Začínám sérii snadno čitelných denních příspěvků o postkvantové bezpečnosti. Ale nemám tušení, kolik dní to :) vydrží. Tak se podíváme. DEN 1: Shorův algoritmus a kvantová apokalypsa(?) Většina našeho bezpečnostního stacku – RSA, ECC, Diffie-Hellman – spoléhá na jediný předpoklad: Celočíselná faktorizace a diskrétní logy jsou "těžké". Na klasickém křemíku ano. K rozluštění RSA-2048 byste potřebovali jednoduše více času, než je věk vesmíru. Ale to není fyzikální zákon. Je to omezení klasického výpočtu. V roce 1994 Peter Shor ukázal, že je lze efektivně vyřešit na kvantovém počítači. Shorův algoritmus nepoužívá jen hrubou sílu kláves; používá kvantovou Fourierovu transformaci (QFT [ne kvantová teorie pole]) k nalezení periody funkce f(x) = a^x mod N. Jakmile máte menstruaci, máte faktory. A jakmile máte faktory, soukromý klíč je mrtvý. Protože soukromý klíč lze rekonstruovat z veřejného klíče. Právě ta složitost je skutečná "apokalypsa". Přecházíme z subexponenciálního času do polynomiálního času O((log N)^3). Nemluvíme o desetinásobném zrychlení; mluvíme o přechodu z bilionů let na několik hodin na CRQC. Podobně jako RSA, ani ECC (kryptografie s eliptickou křivkou) NENÍ bezpečná. Díky efektivní algebraické skupinové struktuře vyžaduje prolomení 256bitového ECC klíče ve skutečnosti méně logických qubitů než RSA-2048. --- Díky za přečtení! Zítra si probereme, proč hrozba HNDL (harvest-now-decrypt-later) znamená, že postkvantový přechod musí proběhnout právě teď. (Vizuál: Peter Shor)

Nejsem si jistý, že většina lidí v oblasti soukromí si plně uvědomuje útok typu "sklizeň a dešifruj později". Stále říkáme, že máme ještě n let, než první vyspělý kvantový počítač spustí Shorův algoritmus na skutečném případu. Postkvantová bezpečnost není luxusem budoucnosti, zvlášť pokud jde o systémy ochrany soukromí. Model hrozeb se už změnil: protivníci dnes nepotřebují kvantový počítač, aby zítra prolomili vaše data. Stačí si ho jen vyzvednout. Každá zašifrovaná transakce, zpráva nebo důkaz, který se dostane do veřejného mempoolu nebo řetězce, může být archivován neomezeně dlouho. Jakmile dorazí dostatečně výkonný kvantový stroj, cokoli zašifrovaného podle klasických předpokladů eliptických křivek se stává otevřeným textem. To je problém sklizně a dešifrování později, a tiše to zabíjí záruku, že "zašifrované dnes znamená navždy soukromé." Protokoly ochrany soukromí to musí brát jako zásadní konstrukční omezení. Pokud váš systém spoléhá na ECDH, podpisy secp256k1 pro odvození klíčů nebo na jakékoli šifrování založené na eliptických křivkách uvnitř vaší vrstvy soukromí, už vystavujete své uživatele opožděnému průniku. Rádi si myslíme, že soukromí je okamžitá vlastnost, ale ve skutečnosti je trvalá: musí přežít čas, pokroky v hardwaru a protivníky s dlouhou pamětí a levným úložištěm. Proto je postkvantová bezpečnost pro soukromí mnohem důležitější než obecná autentizace nebo konsenzus. Signaturu lze otáčet. Validační klíč lze migrovat. Ale šifrované texty, jakmile jsou zveřejněny, jsou trvalé. A "dešifrování" není chyba, kterou byste mohli opravit. (Vizuál: Peter Shor)

Skvělá konverzace s ostatními panelisty na pódiu na summitu Privacy and Compliance by @partyactionppl. Díky za organizaci!