Zaczynam serię łatwych do przeczytania codziennych postów na temat bezpieczeństwa post-kwantowego. Ale nie mam pojęcia, jak długo to potrwa :). Zobaczymy. DZIEŃ 1: Algorytm Shora i Apokalipsa Kwantowa(?) Większość naszego stosu zabezpieczeń—RSA, ECC, Diffie-Hellman—opiera się na jednym założeniu: Rozkład liczb całkowitych i logarytmy dyskretne są "trudne." Na klasycznym krzemie, są. Aby złamać RSA-2048, potrzebowałbyś po prostu więcej czasu niż wiek wszechświata. Ale to nie jest prawo fizyczne. To ograniczenie klasycznego obliczenia. W 1994 roku Peter Shor pokazał, że można je rozwiązać efektywnie na komputerze kwantowym. Algorytm Shora nie tylko brutalnie łamie klucze; wykorzystuje Kwantową Transformację Fouriera (QFT [Nie teoria pól kwantowych lol]), aby znaleźć okres funkcji f(x) = a^x mod N. Gdy masz okres, masz czynniki. A gdy masz czynniki, klucz prywatny jest martwy. Ponieważ klucz prywatny można odtworzyć z klucza publicznego. Zmiana złożoności to prawdziwa "apokalipsa." Przechodzimy z czasu sub-eksponencjalnego do czasu wielomianowego O((log N)^3). Nie mówimy o przyspieszeniu 10x; mówimy o przejściu z bilionów lat do kilku godzin na CRQC. Podobnie jak w przypadku RSA, ECC (kryptografia krzywych eliptycznych) również NIE jest bezpieczne. Z powodu swojej efektywnej struktury grupy algebraicznej, złamanie 256-bitowego klucza ECC wymaga w rzeczywistości mniej logicznych kubitów niż RSA-2048. --- Dzięki za przeczytanie! Jutro omówimy, dlaczego zagrożenie HNDL (zbieraj-teraz-odszyfruj-później) oznacza, że przejście na post-kwantowe musi nastąpić teraz. (Wizualizacja: Peter Shor)

Nie jestem pewien, czy większość osób w przestrzeni prywatności jest w pełni świadoma ataku harvest-now-decrypt-later. Wciąż mówimy, że mamy jeszcze n lat, zanim pierwszy dojrzały komputer kwantowy uruchomi algorytm Shora w rzeczywistym przypadku. Bezpieczeństwo post-kwantowe nie jest przyszłym luksusem, szczególnie dla systemów prywatności. Model zagrożeń już się zmienił: przeciwnicy nie potrzebują dzisiaj komputera kwantowego, aby złamać twoje dane jutro. Muszą tylko je zebrać. Każda zaszyfrowana transakcja, wiadomość lub dowód, który trafia do publicznego mempoola lub łańcucha, może być archiwizowany w nieskończoność. W momencie, gdy pojawi się wystarczająco potężna maszyna kwantowa, wszystko, co jest zaszyfrowane na podstawie klasycznych założeń krzywych eliptycznych, staje się tekstem jawnym. To jest problem harvest-now-decrypt-later, który cicho zabija gwarancję, że "zaszyfrowane dzisiaj oznacza prywatne na zawsze." Protokoły prywatności muszą traktować to jako kluczowe ograniczenie projektowe. Jeśli twój system opiera się na ECDH, podpisach secp256k1 do wyprowadzania kluczy lub jakimkolwiek szyfrowaniu opartym na krzywych eliptycznych w twojej warstwie prywatności, już narażasz swoich użytkowników na opóźnione naruszenie. Lubimy myśleć, że prywatność jest właściwością natychmiastową, ale w rzeczywistości jest to właściwość trwała: musi przetrwać czas, postęp technologiczny oraz przeciwników z długą pamięcią i tanim przechowywaniem. Dlatego bezpieczeństwo post-kwantowe ma znacznie większe znaczenie dla prywatności niż dla ogólnej autoryzacji czy konsensusu. Podpis można obrócić. Klucz walidatora można przenieść. Ale szyfrogramy, raz opublikowane, są trwałe. A "deszyfrowanie" to nie błąd, który można naprawić. (Wizualizacja: Peter Shor)

Świetnie było rozmawiać z innymi panelistami na scenie podczas Szczytu Prywatności i Zgodności organizowanego przez @partyactionppl. Dziękuję za organizację!