Квантовая криптография: "за" и "против"
"А надо ли оно вообще?", задался вопросом Киви Берд в хорошей критической статье "Квантовая криптонеопределенность". Помимо объективной критики квантовых коммуникаций приводит интересный обзор последних событий в классической криптографии, связанных прежде всего с некоторыми заявлениями и действиями бесспорного авторитета криптографии — АНБ США.
комментариев: 9796 документов: 488 редакций: 5664
Нет. Вообще передатчик кажется должен быть доверенным пунктом. А помехи должны вноситься непредсказуемо из случайных шумов в среде распространения сигнала.
Вот еще свежий отчёт европейского проекта квантовой криптографии SECOQC, где рассмотрены все за и против квантового крипто с точки зрения его сторонников.
Квантовой аутентификации и подписей в отчёте нет! Только ограниченные сети на основе обычных или возможно постквантовых (А) симметричных алгоритмов.
Квантовая аутентификация возможна только с построением квантовых компьютеров, что не входит в задачу проекта.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Мне кажется или Шнайер действительно не разбирался подробно или не хотел этого делать ни в возможностях квантового крипто, ни в методах Маурера по согласованию ключей в шумовых каналах? Или он намеренно об этих возможностях умалчивает.
В принципе это экзотика, знать не обязательно, но для общего развития интересно же.
комментариев: 9796 документов: 488 редакций: 5664
И у него же в блоге на это ссылку дали. Запасаемся радиотелескопами?
Оцифровка звука из громкоговорителя радиоприёмника не подойдёт? :)
комментариев: 9796 документов: 488 редакций: 5664
Возможно надо настроиться на одну радиостанцию и согласовывая по методу проверки чётности битов или при помощи кодов коррекции ошибок нарабатывать общий массив совпадающих битов, не раскрывая их третьей стороне. Чем больше массив битов наработан, тем больше преимущество перед подслушивающей стороной, которая по обмену информацией не может установить точно, какие именно биты совпадают.
Вопрос только в том, что если подслушивающая сторона будет принимать радиостанцию в лучшем качестве (расположит приёмник рядом, или будет контролировать её сигнал), то она получит преимущество. Поэтому радиомаяк запускают на спутнике. Кроме того он выполняет функцию аутентификации канала. Это же может осуществить астрономический источник радиошума. Согласование происходит во время сеанса.
Но есть протоколы прямого согласования, без участия внешнего маяка!
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Локальный источник случайности или бесшумовые каналы связи неподходят.
А вот его интересная работа по согласованию ключа в радиосетях с использованием VLAN или мобильных передатчиков. On the Possibility of Key Agreement Using Variable Directional Antenna
А может подходят локальный источник случайности и бесшумовые каналы связи? Ведь корреляции шума может и не быть.
комментариев: 9796 документов: 488 редакций: 5664
Первый абзац сверху:
С локальным источником случайности не получиться, а тем более с бесшумовыми каналами связи. Смотрите диссертацию Морозова: там рассмотрены и каналы с разным уровнем шумов, разные модели шумовых каналов, проверки канала на шумы и уровень ошибок, активный атакующий, который пытается внести в канал свои шумы.
Бесшумовые каналы связи используются как вспомогательные, для проверки {не}совпавших битов.
Основная идея в том, что подслушивающая сторона не может получить теже ошибки, что и получатели, но они то согласуют, какие биты несовпадают и отбросят их, а подслушивающая сторона не может участвовать в согласовании без раскрытия, с каждым раундом согласования она будет угадывать всё меньше битов (advantage distillation+Information Reconciliation). Стороны наберут большой массив совпавших битов, хэшируют его в меньший массив (Privacy amplification, чтобы убрать даже частичные сведения о ключе, доступнеые подслушивающей стороне) и получат общий ключ.
Впрочем, метод с гигантским массивом случайности, выбором из него битов и согласования тоже существует. Но он ещё более непрактичен, чем одноразовый блокнот (Шнайер предлагал оцифровать поверхность Луны), автор Ueli Maurer.
В какой-то из его публикаций должно быть.
Всё равно мне пока непонятно почему. Может быть дело в том, что в работах Морозова рассматриваются угрозы, когда обе стороны не доверяют друг другу, а не просто хотят защититься от третьей стороны:
там же
Непонятно же вот что: обе стороны получают исходное сообщение с ошибками, каждая сторона со своими, и в общем случае, никак не связанными с ошибками, полученными другой стороной. Чем это отличается от локального источника случайности?
Либо же должно быть какое-то условие на корреляцию ошибок, которое я на свой первый взгляд пока в работах Морозова не нашёл. :(
комментариев: 9796 документов: 488 редакций: 5664
У него все сценарии с понятными диаграммами. Двусторонние связи, широковещательные, через спутник.
Получиться система публичной криптографии Мак-Элиса на основе теории линейных кодов. Она устойчива к квантовым компьютерам и является кандидатом на постквантовый алгоритм, но в исходном виде взламывается обычными методами, имеет большой размер ключа и т.д. Есть улучшающие модификации.
Системы же связи в зашумленных каналах позволяют достичь защиту от противника с бесконечными выч.ресурсами и с максимально лучшей чем у всех антенной (или датчиком съёма информации с провода). Нужно только подобрать число итераций проткола, так чтобы свести к ничтожно малой величине его преимущество.
комментариев: 9796 документов: 488 редакций: 5664
Это связано с построением протоколов на основе таких понятий как Oblivious transfer, Bit Commitment, Secure multi-party computation и т.д.