Квантовая криптография: "за" и "против"

Насчет бесперспективности квантового крипто. Наверное, кому-то когда-то и паровоз казался бесперспективным по сравнению с лошадью.
Ускорители и термоядерные установки – это тоже сейчас вещи дорогие и малопрактичные. Но в будущем все может измениться.

Стоимость квантовых установок снижается, проектируются протоколы квантовой аутентификации и наверняка знания из этих работ еще пригодятся.
Критика квантового крипто в современном мире по большей части верна, но так категорично отрицать его будущее я бы лично не стал.

И компакт-диски и лазерная запись, казались когда-то дорогой полуфантастической игрушкой.

Насчет документов АНБ. Наши компетентные органы тоже пишут в официальных инструкциях, что для защиты гос. тайны должен использоваться ГОСТ-89.
Хотя их представители на одной конференции в России вроде бы еще четыре года назад заявляли, что ГОСТ устарел в криптоаналитическом смысле и ему
можно предложить замену, правда новый "ГОСТ" будет предоставляться только по закрытой подписке. Понятия не имею, насколько правда это или просто слухи.

Думаю, что документы АНБ – это тоже лишь формальные инструкции, отражающие лишь внешнюю политику организации по данному вопросу. Настоящие сведения и
внутренние распоряжения все равно останутся засекреченными. А потом выяснится, что под секретными коммуникациями национальной важности они понимали смарт-карты для открывания
дверей в подсобных помещениях своего ведомства.

У меньшинства (но все-таки у значительного количества) криптографов довольно скептическое отношение к AES-Rijndael. Многократное использование одного и тоже
(единственного) S-блока в ходе одного раунда, алгебраическая структура этого S-блока, плохие статистические характеристики развернутых ключей (вычисленных раундовых подключей).
Распространено мнение, что по стойкости RIJNDAEL был самым слабым среди пяти шифров-финалистов. Его выбрали только потому, что и NIST и NSA выдвинули очень жесткие требования
по универсальности, экономичности, быстродействию, простоте реализации шифра. Здесь ему действительно нет равных среди шифров такого уровня стойкости.

Требования NSA к шифрам были конечно своеобразны. Возможность распараллеливания (удобно для серверов, работающих с большими потоками данных, но одновременно это облегчает потенциальные атаки на шифр).
Быстрый алгоритм разворачивания подключей (удобно для смарт-карт и низкопроизводительных устройств с быстрой сменой ключа, но это снижает стойкость ключевого расписания и облегчает ряд атак),
отсутствие слабых ключей (иногда проще сделать более стойкий алгоритм с ничтожно малым подмножеством слабых ключей, чем полностью их исключить, но ослабить сам алгоритм) и т.д.
Кстати, если вспомнить более ранний алгоритм Blowfish, то он как раз имеет значительный запас стойкости как раз из-за того, что он не соотвествует ни одному из этих требований.
Даже если бы его удалось переделать на 128-битовый блок (что безуспешно пыталась сделать команда Шнайера перед созданием Twofish), конкурс AES он бы не прошел и даже в финалиcты не попал бы.

Значительный плюс AES – постоянно гарантированный поток внимания исследователей к нему (так как он является стандартом). Но говорить о его абсолютной стойкости на основании директив АНБ я думаю не стоит.

Даже если бы его удалось переделать на 128-битовый блок (что безуспешно пыталась сделать команда Шнайера перед созданием Twofish), конкурс AES он бы не прошел и даже в финалиcты не попал бы.

Насколько я слышал, blowfish c 64-ю "раундами" не рекомендуют использовать для защиты диска объёмом более 2х гигабайт. Якобы имеется возможность в OpenBSD менять параметры, но мне кажется что нужного здесь нет. Я не прав? Или всё-таки есть обход проблемы?

man vnconfig имеется в виду

Насколько я слышал, blowfish c 64-ю "раундами" не рекомендуют использовать для защиты диска объёмом более 2х гигабайт. Якобы имеется возможность в OpenBSD менять параметры,

Размер блока blowfish – фиксирован – 64 бит
Число раундов – фиксировано, но может быть теоретически увличено – 16
Макс. размер ключа – 448 бит

Это всё разные параметры, не надо их путать.

-K rounds

Associate an encryption key with the device. All data will be
encrypted using the Blowfish cipher before it is written to the
disk. The user is asked for both a passphrase and the name of a
salt file. The salt file can also be specified on the command
line using the -S option. The passphrase and salt are combined
according to PKCS #5 PBKDF2 for the specified number of rounds to
generate the actual key used. rounds is a number between 1000
and INT_MAX. DO NOT LOSE THE SALT FILE. Encryption only works
with svnd.

PKCS #5 PBKDF2 – это стандарт получения ключа из пароля. Параметр -K – число раундов в реализации стандарта, где парольная фраза многократно по числу раундов хэшируется с солью. А шифруется всё стандартным блуфишем.

То есть если умолчальные параметры натравить на больший чем 2гига криптораздел (например, на 80гигов), никакой существенной криптослабости не выйдет? Прошу прощения за ламерство, но по этому поводу какую-то муть мутили, про 2 гига...

Еще раз: размер блока шифра – это одно, размер ключа это второе, число раундов в шифре – это третье, а число раундов при выработке ключа из пароля – это даже не четвёртое, это отдельный алгоритм, который слабости шифра никак не компенсирует.

То есть если умолчальные параметры натравить на больший чем 2гига криптораздел (например, на 80гигов), никакой существенной криптослабости не выйдет?

Выйдет, хотя можно считать это несущественной слабостью. При превышении допустимых размеров данных растёт вероятность коллизий блоков шифртекста в соответствии с парадоксом дней рождения. Можно доказать, что два блока открытого текста одинаковы, не зная ключа. А такая утечка данных облегчает другие виды атак.

Шифрами с размером блока 64 бита нельзя шифровать данные больше 2^(64/2) = 2³² =32 гигабайта. Но в зависимости от параноидальности требований этот абсолютный предел может быть уменьшен до 2Gb и даже до нескольких мегабайт.

Шифрами с размером блока 128 бит (AES, Twofish и др.) можно шифровать данные 2^(128/2) = 2⁶⁴ = 256 эксабайтов.

А ..., ну 32 гигабайто – это нормально, при надобности можно покромсать :-) Просто с 2-мя гигабайтами такое бы напоминало известную сказку про шапочника :-)

А все-таки, какой смысл в квантовой криптографии? Она требует дорогого оборудования, не позволяет использовать существующие линии связи, совершенно несовместима с радоисвязью, а для чего все это?
Квантовая криптография обеспечивает надежную защиту от пассивного прослушивания линии, но совершенно бесполезна против активных атак (невозможно узнать, кто сидит на другом конце провода), а значит требует применения классических систем аутентификации.
В чем же тогда плюсы, по сравнению с традиционными системами?

Если кого-то сильно гложет параноя, то целесообразней будет изобрести протокол на основе обычных алгоритмов, обладающий огромным запасом прочности.
К примеру, при установлении соединения делать выработку ключа и аутентификацию одновременно по нескольким ассимитричным криптоалгоритмам (RSA, DSA, ECC, HFE, и.т.д.), для шифрования данных использовать каскад шифров (к примеру AES->twofish->serpent->idea->blowfish->tea->rc6->rc4->cast128), а для hmac использовать конструкцию из нескольких хешей (md5, sha1, sha512, whirpool).
Неужели избыточная безопасность такой системы будет недостаточна для каких либо целей? Гложет параноя – удлинить каскад, добавить хешей на основе всех известных блочных шифров, в список асимметрики добавить с десяток малоизвестных схем. Параноя не пропадает – отказаться от асимметрики вобще. Если параноя всеравно не отпускает, то надо лечиться, а не квантовую криптографию изобретать.

Она требует дорогого оборудования, не позволяет использовать существующие линии связи, совершенно несовместима с радоисвязью, а для чего все это?

А для чего гранитная облицовка офисам банков и корпораций? Для понтов престижа.

Вообще-то нет такой штуки как "квантовая криптография" (по словам Калласа, многих проблем можно было бы избежать, если бы авторы этой методики придумали для неё какое-нибудь другое обыденное название). То, что зачастую так называют, есть квантовое согласование ключа. То есть всё это дорогущее оборудование и принцип неопределённости Гейзенберга используются сторонами только чтобы выработать общий секретный ключ, который в дальнейшем используется в обычных криптографических алгоритмах.

Вообще, если бы передо мной стояла проблема безопасного согласования ключа, на решение которой было бы выделено 100 тыс. USD (примерно столько стоит оборудование QKD), я бы лучше нанял бронетанковую колонну с взводом автоматчиков, а ключ передал с этим эскортом в стильном алюминиевом кейсе.

На очередной сходке по передаче ключа произошла перестрелка, перешедшая в локальные бои с применением бронентанковых колонн. Финансовые конкуренты ответили применением реактивных гранатомётов и мобильной артиллерии.

Как и бывает обычно в таких случаях, срабатывает эффект отторжения: "знания по классической криптографии становятся мало полезными при изучении квантовых алгоритмов", а значит проще обосрать идею чем смириться с некомпетентностью оной.

Квантовая криптография обеспечивает надежную защиту от пассивного прослушивания линии, но совершенно бесполезна против активных атак (невозможно узнать, кто сидит на другом конце провода)

Если я не ошибаюсь, нет этой проблемы :-) Всегда можно понять прослушивают ли канал, переизлучение же там не используется вроде бы.

Если кого-то сильно гложет параноя, то целесообразней будет изобрести протокол на основе обычных алгоритмов, обладающий огромным запасом прочности.

А вы знаете о том, что когда сделают первый квантовый компьютер все существующие наработки классического крипто порастут известными органами? А представьте себе, что через каких-нибудь 20-30 лет, например, некоторые службы получат возможность зная ваш открытый ключ расшифровать всё что им когда-либо было зашифровано втечение всех этих лет? Нужны какие-то новые методы, чтобы противостоять этому криптоанализу.

А сама связь – не такая дорогая: обычное оптоволокно, по нему шлют фотоны... ничего сложного. мерят поляризацию.

s/оной/в оной/

А вы знаете о том, что когда сделают первый квантовый компьютер все существующие наработки классического крипто порастут известными органами?

Не все

а это про blowfish

Если я не ошибаюсь, нет этой проблемы :-) Всегда можно понять прослушивают ли канал, переизлучение же там не используется вроде бы.

А если в существующую QKD-линию сделать врезку, поставить два промежуточных "чёрных ящика" и провести обычный man-in-the-middle?