Перевага розподілу квантових ключів над постквантовою криптографією

Поствантова криптографія, як криптовалюта на основі решітки , покликана бути захищеною навіть за наявності квантових комп'ютерів. Він нагадує використовувані в даний час шифрування, але заснований на проблемах, які, швидше за все, недостатньо ефективно вирішуються квантовим комп'ютером.

Очевидно, що дослідження щодо квантового розподілу ключів (QKD) тривають. Але які саме переваги квантового розподілу ключів перед постквантовою криптографією?

Розвиток такої нової технології, як QKD, може мати великі побічні ефекти, і, можливо, QKD буде більш економічним або швидким в дуже довгостроковій перспективі, але я сумніваюся, що це головна причина.

Якщо доведено, що дана асиметричний протокол шифрування покладається на проблему, яку неможливо ефективно вирішити навіть квантовим комп'ютером, то квантова криптографія стає значною мірою нерелевантною.

$\text{NP}$$\text{NP}\!\setminus\!\text{BQP}$ ).

Взагалі кажучи, всі класичні протоколи шифрування асиметричного шифрування є безпечними за припущенням, що дану проблему важко вирішити, але ні в якому разі, наскільки мені відомо, було доведено (в сенсі складності обчислень), що цю проблему насправді складно експоненціально важко вирішити за допомогою квантового комп'ютера (і для багатьох навіть не те, що проблему недостатньо ефективно вирішити з класичним комп'ютером).

Я думаю, що це добре пояснив Бернштейн у своєму огляді постквантової криптографії ( Посилання ). Цитуючи з першого розділу вище, де він щойно розповів про ряд класичних протоколів шифрування:

Чи є краща атака на ці системи? Можливо, Це звичний ризик в криптографії. Ось чому громада вкладає величезну кількість часу та енергії в криптоаналіз. Іноді криптоаналітики виявляють руйнівну атаку, демонструючи, що система марна для криптографії; Наприклад, кожен вибір параметрів для системи шифрування відкритого ключа Merkle – Hellman рюкзака легко зламати. Іноді криптоаналітики виявляють напади, які не так руйнівні, але змушують великих розмірів ключів. Іноді криптоаналітики вивчають системи роками, не знаходячи поліпшених атак, і криптографічне співтовариство починає формувати впевненість, що найкраща атака виявлена ​​- або принаймні те, що зловмисники в реальному світі не зможуть придумати нічого кращого.

З іншого боку, безпека QKD в ідеалі не покладається на домисли (або, як це часто говорять, протоколи QKD забезпечують в принципі інформаційно-теоретичну безпеку ). Якщо дві сторони поділяють захищений ключ, то канал зв'язку є безумовно захищеним, і QKD забезпечує безумовно безпечний спосіб обміну таким ключем (звичайно, все ще за умови, що квантова механіка має рацію). У розділі 4 вищезгаданого огляду автор подає пряме (якщо можливо дещо упереджене) порівняння криптографії QKD проти постквантової криптографії. Важливо зазначити, що, звичайно, тут розуміється "безумовна безпека" в інформаційно-теоретичному сенсі, тоді як у реальному світі можуть бути важливіші аспекти безпеки, які слід враховувати. Слід також зазначити, що реальна безпека та практичність QKD деякими не вважаються фактичними (див., Наприклад, Бернштейн тут та пов'язану з ними дискусію про QKD на crypto.SE ), і що інформаційно-теоретична безпека QKD протоколи справедливі лише за умови їх належного дотримання, що, зокрема, означає, що загальний ключ повинен використовуватися як одноразова прокладка .

Нарешті, насправді також може бути порушено багато протоколів QKD. Причина полягає в тому, що експериментальну недосконалість конкретних реалізацій можна використовувати для порушення протоколу (див., Наприклад, 1505.05303 та pag.6 npjqi201625 ). Ще можна забезпечити захист від таких атак за допомогою незалежних від пристроїв протоколів QKD, безпека яких покладається на порушення нерівності Белла і може бути доведено, що не залежить від деталей реалізації. Проблема полягає в тому, що ці протоколи навіть важче здійснити, ніж звичайні QKD.

Квантовий розподіл ключів вимагає, щоб ви оптом замінили всю вашу комунікаційну інфраструктуру, побудовану з кабелів Ethernet 5 євро та процесорів 0,50 євро на багатомільйонні спеціальні волоконні посилання та спеціалізовані комп'ютери, які так чи інакше роблять класичну криптографію з секретним ключем.

Крім того, ви повинні автентифікувати спільні секретні ключі, які ви домовляєтесь з квантовим розповсюдженням ключів, що ви, ймовірно, зробите, використовуючи класичну криптографію відкритого ключа, якщо ви не будете достатньо багаті, щоб дозволити собі кур'єрів з валізами, закованими в наручники.

Більше інформації від Франсуа Гріу на crypto.se про те, що робить квантову криптографію безпечною.

Суть технічної різниці - витрат і розгортання, а також політику та класові підрозділи - полягає в тому, що фізичний протокол системи QKD призначений таким чином, щоб він не залишав фізичного сліду, що майбутні прориви математики могли б забезпечити зворотне відновлення ділиться секретними переговорами щодо цих виділених волокон. На відміну від класичної криптографії, угоди з відкритим ключем через Інтернет, де підслуховувач записує кожен шматочок по дроту, в принципі можуть бути порушені майбутніми математичними проривами.

Тоді в обох випадках однолітки використовують спільну таємницю, про яку вони домовлялися, чи то з квантовим розподілом ключів, чи з класичною угодою з відкритим ключем, як секретний ключ для класичної криптографії секретного ключа, який, в принципі, може бути порушений майбутніми математичними проривами. . (Але дуже розумні добре профінансовані люди не зробили цих проривів після спроб десятиліттями.) І це не означає, що практичні впровадження QKD також не залишать фізичних слідів .

Все, що сказано, QKD є квантовим, тому він сексуальний і дозволяє добре продати багатим урядам та банкам, які мають багатомільйонні дискреційні кошти на непотрібні іграшки, такі як QKD. Фізика також досить прикольна для ботаніків.

М. Стерн забуває про ще одну перевагу QKD: Він працює на рівні посилань , узгоджуючи секретний ключ, що ділиться двома кінцевими точками волоконного зв’язку - який може бути одним законним користувачем та MITM, який зробив цей волоконний зв'язок із шахраєм. QKD пристрій. Якщо в епоху квантового верховенства ми замінили QKD всі світові класичні угоди з відкритим ключем, тоді, коли програми зараз узгоджують секретні ключі зі своїм одноранговим партнером по Інтернету для цільового шифрування в кінці до будь-якого маршрутизованого носія , вони замість цього доведеться домовлятись про секретні ключі зі своїм провайдером , який би узгоджував секрети зі своїм провідним провайдером, і так далі, для скаканняаутентифіковане шифрування. Це було б користю для хороших хлопців у великих світових урядах, які намагаються (заднім числом) контролювати спілкування користувачів, щоб викорінювати терористів, активістів та журналістів та інші незручні елементи суспільства, тому що тоді у провайдерів обов'язково будуть готові секретні ключі, щоб їх перевернути до поліції.