Como podemos saber com segurança se um tamanho de chave ainda é seguro para uso quando novos computadores quânticos são criados?

7

Ouvi dizer que os computadores quânticos representam uma grande ameaça para a criptografia de chave pública-privada RSA de 1024 bits e até 2048 bits. No futuro, no entanto, chaves de tamanho maior provavelmente estarão em risco em um ponto ou outro, à medida que computadores quânticos mais novos e mais rápidos são criados, para muitos algoritmos (se não todos). Como posso saber com segurança se um tamanho de chave ou mesmo um algoritmo em si é seguro e seguro para uso no momento atual? Existe um site / recurso confiável que calcule quais tamanhos de chave estão atualmente em risco, com base na rapidez com que os computadores quânticos mais novos são? Ou, possivelmente, serão criados novos algoritmos que tentam impedir que computadores quânticos possam quebrá-los facilmente? O objetivo aqui é manter o UX positivo, não tornando o produto lento devido à criptografia, mas os aplicativos mais lentos valem a pena para garantir uma transferência segura de dados.

cryptography

— Alex Jone
fonte

1

Imagino que os primeiros computadores quânticos que representam uma ameaça real aos protocolos clássicos de criptografia serão mantidos em segredo. O que eu disse agora é uma espécie de resposta, mas também é uma opinião. Isso pode ser um problema , consulte o link.

— Kiro

1

Possível duplicata de É possível que exista um método de criptografia impossível de quebrar, mesmo usando computadores quânticos?

— Rob

6

Nós (ou seja, o estado atual da pesquisa) simplesmente não sabemos, mas podemos adivinhar.

$n$ $O(2^{n/2})$ $O(2^n)$

Portanto, o PQC tenta criar criptografia baseada em métodos para os quais atualmente acreditamos que a computação quântica oferece pouca vantagem, como criptografia baseada em treliça ou baseada em codificação. Mas não podemos saber isso com certeza, assim como não sabemos se existem algoritmos clássicos que quebram a criptografia atual 'comercial'.

Observe que, para o RSA, aumentar o tamanho da chave simplesmente não funciona, pois Shor pode levar em consideração o tempo de um polinômio de ordem bastante baixa para quebrar a chave. Em outras palavras, uma chave grande o suficiente para o Shor falhar, é uma chave grande o suficiente para que qualquer operação normal de descriptografia / descriptografia seja impossível.

Então, realmente precisamos de substituições. Felizmente, acho que o PQC começou a tempo e que teremos um bom substituto para o RSA (e outros!) Quando as máquinas verdadeiramente poderosas capazes de executar Shor e Grover chegarem efetivamente.

— Lagarto discreto
fonte

3

Existe um site / recurso confiável que calcule quais tamanhos de chave estão atualmente em risco, com base na rapidez com que os computadores quânticos mais novos são?

Como outras respostas transmitiram, se um determinado algoritmo é suscetível a ataques por computadores quânticos, não é realmente uma questão de ir para um tamanho maior de chave; não seria preciso muito avanço tecnológico para ameaçar esse tamanho maior de chave (e você nunca sabe realmente qual é o estado da arte atual). Vimos pela história dos computadores clássicos (por exemplo, a Lei de Moore) que, depois de ultrapassar um limite básico, são possíveis melhorias exponenciais.

O que outras respostas não mencionaram é a pontualidade. Sim, você pode perguntar "com base em nosso estado atual da tecnologia, uma combinação específica de algoritmo e comprimento de chave é segura?", Mas isso é apenas uma segurança instantânea. Às vezes isso é bom o suficiente. Se você quer concordar com uma reunião clandestina com alguém amanhã, e desde que ninguém descubra isso até depois do fato, tudo bem, você pode usar qualquer algoritmo que tenha respondido sim à pergunta. No entanto, e se essa informação permanecer em segredo por mais tempo? Talvez você esteja enviando por e-mail a alguém a identidade de um agente secreto que eles devem conhecer. Não é bom o suficiente que a identidade desse indivíduo seja protegida agora, mas também deve ser protegida no futuro. Quaisquer dados como esse, você basicamente precisa assumir que, se ele foi criptografado com um algoritmo potencialmente suscetível a ataques por um computador quântico, ele será lido em algum momento e, portanto, será comprometido. Na verdade, se você é super paranóico, deve assumir isso sobre todos os algoritmos de criptografia de qualquer maneira, porque mesmo que a teoria diga que eles são perfeitamente seguros, sua implementação prática pode estar com defeito e suscetível a rachaduras.

Ou, possivelmente, serão criados novos algoritmos que tentam impedir que computadores quânticos possam quebrá-los facilmente?

$\neq$

— DaftWullie
fonte

2

Dado que você menciona tamanhos de chave grandes (1024 bits ou mais), você está falando sobre criptografia assimétrica. Outros esquemas criptográficos (simétricos) são seguros simplesmente dobrando seu tamanho de chave (por exemplo, passando de 128 para 256 bits) porque isso compensa a vantagem teórica do algoritmo de Grover para uma pesquisa exaustiva.

A criptografia assimétrica pode ser dividida em esquemas práticos usados atualmente (essencialmente RSA e ECC) e criptografia pós-quantum.

$O(n^3)$

A criptografia pós-quântica já leva em consideração os computadores quânticos como vetores de ataque. Porém, eles normalmente exigem grandes tamanhos de chave (como mais de 10 kbits).

— pirâmides
fonte