Що таке постквантова криптографія?

Можливо, ви знайомі з концепцією класичної криптографії, яка є типом шифрування, який ми використовуємо щодня. Можливо, ви навіть чули про квантову криптографію, яка використовує квантові комп’ютери та квантово-механічні ефекти. Хоча обидві ці технології самі по собі є важливими, класична криптографія лежить в основі майже всієї сучасної комунікаційної технології, постквантова криптографія є дійсно критичним кроком, який не так широко відомий. Постквантова криптографія не повинна бути наступною за значенням після квантового шифрування. Натомість це клас криптографії, який все ще актуальний у світі, де існують потужні квантові комп’ютери.

Квантове прискорення

Класична криптографія в основному базується на невеликій кількості різних математичних задач. Ці проблеми були ретельно підібрані, оскільки вони надзвичайно складні, якщо ви не знаєте конкретної інформації. Навіть з комп’ютерами ці математичні задачі є складними. У 2019 році дослідження витратило 900 років процесорного ядра, щоб зламати 795-бітний ключ RSA. Для зламу 1024-бітного ключа RSA знадобиться більш ніж у 500 разів більше процесорної потужності. Крім того, 1024-бітні ключі RSA застаріли на користь 2048-бітних RSA, які було б практично неможливо зламати.

Проблема полягає в тому, що квантові комп’ютери працюють зовсім інакше, ніж звичайні комп’ютери. Це означає, що деякі речі, які важко зробити звичайним комп’ютерам, квантовим комп’ютерам набагато легше зробити. На жаль, багато математичних задач, які використовуються в криптографії, є чудовими прикладами цього. Усе асиметричне шифрування в сучасному використанні вразливе до цього квантового прискорення, припускаючи доступ до досить потужного квантового комп’ютера.

Традиційно, якщо ви хочете підвищити безпеку шифрування, вам просто потрібні довші ключі. Це припускає, що в алгоритмі більше немає фундаментальних проблем і що його можна збільшити, щоб використовувати довші ключі, але принцип зберігається. З кожним додатковим бітом безпеки складність подвоюється, це означає, що перехід від 1024-бітного до 2048-бітного шифрування є величезним сплеском складності. Це експоненціальне зростання складності, однак, не стосується цих проблем під час роботи на квантових комп’ютерах, де складність зростає логарифмічно, а не експоненціально. Це означає, що ви не можете просто подвоїти довжину ключа і бути в порядку для наступного десятиліття збільшення обчислювальної потужності. Вся гра завершена, і потрібна нова система.

Промінчик надії

Цікаво, що всі сучасні алгоритми симетричного шифрування також впливають, але в набагато меншому ступені. Ефективна безпека асиметричного шифру, такого як RSA, зменшується на квадратний корінь. 2048-бітний ключ RSA забезпечує еквівалент 45 або близько того біт захисту від квантового комп’ютера. Для симетричних алгоритмів, таких як AES, ефективна безпека зменшується «лише» вдвічі. 128-бітний AES вважається безпечним проти звичайного комп’ютера, але ефективний захист від квантового комп’ютера становить лише 64 біти. Це достатньо слабко, щоб вважатися небезпечним. Однак проблему можна вирішити подвоївши розмір ключа до 256 біт. 256-бітний ключ AES забезпечує 128-бітний захист навіть від досить потужного квантового комп’ютера. Цього достатньо, щоб вважатися безпечним. Навіть краще, 256-бітний AES вже є загальнодоступним і використовується.

Порада. Безпека, яку пропонують симетричні та асиметричні алгоритми шифрування, не порівнюється безпосередньо.

Всю річ про «досить потужний квантовий комп’ютер» трохи важко точно визначити. Це означає, що квантовий комп’ютер повинен мати можливість зберігати достатню кількість кубітів, щоб мати можливість відстежувати всі стани, необхідні для зламу ключа шифрування. Ключовий факт полягає в тому, що ще ні в кого немає технологій для цього. Проблема в тому, що ми не знаємо, коли хтось розробить цю технологію. Це може бути п'ять років, десять років або більше.

Враховуючи, що існує принаймні один тип математичної задачі, придатної для криптографії, яка не особливо вразлива для квантових комп’ютерів, можна з упевненістю припустити, що є й інші. Насправді існує багато запропонованих схем шифрування, які безпечні для використання навіть в умовах квантових комп’ютерів. Завдання полягає в тому, щоб стандартизувати ці постквантові схеми шифрування та довести їх безпеку.

Висновок

Постквантова криптографія відноситься до криптографії, яка залишається сильною навіть в умовах потужних квантових комп’ютерів. Квантові комп’ютери здатні повністю зламати деякі типи шифрування. Завдяки алгоритму Шора вони можуть робити це набагато швидше, ніж звичайні комп’ютери. Прискорення настільки велике, що практично протидіяти йому неможливо. Таким чином, ведеться робота з виявлення потенційних криптографічних схем, які не вразливі до цього експоненціального прискорення і тому можуть протистояти квантовим комп’ютерам.

Якщо хтось із майбутнім квантовим комп’ютером має багато старих історичних даних, які він може легко зламати, він все ще може завдати великої шкоди. З огляду на високу вартість і технічні навички, необхідні для створення, обслуговування та використання квантового комп’ютера, шансів, що вони будуть використані злочинцями, мало. Уряди та етично неоднозначні мегакорпорації, однак, мають ресурси та не можуть використовувати їх для загального блага. Незважаючи на те, що ці потужні квантові комп’ютери ще можуть не існувати, важливо перейти до постквантової криптографії, як тільки буде доведено, що це безпечно, щоб запобігти широкому розповсюдженню історичного дешифрування.

Багато кандидатів на постквантову криптографію по суті готові до роботи. Проблема полягає в тому, що довести, що вони безпечні, і без того було пекельно складно, коли вам не потрібно було допускати карколомно складні квантові комп’ютери. Триває багато досліджень, щоб визначити найкращі варіанти для широкого використання. Важливо розуміти, що постквантова криптографія працює на звичайному комп’ютері. Це відрізняє його від квантової криптографії, яка повинна працювати на квантовому комп’ютері.