Vantagem da distribuição de chaves quânticas sobre a criptografia pós-quântica

A criptografia pós-quântica, como a criptografia baseada em treliça, foi projetada para ser segura, mesmo que computadores quânticos estejam disponíveis. Assemelha-se a criptografias atualmente empregadas, mas se baseia em problemas que provavelmente não são solucionáveis ​​com eficiência por um computador quântico.

Obviamente, a pesquisa sobre distribuição de chaves quânticas (QKD) continua. Mas quais são exatamente as vantagens da distribuição de chaves quânticas sobre a criptografia pós-quântica?

O desenvolvimento de uma nova tecnologia como o QKD pode ter grandes efeitos colaterais, e talvez o QKD seja mais econômico ou mais rápido a longo prazo, mas duvido que esse seja o principal motivo.

Se for comprovado que um protocolo de criptografia assimétrica depende de um problema que não pode ser resolvido com eficiência, nem mesmo por um computador quântico, a criptografia quântica se torna amplamente irrelevante.

A questão é que, a partir de hoje, ninguém foi capaz de fazer isso. De fato, esse resultado seria um avanço sério, pois provaria a existência de de NP que não são eficientemente solucionáveis ​​em um computador quântico (embora se acredite que esse seja o caso, ainda não se sabe se há problemas no $\text{NP}$ ).$\text{NP}\!\setminus\!\text{BQP}$

De um modo geral, todos os protocolos clássicos de criptografia assimétrica são seguros sob a suposição de que um determinado problema é difícil de resolver, mas em nenhum caso, até onde sei, ficou provado (no sentido da complexidade computacional) que esse problema é realmente exponencialmente difícil de resolver. resolver com um computador quântico (e para muitos nem mesmo que o problema não é eficiente solucionável com um clássico computador).

Eu acho que isso é bem explicado por Bernstein em sua revisão da criptografia pós-quântica ( Link ). Citando a primeira seção acima, onde ele falou sobre vários protocolos de criptografia clássicos:

Existe um ataque melhor a esses sistemas? Possivelmente. Este é um risco familiar em criptografia. É por isso que a comunidade investe enormes quantidades de tempo e energia na análise criptográfica. Às vezes, os criptoanalistas encontram um ataque devastador, demonstrando que um sistema é inútil para criptografia; por exemplo, todas as opções utilizáveis ​​de parâmetros para o sistema de criptografia de chave pública da mochila Merkle – Hellman são facilmente quebráveis. Às vezes, os criptoanalistas encontram ataques que não são tão devastadores, mas que forçam tamanhos de chave maiores. Às vezes, os criptoanalistas estudam sistemas por anos sem encontrar ataques aprimorados, e a comunidade criptográfica começa a criar confiança de que o melhor ataque possível foi encontrado - ou pelo menos que os invasores do mundo real não conseguirão encontrar nada melhor.

Por outro lado, a segurança do QKD, idealmente , não depende de conjecturas (ou, como costuma ser dito, os protocolos do QKD fornecem, em princípio , segurança teórica da informação ). Se as duas partes compartilham uma chave segura, o canal de comunicação é incondicionalmente seguro, e o QKD fornece uma maneira incondicionalmente segura de trocar tal chave (é claro, ainda sob a suposição de que a mecânica quântica esteja certa). Na Seção 4 da revisão acima mencionada, o autor apresenta uma comparação direta (se possível um pouco tendenciosa) da QKD versus a criptografia pós-quantum. É importante notar que é claro que "segurança incondicional" deve ser entendida no sentido teórico da informação, enquanto no mundo real pode haver aspectos de segurança mais importantes a serem considerados. Também deve-se notar que a segurança e a praticidade do QKD no mundo real não são consideradas factuais por alguns (veja, por exemplo, Bernstein aqui e a discussão relacionada sobre o QKD no crypto.SE ) e que a segurança teórica da informação do QKD protocolos somente é verdadeiro se forem seguidos corretamente, o que significa que a chave compartilhada deve ser usada como um bloco único .

Finalmente, na realidade, também muitos protocolos QKD podem ser quebrados. A razão é que a imperfeição experimental de implementações específicas podem ser exploradas para quebrar o protocolo (ver, por exemplo 1505,05303 , e pag.6 de npjqi201625 ). Ainda é possível garantir a segurança contra esses ataques usando protocolos QKD independentes de dispositivo, cuja segurança depende das violações das desigualdades de Bell e pode provar-se que não depende dos detalhes da implementação. O problema é que esses protocolos são ainda mais difíceis de implementar do que o QKD comum.

A distribuição de chaves quânticas exige que você substitua por atacado toda a sua infra-estrutura de comunicações construída com cabos Ethernet de 5 euros e CPUs de 0,50 euros por links de fibra dedicados de milhões de euros e computadores especializados que realmente fazem criptografia de chave secreta clássica de qualquer maneira.

Além disso, você precisa autenticar as chaves secretas compartilhadas que negocia com a distribuição quântica de chaves, o que provavelmente fará usando criptografia de chave pública clássica, a menos que seja rico o suficiente para pagar mensageiros com malas algemadas nos pulsos.

Mais detalhes de François Grieu no site crypto.se sobre o que torna a criptografia quântica segura.

O cerne da diferença técnica - custos, capacidade de implantação e políticas e divisões de classe - é que o protocolo físico de um sistema QKD se destina a ser projetado para que ele não precise deixar vestígios físicos de que futuras descobertas matemáticas poderiam permitir recuperar retroativamente segredo compartilhado negociado por esses links de fibra dedicados. Em contraste, com a criptografia clássica, os acordos de chave pública pela Internet, onde um bisbilhoteiro registra cada fio, podem, em princípio, ser rompidos por futuras descobertas matemáticas.

Então, em ambos os casos, os pares usam o segredo compartilhado que negociaram, seja com distribuição quântica de chaves ou com acordo clássico de chave pública, como uma chave secreta para criptografia clássica de chave secreta, que em princípio poderia ser quebrada por futuras descobertas matemáticas . (Mas pessoas muito inteligentes e bem-financiadas não fizeram essas descobertas depois de tentar por décadas.) E isso não significa que implementações práticas do QKD também não deixem vestígios físicos .

Tudo isso dito, o QKD é quântico, por isso é sexy e faz uma boa venda para governos e bancos ricos, que possuem fundos discricionários de milhões de euros para brinquedos inúteis como o QKD. A física também é muito legal para os nerds brincarem.

M. Stern lembra outra vantagem do QKD: ele opera na camada de link , negociando uma chave secreta compartilhada pelos dois pontos finais de um link de fibra - que pode ser um usuário legítimo e o MITM que se uniu ao link de fibra com um invasor Dispositivo QKD. Se, na era da supremacia quântica, substituímos por QKD todo o acordo clássico de chave pública de chave do mundo, onde os aplicativos atualmente negociam chaves secretas com seus pares pela Internet para criptografia autenticada de ponta a ponta em qualquer meio roteável , eles em vez disso, teria que negociar chaves secretas com seu ISP , que negociaria segredos com seu ISP upstream, e assim por diante, hop-by-hopcriptografia autenticada. Isso seria um benefício para os mocinhos nos principais governos do mundo que tentam monitorar (retroativamente) as comunicações dos usuários para erradicar terroristas e ativistas e jornalistas e outros elementos inconvenientes da sociedade, porque os ISPs terão, necessariamente, as chaves secretas prontas para serem entregues. para a polícia.