OpenSSH e criptografia pós-quântica

• OpenSSH suporta algoritmos de criptografia pós-quântica para se proteger contra ataques de computadores quânticos
• A partir da versão 9.0, o algoritmo sntrup761x25519-sha512 é aplicado como padrão e, a partir da 10.0, mlkem768x25519-sha256 passa a ser o método de conexão padrão
• A partir da versão 10.1, há uma mudança que expõe uma mensagem de aviso ao usar troca de chaves sem ser pós-quântica
• A maioria dos algoritmos de assinatura existentes (RSA, ECDSA etc.) também terá suporte adicional no futuro
• Para proteger com segurança o tráfego existente, é necessário aplicar algoritmos pós-quânticos em ambos, servidor e cliente

Introdução da criptografia pós-quântica no OpenSSH

O OpenSSH suporta vários algoritmos de troca de chaves que permanecem seguros contra ataques de computadores quânticos
Recomenda o uso desses algoritmos em todas as conexões SSH

Desde o OpenSSH 9.0 (2022), passou a oferecer por padrão a troca de chaves pós-quântica sntrup761x25519-sha512 e, a partir da versão 9.9, adicionou mlkem768x25519-sha256
A mlkem768x25519-sha256 foi definida como o método de criptografia padrão a partir do OpenSSH 10.0

Para estimular a adoção de algoritmos pós-quânticos, o OpenSSH 10.1 começou a exibir o seguinte aviso quando não se usa troca de chaves resistente a ataques quânticos

** WARNING: connection is not using a post-quantum kex exchange algorithm. **
This session may be vulnerable to "store now, decrypt later" attacks.
The server may need to be upgraded. See https://openssh.com/pq.html

Esse aviso é exibido por padrão, mas pode ser desativado pela opção WarnWeakCrypto do ssh_config(5)

Contexto

Um computador quântico é um dispositivo que calcula com informações codificadas em estados quânticos
Consegue resolver rapidamente certos problemas matemáticos que seriam inviáveis para computadores tradicionais

A base matemática de muitos algoritmos criptográficos está em problemas que podem ser facilmente resolvidos por computadores quânticos
Se surgir um computador quântico suficientemente poderoso (em um nível criptograficamente relevante), existe o risco de esses esquemas de criptografia serem quebrados
Especialmente os algoritmos usados em troca de chaves e assinatura digital são os mais afetados

Embora esses computadores quânticos ainda não tenham se concretizado, especialistas projetam que surgirão em 5 a 20 anos ou em meados da década de 2030

A garantia de privacidade de conexões SSH depende da criptografia de troca de chaves
Se um atacante quebrar o algoritmo de troca de chaves, todo o conteúdo da sessão pode ser descriptografado
Além disso, mesmo sem ser em tempo real, é possível um ataque chamado 'store now, decrypt later', no qual a sessão criptografada é armazenada e depois descriptografada quando, no futuro, houver computadores quânticos

O OpenSSH está fortalecendo o suporte à criptografia pós-quântica para enfrentar esse tipo de ataque

FAQ

Q: Recebi uma notificação de aviso no ssh, o que devo fazer?

• No OpenSSH 10.1 ou superior, um alerta é exibido ao usuário ao usar criptografia não resistente a quântica
• Nesse caso, significa que o servidor conectado não oferece algoritmos de troca de chaves pós-quântica (mlkem768x25519-sha256, sntrup761x25519-sha512)
• O ideal é atualizar o servidor para OpenSSH 9.0+ (ou 9.9+ para este último caso) e conferir se os algoritmos relacionados não estão desativados em KexAlgorithms
• Se a atualização do servidor não for possível ou se decidir assumir o risco, também é possível ocultar apenas o aviso com a opção WarnWeakCrypto no ssh_config(5)
• Se necessário, aplique a medida apenas para hosts específicos, como abaixo

  Match host unsafe.example.com
      WarnWeakCrypto no
  

Q: Se ainda não existem computadores quânticos, por que se preparar com antecedência?

• Por causa do ataque mencionado de 'store now, decrypt later'
• Como o tráfego enviado hoje pode ser descriptografado depois, recomenda-se uma conexão segura para o pós-quântico antecipadamente

Q: Você disse que algoritmos de assinatura também são arriscados. Por que isso não é um problema agora?

• Atualmente, a maioria dos algoritmos de assinatura (como RSA, ECDSA) também pode ser neutralizada por computadores quânticos
• No entanto, nesse caso, não há situação de tráfego existente sendo armazenado para descriptografia futura
• A ação prioritária em relação a algoritmos de assinatura é descontinuar as chaves de assinatura antigas quando a chegada de computadores quânticos estiver se aproximando
• O OpenSSH também deve suportar algoritmos de assinatura pós-quântica futuramente

Q: Acredito que computadores quânticos são impossíveis; por que isso é importante?

• Alguns acham que computadores quânticos não vão se tornar realidade, porém as barreiras atuais não são de física fundamental e sim de engenharia
• Se computadores quânticos forem viáveis, as medidas de hoje resultarão em proteção de enormes volumes de dados dos usuários
• Mesmo que acabe se mostrando desnecessário, trata-se apenas de uma migração para criptografia matematicamente mais forte

Q: E se os algoritmos pós-quânticos também forem vulneráveis?

• O OpenSSH também está adotando uma abordagem cuidadosa
• Embora apenas algoritmos revisados intensivamente nos últimos anos tenham sido selecionados, ainda existe a chance de descoberta de novas técnicas de ataque
• Para cobrir esse cenário, foram adotados apenas algoritmos com ampla margem de segurança, com alta probabilidade de manter segurança operacional prática, mesmo se forem mais fracos do que o esperado
• Além disso, todos os algoritmos pós-quânticos do OpenSSH são do tipo híbrido
  • Exemplo: mlkem768x25519-sha256 combina ML-KEM (pós-quântico) com o algoritmo clássico ECDH/x25519
  • Isso garante que, mesmo que o algoritmo pós-quântico seja neutralizado no futuro, pelo menos o nível de segurança anterior será mantido