PDF Basket
Zagrożenia dla cyberbezpieczeństwa nieustannie ewoluują, a to oznacza, że rozwiązania kryptograficzne również muszą się zmieniać. Zapewnienie użytkownikom Internetu bezpieczeństwa w sieci oznacza duże zapotrzebowanie na zaawansowane rozwiązania kryptograficzne dostosowane do ich konkretnych potrzeb.
„Niestety, ponieważ rozwiązania te były często nękane wadami projektowymi i podatne na błędy, wiele z nich stało się celem głośnych ataków” — mówi Karthikeyan Bhargavan, dyrektor ds. badań we francuskim Instytucie Inria (National Institute for Research in Digital Science and Technology).
Jako specjalista od zabezpieczania wymiany danych w Internecie, Bhargavan dostrzegł możliwość wypełnienia tej luki w zabezpieczeniach. Przy wsparciu finansowanego ze środków UE projektu Circus jego zespół postanowił stworzyć nowe ramy weryfikacji bezpieczeństwa, zdolne do identyfikowania i eliminowania całych klas cyberzagrożeń.
Rezultatem tych wysiłków były wielokrotnie nagradzane badania, które przyczyniły się do opracowania standardu Transport Layer Security znanego jako TLS 1.3. Ten zestaw protokołów kryptograficznych, obecnie używany w prawie każdej ważnej przeglądarce, umożliwia aplikacjom bezpieczną komunikację w Internecie.
Projekt Circus, we współpracy z Microsoft Research i CMU, stworzył również pierwszą formalnie zweryfikowaną, wysokowydajną bibliotekę algorytmów kryptograficznych: HACL*.
Z laboratorium na rynek
Mając do dyspozycji te dwa krytyczne rozwiązania, firmy internetowe, takie jak Mozilla, Linux i Microsoft, wkrótce zwróciły się do zespołu, ale Circus, jako projekt badawczy, nie był przygotowany do dostarczania rozwiązań komercyjnych.
Dzięki wsparciu ze strony Europejskiej Rady ds. Badań Naukowych Bhargavan uruchomił projekt CRYSPEN. „Naszym celem było założenie firmy, która wykorzysta wszystkie badania opracowane w ramach projektu Circus i przekształci je w komercyjnie opłacalne, gotowe do użycia, zweryfikowane rozwiązania kryptograficzne” — wyjaśnia.
Firma, zwana również Cryspen, zajmuje się tworzeniem formalnych narzędzi weryfikacyjnych i matematycznie sprawdzonych rozwiązań programowych, których firmy potrzebują, aby zyskać zaufanie do swoich systemów o krytycznym znaczeniu dla bezpieczeństwa.
„Jednym z naszych kluczowych wyróżników jest to, że nie tylko pomagamy firmom odejść od starszych rozwiązań kryptograficznych, ale robimy to przy użyciu podejścia popartego badaniami, które zapewnia, że wszystko, co dostarczamy, jest sprawdzalnie poprawne i weryfikowalnie bezpieczne” — dodaje Bhargavan.
Po trzech latach portfolio firmy obejmuje kontrakty z głośnymi firmami internetowymi, a także mniejszymi firmami, w tym działającymi w świecie prywatności w Internecie i kryptowalut.
Praca za kulisami
Chociaż prawdopodobnie nawet tego nie wiesz, istnieje duża szansa, że korzystasz z rozwiązania Cryspen — być może nawet teraz, gdy czytasz ten artykuł. „Nasze oprogramowanie i standardy, które współtworzymy, działają za kulisami, pracując nad bezpieczeństwem użytkowników” — zauważa Bhargavan.
Oprócz ochrony większości przeglądarek internetowych, praca Cryspen zapewnia również bezpieczeństwo usług przesyłania wiadomości. To dlatego, że firma przyczyniła się do powstania nowego standardu Messaging Layer Security (MLS).
„Cryspen tworzy wielokrotnie nagradzane oprogramowanie, które może pomóc firmom w przyjęciu nowego standardu MLS i bezpiecznym zintegrowaniu go z ich stackiem technologicznym” — wyjaśnia Bhargavan.
Standard ten jest już używany przez takie firmy jak Cisco, Matrix i Wire, natomiast Bhargavan uważa, że większość głównych usług przesyłania wiadomości wkrótce nie będzie miała innego wyboru, jak tylko zacząć korzystać z otwartego protokołu MLS. „Wraz z nowymi regulacjami, takimi jak ustawa o rynkach cyfrowych, firmy muszą przyjąć interoperacyjność, zwłaszcza jeśli chodzi o komunikację i przesyłanie wiadomości” — zauważa.
Ewolucja w celu sprostania zmieniającym się zagrożeniom cyberbezpieczeństwa
Zdaniem Bhargavana kolejną wielką ewolucją jest kryptografia post-kwantowa. „Wraz z rosnącym zagrożeniem ze strony obliczeń kwantowych, firmy i organizacje muszą zacząć planować transformację post-kwantową” — dodaje Bhargavan. „A to oznacza migrację procesów i aplikacji do kryptografii post-kwantowej, która będzie odporna na ataki komputerów kwantowych”.
Na szczęście, dzięki funduszom unijnym, te firmy i organizacje będą mogły polegać na opartych na badaniach, gwarantowanych rozwiązaniach oferowanych przez firmę Cryspen.