Постквантова криптографія

частина криптографії, яка залишається актуальною після появи квантових комп'ютерів і квантових атак

Постквантова криптографія — частина криптографії, яка залишається актуальною після появи квантових комп'ютерів і квантових атак. Оскільки за швидкістю обчислення традиційних криптографічних алгоритмів квантові комп'ютери значно перевершують класичні комп'ютерні архітектури, сучасні криптографічні системи стають потенційно вразливими для криптографічних атак. Більшість традиційних криптосистем спирається на задачі факторизації цілих чисел або задачі дискретного логарифмування, які легко можна розв'язати на достатньо великих квантових комп'ютерах, що використовують алгоритм Шора[1]. Багато криптографів нині розробляють алгоритми, незалежні від квантових обчислень, тобто стійкі до квантових атак.

Існують класичні криптосистеми, які спираються на обчислювально складні завдання та мають низку суттєвих відмінностей від зазначених вище систем, через що їх значно складніше вирішити. Ці системи незалежні від квантових обчислень, і, отже, їх вважають квантово-стійкими (quantum-resistant), або постквантовими криптосистемами.

Постквантова криптографія у свою чергу відрізняється від квантової криптографії, яка займається методами захисту комунікацій, заснованих на принципах квантової фізики.

Алгоритми

ред.

Постквантові криптографічні конструкції здатні врятувати криптографічний світ від квантових атак. Хоча квантовий комп'ютер і знищить більшість традиційних алгоритмів (RSA, DSA, ECDSA), але надшвидкі обчислення не скасують повністю криптографії, оскільки постквантова криптографія, переважно, зосереджена на п'яти різних підходах, які вирішують проблему квантових атак[1][2].

Криптографія, заснована на геш-функціях

ред.

Класичним прикладом є підпис Меркла з відкритим ключем на основі геш-дерева. 1979 року Ральф Чарльз Меркл запропонував цей алгоритм цифрового підпису, як цікаву альтернативу цифровим підписам RSA та DSA. Основний недолік схеми Меркла полягає в тому, що для будь-якого відкритого ключа на основі геш-функції існує обмеження кількості підписів, які можна отримати з відповідного набору закритих ключів. Цей факт і знижував рівень інтересу до підписів такого типу, до появи потреби у криптографії, стійкій до впливу квантових комп'ютерів.

Криптографія, заснована на кодах виправлення помилок

ред.

Один із найперспективніших кандидатів на постквантові криптосистеми. Класичним прикладом є схеми шифрування McEliece та Niederreiter.

Криптографія, заснована на ґратках

ред.

Класичним прикладом схем шифрування є Ring — Learning with Errors[3][4][5][6] або старіші NTRU, GGH і криптосистема Міччанчо.

Криптографія, заснована на багатовимірних квадратичних системах

ред.

Однією з найцікавіших схем є підпис з відкритим ключем Жака Патаріна HFE, який він запропонував 1996 року, як узагальнення пропозицій Мацумото (Matsumoto) та Імаї (Imai)[1].

Шифрування зі секретним ключем

ред.

Яскравим прикладом є шифр Rijndael, запропонований 1998 року, згодом перейменований на AES (Advanced Encryption Standard).

Шифрування з використанням суперсингулярної ізогенії

ред.

Аналог протоколу Діффі — Геллмана, заснований на блуканні в суперсингулярному ізогенному графі, що дозволяє двом і більше сторонам отримати спільний секретний ключ, використовуючи незахищений від прослуховування канал зв'язку.

Приклади криптографічних атак на RSA[1]

ред.

У документі, який 1978 року опублікували розробники криптографічного алгоритму з відкритим ключем RSA (абревіатура від прізвищ Rivest, Shamir та Adleman), згадано новий алгоритм Річарда Шреппеля[en] «лінійне сито» (англ. linear sieve), який факторизував будь-який модуль RSA   довжини   біт, використовуючи   найпростіших операцій. Таким чином, щоб цей алгоритм вимагав щонайменше   простих операцій, необхідно вибирати   довжини принаймні не менше ніж   біт. Оскільки   означає, що щось збігається до   при  , то для з'ясування правильного розміру   за скінченного   потрібен ретельніший аналіз швидкості «лінійного сита».

В 1988 Джон Поллард[en] запропонував новий алгоритм факторизації, який називають «загальний метод решета числового поля». Цей алгоритм факторизував RSA-модуль   розмірності   біт, використовуючи  найпростіших операцій. Таким чином, щоб алгоритму знадобилося як мінімум   найпростіших операцій, потрібно вибирати   довжини не менше ніж   біт.

Від 2008 року найшвидші алгоритми факторизації для класичних комп'ютерних архітектур використовують щонайменше   найпростіших операцій. Були деякі покращення в значеннях   та в деталях  , але зрозуміло, що   оптимальне, і що вибір модуля   довжиною приблизно рівною   біт, дозволить чинити опір усім можливим атакам на класичних комп'ютерах.

1994 року Пітер Шор запропонував алгоритм, який факторизував будь-який RSA-модуль   розмірності   біт, використовуючи   (точніше  ) кубітових операцій на квантовому комп'ютері розміру порядку   кубіт (і незначний обсяг допоміжних обчислень на класичному комп'ютері). Користуючись алгоритмом Шора, необхідно принаймні вибирати модуль   бітовим розміром не менше ніж   біт, що є занадто великою кількістю для будь-якого цікавого для нас  [7].

Практичні застосування криптографічних конструкцій[1]

ред.

Прикладів алгоритмів, стійких до квантових атак, дуже мало. Але, попри вищу криптографічну стійкість, постквантові алгоритми не здатні витіснити сучасних криптосистем (RSA, DSA, ECDSA тощо).

Розглянемо напади на криптосистему з відкритим ключем, а саме на алгоритм шифрування McEliece, який використовує двійкові коди Гоппи. Спочатку Роберт Мак-Еліс[en] надав документи, в яких коди завдовжки   зламуються за   найпростіших операцій. Таким чином, потрібно вибирати   не меншим ніж   біт, щоб алгоритму знадобилося як мінімум   найпростіших операцій. Декілька наступних робіт скоротили кількість операцій атаки до  , але   значно менше ніж  , якщо   велике. Тому покращені атаки досі використовують   найпростіших операцій. Що стосується квантових комп'ютерів, то їх використання призведе лише до зменшення константи  , що зовсім мало скоротить кількість операцій, необхідних для зламу цього алгоритму.

Якщо система шифрування McEliece так добре захищена, чому вона не приходить на зміну RSA? Причина в ефективності, зокрема в розмірі ключа. Відкритий ключ McEliece використовує приблизно    біт, тоді як для відкритого ключа RSA достатньо близько   біт. Якщо  , то   біт для McEliece, буде менше від   біт для RSA, але реальні рівні безпеки, такі як  , дозволяють RSA мати відкритий ключ довжиною кілька тисяч біт, тоді як для McEliece розмір ключа наближається до мільйона біт.

Конференція PQCrypto

ред.

Від 2006 року проводиться серія конференцій, присвячених постквантовій криптографії.

Див. також

ред.

Примітки

ред.
  1. а б в г д Daniel J. Bernstein. Introduction to post-quantum cryptography // (Introductory chapter to book "Post-quantum cryptography"). — 2009.
  2. Q&A With Post-Quantum Computing Cryptography Researcher Jintai Ding. IEEE Spectrum. 1 листопада 2008. Архів оригіналу за 8 жовтня 2015. Процитовано 26 листопада 2014.
  3. навчання з помилками
  4. Peikert, Chris (2014). Lattice Cryptography for the Internet (PDF). IACR. Архів (PDF) оригіналу за 12 травня 2014. Процитовано 10 травня 2014.
  5. Guneysu, Tim; Lyubashevsky; Poppelmann (2012). Practical Lattice-Based Cryptography: A Signature Scheme for Embedded Systems (PDF). INRIA. Архів оригіналу (PDF) за 18 травня 2014. Процитовано 12 травня 2014.
  6. Zhang, jiang (2014). Authenticated Key Exchange from Ideal Lattices (PDF). iacr.org. IACR. Архів (PDF) оригіналу за 7 вересня 2014. Процитовано 7 вересня 2014.
  7. http://crypto.rsuh.ru/papers/bogdanov-kizhvatov-quantum.pdf [Архівовано 2017-12-15 у Wayback Machine.] стр 9
  8. официальный сайт PQCrypto 2006. Архів оригіналу за 26 жовтня 2014. Процитовано 19 листопада 2014.
  9. официальный сайт PQCrypto 2008. Архів оригіналу за 19 жовтня 2014. Процитовано 19 листопада 2014.
  10. официальный сайт PQCrypto 2010. Архів оригіналу за 9 жовтня 2014. Процитовано 19 листопада 2014.
  11. официальный сайт PQCrypto 2011. Архів оригіналу за 27 грудня 2014. Процитовано 19 листопада 2014.
  12. официальный сайт PQCrypto 2013. Архів оригіналу за 23 грудня 2014. Процитовано 19 листопада 2014.
  13. официальный сайт PQCrypto 2014. Архів оригіналу за 26 жовтня 2014. Процитовано 19 листопада 2014.

Посилання

ред.