Remove ads
частина криптографії, яка залишається актуальною після появи квантових комп'ютерів і квантових атак З Вікіпедії, вільної енциклопедії
Постквантова криптографія — частина криптографії, яка залишається актуальною після появи квантових комп'ютерів і квантових атак. Оскільки за швидкістю обчислення традиційних криптографічних алгоритмів квантові комп'ютери значно перевершують класичні комп'ютерні архітектури, сучасні криптографічні системи стають потенційно вразливими для криптографічних атак. Більшість традиційних криптосистем спирається на задачі факторизації цілих чисел або задачі дискретного логарифмування, які легко можна розв'язати на достатньо великих квантових комп'ютерах, що використовують алгоритм Шора[1]. Багато криптографів нині розробляють алгоритми, незалежні від квантових обчислень, тобто стійкі до квантових атак.
Існують класичні криптосистеми, які спираються на обчислювально складні завдання та мають низку суттєвих відмінностей від зазначених вище систем, через що їх значно складніше вирішити. Ці системи незалежні від квантових обчислень, і, отже, їх вважають квантово-стійкими (quantum-resistant), або постквантовими криптосистемами.
Постквантова криптографія у свою чергу відрізняється від квантової криптографії, яка займається методами захисту комунікацій, заснованих на принципах квантової фізики.
Постквантові криптографічні конструкції здатні врятувати криптографічний світ від квантових атак. Хоча квантовий комп'ютер і знищить більшість традиційних алгоритмів (RSA, DSA, ECDSA), але надшвидкі обчислення не скасують повністю криптографії, оскільки постквантова криптографія, переважно, зосереджена на п'яти різних підходах, які вирішують проблему квантових атак[1][2].
Класичним прикладом є підпис Меркла з відкритим ключем на основі геш-дерева. 1979 року Ральф Чарльз Меркл запропонував цей алгоритм цифрового підпису, як цікаву альтернативу цифровим підписам RSA та DSA. Основний недолік схеми Меркла полягає в тому, що для будь-якого відкритого ключа на основі геш-функції існує обмеження кількості підписів, які можна отримати з відповідного набору закритих ключів. Цей факт і знижував рівень інтересу до підписів такого типу, до появи потреби у криптографії, стійкій до впливу квантових комп'ютерів.
Один із найперспективніших кандидатів на постквантові криптосистеми. Класичним прикладом є схеми шифрування McEliece та Niederreiter.
Класичним прикладом схем шифрування є Ring — Learning with Errors[3][4][5][6] або старіші NTRU, GGH і криптосистема Міччанчо.
Однією з найцікавіших схем є підпис з відкритим ключем Жака Патаріна HFE, який він запропонував 1996 року, як узагальнення пропозицій Мацумото (Matsumoto) та Імаї (Imai)[1].
Яскравим прикладом є шифр Rijndael, запропонований 1998 року, згодом перейменований на AES (Advanced Encryption Standard).
Аналог протоколу Діффі — Геллмана, заснований на блуканні в суперсингулярному ізогенному графі, що дозволяє двом і більше сторонам отримати спільний секретний ключ, використовуючи незахищений від прослуховування канал зв'язку.
У документі, який 1978 року опублікували розробники криптографічного алгоритму з відкритим ключем RSA (абревіатура від прізвищ Rivest, Shamir та Adleman), згадано новий алгоритм Річарда Шреппеля[en] «лінійне сито» (англ. linear sieve), який факторизував будь-який модуль RSA довжини біт, використовуючи найпростіших операцій. Таким чином, щоб цей алгоритм вимагав щонайменше простих операцій, необхідно вибирати довжини принаймні не менше ніж біт. Оскільки означає, що щось збігається до при , то для з'ясування правильного розміру за скінченного потрібен ретельніший аналіз швидкості «лінійного сита».
В 1988 Джон Поллард[en] запропонував новий алгоритм факторизації, який називають «загальний метод решета числового поля». Цей алгоритм факторизував RSA-модуль розмірності біт, використовуючи найпростіших операцій. Таким чином, щоб алгоритму знадобилося як мінімум найпростіших операцій, потрібно вибирати довжини не менше ніж біт.
Від 2008 року найшвидші алгоритми факторизації для класичних комп'ютерних архітектур використовують щонайменше найпростіших операцій. Були деякі покращення в значеннях та в деталях , але зрозуміло, що оптимальне, і що вибір модуля довжиною приблизно рівною біт, дозволить чинити опір усім можливим атакам на класичних комп'ютерах.
1994 року Пітер Шор запропонував алгоритм, який факторизував будь-який RSA-модуль розмірності біт, використовуючи (точніше ) кубітових операцій на квантовому комп'ютері розміру порядку кубіт (і незначний обсяг допоміжних обчислень на класичному комп'ютері). Користуючись алгоритмом Шора, необхідно принаймні вибирати модуль бітовим розміром не менше ніж біт, що є занадто великою кількістю для будь-якого цікавого для нас [7].
Прикладів алгоритмів, стійких до квантових атак, дуже мало. Але, попри вищу криптографічну стійкість, постквантові алгоритми не здатні витіснити сучасних криптосистем (RSA, DSA, ECDSA тощо).
Розглянемо напади на криптосистему з відкритим ключем, а саме на алгоритм шифрування McEliece, який використовує двійкові коди Гоппи. Спочатку Роберт Мак-Еліс[en] надав документи, в яких коди завдовжки зламуються за найпростіших операцій. Таким чином, потрібно вибирати не меншим ніж біт, щоб алгоритму знадобилося як мінімум найпростіших операцій. Декілька наступних робіт скоротили кількість операцій атаки до , але значно менше ніж , якщо велике. Тому покращені атаки досі використовують найпростіших операцій. Що стосується квантових комп'ютерів, то їх використання призведе лише до зменшення константи , що зовсім мало скоротить кількість операцій, необхідних для зламу цього алгоритму.
Якщо система шифрування McEliece так добре захищена, чому вона не приходить на зміну RSA? Причина в ефективності, зокрема в розмірі ключа. Відкритий ключ McEliece використовує приблизно ≈ біт, тоді як для відкритого ключа RSA достатньо близько біт. Якщо , то біт для McEliece, буде менше від біт для RSA, але реальні рівні безпеки, такі як , дозволяють RSA мати відкритий ключ довжиною кілька тисяч біт, тоді як для McEliece розмір ключа наближається до мільйона біт.
Від 2006 року проводиться серія конференцій, присвячених постквантовій криптографії.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.