Towards Post-Quantum OCSP

Abstract

Since the early stage of internet, the necessity of establishing secure connections between two parties has been a fundamental part of it and a continuous topic of study. Public Key Infrastructures or PKI's have been a key part of its development by means of the use of public key cryptography. Shor presented an algorithm in 1994 that was a turn around in the field because it makes possible to break the most currently used algorithms in PKI's, as it has the capability to factor integer numbers in polynomial time using quantum computers. In the past years, and due to the fast improvements in the quantum computers, the topic has become more relevant, as the possibility that in the next decade traditional algorithms become obsolete has become more realistic. Therefore, NIST is in process of standardization of several algorithms that could replace current ones, that are considered to be vulnerable. But for the transition to post quantum, the necessity to study these new algorithms in real protocols is needed. In this work, one of the NIST final round digital signature schemes will be implemented and tested in a PKI protocol. The case of study will be the OCSP protocol, which is a widely used protocol in PKI's to check whether a certificate is revoked or not. The Post-Quantum algorithm to be studied will be Crystals-Dilithium. Various benchmarks are done comparing the performance of this PQ algorithm with two currently widely used, RSA and ECDSA. Results show 50% better CPU performance than RSA and 40% less than ECDSA, in the other hand, it requires around 10x more bandwidth.

Desde los inicios de Internet, la necesidad de establecer conexiones seguras entre dos partes ha sido una parte fundamental de la misma y un tema de estudio continuo. Las Infraestructuras de Clave Pública o PKI's han sido una pieza clave en su desarrollo mediante el uso de la criptografía de clave pública. Shor presentó en 1994 un algoritmo que supuso un giro en el campo porque permite romper los algoritmos más utilizados actualmente en las PKI's, ya que tiene la capacidad de factorizar números enteros en tiempo polinómico utilizando ordenadores cuánticos. En los últimos años, y debido a las rápidas mejoras en los ordenadores cuánticos, el tema se ha vuelto más relevante, ya que la posibilidad de que en la próxima década los algoritmos tradicionales queden obsoletos se ha vuelto más realista. Por ello, el NIST está en proceso de estandarización de varios algoritmos que podrían sustituir a los actuales, que se consideran vulnerables. Pero para la transición a la poscuántica, es necesario estudiar estos nuevos algoritmos en protocolos reales. En este trabajo, se implementará y probará uno de los esquemas de firma digital de la ronda final del NIST en un protocolo PKI. El caso de estudio será el protocolo OCSP, que es un protocolo muy utilizado en PKI's para comprobar si un certificado está revocado o no. El algoritmo poscuántico que se estudiará será Crystals-Dilithium. Se realizan varios benchmarks comparando el rendimiento de este algoritmo PQ con dos de los más utilizados actualmente, RSA y ECDSA. Los resultados muestran un rendimiento de la CPU un 50% mejor que el de RSA y un 40% menos que el de ECDSA, por otro lado, requiere alrededor de 10 veces más de ancho de banda.

Des dels inicis d'Internet, la necessitat d'establir connexions segures entre dues parts ha estat una part fonamental de la mateixa i un tema d'estudi continu. Les Infraestructures de Clau Pública o PKI's han estat una peça clau en el seu desenvolupament mitjançant l'ús de la criptografia de clau pública. Shor va presentar en 1994 un algorisme que va suposar un gir en el camp perquè permet trencar els algorismes més utilitzats actualment en les PKI's, ja que té la capacitat de factoritzar nombres enters en temps polinòmic utilitzant ordinadors quàntics. En els últims anys, i a causa de les ràpides millores en els ordinadors quàntics, el tema s'ha tornat més rellevant, ja que la possibilitat que en la dècada vinent els algorismes tradicionals quedin obsolets s'ha tornat més realista. Per això, el NIST està en procés d'estandardització de diversos algorismes que podrien substituir als actuals, que es consideren vulnerables. Però per a la transició a la postquàntica, és necessari estudiar aquests nous algorismes en protocols reals. En aquest treball, s'implementarà i provarà un dels esquemes de signatura digital de la ronda final del NIST en un protocol PKI. El cas d'estudi serà el protocol OCSP, que és un protocol molt utilitzat en PKI's per a comprovar si un certificat està revocat o no. L'algorisme postquàntic que s'estudiarà serà Crystals-Dilithium. Es realitzen varis benchmarks comparant el rendiment d'aquest algorisme PQ amb dos dels més utilitzats actualment, RSA i ECDSA. Els resultats mostren un rendiment de la CPU un 50% millor que el d'RSA i un 40% menys que el de ECDSA, d'altra banda, requereix al voltant de 10 vegades més d'amplada de banda.