Saya memulai serangkaian posting harian yang mudah dibaca tentang keamanan pasca-kuantum. Tapi saya tidak tahu berapa hari itu akan berlangsung :). Jadi, mari kita lihat. HARI 1: Algoritma Shor dan Kiamat Kuantum (?) Sebagian besar tumpukan keamanan kami—RSA, ECC, Diffie-Hellman—bergantung pada satu asumsi: Faktorisasi bilangan bulat dan log diskrit "sulit". Pada silikon klasik, mereka adalah. Untuk memecahkan RSA-2048, Anda hanya membutuhkan lebih banyak waktu daripada usia alam semesta. Tapi ini bukan hukum fisika. Ini adalah keterbatasan komputasi klasik. Pada tahun 1994, Peter Shor menunjukkan bahwa mereka dapat diselesaikan secara efisien pada komputer kuantum. Algoritma Shor tidak hanya menggunakan kunci brute force; ia menggunakan Transformasi Fourier Kuantum (QFT [Bukan teori medan kuantum lol]) untuk menemukan periode fungsi f(x) = a^x mod N. Setelah Anda mengalami menstruasi, Anda memiliki faktor-faktornya. Dan begitu Anda memiliki faktor-faktornya, kunci pribadi mati. Karena kunci pribadi dapat direkonstruksi dari kunci publik. Pergeseran kompleksitas adalah "kiamat" yang sebenarnya. Kita beralih dari waktu sub-eksponensial ke waktu polinomial O((log N)^3). Kita tidak berbicara tentang percepatan 10x; kita berbicara tentang perpindahan dari triliunan tahun ke beberapa jam di CRQC. Mirip dengan RSA, ECC (kriptografi kurva elips) juga TIDAK aman. Karena struktur gugus aljabarnya yang efisien, memecahkan kunci ECC 256-bit sebenarnya membutuhkan qubit logis yang lebih sedikit daripada RSA-2048. --- Terima kasih telah membacanya! Besok, kita akan membahas mengapa ancaman HNDL (harvest-now-decrypt-later) berarti transisi pasca-kuantum harus terjadi sekarang. (Visual: Peter Shor)

Saya tidak yakin kebanyakan orang di ruang privasi sepenuhnya menyadari serangan panen-sekarang-dekripsi-nanti. Kami terus mengatakan bahwa kami masih memiliki n tahun sampai komputer kuantum matang pertama menjalankan algoritma Shor pada kasus nyata. Keamanan pasca-kuantum bukanlah kemewahan di masa depan, terutama untuk sistem privasi. Model ancaman telah bergeser: musuh tidak membutuhkan komputer kuantum hari ini untuk memecahkan data Anda besok. Mereka hanya perlu mengumpulkannya. Setiap transaksi, pesan, atau bukti terendel yang masuk ke mempool atau rantai publik dapat diarsipkan tanpa batas waktu. Saat mesin kuantum yang cukup kuat tiba, apa pun yang dienkripsi di bawah asumsi kurva elips klasik menjadi teks biasa. Ini adalah masalah panen-sekarang-dekripsi-nanti, dan diam-diam membunuh jaminan bahwa "dienkripsi hari ini berarti pribadi selamanya." Protokol privasi harus memperlakukan ini sebagai kendala desain kelas satu. Jika sistem Anda mengandalkan tanda tangan ECDH, secp256k1 untuk mendapatkan kunci, atau enkripsi berbasis kurva elips apa pun di dalam lapisan privasi Anda, Anda sudah mengekspos pengguna Anda ke pelanggaran tertunda. Kami suka berpikir privasi adalah properti instan, tetapi pada kenyataannya itu adalah properti yang tahan lama: itu harus bertahan dari waktu, kemajuan dalam perangkat keras, dan musuh dengan ingatan panjang dan penyimpanan murah. Inilah sebabnya mengapa keamanan pasca-kuantum jauh lebih penting untuk privasi daripada untuk otentikasi umum atau konsensus. Tanda tangan dapat diputar. Kunci validator dapat dimigrasikan. Tetapi teks sandi, setelah diterbitkan, bersifat permanen. Dan "dekripsi" bukanlah kesalahan yang dapat Anda perbaiki. (Visual: Peter Shor)

Mengobrol hebat dengan sesama panelis di atas panggung di KTT Privasi dan Kepatuhan oleh @partyactionppl. Terima kasih atas organisasinya!