Signal introduce SPQR, un mecanism criptografic care pregătește aplicația pentru provocările aduse de calculatoarele cuantice. Subiectul îl implică pe Signal, aplicația de mesagerie end-to-end gestionată de fundația non-profit Signal Foundation, utilizată de până la 100 de milioane de persoane lunar. Noua componentă, Sparse Post-Quantum Ratchet sau SPQR, este concepută să regenereze continuu cheile de criptare ale conversațiilor și să elimine pe cele vechi, astfel încât mesajele viitoare să rămână protejate chiar dacă un atac compromite cheile anterioare.
Evoluția criptografiei pentru mesagerie instant este presărată cu actualizări care răspund unor amenințări din ce în ce mai avansate, iar acum provocarea este calculul cuantic, tehnologie ce, teoretic, ar putea submina scheme clasice precum Diffie-Hellman. De ani de zile, Signal a pregătit terenul: din 2023 folosește CRYSTALS-Kyber, un mecanism post-cuantic de tip Key-Encapsulation Mechanism (KEM), împreună cu implementări existente de Elliptic Curve Diffie-Hellman. SPQR adaugă un strat peste mecanismul double ratchet actual, transformându-l într-un Triple Ratchet și generând ceea ce echipa numește un „mixed key” cu securitate hibridă.
Cum funcționează în practică? Când trimiți un mesaj, atât Double Ratchet-ul clasic, cât și SPQR decid Ce cheie folosesc pentru următorul mesaj? Fiecare produce o cheie; cele două sunt combinate într-o funcție de derivare a cheii (Key Derivation Function) care îmbină intrările și generează o cheie finală, lungă și sigură. Ideea este să nu te bazezi exclusiv pe un singur mecanism, ci pe o combinație care oferă beneficii din ambele domenii: rezistență la atacuri clasice și protecție post-cuantică.
Din punct de vedere tehnic, SPQR utilizează mecanisme post-quantum ML-KEM (în locul schimbului bazat doar pe curbe eliptice) și implementează tehnici eficiente de chunking și erasure coding. Aceste optimizări sunt importante pentru a controla dimensiunea cheilor și a evita suprasolicitarea lățimii de bandă, un aspect esențial când se face schimb frecvent de chei în mesaje scurte. Designul a fost realizat în colaborare cu PQShield, AIST din Japonia și New York University și se bazează parțial pe cercetări prezentate la USENIX 2025 și Eurocrypt 2025.
Siguranța nu a rămas doar la nivel teoretic: arhitectura a fost verificată formal cu ProVerif, implementarea în Rust a fost testată cu hax, iar Signal anunță că va aplica verificări continue pentru fiecare modificare de cod, astfel încât dovezile de securitate să fie reproducibile la fiecare build. Asta nu cere utilizatorilor vreo acțiune specială: trecerea la SPQR va fi graduală, iar singura necesitate este să menții aplicația actualizată la cea mai recentă versiune. Dacă un client cu SPQR comunică cu unul care nu suportă încă tehnologia, modelul de securitate va retrograda pentru acea sesiune; când SPQR va fi disponibil pentru toți, Signal spune că îl va impune pentru toate sesiunile.
Pe scurt, SPQR ilustrează cum protocoalele criptografice evoluează pentru a rămâne eficiente în fața noilor tehnologii. Denumirile CRYSTALS-Kyber, Triple Ratchet, ProVerif și colaborările cu PQShield sau AIST reflectă atât eforturi academice, cât și aplicate. Miza este păstrarea confidențialității conversațiilor într-un mediu în rapidă schimbare, fără a solicita utilizatorilor acțiuni complicate în plus.
SPQR se încadrează în teme mai largi: tranziția către criptografie post-cuantică, necesitatea verificărilor formale și echilibrul între securitate și performanță în aplicațiile folosite de milioane. Implementarea în Rust și testarea continuă arată o preocupare pentru robustețe, iar compatibilitatea inversă denotă realismul implementării pe o platformă cu o bază mare de utilizatori. Crezi că trecerea la protocoale post-cuantice va deveni norma pentru majoritatea aplicațiilor de mesagerie în următorii ani?
Fii primul care comentează