Signal lanceert Triple Ratchet: Quantumbeveiliging tegen toekomstige hacks

FS beschermt berichten uit het verleden tegen toekomstige inbraak, terwijl PCS toekomstige berichten beschermt tegen een compromis in het heden of verleden. Dit 'herstelvermogen' is cruciaal voor de veiligheid van langdurige chatsessies.

Het gat in de beveiliging van de toekomst gedicht

Eerder dit jaar introduceerde Signal al PQXDH, een eerste stap naar kwantumresistentie die ervoor zorgde dat nieuwe chatsessies kwantumveilige cryptografische sleutels gebruiken. Dit beschermt tegen de zogenaamde 'harvest-now-decrypt-later'-aanvallen, waarbij versleutelde data nu wordt opgeslagen in de hoop deze later met een kwantumcomputer te kraken.

De nieuwe SPQR-ratchet pakt echter de beveiliging tijdens een lopende sessie aan. Het oorspronkelijke Signal Protocol maakte gebruik van Elliptic Curve Diffie Hellman (ECDH) voor het continu genereren van nieuwe, onomkeerbare sleutels (het 'ratchetten'). Hoewel ECDH op dit moment veilig is, is het niet kwantumresistent. Mocht een kwaadwillende (zoals 'Mallory') in de toekomst over een krachtige kwantumcomputer beschikken, dan zou ze de ECDH-geheimen uit opgenomen communicatie kunnen afleiden, waardoor een sessie na een inbraak nooit meer zou 'genezen' van de compromis.

De SPQR-ratchet vervangt de ECDH-methode met een kwantumveilige methode die gebaseerd is op een Key-Encapsulation Mechanism (KEM), specifiek ML-KEM 768.

De geboorte van de 'Triple Ratchet'

In plaats van de bestaande, bewezen Double Ratchet te vervangen, heeft Signal ervoor gekozen om de SPQR erlangs te laten draaien. Dit resulteert in het Triple Ratchet-protocol, waarbij de sleutels van beide ratchets worden gemengd via een Key Derivation Function (KDF).

"Een aanvaller moet nu zowel onze elliptic curve als ML-KEM kraken om deze sleutel zelfs maar van willekeurige bits te kunnen onderscheiden. Dit geeft ons een hybride beveiliging," aldus Graeme Connell en Rolfe Schmidt van Signal.

Voor de gemiddelde Signal-gebruiker betekent de uitrol van dit nieuwe protocol geen enkele verandering in de app-ervaring. Door een slimme, geleidelijke uitrol zullen alle gesprekken automatisch en op de achtergrond naar het nieuwe, kwantumresistente protocol migreren.

Efficiëntie en formele verificatie

De implementatie van het kwantumveilige ML-KEM in een ratcheting-protocol stelde de ontwikkelaars voor significante technische uitdagingen. De kwantumveilige sleutels zijn met meer dan 1000 bytes aanzienlijk groter dan de 32-bytes van ECDH, wat een grote impact heeft op bandbreedte.

Om dit aan te pakken, ontwikkelde Signal het ML-KEM Braid-protocol. Dit maakt gebruik van erasure codes om grote sleutelblokken op te splitsen in kleine, redundante 'chunks'. Hierdoor kan de data efficiënt en in parallel worden verstuurd, zelfs als berichten verloren gaan, zonder de beveiliging te ondermijnen. Daarnaast werden de mechanismen zo ontworpen dat het genereren van nieuwe geheimen niet te snel gebeurt, om te voorkomen dat te veel toekomstige 'epoch'-geheimen tegelijkertijd kwetsbaar worden bij een eenmalige inbraak.

Gezien de complexiteit van de nieuwe mechanismen heeft Signal formele verificatie van het protocol met partners als PQShield, AIST, NYU en Cryspen geïntegreerd. Dit proces, waarbij de protocolmodellen met software zoals ProVerif en F* worden geverifieerd, verzekert dat de nieuwe architectuur de vereiste kwantumveilige en klassieke beveiligingsgaranties biedt voordat de code wordt uitgerold.

Met deze stap onderstreept Signal zijn positie als voorloper op het gebied van cryptografische beveiliging, proactief voorbereid op het kwantumtijdperk.