Я начинаю серию легких для чтения ежедневных постов о постквантовой безопасности. Но у меня нет представления, сколько дней это продлится :). Так что, посмотрим. ДЕНЬ 1: Алгоритм Шора и Квантовый Апокалипсис(?) Большая часть нашего стека безопасности — RSA, ECC, Диффи-Хеллман — основывается на одном предположении: разложение на множители и дискретные логарифмы "сложны". На классическом кремнии это так. Чтобы взломать RSA-2048, вам нужно просто больше времени, чем возраст вселенной. Но это не физический закон. Это ограничение классических вычислений. В 1994 году Питер Шор показал, что их можно эффективно решить на квантовом компьютере. Алгоритм Шора не просто перебирает ключи; он использует Квантовое Преобразование Фурье (QFT [Не квантовая теория поля, лол]), чтобы найти период функции f(x) = a^x mod N. Как только у вас есть период, у вас есть множители. А как только у вас есть множители, закрытый ключ мертв. Потому что закрытый ключ можно восстановить из открытого ключа. Сдвиг сложности — это настоящий "апокалипсис". Мы переходим от субэкспоненциального времени к полиномиальному времени O((log N)^3). Мы не говорим о 10-кратном ускорении; мы говорим о переходе от триллионов лет к нескольким часам на CRQC. Подобно RSA, ECC (криптография на эллиптических кривых) также НЕ безопасна. Из-за своей эффективной алгебраической структуры группы, взлом 256-битного ECC ключа на самом деле требует меньше логических кубитов, чем RSA-2048. --- Спасибо за чтение! Завтра мы обсудим, почему угроза HNDL (собрать-сейчас-расшифровать-позже) означает, что переход к постквантовой безопасности должен произойти сейчас. (Визуализация: Питер Шор)

Я не уверен, что большинство людей в области конфиденциальности полностью осознают атаку «собрать сейчас — расшифровать позже». Мы продолжаем говорить, что у нас еще n лет до того, как первый зрелый квантовый компьютер запустит алгоритм Шора в реальном случае. Постквантовая безопасность не является роскошью будущего, особенно для систем конфиденциальности. Модель угроз уже изменилась: противникам не нужен квантовый компьютер сегодня, чтобы сломать ваши данные завтра. Им просто нужно их собрать. Каждая зашифрованная транзакция, сообщение или доказательство, попадающее в публичный мемпул или цепочку, может быть архивировано на неопределенный срок. В момент, когда появится достаточно мощная квантовая машина, все, что зашифровано на основе классических предположений об эллиптических кривых, станет открытым текстом. Это проблема «собрать сейчас — расшифровать позже», и она тихо убивает гарантию, что «зашифрованное сегодня означает частное навсегда». Протоколы конфиденциальности должны рассматривать это как первостепенное ограничение при проектировании. Если ваша система полагается на ECDH, подписи secp256k1 для получения ключей или любое шифрование на основе эллиптических кривых внутри вашего слоя конфиденциальности, вы уже подвергаете своих пользователей риску отложенного нарушения. Мы любим думать, что конфиденциальность — это мгновенное свойство, но на самом деле это долговечное свойство: оно должно пережить время, развитие аппаратного обеспечения и противников с долгой памятью и дешевым хранилищем. Вот почему постквантовая безопасность имеет гораздо большее значение для конфиденциальности, чем для общей аутентификации или консенсуса. Подпись можно заменить. Ключ валидатора можно перенести. Но шифротексты, однажды опубликованные, являются постоянными. И «расшифровка» — это не ошибка, которую можно исправить. (Визуализация: Питер Шор)

Отлично пообщались с коллегами по панели на сцене на Саммите по конфиденциальности и соблюдению норм от @partyactionppl. Спасибо за организацию!