Австралия решила в течение пяти лет отказаться от криптографических технологий из-за опасений того, что достижения в области квантовых вычислений могут сделать текущие алгоритмы ненадёжными задолго до того, как аналогичные меры планируют принять другие страны.
Австралийское управление связи (ASD) опубликовало рекомендации для устройств с высоким уровнем защиты криптографии (High Assurance Cryptographic Equipment, HACE), которые передают и принимают конфиденциальные данные. Они гласят: алгоритмы SHA-256, RSA, ECDSA и ECDH не должны использоваться после 2030 года.
Эксперты отнеслись к обозначенным срокам со скепсисом — они отметили, что рассматриваемые алгоритмы используются практически во всех веб-соединениях:
— ECDH применяется для обмена ключами;
— ECDSA или RSA — для аутентификации серверов;
— SHA-256 — для обеспечения целостности передаваемых данных.
Удаление последнего и вовсе противоречит текущим международным рекомендациям.
Авторы инициативы парировали: квантовые компьютеры (и их ближайшие достижения) могут представлять серьёзную угрозу традиционным методам шифрования из-за способности обрабатывать сложные математические задачи в кратчайшие сроки. Так, в текущем году были одобрены три постквантовых алгоритма: ML-KEM, ML-DSA и SLH-DSA. Эти технологии должны обеспечить защиту данных в условиях роста вычислительных мощностей.
В рекомендациях ASD фигурируют следующие позиции:
— AES. Несмотря на надёжность AES-256, алгоритмы AES-128 и AES-192 будут запрещены к использованию после 2030 года из-за уязвимости перед алгоритмом Гровера.
— RSA. Для RSA минимальный размер ключа должен составлять 3072 бита (128-битная защита), однако полностью отказаться от RSA планируется до 2030 года.
— Хеширование. Хотя SHA-256 на данный момент считается безопасным, ASD рекомендует переход на SHA-384. Примечательно, что SHA-224 и SHA-256 не будут одобрены после 2030 года.
— MAC. В качестве методов аутентификации предлагаются HMAC-SHA256, HMAC-SHA384 и HMAC-SHA512, однако HMAC-SHA256 также попадает под запрет.
— DH и ECDH. Для эллиптических методов обмена ключами минимальное значение — 224 бита. Однако P-256, обеспечивающая 128-битную безопасность, также будет исключена. ASD рекомендует использовать P-384.
— ECDSA. Как и в случае с ECDH, алгоритм требует минимум 224-битной кривой, но он будет выведен из эксплуатации к 2030 году.
Вопрос сроков перехода, однако, остаётся открытым. Возможно, оборудование, не относящееся к категории HACE, получит дополнительное время для обновления.
Независимые специалисты тем временем отмечают: сегодня практически все веб-соединения и элементы защищённой инфраструктуры опираются на ECDH и RSA/ECDSA — обновление систем потребует значительных усилий в течение ближайших лет.