Signal je najavio uvođenje Sparse Post-Quantum Ratchet (SPQR), novog kriptografskog mehanizma dizajniranog da pruži otpornost na prijetnje koje dolaze s razvojem kvantnih računara.
SPQR će služiti kao napredni mehanizam koji neprestano ažurira enkripcione ključeve korišćene u konverzacijama, dok stare automatski odbacuje.
Signal je aplikacija za razmjenu poruka i pozive s kraja na kraj enkriptovana, dostupna na više platformi, kojom upravlja neprofitna organizacija Signal Foundation, a procjenjuje se da ima do 100 miliona mjesečno aktivnih korisnika.
Novi komponent obezbjeđuje “forward secrecy” i “post-compromise” bezbjednost, što znači da čak i ako dođe do kompromitovanja ili krađe ključeva, buduće poruke između korisnika ostaju sigurne.
Na kriptografskom nivou, SPQR koristi postkvantne mehanizme za inkapsulaciju ključeva (ML-KEM) umjesto eliptične krive Diffie-Hellman šeme, a dodatno sadrži efikasno segmentiranje i “erasure coding” kako bi upravljao većim veličinama ključeva bez preopterećenja mrežnog saobraćaja.
Signal je još od 2023. koristio CRYSTALS-Kyber (postkvantni KEM) zajedno s implementacijom eliptične krive Diffie-Hellman radi zaštite od kvantnih napada koji bi mogli ugroziti postojeće metode enkripcije.
SPQR, međutim, dolazi kao dodatak postojećem “double ratchet” sistemu, formirajući ono što Signal naziva “triple ratchet” – mehanizam koji generiše posebno snažan „mješoviti ključ“.
„Kada želite poslati poruku, pitate i Double Ratchet i SPQR ‘Koji enkripcioni ključ da koristim za sljedeću poruku?’. Oboje će vam dati ključ,“ objašnjava Signal.
„Umjesto da koristimo jedan od njih direktno, oba se prosljeđuju u funkciju za derivaciju ključa – posebnu funkciju koja od dovoljno nasumičnih ulaza proizvodi bezbjedan kriptografski ključ željene dužine. Time se dobija novi ‘mješoviti’ ključ koji ima hibridnu zaštitu.“
Novi sistem razvijen je u saradnji s kompanijom PQShield, japanskim AIST institutom i Univerzitetom u Njujorku, a tehnička osnova dijelom je zasnovana na radovima sa konferencija USENIX 2025 i Eurocrypt 2025.
Dizajn je formalno verifikovan pomoću alata ProVerif, dok je robusnost Rust implementacije testirana korišćenjem alata hax. Signal planira kontinuiranu verifikaciju svih budućih verzija kako bi se matematički dokazi automatski ponavljali pri svakoj izmjeni koda.
Kompanija je navela da će implementacija SPQR-a biti postepena i da korisnici ne moraju preduzimati nikakve radnje osim redovnog ažuriranja aplikacije.
Novi sistem biće unazad kompatibilan, što znači da će, kada SPQR korisnik komunicira s onim koji još nema podršku za tu tehnologiju, bezbjednosni model privremeno biti snižen.
Kada SPQR postane dostupan svim korisnicima, Signal će ga obavezno primijeniti na sve sesije.
Izvor: BleepingComputer