
A mai kvantumbiztos aláírások: nehéz kompromisszumok
Az ML-DSA jelenleg a legjobb, átfogóan szabványosított posztkvantum aláírási eljárás, de rá is igaz, hogy nem mindenható. Az aláírásai és nyilvános kulcsai jelentősen nagyobbak, mint a régi algoritmusoknál; a korábban megszokott trükkök (mint az RSA- vagy az ECC-algoritmusoknál) itt egyszerűen nem működnek. Újabb nemzedékek vannak a láthatáron: a NIST jelenleg kilenc posztkvantum aláírási sémát vizsgál, és a szabványosításra váró FN-DSA (korábban Falcon) is várhatóan hamarosan elkészül. Ám ezek finomítására, tesztelésére és széles körű bevezetésére nem marad idő: a fenyegetések gyorsabbak, mint az új algoritmusok tempója. Ezért az első migráció során az ML-DSA-ra kell támaszkodni. Sőt, ahogy Eric Rescorla is megfogalmazta: „Azokkal az algoritmusokkal harcolsz, amelyek éppen elérhetők, nem azokkal, amelyeket szeretnél.”
A menő újoncok: specialisták és általános megoldások
Az új aláírási algoritmusok között nincs olyan „all-star” sztár, amely minden szempontból verhetetlen lenne. Két fő csoport alakult ki: a specialisták és az általános célú megoldások. A specialisták bizonyos területen rendkívül erősek, de másban gyengék – például az SQIsign aláírásai rendkívül kicsik, ám a generálásuk lassú és bonyolult, a biztonságukat érő támadások elemzése pedig erős matematikai felkészültséget kíván. UOV esetében – 1999 óta ismert multivariáns algoritmus – parányi, 96 bájtos aláírást kapunk, de a nyilvános kulcs elképesztően nagy, 66 kB. Ez bizonyos alkalmazásokban, ahol a kulcsot előre szét lehet osztani (például root tanúsítványoknál), nem zavaró, de egy tipikus TLS-kapcsolatnál már kellemetlen lenne.
Ugyanakkor a strukturált multivariáns algoritmusok (például Rainbow vagy GeMMS) nem váltak be: több támadás is teljesen megbuktatta ezeket, a sima UOV azonban – kellő paraméterezéssel – továbbra is életképes. A wedge nevű támadás ugyan megmutatta, hogy van sebezhetőség, de a paraméterek igazításával orvosolható a probléma. A QR-UOV az UOV-hoz képest ugyan kisebb kulcsot kínál, de így is nagy, a sebessége sem az igazi, és a hozzáadott struktúra miatt könnyebben támadható.
Konzervatív és újszerű hash-alapú aláírások
A hash-alapú aláírások, mint az LMS vagy az SLH-DSA, más úton járnak. Az LMS nagyon kis nyilvános kulcsot kínál, de csak adott számú, például egymillió aláírás elkészítésére képes; ha ennél többet kellene írni, elfogy a lehetőség. Ráadásul az aláíró szervernek gondosan kell vezetnie, hol tart – elég egy rossz állapot-visszaállítás vagy duplikálás, és villámgyorsan kompromittálódhat a rendszer. Az SLH-DSA az állapotmentessége miatt érdekes, viszont elképesztően nagy (akár 8 kB-os) vagy rettenetesen lassú. A NIST javasol egy köztes paraméterezést is; itt már „csak” 3,8 kB az aláírás, de még mindig nagyobb az ML-DSA-44-nél.
FN-DSA, HAWK és a lebegőpontos rémálom
Az FN-DSA-512 (Falcon) minden fontos metrikában jobb, mint az ML-DSA-44: gyorsabb az ellenőrzése, kisebb a kulcs és az aláírás (666 bájt!). Aláíráskészítésnél lassabb, de még így is 25-ször jobb, mint az RSA-2048. Ennek ellenére egy gond nehezíti a bevezetését: biztonságos megvalósításhoz hardveres lebegőpontos számítás szükséges, ami a kriptográfiában szokatlan. Az eltérő lebegőpontos logikák miatt a platformközi biztonság erősen kérdéses, és ha emulációval oldják meg, a sebesség radikálisan visszaesik. Néhány fejlesztés már enyhíti ezt (például fixpontos megközelítések), de egyelőre mindenki keresi az optimális utat. További gond, hogy a 128 bites FN-DSA-512 és a 256 bites FN-DSA-1024 között nincs közbenső szint: ha nő a támadások ereje, duplázni kell a méreteket. A HAWK ugyan hasonló paramétereket kínál, de új, kevésbé bizonyított matematikai problémán alapul, és az utóbbi időben több potenciális támadást is kidolgoztak ellene.
Nullaismeretű bizonyítás és a bizonyításra épülő jövő
A FAEST, MQOM és SDitH sémák érdekes irányt mutatnak: ezek általános problémákon alapuló, nullaismeretű bizonyítással dolgozó rendszerek, így akár vak aláírás vagy anonim azonosítás is építhető rájuk. A biztonságuk konzervatív, de a végrehajtási sebességük és méretük folyamatosan javul. Az SLH-DSA-val szemben a hitelesítési eljárás egyszerűbb, de összességében versenyben maradnak, főleg az extra rugalmasság miatt.
A bevezetés kíméletlen realitása és a következő évek
Érdemes megnézni, mi történt az ML-DSA-val: a beküldéstől a végleges szabványig, sőt a különböző protokollintegrációkig (például TLS, tanúsítványrendszer) minimum nyolc év telt el. Még most is hiányzik néhány egységesítés, például a hibrid aláírásokra vonatkozó megállapodás a TLS-ben, illetve kritikus szoftverekben a teljes támogatás. Ugyanígy az FN-DSA várható bevezetése sem lesz gyors: még ha ma elkészülne a szabványtervezet, reális tömeges alkalmazásra csak 2033 körül számíthatunk.
Összegzés: nem álmodozhatunk tovább jobb algoritmusokról
Az újabb, ígéretes posztkvantum aláírások kifejlesztése elengedhetetlen, de a fenyegetettség tempójához képest lassan haladnak. Az ML-DSA hátrányaival együtt is a legbiztonságosabb és legszélesebb körben elérhető megoldás, ezért az első migrációban erre kell építeni. Ugyanakkor a további kutatások és tesztek nélkülözhetetlenek: a jövőben ezek tehetik hatékonyabbá, karcsúbbá, rugalmasabbá az infrastruktúrát – de az átmenet nem várhat.
