RIA: IT-lahendustesse tuleb ehitada võimalus asendada krüptograafilised algoritmid tugevamatega

110__500x_ria1

Riigi Infosüsteemi Ameti tellitud krüptograafiliste algoritmide elutsükli uuring soovitab luua IT-lahendustesse arhitektuurselt võimalus asendada aja möödudes neis kasutatavad krüptograafilised algoritmid uute ja tugevamatega.

„Krüptograafia mureneb vastavalt arvutusvõimsuse kasvule järk-järgult. RSA-l ning diskreetsel logaritmil põhinevate krüptosüsteemide korral tuleb kõikjal võimalikult kiiresti loobuda kuni 1024-bitistest võtmetest. Järgmise viie aasta perspektiivis sobivad kasutamiseks 2048-bitised, keskpikas perspektiivis aga vähemalt 3072-bitised võtmed,“ ütles RIA peadirektori asetäitja küberturvalisuse alal Toomas Vaks.

Ta pööras tähelepanu asjaolule, et tugevuse tagamiseks peavad võtmed tulevikus üha pikenema. Seetõttu võetakse maailmas ja Eestis järjest enam kasutusele elliptkrüptograafia lahendusi, mille puhul on võtmed oluliselt lühemad. „Järgmise viie aasta jooksul peetakse elliptkõverate puhul piisavaks võtmepikkuseks vähemalt 256 bitti,“ ütles Vaks

Uuring andis kinnitust sellele, et lisaks krüptoalgoritmidele endile tuleb tõsiselt tegeleda sellega, kuidas krüptograafilised lahendused on infosüsteemides rakendatud. 2014. aastal ilmnes globaalselt kasutatavates rakendustes suur hulk rakenduslikke vigu (näiteks Heartbleed, POODLE, Winshock), mis muutsid süsteemid haavatavaks ilma, et krüptoalgoritme oleks tegelikult murtud. Aukliku teostuse puhul on võimalik neist lihtsalt mööda minna. Seega toonitame veelkord kõige uuemate turvapaikade installeerimise ning uusimate rakendusversioonide kasutamise olulisust.

„Kui krüptograafia ise mureneb järk-järgult, siis avastatud augud selle rakendatuses võivad lühikese ajaga kaasa tuua ulatuslikke andmelekkeid, mis ei põhjusta ainult konfidentsiaalsuse kadu, vaid võivad halvata ka e-teenuste töö,“ sõnas Vaks.

Lisaks olemasolevate süsteemide krüptokindluse tagamisele tuleb Vaksa sõnul aga jätkuvalt vaadata kaugemale praegustest lahendustest. Uuring heidab muuhulgas valgust teemadele, mis käsitlevad elektroonilise identiteedi üha laiemat kasutamist mobiilsetes seadmetes, kus harjumuspärast ID-kaarti on ebamugav või võimatu kasutada.

„Arvestades kontaktivaba kiibi kasutamise arenguid, peame mõtlema ka sellele, kuidas oleks ID-kaarti võimalik turvaliselt kasutada siis, kui harjumuspäraseks saanud füüsilist kontakti nõudva kaardilugeja asemel tuleb kaarti edaspidi võib-olla ainult lugeja ees korra viibutada,“ lausus Vaks.

Kaugemas tulevikus tuleb aga Vaksa sõnul arvestada ka kvantarvutite tõenäolise võidukäiguga: „Piisavalt arenenud kvantarvutid muudavad praegu kasutuses olevad krüptoalgoritmid suures osas ebaturvaliseks. Hea on tõdeda, et uuringus on välja toodud algoritmid, mis ka n-ö kvantarvutite ajastul jäävad turvaliseks. Täna on need aga selgelt veel akadeemilisel tasemel. Selleks, et neid algoritme oleks võimalik infosüsteemides laialdaselt rakendada, on vaja rahvusvahelisel tasandil tugevat arendustööd.“

Krüptograafiliste algoritmide kasutusvaldkondade ja elutsükli uuringut on RIA tellimusel tehtud kolm korda. Viimasel versioonil on enam kui 10 autorit ja selles on 109 allikaviidet.

Uuringuga saab tutvuda siin: https://www.ria.ee/public/RIA/Kruptograafiliste_algoritmide_uuring_2015.pdf (PDF, 65 lk)

One thought on “RIA: IT-lahendustesse tuleb ehitada võimalus asendada krüptograafilised algoritmid tugevamatega”

Kommenteerimine on suletud.