· Michal Pietrus · 2 min read
Suwerenność kryptograficzna: Korea pokazuje, że można
Korea Południowa jako jedyny kraj „Zachodu” (poza USA) stworzyła własne, narodowe standardy post-quantum crypto. To decyzja nie tylko techniczna, lecz strategiczna, pokazująca, że suwerenność cyfrowa zaczyna się nie od kryptografii, lecz od odwagi i pewności we własne możliwości.
Niezależność myślenia wymaga odwagi i pewności we własne możliwości. Nie wiary, że będzie dobrze, a przekonania, że ponieważ to my to zrobiliśmy, to wiemy, jak to jest poskładane.
Niewielki kraj na niewielkim półwyspie poszedł swoją drogą i postawił na swoje post-quantum crypto. Korea Południowa, bo o niej mowa, wybrała drogę, jakiej nie wybrał żaden inny kraj z tzw. świata zachodniego. Choć zarówno schemat SPHINCS+, jak i CRYSTALS-Dilithium to rezultat współpracy zespołów wielonarodowych, przede wszystkim z Europy, to organem standaryzacyjnym pozostaje NIST. Ani niemieckie BSI, ani francuskie ANSSI (ani ENISA) nie wzięły odpowiedzialności za własne programy post-quantum crypto.
Czy suwerenność kryptograficzna ma jakieś znaczenie?
Rzecz w tym, żeby w sprawie własnego (cyfrowego) bezpieczeństwa narodowego rozumieć, na czym się stoi. Wybranie własnych rozwiązań to jednocześnie wzięcie za nie odpowiedzialności.
Dodatkowo, jeśli uwzględnić sytuację geopolityczną Korei Południowej (i jej sąsiadów), a przede wszystkim świadomość władzy i strategiczne decyzje, że robimy swoje i po swojemu, to okaże się, że ich suwerenność kryptograficzna to tylko jeden z elementów większej całości. Przemysł wojskowy i przemysł elektroniczny jest na miejscu. Eksportuje, a nie importuje.
Podejście Korei Południowej jest unikalne w skali „świata zachodniego”. Liczba propozycji biorących udział w koreańskim konkursie wyboru schematów post-quantum pokazuje, że silne zaplecze naukowe jest jednym z fundamentów tej niezależności.
Dla jasności, dla sygnatur cyfrowych Koreańczycy proponują schemat AIMer, bazujący na nieinteraktywnych dowodach wiedzy o zerowej wiedzy (non-interactive zero-knowledge proof of knowledge, NIZKPoK) i funkcji jednokierunkowej AIM2. Żeby zgeneralizować, jest to wariant MPC-in-the-Head, czyli dowód oparty na symulacji klasycznego MPC „sam ze sobą”, a nie na faktycznym obliczaniu wielu stron. Innymi słowy, Korea w tym wariancie poszła w zupełnie inną stronę niż NIST (choć jest kilka wariantów w nowym (dodatkowym) konkursie ogłoszonym przez NIST).
Schemat drugi, tj. HAETAE, jest lattice-based, a zatem konceptualnie podobny do NIST ML-DSA (CRYSTALS-Dilithium).
W przypadku KEM-ów jest podobnie: jeden konceptualnie jest podobny do NIST ML-KEM (SMAUG-T), a drugi (NTRU+) to zupełnie inna rodzina.
W każdym z tych wyborów widać jedną rzecz: to nie kopiowanie cudzych standardów, lecz projektowanie własnych rozwiązań, zgodnych z własnym interesem.
Korea zatem pokazuje, że kompetencje to nie wszystko. Potrzebna jest odwaga, aby powiedzieć: „bierzemy odpowiedzialność za własne bezpieczeństwo”.
Czy Europa jest gotowa zrobić to samo?
Proponuję, żebyśmy w Polsce rozważyli standardy koreańskie na rzecz cyfrowego bezpieczeństwa narodowego w wariancie post-quantum. Na poziomie bezpieczeństwa narodowego nie interoperacyjność ma znaczenie, suwerenność.
