edistysten myötä. SLH-DSA:lla on huomattavasti suuremmat allekirjoituskoot ja hitaammat operaatiot kuin ML-DSA:lla.

CNSA 2.0:n siirtymäaikataulu: NSA vaatii, että vuodesta 2025 alkaen otettujen käyttöön uusien kansallisten turvallisuusjärjestelmien on tuettava CNSA 2.0 -algoritmeja. Olemassa olevilla järjestelmillä on vaiheistettu siirtymäaikataulu välivaiheineen ja kovana takarajana vuosi 2030 siirtymän saattamiseksi loppuun.

Vaikutus puolustusohjelmistoon: TLS, laiteohjelmisto ja PKI

TLS 1.3 post-kvantti-KEM:llä. Välittömin vaikutus on TLS-avaintenvaihtoalgoritmien korvaaminen. TLS 1.3, nykyinen standardi salattuun web- ja API-viestintään, käyttää ECDHE:tä avainten muodostamiseen. CNSA 2.0:n mukaan tämä on korvattava tai täydennettävä ML-KEM:llä. IETF on julkaissut RFC 9180:n ja siihen liittyviä luonnoksia PQC-avainten kapseloinnista TLS:ssä. Suuret TLS-kirjastot (OpenSSL, BoringSSL) ovat toteuttaneet kokeellisen PQC-salauspakettituen; tuotantotasoinen tuki kehittyy nopeasti.

Digitaaliset allekirjoitukset laiteohjelmistossa. Asejärjestelmät ja sotilaslaitteet käyttävät digitaalisia allekirjoituksia laiteohjelmiston eheyden varmistamiseen. Nämä allekirjoitukset ovat pitkäikäisiä (allekirjoitusavainta voidaan käyttää koko alustan tuotantoiän ajan, 10–20 vuotta) ja ovat siksi korkeammassa riskissä HNDL-hyökkäyksiltä. CNSA 2.0 määrittelee, että NSS-laitteiston laiteohjelmistojen allekirjoituksen on siirryttävä ML-DSA:han tai SLH-DSA:han.

PKI-siirtymä. Puolustuksen PKI-infrastruktuuri — varmenteiden myöntäjät, varmenteiden peruuttamisinfrastruktuuri, varmenteiden hallinta käyttäjille, laitteille ja palveluille — käyttää RSA- tai ECC-avaimia kaikkialla. PKI:n siirtymä tarkoittaa paitsi uusien post-kvanttisertifikaattien myöntämistä myös vanhojen poistamista, uusien luottamusankkureiden jakelua kaikille luottavaisille järjestelmille ja varmistamista, että kaikki sertifikaatteja tarkistava ohjelmisto pystyy käsittelemään post-kvanttisertifikaattimuotoja. Tämä on monimutkainen, monivuotinen infrastruktuurisiirtymä.

Hybridilähestymistapa siirtymän aikana

Siirtymäkauden aikana, kun järjestelmät ovat osittain siirrettyinä ja niiden on toimittava yhteen sekä CNSA 1.0:n että CNSA 2.0:n vastapuolten kanssa, hybridikryptografia yhdistää klassisen ja post-kvanttialgoritmin samaan protokollavaihtoon. Hybriditilassa TLS-yhteydessä sisällytetään sekä ECDHE-avainosa että ML-KEM-avainosa; lopullinen istuntoavain johdetaan molemmista. Tämä tarjoaa suojan sekä klassisia vastustajia (jos PQC:ssä on odottamattomia heikkouksia) että kvanttivastaisia vastustajia (jos klassinen kryptografia murretaan) vastaan.

NSA hyväksyy hybridin siirtymäkaudeksi "vyö ja henkselit" -strategiana: se ei heikennä klassista turvallisuutta lisäten samalla kvanttivastustuskykyä. NIST SP 800-227 (IPD) tarjoaa ohjeita hybridisiin avainten muodostamismekanismeihin. Puolustusohjelmien tulisi toteuttaa hybridi-salauspaketteja nyt — tämä vähentää nykyisten viestintäyhteyksien HNDL-riskiä, kun täydellinen PQC-only-siirtymä etenee.