Представьте, что ваш зашифрованный трафик злоумышленники записывают прямо сейчас. На первый взгляд, это бессмысленно: расшифровать его классическими методами невозможно. Однако существует стратегия «собери сейчас, расшифруй потом» (Harvest Now, Decrypt Later). Суть такого подхода заключается в накоплении зашифрованных данных сегодня, чтобы взломать их завтра, когда появится достаточно мощный квантовый компьютер, называемый в литературе криптографически-значимым квантовым компьютером (Cryptographically Relevant Quantum Computer – CRQC). По нейтральным оценкам крупных международных корпораций, он может появиться через 5–10 лет. С другой стороны, некоторые криптографы считают, что у спецслужб криптографически значимые квантовые компьютеры появятся к 2029 году, а для широкого пользования – примерно к 2032. Для госсектора и крупного бизнеса, где информация требует защиты десятилетиями, это критическая угроза.

Значительная часть такого трафика передается по защищенным каналам на базе набора протоколов IPsec. Его ключевой компонент – протокол IKEv2, отвечающий за согласование ключей и алгоритмов. Изначально он не был рассчитан на использование постквантовых алгоритмов: большие размеры ключей и подписей создавали эксплуатационные сложности. Однако благодаря техническим расширениям IKEv2 теперь поддерживает гибридный режим – одновременное использование классического протокола Диффи–Хеллмана (он позволяет двум сторонам выработать общий секретный ключ по открытому каналу связи) и постквантовых алгоритмов.

Это решает проблему защиты от стратегии «собери сейчас, расшифруй потом», но одновременно создает новую уязвимость. Пока компании обновляют свои устройства (а это могут быть десятки тысяч узлов в сотнях филиалов), они вынуждены поддерживать и старые, и новые алгоритмы. Именно эту двойственность злоумышленники могут использовать в сценарии, где у атакующей стороны уже есть квантовые вычислительные мощности. В этом случае они получают возможность активно вмешиваться в процесс установления соединения, чтобы вынудить стороны выбрать уязвимый алгоритм. Это называется атакой с понижением уровня защиты, или downgrade-атакой.

О том, как устроены подобные атаки, какое решение предложили авторы черновика стандарта IETF (Internet Engineering Task Force – организации, разрабатывающей стандарты интернета) и как оно внедрено в линейке продуктов «ЗАСТАВА», рассказывает в этом блоге Валерий Смыслов, архитектор системы АО «ЭЛВИС-ПЛЮС» (входит в ГК «Солар»).

Сценарий 1: Активное вмешательство в процесс установления соединения

Этот сценарий относится к атакам типа «человек посередине» (Man in the Middle, MITM). Представим переходный период: крупная организация внедряет постквантовую криптографию, но из-за масштаба инфраструктуры (тысячи устройств, филиалы, подрядчики) политика безопасности временно разрешает использование как новых, так и классических алгоритмов.

Этим и пользуется злоумышленник. Он занимает позицию «человек посередине» (например, через ARP-спуфинг – подмену сетевых адресов в локальной сети) и перехватывает первое сообщение процесса согласования IKEv2 (IKE_SA_INIT) от инициатора. В этом сообщении инициатор перечисляет поддерживаемые алгоритмы обмена ключами. Злоумышленник вырезает из списка постквантовые варианты и формирует измененный пакет, отправляя респонденту только классический протокол Диффи–Хеллмана.

Но чтобы респондент принял модифицированное сообщение, злоумышленник должен подделать подпись инициатора в секции AUTH (на этапе аутентификации, где стороны подтверждают свою подлинность). Для этого необходимо одновременное выполнение двух условий:

• Скомпрометированный долговременный закрытый ключ подписи инициатора (полученный заранее через уязвимость, фишинг или утечку).

• Квантовый компьютер у атакующего прямо сейчас – способный взломать сессионный ключ, выработанный на основе классического Диффи–Хеллмана, в реальном времени, то есть в процессе завершения согласования соединения.

Почему это критично: в IKEv2 при формировании подписи, передаваемой в секции AUTH, используются сессионные ключи. Не зная их, злоумышленник не сможет корректно подделать подпись, даже имея на руках долговременный ключ. Соединение просто не установится.

Если оба условия выполнены, респондент проверяет подпись, видит, что она валидна, и соглашается на соединение с классическим Диффи–Хеллманом. Сессионные ключи выработаны, трафик шифруется – но теперь злоумышленник, зная сессионные ключи (потому что взломал протокол Диффи–Хеллмана), может читать весь последующий обмен в режиме реального времени. Стратегия «собери сейчас, расшифруй потом» в данном случае не применяется: расшифровка происходит мгновенно, поскольку сессионные ключи уже известны атакующему.

Сценарий 2: Когда атакующий – свой

Как и предыдущий, этот сценарий предполагает, что злоумышленник уже обладает квантовым компьютером и находится в позиции «человек посередине» (MITM). Принципиальное отличие – в наличии у него легитимного ключа. Злоумышленник не компрометирует ключи жертвы и не подделывает подписи. Он изначально является легитимным участником инфраструктуры – например, имеет валидный сертификат в той же системе. Респондент воспринимает его как доверенный узел, и это принципиально меняет вектор атаки.

В такой ситуации хакеру не нужно подделывать чужие подписи. Имея легитимный доступ к инфраструктуре, он модифицирует обмен между сторонами и подписывает сообщения своим ключом. При получении предложения инициатора с поддержкой постквантовых алгоритмов злоумышленник исключает их из пакета и пересылает респонденту измененную версию – только с классическим Диффи–Хеллманом. Респондент, не получая сведений о постквантовых алгоритмах, принимает предложение и отправляет ответ.

Важный нюанс: в оригинальном IKEv2 при аутентификации каждая сторона формирует подпись исключительно на основе собственных параметров, но не верифицирует параметры, полученные от контрагента. Из-за этого инициатор и респондент не обнаруживают модификацию исходных предложений в процессе передачи. Злоумышленник подписывает модифицированные сообщения валидной подписью – респондент проверяет подпись, удостоверяет ее корректность и принимает пакет.

Хотя стороны поддерживают постквантовые алгоритмы, и инициатор предлагает их использовать, соединение устанавливается с классическим Диффи–Хеллманом. Трафик шифруется, но теперь он уязвим: поскольку у атакующего есть квантовый компьютер, он может взломать сессионный ключ и читать обмен.

Помимо downgrade, это приводит к так называемой Unknown Key Share (UKS) атаке: ответчик думает, что с ним установил соединение злоумышленник (как легальный участник инфраструктуры), однако на деле он общается с жертвой, а злоумышленник может их послушивать.

Важный нюанс: данный вектор не связан с компрометацией узла жертвы или утечкой ее ключа. Это атака на саму логику согласования параметров в протоколе. Даже если у злоумышленника нет доступа к ключам жертвы, он может, будучи легитимным пиром, манипулировать процессом согласования соединения и вынуждать стороны использовать более слабые алгоритмы.

«Брешь» в архитектуре

Все, что мы описали выше – архитектурная особенность оригинального IKEv2, которую впервые детально описали еще в 2016 году в статье Downgrade Resilience in Key-Exchange Protocols. Ее суть проста и оттого опасна: при аутентификации каждая сторона подписывает только то, что отправила сама, но никак не подтверждает, что именно получила от партнера.

Пока постквантовых алгоритмов не существовало, эта особенность выглядела скорее теоретической уязвимостью. Даже если стороны вынудят использовать чуть менее стойкий вариант Диффи–Хеллмана – без квантового компьютера его все равно не взломать за время установления сессии. Но когда в протокол начали внедрять постквантовые алгоритмы обмена ключами, картина изменилась.

Кристофер Паттон, исследователь из американской компании в сфере сетевой безопасности Cloudflare, развил идею 2016 года применительно к гибридным реализациям IKEv2. Он показал, что если злоумышленник может вырезать постквантовые алгоритмы из предложения, а у него при этом уже есть квантовый компьютер – атака перестает быть теоретической. Она становится вполне реализуемой.

В процессе обсуждения в IETF к этой работе подключился Валерий Смыслов. В результате совместной работы было предложено минимальное, но эффективное изменение: при формировании подписи (AUTH) включать в данные не только локальные параметры, но и те, что были получены от партнера. Если кто-то попытается вырезать постквантовые алгоритмы в процессе передачи, верификация подписей завершится ошибкой, и соединение будет отклонено. Эта доработка зафиксирована в черновике стандарта IETF, где Паттон и Смыслов указаны как соавторы документа.

Однако еще не утвержденный стандарт IETF описывает только логику взаимодействия. Чтобы защита работала, ее необходимо программно реализовать в сетевом оборудовании. Разработчики из «ЭЛВИС-ПЛЮС» учли требования IETF еще на этапе проектирования своей линейки решений «ЗАСТАВА».

Защита на будущее

В отличие от решений, основанных на открытых реализациях IPsec/IKEv2 (например, StrongSwan – популярный проект с открытым исходным кодом для защиты сетевых соединений), «ЗАСТАВА» разработана с нуля на C++. Это дает команде полный контроль над кодовой базой и позволяет оперативно внедрять новые криптографические механизмы без зависимости от сторонних проектов.

Поддержка гибридного режима IKEv2 уже реализована в соответствии с RFC 9242 и RFC 9370 – официальными документами IETF, которые регламентируют, как одновременно использовать классический протокол Диффи–Хеллмана и постквантовые алгоритмы обмена ключами (например, ML-KEM, стандартизированный NIST как FIPS 203). Для российских пользователей важно, что эта архитектура готова к подключению отечественных постквантовых стандартов сразу после их утверждения Техническим комитетом по стандартизации «Криптографическая защита информации» (ТК-26).

Защита от атак с понижением уровня защиты, основанная на подписи полученных параметров согласования, уже реализована в мажорной версии «ЗАСТАВА» 9, которая находится в опытной эксплуатации. В ближайших релизах этот функционал появится и в сертифицированных продуктах. Это делает «ЗАСТАВУ» на текущий момент единственным российским решением, заявляющим о поддержке обоих сценариев downgrade-атаки – как с использованием скомпрометированного ключа инициатора, так и при манипуляциях со стороны легитимного участника инфраструктуры. В обоих случаях злоумышленник занимает позицию «человек посередине» и должен обладать квантовым компьютером.

Заключение

Стратегия «собери сейчас, расшифруй потом» – не гипотетическая угроза, а реальный стимул для перехода на постквантовую криптографию. Однако сам по себе переход создает новую уязвимость: пока компании вынужденно поддерживают и старые, и новые алгоритмы, злоумышленник, уже обладающий квантовым компьютером, может провести атаку с понижением уровня защиты и свести на нет эффективность применяемых средств защиты.

Решение, предложенное Валерием Смысловым и Кристофером Паттоном и зафиксированное в черновике стандарта IETF, закрывает эту брешь на уровне архитектуры протокола. Таким образом в постквантовой миграции выигрывает не тот, кто ждет финальных стандартов от государственных институтов или появления квантового компьютера, который тебя взломает. А тот, кто закрывает архитектурные уязвимости заранее.