И хотя вероятность этого мала

гы гы гы гы :-) Я уже не надеюсь даже на это. Вопрос когда сделают только.

Post-Quantum Private Key and Public Key Exchange Protocols

When quantum computers reach approximately 30 to 40 q-bits they will start to have the speed (parallelism) needed to attack the methods society uses to protect data and processes, including encryption, digital signatures, random number generators, key transmission, and other security algorithms. We cannot predict exactly when this will happen because each advance in the number of q-bits has had a radically different hardware architecture. We believe quantum computers will surpass the speed of “Moore’s Law” computers in the next 10 or 20 years, break encryption in 20 to 30 years, and break the responding enhanced encryption (with much longer key lengths) in 30 to 50 years.

30 – 40 кубитов, 30 – 50 лет.
Много или мало? Раньше или позже?

Дело в том, что есть много лиц, заинтересованных в их скорейшем создании для естественных целей. Я думаю, не надо объяснять для каких :-) Соответственно, в это вкладываются не малые деньги и весь мир пристально смотрит на сие действо... Скажем так, в их создании заинтересованы больше, чем в термояде как мне кажется.

В октябре 2003 года АНБ купила лицензию на сугубо коммерческую, открыто разработанную криптотехнологию ECC (elliptic curve cryptography, "крипто" на эллиптических кривых) у еще одних иностранцев – канадской корпорации Certicom (Certicom Sells Licensing Rights to NSA. Certicom Corp., Press Release, 24 октября 2003 г.). Алгоритм ECC гораздо удобнее для ключевого обмена, нежели популярнейший RSA, поскольку эквивалентная криптостойкость достигается здесь при куда меньших длинах ключей (подробности см. в "КТ" #517). По рекомендациям НИСТ (которые в области "крипто" обычно готовит АНБ), эквивалентом 1024-битного ключа RSA, к примеру, является ECC-ключ длиной всего в 163 бита (соотношение 6:1). Причем зависимость эта нелинейна, так что для ключа ECC длиной в 512 бит размер аналога в системе RSA составляет уже 15360 бит (соотношение 30:1). Согласно опубликованной информации, именно такие 512-битные ECC-ключи намерено использовать АНБ в шифросредствах для себя и своих клиентов – американских правительственных ведомств, федеральных промышленных подрядчиков и других организаций, имеющих отношение к национальной безопасности. Иначе говоря, отныне можно считать, что и коммерческая технология ECC принята к использованию для защиты государственных секретов США. О квантовых же быстрых алгоритмах расшифровки ЕСС пока ничего не слышно, и даже если когда-нибудь удастся создать квантовый компьютер с 1000-кубитным регистром для факторизации 512-битных чисел RSA (что само по себе далеко не очевидно), такой же длины ключ ECC окажется новой технике не по зубам.

http://www.computerra.ru/xterra/37181/

Но даже в тех "тепличных" условиях, где квантовое "крипто" выглядит относительно неплохо, связывающиеся стороны вынуждены-таки убедиться в аутентичности друг друга с помощью доступных протоколов неквантовой природы – практически все они построены на алгоритмах криптографии с открытым ключом.

©http://www.computerra.ru/xterra/37181/
Не понял. Разве согласование ключей идёт не отличным от асимметричной криптографии методом? Если использовать асимметричное крипто, то это не перспективно: оно же будет ломаться квантовым компом, причём по-видимому даже те алгоритмы ассиметричного крипто, квантовые алгоритмы взлома которого ещё до сих пор не найдены (судя из неких общих соображений о свойствах асимметричного крипто).

Без ответа остается и резонный вопрос оппонентов из лагеря обычной криптографии: "Как часто на практике мы имеем физический канал, аутентичности которого мы вполне доверяем, но при этом в канале существует угроза перехвата (от которого гарантированно защищает квантовое "крипто")"?

Говорить так про канал имеет смысл, но не стоит забывать, что в обычном компе тоже есть железо, аутентичности которого мы якобы доверяем. А если нет (?).

На каждом из концов линии связи пользователь получает в свое распоряжение некий "черный ящик", который реализует "волшебные квантовые штучки". Ясно, что пользователь должен безоговорочно доверять "черному ящику". На практике это означает, что:
конструкция устройства должна тщательно контролироваться, а целостность каждого элемента проверяться
устройство должно поставляться с фабрики или склада с соблюдением строгих мер безопасности
устройство должно быть постоянно защищено от угроз подключения к нему злоумышленников

Но ведь с точно таким же успехом можно разослать в каждую точку по винчестеру емкостью эдак гигабайт на 160, под завязку наполненному ключевым материалом, то есть случайными равновероятными последовательностями.

А что делать, если получатель лично не известен, если это не спецсвязь а связь общего назначения. Например, как это будет выглядеть: я один винт такой беру себе а другой отправляю по почте в гугл? :-) И так для каждого сайта?

Нетрудно понять, что эта альтернатива имеет ряд преимуществ перед квантовым распределением ключей. Здесь не требуется никаких предположений относительно свойств канала – легко можно использовать интернет, телефон, спутниковую или даже коротковолновую радиосвязь. Нужные в работе винчестеры и ПК можно купить в соседнем магазине, и никто даже не заподозрит, что вы намерены с их помощью установить строго секретную связь.

А это вообще не ясно к чему. Если на то уж пошло, то сие действо называется передачей секретного ключа по третьему каналу. Для этого вообще никакие винты не нужны.

И намного больше смысла в том, чтобы тратить деньги на укрепление именно слабых звеньев цепи. Возня с квантовым "крипто", – продолжает Шнайер, – чем-то напоминает защиту от приближающегося врага с помощью установки одного здоровенного столба. Бессмысленно спорить, какой высоты должен быть этот столб – 15 метров или 30, потому что атакующий на него все равно не полезет. Он его обойдет".

А вот это Шнайер здраво подметил... Нечего добавить.

Постквантовая криптография, квантовая криптография и квантовые компьютеры – это три разных направления, не всегда не связанные между собой, между которыми куча путаницы в терминологии.

Постквантовая криптография не относится только к квантовым методам передачи ключа, Я понимаю, что большинству проще осилить статью из Компьютерры, или в крайнем случае популярные заметки Шнайера, а не материалы конференции, ссылка на которую была дана в заметке, но тем не менее.

Во первых в самой краткой заметке написано, что в случае создания квантовых компьютеров будут взломаны не только RSA, DSA, но и Elliptic Curve DSA и пр. Эллиптика спасает только от прогресса в области факторизации (и то только если не будет прогресса во взломе самой эллиптики), но квантовые компьютеры поломают всю существующую на данный момент ассиметрику, включая эллиптику.

Но: для защиты ассиметрики от квантовых компьютеров могут быть использованы обычные математические (неквантовые) методы, заменяющие RSA и эллиптику (например на основе кодов коррекции ошибок). Сейчас просто нет ни одного обоснованно стойкого, но их в принципе разработать возможно, И вы уже сейчас на своём компьютере с помощью обычных программ можете генерировать ассиметричные ключи, которые будут стойкими против квантовых компьютеров, без использования какого-либо квантового оборудования вообще. Ради этого и проводятся такие конференции и ведутся соответствующие исследования,

Наконец, квантовые каналы связи дороги и в большинстве случаев непрактичны сейчас, но чем дальше, тем больше будет область их использования.

Ну и то что квантовую криптографию сводят только к обмену ключами неверно. Это недальновидно. Возможны чисто квантовые подписи, квантовые сообщения обладают важным свойством неклонируемости, что в рамках квантовой модели даёт perfect forward secrecy против всех атак кроме MITM или атак на оборудование. А значит возможно появятся и развитые квантовые протоколы (например квантовое голосование). Это полноценное направление в крипто.


Недальновидные аргументы против квантовой криптографии в духе "зачем нужны космические корабли, когда для существования цивилизации достаточно самолётов" слышны постоянно, Если хотите обсуждать, то есть тема https://www.pgpru.com/Форум/Кр.....риптографиязаИпротив

а в этой теме, был бы смысл обсуждать постквантовую криптографию и квантовые компьютеры,

Нет, unknown, во-первых не все так же как Вы свободно читают на английском, а во-вторых не все разбираются в крипто профессионально... Чтобы понять конференцию нужно читать и читать, вникать и вникать. Однако, что читать и во что вникать есть у каждого и не у всех это крипто/ИБ.

Спасиба :-) А то уж было хотел сказать шефу "а не пора ли нам прекратить ерундой заниматься?" ;-)

Чтобы понять конференцию нужно читать и читать, вникать и вникать. Однако, что читать и во что вникать есть у каждого и не у всех это крипто/ИБ.

Согласен, в новостях надо давать больше разъяснительного материала. Иначе любителям и просто интересующимся они непонятны, а профессионалам они всё равно неитересны: они всё равно будут первоисточники читать.

Только тогда написание новости превращается в большую статью, которая откладывается то до текущих выходных, то до нескольких недель, то вообще на неопределённый срок :-(

Если что непонятно, проще запостить короткую новость, объяснить по-быстрому в комментариях.
В формате слэшдота, только с небольшим количеством новостей и участников.

Кроме теории кодов, для ассиметрики могут быть использованы решёточные схемы:

Cryptography and Information Security Group Research Project: Lattice-Based Cryptography

Вот образец ассиметричных алгоритмов, которые могут быть стойкими по отношению к квантовым компьютерам (а возможны нестойкими к обычному криптоанализу).

На их основе разработаны алгоритмы NTRUsign и NTRUcrypt, этим занимается компания NTRU cryptosystems ltd

Проблема в том что есть некая личная информация, допустим, которая уже шифруется уже сейчас тем крипто, которое нестойко против квантового компа. Например, переписка на основе gpg. Получается, вся информация, шифруемая на данный момент, потенциально может быть через некоторое количество лет расшифрована. Странно что так не торопятся с защитой от этого... хотя примерно понимаю почему :-)

Основной двигатель гражданской криптографии – финансовые институты.
А для финансовой информации долговременная секретность не нужна.

Новые экспериментальные протоколы проектируются с учётом стойкости против
квантового атакующего

Странно что так не торопятся с защитой от этого...

Неправда. Торопятся.

обзор алгоритмов по отношению их стойкости к квантовому криптоанализу. 170 страниц.

Рассмотрены методы квантового взлома RSA, ElGamal, Rabin, Diffie-Hellman и др.
Обращается внимание на перспективные против квантового криптоанализа алгоритмы McEliece, NTRU.

И (держитесь крепче) рассмотрен алгоритм, стойкий против квантового криптоанализа, но который нужно выполнять для шифрования тоже только на квантовых компьютерах! – Quantum Public Key Cryptosystem. Это ещё одно направление квантовой криптографии!

Основные проблемы: пока противоквантовые алгоритмы неэффективны в реализации и многие ломаются обычным криптоанализом.

Основной двигатель гражданской криптографии? Финансовые институты.
А для финансовой информации долговременная секретность не нужна.

Да, мы поняли друг друга без слов :-) Именно это я и имел в виду.

И (держитесь крепче) рассмотрен алгоритм, стойкий против квантового криптоанализа, но который нужно выполнять для шифрования тоже только на квантовых компьютерах!? Quantum Public Key Cryptosystem. Это ещё одно направление квантовой криптографии!

Я слышал про существование таких алгоритмов, только не знал как они называются.

Основные проблемы: пока противоквантовые алгоритмы неэффективны в реализации и многие ломаются обычным криптоанализом.

Жаль :-(
P. S.: А вы, unknown, занимаетесь научным аспектом криптографии по роду деятельности? Откуда такая осведомлённость? Я пока далёк от квантовых вычислений (хотя по ним должны мне курс проставить до конца годы, хы хы хы :)), но что потом будет не знаю – пока меня цепляют исключительно на матметоды численного/аналитического вычисления характеристик извращённых квантовых каналов. За ссылку на книгу спасибо – интересная, там точно есть полезное, что можно почитать по специальности :-)

Род деятельности: unknown ;-)