Sto iniziando una serie di post giornalieri facili da leggere sulla sicurezza post-quantistica. Ma non ho idea di quanti giorni durerà :). Quindi, vediamo. GIORNO 1: L'Algoritmo di Shor e l'Apocalisse Quantistica(?) Gran parte del nostro stack di sicurezza—RSA, ECC, Diffie-Hellman—si basa su un'unica assunzione: la fattorizzazione intera e i logaritmi discreti sono "difficili." Su silicio classico, lo sono. Per rompere RSA-2048, avresti semplicemente bisogno di più tempo dell'età dell'universo. Ma questa non è una legge fisica. È una limitazione del calcolo classico. Nel 1994, Peter Shor dimostrò che possono essere risolti in modo efficiente su un computer quantistico. L'Algoritmo di Shor non si limita a forzare le chiavi; utilizza la Trasformata di Fourier Quantistica (QFT [Non teoria dei campi quantistici lol]) per trovare il periodo di una funzione f(x) = a^x mod N. Una volta che hai il periodo, hai i fattori. E una volta che hai i fattori, la chiave privata è morta. Perché la chiave privata può essere ricostruita dalla chiave pubblica. Il cambiamento di complessità è la vera "apocalisse." Passiamo da un tempo sub-esponenziale a un tempo polinomiale O((log N)^3). Non stiamo parlando di un aumento di velocità di 10x; stiamo parlando di passare da trilioni di anni a poche ore su un CRQC. Simile a RSA, anche l'ECC (crittografia a curva ellittica) NON è sicura. A causa della sua efficiente struttura di gruppo algebrico, rompere una chiave ECC a 256 bit richiede effettivamente meno qubit logici rispetto a RSA-2048. --- Grazie per la lettura! Domani discuteremo del perché la minaccia HNDL (raccolta ora-decrittazione dopo) significa che la transizione post-quantistica deve avvenire ora. (Visivo: Peter Shor)

Non sono sicuro che la maggior parte delle persone nel settore della privacy sia pienamente consapevole dell'attacco "raccolta ora, decrittazione dopo". Continuiamo a dire che abbiamo ancora n anni fino a quando il primo computer quantistico maturo eseguirà l'algoritmo di Shor su un caso reale. La sicurezza post-quantistica non è un lusso futuro, specialmente per i sistemi di privacy. Il modello di minaccia è già cambiato: gli avversari non hanno bisogno di un computer quantistico oggi per violare i tuoi dati domani. Devono solo raccoglierli. Ogni transazione crittografata, messaggio o prova che colpisce il mempool pubblico o la catena può essere archiviata indefinitamente. Nel momento in cui arriva una macchina quantistica sufficientemente potente, qualsiasi cosa crittografata sotto le assunzioni classiche delle curve ellittiche diventa testo in chiaro. Questo è il problema della "raccolta ora, decrittazione dopo", e uccide silenziosamente la garanzia che "ciò che è crittografato oggi rimane privato per sempre". I protocolli di privacy devono trattare questo come un vincolo di design di prima classe. Se il tuo sistema si basa su ECDH, firme secp256k1 per derivare chiavi, o qualsiasi crittografia basata su curve ellittiche all'interno del tuo strato di privacy, stai già esponendo i tuoi utenti a una violazione ritardata. Ci piace pensare che la privacy sia una proprietà istantanea, ma in realtà è una proprietà durevole: deve sopravvivere al tempo, ai progressi dell'hardware e agli avversari con memorie lunghe e archiviazione economica. Ecco perché la sicurezza post-quantistica è molto più importante per la privacy rispetto all'autenticazione generale o al consenso. Una firma può essere ruotata. Una chiave di validatore può essere migrata. Ma i testi cifrati, una volta pubblicati, sono permanenti. E la "decrittazione" non è un errore che puoi riparare. (Visual: Peter Shor)

È stato fantastico chiacchierare con i miei colleghi relatori sul palco al Privacy and Compliance Summit di @partyactionppl. Grazie per l'organizzazione!