Разработчики Google Cloud представили квантово-устойчивые цифровые подписи в сервисе управления ключами Cloud Key Management Service (Cloud KMS), открыв доступ к ним в предварительной версии.
В компании рассказывают, что эта инициатива полностью отвечает стандартам Национального института стандартов и технологий (NIST) в области постквантовой криптографии, которые направлены на устранение будущих рисков, связанных со взломом классических схем шифрования при помощи квантовых вычислений.
В компании подчеркивают, что внедрение квантово-устойчивого шифрования имеет решающее значение, поскольку Google Cloud широко применяется финансовыми организациями, крупными предприятиями, государственными учреждениями, объектами критической инфраструктуры и разработчиками ПО.
Cloud KMS — это инструмент управления ключами шифрования в Google Cloud, используемый для безопасной генерации, хранения и управления криптографическими ключами, с помощью которых шифруются и подписываются данные.
Используя обычную криптографию с публичными ключами (например, RSA и ECC), клиенты рискуют подвергнуться атакам типа «собери сейчас, расшифруй потом», которые станут возможны в будущем.
Хотя квантовых компьютеров, способных взломать существующие системы шифрования, пока не существует, специалисты сходятся во мнении, что риск слишком велик, чтобы игнорировать его. Совсем недавно эта обеспокоенность дополнительно усилилась, так как компания Microsoft объявила о создании квантового чипа Majorana 1.
Чтобы обеспечить защиту данных в будущем, Google интегрирует квантово-устойчивую криптографию в софтверную часть Cloud KMS и аппаратные модули безопасности Cloud HSM.
Речь идет о двух алгоритмах: ML-DSA-65 (FIPS 204, алгоритм цифровой подписи на основе решетки) и SLH-DSA-SHA2-128S (FIPS 205, алгоритм цифровой подписи на основе хеша без сохранения состояния).
Криптографические имплементации будут опенсорсными (через библиотеки BoringCrypto и Tink), что позволит обеспечить прозрачность и возможность независимого аудита.
Теперь Cloud KMS позволяет пользователям подписывать и верифицировать цифровые подписи с помощью новых алгоритмов, так же, как и в случае классической криптографии.
