Domanda:
Quali tipi di crittografia _non_ possono essere interrotti tramite i computer quantistici?
Tobias Kienzler
2014-01-03 20:15:59 UTC
view on stackexchange narkive permalink

C'è il recente articolo NSA cerca di costruire computer quantistici in grado di violare la maggior parte dei tipi di crittografia. Ora non sono sorpreso dal fatto che la NSA provi qualcosa 1 , ma ciò che mi sconcerta leggermente è la parola "più" - quindi, quali algoritmi di crittografia sono conosciuti e sufficientemente testati sul campo che non lo sono gravemente vulnerabile al Quantum Computing?

1) Sì, non sarei nemmeno sorpreso se avessero un dipartimento segreto di predizione del futuro ...
I computer quantistici sono ancora lontani. Il concetto si basa sull'utilizzo di bit, che quando non vengono osservati, sono sia 1 che 0 e quindi in grado di calcolare con tutti i valori che possono essere rappresentati nello spazio dato - con un calcolo. Per quanto romantico possa sembrare, devo ancora sentire di un modo per calcolare con questi bit lasciandoli inosservati.
Non dare per scontato che solo perché un'organizzazione delle dimensioni della NSA sta cercando di costruire qualcosa che si aspettano di implementarne uno in qualsiasi momento presto. Poiché le corse agli armamenti sono gare, spesso un'organizzazione ricerca qualcosa perché non vuole essere solo agli inizi quando i suoi concorrenti ne stanno schierando una. Se la NSA costruisce una fiducia cerebrale di persone che conoscono l'informatica quantistica, potrebbero essere in grado di implementarne uno prima dei loro concorrenti e hanno meno probabilità di essere colti alla sprovvista.
La mia preoccupazione non è la NSA, che potrebbe anche usare metodi meno piacevoli del mondo della carne per ottenere i propri segreti, ma piuttosto le implicazioni del controllo di qualità in generale
Perché i computer quantistici non consentirebbero anche una crittografia più potente?
@mirimir Chi lo ha affermato? Ovviamente c'è la crittografia quantistica, ma anche una volta disponibile non tutti saranno in grado di permettersela, presumo, quindi è comunque importante sapere su quale crittografia classica si può fare affidamento anche se i potenziali intercettatori hanno computer quantistici
Meglio usare OTP - nel mondo reale e per il mondo virtuale utilizzare algoritmi simmetrici + chiavi a 256 bit. guarda questo http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance
@November Modificando leggermente [questo simpatico Gedankenexperiment] (http://physics.stackexchange.com/a/3162/97), presumo che un tuo amico sia uscito prima che facesse freddo. Né tu né loro sappiamo quanti guanti (se ce ne sono) hanno portato con sé, ma entrambi sanno dove sarebbero i restanti; e che, a causa del freddo intenso, il tuo amico sarebbe tornato a casa per i guanti rimanenti una volta notato che alcuni mancavano. Supponi lo stesso per un amico che il tuo amico voleva incontrare fuori. Ora osserva se alcuni dei loro guanti sono a casa e voilà puoi determinare se si sono incontrati fuori o sono tornati a casa
@November La tua conoscenza è obsoleta. Sono stati eseguiti * calcoli su qbit *. Solo non moltissimi. Ma non c'è niente di "romantico" in questo concetto, è stato dimostrato nella pratica.
Grazie per avermi corretto. Questo è molto eccitante, hai un link che lo spieghi in modo più approfondito?
@November Questo è appena uscito: http://arxiv.org/pdf/1512.02206v1.pdf È un po 'tecnico e richiede un po' di conoscenza per essere utilizzabile, ma immagino che la maggior parte delle persone qui siano :-)
Cinque risposte:
Thomas Pornin
2014-01-03 21:01:05 UTC
view on stackexchange narkive permalink

Come al solito, il giornalismo che parla di argomenti tecnici tende ad essere confuso sui dettagli ...

Supponendo che un vero computer quantistico possa essere costruito, allora:

  • RSA e altri algoritmi che si basano sulla durezza della fattorizzazione dei numeri interi (ad esempio Rabin), sono toast. L'algoritmo di Shor considera i grandi numeri interi in modo molto efficiente.
  • DSA, Diffie-Hellman ElGamal e altri algoritmi che si basano sulla durezza del logaritmo discreto sono ugualmente rotto. Si applica anche una variante dell'algoritmo di Shor. Nota che questo è vero per ogni gruppo, quindi le varianti della curva ellittica di questi algoritmi non vanno meglio.

  • La crittografia simmetrica è indebolita ; vale a dire, un computer quantistico può cercare in uno spazio di dimensione 2n nel tempo 2n/2 . Ciò significa che una chiave AES a 128 bit verrebbe retrocessa alla forza di una chiave a 64 bit, tuttavia, tieni presente che queste sono 264 quantistiche -computing operazioni; non è possibile applicare cifre tratte da studi con FPGA e GPU e presumere ciecamente che se un computer quantistico può essere costruito affatto , può essere costruito e gestito a basso costo .

  • Allo stesso modo, la resistenza della funzione hash a vari tipi di attacchi sarebbe ridotta in modo simile. In parole povere, una funzione hash con un output di n bit resisterebbe alle preimmagini con forza 2n/2 e alle collisioni fino a 2 n/3 (cifre con computer classici che sono 2n e 2 n / 2 sup > , rispettivamente). SHA-256 sarebbe ancora forte contro le collisioni come una funzione hash a 170 bit al giorno d'oggi, cioè meglio di un "SHA-1 perfetto".

Quindi la crittografia simmetrica non sarebbe gravemente danneggiata se si rivelasse un computer quantistico. Anche se potesse essere costruito molto a buon mercato , la crittografia simmetrica effettiva e gli algoritmi delle funzioni hash offrirebbero comunque una discreta resistenza. Per la crittografia asimmetrica, tuttavia, ciò significherebbe problemi. Tuttavia, conosciamo diversi algoritmi asimmetrici per i quali non è noto alcun attacco efficiente basato sul controllo di qualità, in particolare algoritmi basati sulla riduzione del reticolo (ad esempio NTRU) e la venerabile crittografia McEliece. Questi algoritmi non sono molto popolari al giorno d'oggi, per una serie di ragioni (le prime versioni di NTRU si sono rivelate deboli; ci sono brevetti; le chiavi pubbliche di McEliece sono enormi ; e così via), ma alcune lo farebbero ancora essere accettabile.

Lo studio della crittografia partendo dal presupposto che possano essere costruiti computer quantistici efficienti è chiamato crittografia post-quantistica.

Personalmente non credo che un esiguo budget di 80 milioni di dollari porterebbe lontano la NSA. IBM ha lavorato su questo argomento per decenni e ha speso molto di più, ei loro migliori prototipi non sono sorprendenti. È altamente plausibile che la NSA abbia speso alcuni dollari per l'idea dell'informatica quantistica; dopotutto, questo è il loro lavoro, e sarebbe uno scandalo se il denaro dei contribuenti non venisse impiegato in quel tipo di ricerca. Ma c'è una differenza tra cercare e trovare ...

+1 e vorrei poterti dare +10 solo per le ultime due frasi. Con tutti gli scandali sui loro abusi a volte è facile dimenticare che quando tutto è stato detto e fatto essere in grado di spiare le persone è il loro * lavoro * e ciò a cui ci opponiamo è la loro mancanza di moderazione quando lo fanno ...
+1 - Ovviamente potresti considerare che con 80 milioni di dollari, la NSA potrebbe semplicemente [assumere scagnozzi per battere le chiavi private dalla maggior parte degli obiettivi] (http://xkcd.com/538/) ... Poi di nuovo potrebbero avere costrinse IBM e altri a "offrirsi volontari" nel fornire i loro progressi di ricerca più segreti fino ad ora
@Thomas Pornin La complessità della ricerca di uno spazio è diminuita a causa del principio di indeterminazione? Potrei essere lontano .....
@Rell3oT: l'idea è che un qubit sia una sovrapposizione di diversi stati e quindi, in una certa misura, con un'unica operazione vengono eseguiti più calcoli contemporaneamente. Il principio di indeterminazione è un'altra espressione, piuttosto non correlata, del fatto che a livello quantistico ciò che pensiamo come "materia" si comporta in realtà come una distribuzione di probabilità.
Va bene, grazie @ThomasPornin. Quello che hai descritto è quello che pensavo fosse il principio di indeterminazione. A quanto pare ho bisogno di rispolverare ...
Tutto ciò non significa che se RSA può essere interrotto, tutte le sessioni TLS con certificati vengono essenzialmente interrotte poiché RSA viene utilizzato per negoziare una chiave simmetrica all'inizio della sessione? Possiamo ancora avere PFS?
@Rell3oT L'incertezza si riduce al fatto che non è sufficiente sfruttare la sovrapposizione di stati ma che devi farlo in modo da poter poi misurare l'intero risultato senza cambiarne la parte già misurata - ad es. se un bit fosse codificato nella coordinata x e un altro nella quantità di moto di quella direzione, potresti ancora essere avvitato poiché la misurazione della quantità di moto (sufficientemente precisa) cambierà _retroattivamente_ la coordinata x (massima precisione possibile) che hai appena misurato e viceversa. A proposito, controlla http://physics.stackexchange.com;)
@Matrix RSA (o DSA) viene utilizzato per consentire al server di identificarsi, la negoziazione della chiave utilizza [Diffie-Hellman] (https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange). Ma poiché ciò si basa sul logaritmo discreto proprio come fa DSA, immagino che sia altrettanto vulnerabile al Quantum Computing. Tuttavia sarei sorpreso se non ci fosse un modo per utilizzare / modificare i metodi meno vulnerabili al controllo di qualità per PFS
E se la crittografia fosse stata eseguita anche su un computer quantistico?
@Jojo01: Penso che siano stati definiti alcuni algoritmi di crittografia progettati per funzionare su computer quantistici (non ricordo i dettagli al momento).Dovrebbero resistere agli aggressori con computer quantistici, ma richiedono anche l'utilizzo di un computer quantistico e, data la scarsa disponibilità di computer quantistici in questo momento, non possiamo testarli.Diciamo che sono un'interessante costruzione intellettuale che _può_ essere utile in un mondo futuro in cui ogni singolo computer e smartphone è un computer quantistico.
@ThomasPornin Sì, penso che il quantum computing migliorerà la sicurezza degli account, perché molto probabilmente le grandi aziende useranno computer quantistici, che il tuo tipico hacker non ha.Ovviamente quando l'informatica quantistica arriva alla leva del consumatore, quel vantaggio viene perso e la situazione torna a zero.
E Serpent?Ho letto che non ne risentirà neanche.
@skan: Serpent è un algoritmo di crittografia simmetrica;quello che dico su AES si applica altrettanto bene a Serpent.In effetti, significa che la crittografia Serpent con una chiave a 128 bit potrebbe essere interrotta con circa 2 ^ 64 operazioni su un computer quantistico (2 ^ 64 è già una quantità molto consistente su un computer classico).
Avendo avuto a che fare molto con IBM, è mio sospetto che abbiano sviluppato un computer quantistico decenni fa, ma nessuno riesce a trovare il collegamento per esso sul loro sito web.
"nota che queste sono operazioni di calcolo quantistico da $ 2 ^ 64 $": anche queste operazioni devono essere sequenziali, il che significa che il tuo computer quantistico deve essere molto veloce ($ 2 ^ 64 $ nanosecondi> 500 anni).Con $ K $ computer quantistici paralleli ottieni una piccola velocità, ma hai ancora bisogno di tempo $ \ frac {2 ^ 64} {\ sqrt {K}} $.Vedi https://quantumcomputing.stackexchange.com/a/4538/5047
mricon
2014-01-03 21:05:28 UTC
view on stackexchange narkive permalink

Il quantum computing avrà un impatto più drammatico sulla crittografia asimmetrica, ma gli algoritmi simmetrici sono considerati sicuri con una dimensione della chiave sufficientemente grande (256 bit). Quindi, sì, dovremo reinventare x509 / SSL prima che il calcolo quantistico decolli davvero (che è un TODO abbastanza grande), ma ci saranno ampie aree di crittografia che rimarranno relativamente sicure.

http://en.wikipedia.org/wiki/Post-quantum_cryptography http://www.pqcrypto.org/www.springer.com/cda/content/document/cda_downloaddocument/ 9783540887010-c1.pdf

0skar
2016-03-08 00:26:36 UTC
view on stackexchange narkive permalink

Quando i crittografi parlano di computer quantistico e crittografia post-quantistica, in realtà parlano della potenza dell ' algoritmo di Shor nella fattorizzazione dei numeri, quindi i problemi difficili basati sul numero di fattorizzazione utilizzati per creare criptosistemi vengono interrotti con L'algoritmo di Shor (computer quantistico) quindi RSA, DSA, ELGamal, Diffie-Hellman Key Exchabge, ECC sono vulnerabili al Quantum Computing!

Nella crittografia a chiave pubblica, tre schemi sono quantistici sicuri:

  • crittografia basata su reticoli come NTRUEncrypt; basata su reticoli
  • crittografia basata su codice come il crittosistema McEliece; basata sulla teoria dell'informazione
  • crittografia multivariata come Hidden Fields Equations

    • e in crittografia simmetrica come AES, se scegli una chiave lunga; sei al sicuro contro computer quantistici e NSA !

    per letture future: link alla rivista Quanta e libro di crittografia post-quantistica

    sean
    2015-03-14 21:08:01 UTC
    view on stackexchange narkive permalink

    1-time pad rimane la crittografia più forte e inattaccabile (se usata correttamente). Ovviamente DEVI scambiare il pad faccia a faccia, ma ritengo che il 95% delle persone che richiedono questo livello di sicurezza si incontreranno prima di impostare comunicazioni sicure.

    Basta specificare quale chiave a 256 bit usare per un particolare messaggio funziona perfettamente ed è utilizzato dai servizi di sicurezza.

    Questo non spiega quali tipi di crittografia non sono danneggiabili dai computer quantistici e quindi non risponde effettivamente alla domanda.
    @Xander questa risposta dice che il metodo One-Time Pad è indistruttibile, che è un'affermazione corretta.
    Non capisco perché questa risposta menziona chiavi a 256 bit.La crittografia di un testo in chiaro a 1024 bit con una chiave a 256 bit non utilizza una OTP.
    Bardeen
    2014-01-04 09:38:37 UTC
    view on stackexchange narkive permalink

    Per una maggiore protezione contro l'NSA, crittografa utilizzando la modalità di cifratura a blocchi della catena AES, quindi crittografa di nuovo il testo cifrato (il risultato della prima crittografia) e ripeti tutte le volte che puoi permetterti di ripetere. L'NSA proverà probabilmente a eseguire una ricerca con la forza bruta per passare attraverso lo spazio di ricerca e capirebbe di aver decifrato il codice determinando l'entropia del risultato per ciascuna delle chiavi che testano. Sanno quando fermarsi quando vedono un testo significativo come risultato. Crittografando più volte, rendi più difficile per loro determinare quando hanno violato un codice perché se provassero la chiave giusta, vedrebbero come risultato un guazzabuglio, quasi indistinguibile dai risultati delle chiavi errate. Man mano che aumenti il ​​numero di crittografie, la difficoltà di crackare il contenuto crittografato diventa più difficile. La NSA perderà la testa cercando di capire quando ha decifrato il codice.

    Software come TrueCrypt possono eseguire crittografie multiple per te. Ma attenzione alla crittografia ingenua che funziona semplicemente in modalità "Electronic Code Book" (ECB). Avrai bisogno di una crittografia che venga eseguita in una delle modalità più sofisticate come "Chain Block Cipher" o "Cipher Feedback". Sì, un computer quantistico renderebbe più facile per la NSA passare attraverso le possibili chiavi per provare. Ma crittografando più volte (con una chiave DIVERSA per ogni ripetizione di crittografia, ovviamente), rendi difficile lo spazio di ricerca per un fattore della lunghezza della chiave. Spero che questo ti aiuti a mantenere le tue cose fuori dalla portata della NSA.

    Le implicazioni dell'applicazione di più livelli di crittografia possono essere piuttosto complesse e nel peggiore dei casi _ridurre_ la sicurezza dei singoli livelli - prendi ad esempio "XOR" per l'intero messaggio _twice_ - ti ritroverai con il messaggio originale! E anche se usi due chiavi diverse, è ancora equivalente a "XOR" con _una_ chiave completamente diversa. Ovviamente è più complesso con AES, ma ti faresti davvero un favore aumentando invece la dimensione della chiave ...
    @TobiasKienzler Ciò si applica solo a determinati tipi di crittografia.Per i cifrari a flusso, fintanto che il nonce è diverso, va tutto bene.Per (la maggior parte) dei codici a blocchi, non importa nemmeno se la chiave è diversa o meno, anche se ovviamente se la chiave è la stessa, non si ottiene alcuna sicurezza aggiuntiva.Per qualcosa come AES, è totalmente sicuro eseguire la crittografia multipla, di solito è un po 'sciocco e non necessario.
    @forest Fare qualcosa di sciocco e non necessario _è_ pericoloso, dal momento che sprechi risorse computazionali su qualcosa che non aumenta veramente la sicurezza quando l'uso appropriato di detta risorsa potrebbe
    @TobiasKienzler Questo è vero.L'aumento della complessità può portare a bug.Volevo solo dire che non era pericoloso nella maggior parte dei casi in senso puramente crittografico.


    Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
    Loading...