Шифрование TutaCrypt: когда электронные письма играют в прятки с квантами

Немецкая компания Tuta, разработчик защищенного почтового сервиса Tuta Mail с более чем 10 миллионами пользователей, представила новый квантово-устойчивый протокол шифрования — TutaCrypt. Разработка защитит переписку от потенциальных криптоаналитических атак со стороны мощных квантовых компьютеров будущего.

TutaCrypt стал ответом на одну из главных угроз современной криптографии — атаки типа «harvest now, decrypt later (перехвати сейчас, расшифруй позже). Злоумышленники могут собирать и копить зашифрованные данные, чтобы впоследствии декодировать их более совершенными методами, когда вычислительные мощности существенно возрастут.

Новый протокол гибридного типа объединяет два алгоритма: CRYSTALS-Kyber для постквантового шифрования ключей и X25519 для обмена ключами по эллиптической кривой Диффи-Хеллмана. Tuta присоединилась к таким гигантам, как Signal и Apple, использующим гибридный подход для максимальной стойкости к современным и грядущим квантовым атакам.

Для аутентифицированного шифрования в TutaCrypt применяется сочетание AES-256 в режиме CBC с HMAC-SHA-256, обеспечивающее защиту от взлома. Длинные ключи AES-256 для кодирования данных на сервере выводятся из пароля пользователя с помощью алгоритма Argon2.

В основе протокола лежит обмен криптографическими кодами, выводимыми из трех общих секретов: двух, полученных методом Диффи-Хеллмана, и третьего — из процедуры инкапсуляции ключей Kyber. Именно этот сеансовый ключ далее используется для кодирования и декодирования сообщений, их тем, вложений и метаданных.

«С TutaCrypt мы совершаем революцию в безопасности электронной почты, — заявил CEO Tuta Арне Мёле. — Впервые люди могут обмениваться сообщениями, зашифрованными настолько надежно, что даже квантовые компьютеры не смогут их расшифровать. И самое лучшее в Tuta Mail: эта уникальная криптозащита может использоваться для отправки сквозным шифрованием писем кому угодно в мире, вне зависимости от почтового провайдера, просто путем обмена паролями».

Пока что у TutaCrypt есть два основных ограничения. Во-первых, целостность и подлинность сообщений гарантируются обычными, а не квантово-стойкими алгоритмами. Во-вторых, существует риск взлома долговременных ключей пользователей. Но Tuta планирует решить эти проблемы, внедрив квантово-стойкую аутентификацию и улучшив сам протокол.

Новые учетные записи Tuta Mail будут сразу создаваться с TutaCrypt, а для существующих аккаунтов предусмотрен плавный переход посредством постепенной ротации ключей. Никаких дополнительных действий от пользователей не потребуется.