Článek
Do Prahy minulý týden zavítal belgický kryptograf Joan Daemen, který se svým kolegou Vincentem Rijmenem vyvinul šifru Rijndael (AES). Pomocí té se šifruje všechno možné od bezdrátové Wi-Fi až po nejtajnější dokumenty americké Národní bezpečnostní agentury (NSA).
V rozhovoru pro Seznam Zprávy Daemen popsal důležitost kryptografie i svůj pohled na bezpečnost dat v moderním světě. Rozhovor se uskutečnil na půdě Fakulty informačních technologií ČVUT před Daemenovou přednáškou pro veřejnost.
Kryptografie dává záruku
Se šifrováním se potkáváme na každém kroku, většina lidí si to ale ani neuvědomuje. Můžete popsat důležitost šifrování v každodenním životě?
Šifrování umožňuje udržet v soukromí věci, které by soukromé být měly. Za starých časů, když někdo poslal dopis, předpokládal, že ho třeba na poště nikdo nebude otvírat a nepřečte si ho nikdo jiný než adresát. Nyní ale dopisy nahrazují e-maily a komunikační aplikace jako WhatsApp nebo Telegram. Požadavek na soukromí je u nich stejný, ale na rozdíl od dopisů na ně nejde dát obálka. Proto se místo ní používá šifrování.
Technologie umožňují zprávy od odesílatele zašifrovat a příjemci je odšifrovat, takže když třeba pošlete zprávu přes WhatsApp z mobilu, dojde k zašifrování ve vašem mobilu a zpráva je odšifrována až v mobilu příjemce zprávy (tzv. end-to-end encryption, pozn. red.).
Ještě chci říct, že kryptografie není jen o šifrování, ale i o autentizaci, která nabízí záruku, že když od někoho dostanete zprávu, poslal ji skutečně on a nikoliv někdo jiný. Moderní kryptografie tedy spočívá v kombinaci šifrování a autentizace.
Ve své přednášce se chystáte mluvit o tom, že blokové šifry, což je typ zahrnující i váš slavný vynález AES, by měly být nahrazeny něčím jiným. Proč?
Ano. Momentálně se všechno šifruje pomocí blokových šifer a jestli chceme udělat pokrok, měli bychom je nahradit něčím lepším, což jsou podle mého názoru deck funkce.
Znamená to, že se podle vás blíží doba, kdy přestanou být blokové šifry efektivní?
To ne. Myslím si, že blokové šifry jsou fajn a není s nimi žádný problém, jen by to mohlo být o něco lepší.
Věděli jsme, co děláme
Vaše bloková šifra AES už se používá přes 20 let, jak je možné, že je pořád bezpečná?
Před touto šifrou byla standardem šifra DES a ta byla vynalezena ještě v době, kdy byla moderní kryptoanalýza (věda zabývající se prolamováním šifer, pozn. red.) ještě v raném dětství. Byla navržena s ohledem na odolnost proti diferenciální kryptoanalýze, která byla sice veřejně objevena až počátkem 90. let, ale v IBM ji znali. O lineární kryptoanalýze nicméně v době návrhu DESu zřejmě nevěděli.
DES tedy neobstála dlouho prostě proto, že vznikla příliš brzy, když ještě nebyla známá lineární kryptoanalýza. Když jsme ale vymýšleli AES, všechny techniky kryptoanalýzy už byly stabilní a známé.
AES má 10 rund (úrovní, pozn. red.), přes které se musíte dostat, abyste ji prolomili, což je hodně. V blokových šifrách, které jsou složené z jednotlivých rund, se s každou další rundou data více a více „promíchávají“, a tím se více a více ztěžuje prolomení šifry.
Když jsme AES vyvinuli, zanalyzovali jsme si, že pomocí tehdejších prostředků jde prolomit nejvíc šest rund a odhadovali jsme, že v blízké budoucnosti půjde prolomit sedm, proto jsme přidali ještě tři rundy. Když se na to podíváme nyní, 24 let po publikaci AES, nejlepší útoky na AES dosáhnou sedmi rund (10 rund má AES, který používá 128 bitový klíč. Varianta se 192 bitovým klíčem má 12 rund a varianta s 256 bitovým klíčem má 14 rund, pozn. red.).
Kdo sbírá vaše data?
Máte pocit, že jsou data obecně celosvětově v bezpečí?
To si opravdu nemyslím.
Žijeme v době, kdy je možné sbírat obrovské množství dat. Dřív se ještě říkalo, že nikdo nemá kapacitu je analyzovat, to už ale neplatí.
Co bezpečnost dat nejvíc ohrožuje?
Největší hrozbou je podle mě masový sběr dat, který je nyní dostupný. Internet začal jako velmi decentralizovaný a nyní je to přesně naopak – malá skupina lidí nebo společností má přístup prakticky ke všem datům. Mám tím na mysli společnosti jako Facebook (dnes už Meta, pozn. red.), Google a třeba i Apple, Samsung a tak dále.
Tyto společnosti mohou sbírat obrovské množství dat, která jsou sice šifrovaná, ale…
Ale co?
Když třeba používáte Google mail, vaše propojení mezi účtem k Gmailu a vámi je zašifrované, ale Gmail jako takový má Google kompletně pod dohledem. Takže když to převedu na příklad komunikace Alice a Boba (běžně používané schéma v kryptografii pozn. red.) – Alice pošle zprávu Bobovi, přičemž chce, aby jen Bob mohl vidět obsah zprávy. Pokud ale použije Gmail, Google zprávu může hned vidět.
V tuto chvíli společnosti data takto využívají pro reklamu a další komerční účely, ale kdyby se všechna tato data dostala do rukou někomu s opravdu zlými záměry, řekněme třeba nějakému diktátorovi, je to opravdu hodně velká hrozba.
Sbírá takto data i někdo jiný nad rámec velkých technologických gigantů?
Samozřejmě se spekuluje i o tom, že to dělají vlády. Mluví se o tom, že například americká Národní bezpečnostní agentura (NSA) sbírá všechna data, dokážu si představit, že ve velkém se data mohou sbírat i v Rusku, v Číně už máme společnost, která není sledována jen na internetu, ale úplně všude prostřednictvím kamer. Tam už je to opravdu jako z knihy 1984 od George Orwella, kde Velký bratr vidí vše.
Tohle všechno už jsou ale politické otázky a já chtěl spíš říct, že jednoduše žijeme v době, kdy je možné sbírat obrovské množství dat. Dřív se ještě říkalo, že nikdo vlastně nemá kapacitu na to, aby mohl sledovat všechno a všechny a reálně z toho získávat informace, ale díky novým technologiím už je skutečně možné obrovské množství dat třídit a dostávat z nich informace. To podle mého názoru představuje velké riziko.
Vlády napříč světem usilují o přístup k datům různých aplikací. Jak tento souboj mezi právem na soukromí a právem na bezpečí vnímáte?
Myslím si, že pro vymáhání práva je to dobré, vždycky s tím ale souvisí riziko, že těchto zadních vrátek někdo zneužije. Je to sice celkově velmi dobrá otázka, ale spíš společenská a politická než technická.
Máme před sebou dlouhou cestu
Šifrování se koneckonců v mnoha aplikacích používá, a může tak komplikovat snahy policie zasáhnout proti kriminální činnosti, je to podle vás dobře?
Ano, podle mě to dobře je. Ono by nebylo špatné mít nějaký mechanismus, který by policie k prolamování šifer mohla používat, ale je velmi těžké udělat něco takového a zajistit, aby toho nikdo nezneužil. A to včetně samotných vládních agentur. Řekl bych, že Edward Snowden (americký whistleblower, který v minulosti pracoval například pro CIA i NSA, pozn. red) ukázal, že NSA nedodržuje pravidla, kterých by se měla držet.
Nejsem fanouškem kryptoměn. Aby byl těžební proces důvěryhodný, musí být drahý.
I tak nicméně panuje podezření, že například Skype se dá sledovat, WhatsApp se prolomit možná dá, možná ne, Signal pravděpodobně ne…
Ještě jednou tedy opakuji, že používání kryptografie v tomto smyslu je podle mě dobré. K tomu, abychom ji využívali opravdu dobře, ale máme ještě před sebou dlouhou cestu.
Co byste řekl někomu, kdo tvrdí, že jednou všechny šifry prolomí kvantové počítače?
Řekl bych, že pokud budou někdy kvantové počítače, existuje možnost, že prolomí asymetrickou kryptografii. Symetrickou kryptografii by to podle mě nepostihlo.
Já nicméně už o příchodu kvantových počítačů slýchám 20 let a vždycky se říká, že už tady budou každým dnem, ale nevidím žádný pokrok. Osobně mě to tedy moc neděsí.
Jste fanouškem kryptoměn?
Nejsem. Kryptoměny nejsou závislé na bankách, což se hodně lidem líbí, protože jsou podle nich banky špatné. Problém je ale v tom, že pokud chcete, aby byla kryptoměna stabilní, potřebujete drahý těžební proces.
Kdyby to totiž nebylo drahé, tak by i jedna entita mohla ovládnout celou věc a narušit systém, takže to drahé být musí. A slovy drahá činnost s přihlédnutím k dnešní době myslím proces, který spotřebovává hodně něčeho, co stojí peníze – v tomto případě tedy elektrickou energii.
Někdo může říct, že se možná podaří přijít s technikou těžby, která tak energeticky náročná nebude, ale ona taková být musí, jinak kryptoměna nebude stabilní. Nejsem expert, ale myslím si, že tohle nemá žádné dobré řešení.
Proč jste si vlastně vybral, že budete dělat zrovna kryptografii?
Někdo si možná myslí, že jsem chtěl před něčím zachraňovat svět, ale tak to nebylo. S kryptografií jsem začal při svém postdoktorandském studiu, předtím jsem nicméně neměl absolutně tušení, co to kryptografie je. Pak mě tato věda ale rychle zaháčkovala.
Je to hodně matematiky a zajímavých problémů, vymýšlíte, jaký je optimální způsob, kterým by šlo dělat tohle nebo tamto. To mě velmi zaujalo. Působilo to trochu jako takzvaná „rekreační matematika“, což je odvětví matematiky, které v praxi nenajde moc využití, ale je zábavné. Já to mám tedy tak, že kryptografie mě baví, jako by to byla rekreační matematika, ale zároveň má i využití.
Mým hlavním cílem je udělat symetrickou kryptografii efektivnější. To znamená vymyslet kryptografické systémy třeba desetkrát efektivnější, než je AES. Když to převedu do praxe, tak by to znamenalo, že za stejný podíl energie například z baterie v mobilu, uděláte desetkrát víc kryptografie. Proto to ale nedělám. Já to dělám prostě proto, že mě to baví. Nejsem žádný bojovník za lidská práva a svobody, to je jen takový hezký vedlejší účinek. A stejný přístup k tomu mají všichni mí kolegové.