Raport Specjalny | Bezpieczeństwo Banków | W ruchu cyfrowym także należy stosować zasadę ograniczonego zaufania

Czy kryptografia rzeczywiście może nam dziś zagwarantować bezpieczeństwo?

– Warto zastanowić się, jaką rolę odgrywa kryptografia w zastosowaniach związanych z zabezpieczeniami; należy jednak pamiętać, że nie jest ona jedynym bastionem oporu zapewniającym bezpieczeństwo. Jest tylko jednym, choć ważnym i dającym dużo narzędzi, elementem bezpieczeństwa komputerowego i radzi sobie z tym bardzo dobrze. Dla przykładu – myśląc o bezpieczeństwie, możemy rozważać takie jego aspekty, jak niezaprzeczalność transakcji i innych wykonywanych przez użytkowników akcji, zapewnienie anonimowości albo pseudoanonimowości podmiotów w nich uczestniczących oraz zakładać, że nikt nie może podszyć się pod jakiś inny podmiot. Dziś są dostępne skuteczne mechanizmy kryptograficzne do realizacji takich założeń. Jednak ważnym aspektem jest też to, w jaki sposób kryptografia jest stosowana i na to trzeba zwrócić szczególną uwagę.

Kryptografia jest bardzo bliska matematyce i możemy przeprowadzać dowody poprawności pewnych konstrukcji kryptograficznych. Np. stwierdzić, że na obecnym poziomie naszej wiedzy matematycznej i algorytmicznej oraz na obecnym etapie rozwoju technologii komputerowych złamanie danego rozwiązania kryptograficznego jest bardzo mało prawdopodobne. Jednak wcale nie oznacza to, że system, który je implementuje, też będzie bezpieczny. Można powiedzieć, że bezpieczeństwo kryptograficzne nie emanuje swoim bezpieczeństwem na system, w którym dane rozwiązania kryptograficzne są wykorzystywane.

W ostatnich latach nastąpił w kryptografii jakiś znaczący postęp?

– Pewne podwaliny zostały w kryptografii położone już kilkadziesiąt lat temu i są one faktycznie niezmienne. Przykładem jest faktoryzacja dużych liczb, wykorzystywana powszechnie w szyfrowaniu asymetrycznym w algorytmach typu RSA, która dalej funkcjonuje. Również tzw. problem logarytmu dyskretnego jest nadal uznawany za niemożliwy do złamania i jest szeroko wykorzystywany. To, co ostatnio się zmieniło, to paradygmat, zgodnie z którym przestajemy liczyć na zwykłych liczbach, a obliczenia wykonujemy na ich przedłużeniu, czyli na krzywych eliptycznych. Wiąże się to po pierwsze z tym, że liczby, którymi musimy operować, są mniejsze i komputery efektywniej sobie z nimi radzą. Jednocześnie algebra związana z krzywymi eliptycznymi jest znacznie bardziej skomplikowana. W efekcie poziom bezpieczeństwa przy zmniejszeniu parametrów danych algorytmów jest wyższy niż dla parametrów podobnych rozmiarów przy wykorzystaniu zwykłej algebry.

Z drugiej strony, prace w zakresie rozwoju kryptologii wcale się nie zakończyły. Kolejnym wyzwaniem jest choćby tzw. szyfrowanie homomorficzne. Możemy tu zaszyfrować dane i wysłać je innej osobie, która będzie mogła wykonać na nich jakieś operacje (przeprowadzić analizę statystyczną albo dodać jakieś wartości), bez ich odszyfrowywania i uzyska poprawne wyniki swoich operacji, jednocześnie nie dowiadując się niczego o samych danych. To dziś taki Święty Graal kryptografii, czy szerzej mówiąc, obliczeń algebraicznych związanych z kryptografią. Przykładowo, kilka banków mogłoby w ten sposób połączyć swoje dane dotyczące transakcji, zaszyfrować je i wspólnie na nich pracować, zachowując poufność danych swoich klientów. ...