Возможно, вы знакомы с концепцией классической криптографии, которая представляет собой тип шифрования, который мы используем каждый день. Возможно, вы даже слышали о квантовой криптографии, в которой используются квантовые компьютеры и квантово-механические эффекты. Хотя обе эти технологии важны сами по себе, классическая криптография лежит в основе почти всей совокупности современных коммуникационных технологий, постквантовая криптография является действительно важным шагом, который не является широко известный. Постквантовая криптография не должна быть следующей по важности после квантового шифрования. Вместо этого это класс криптографии, который по-прежнему актуален в мире, где существуют мощные квантовые компьютеры.
Квантовое ускорение
Классическая криптография в основном основана на небольшом количестве различных математических задач. Эти задачи были тщательно отобраны, потому что они чрезвычайно сложны, если вы не знаете конкретной информации. Даже с компьютерами эти математические задачи доказуемо сложны. В 2019 году в ходе исследования было потрачено 900 лет работы ядра ЦП, чтобы взломать 795-битный ключ RSA. Для взлома 1024-битного ключа RSA потребуется в 500 раз больше вычислительной мощности. Кроме того, 1024-битные ключи RSA устарели в пользу 2048-битных RSA, которые практически невозможно сломать.
Проблема в том, что квантовые компьютеры работают совершенно иначе, чем обычные компьютеры. Это означает, что некоторые вещи, которые трудно сделать обычным компьютерам, намного проще сделать квантовым компьютерам. К сожалению, многие математические задачи, используемые в криптографии, являются прекрасными примерами этого. Все асимметричное шифрование в современном использовании уязвимо для этого квантового ускорения, предполагающего доступ к достаточно мощному квантовому компьютеру.
Традиционно, если вы хотите повысить безопасность шифрования, вам просто нужны более длинные ключи. Это предполагает, что в алгоритме больше нет фундаментальных проблем и что его можно масштабировать для использования более длинных ключей, но принцип сохраняется. С каждым дополнительным битом безопасности сложность удваивается, а это означает, что переход от 1024-битного к 2048-битному шифрованию — это огромный скачок сложности. Однако этот экспоненциальный рост сложности не применяется к этим задачам при работе на квантовых компьютерах, где сложность возрастает логарифмически, а не экспоненциально. Это означает, что вы не можете просто удвоить длину ключа и быть в порядке в течение следующего десятилетия увеличения вычислительной мощности. Вся игра закончена, и нужна новая система.
Луч надежды
Интересно, что все современные алгоритмы симметричного шифрования также затронуты, но в гораздо меньшей степени. Эффективная безопасность асимметричного шифра, такого как RSA, уменьшается на квадратный корень. 2048-битный ключ RSA эквивалентен 45 или около того битам защиты от квантового компьютера. Для симметричных алгоритмов, таких как AES, эффективная безопасность снижается «всего лишь вдвое». 128-битный AES считается безопасным для обычного компьютера, но эффективная защита для квантового компьютера составляет всего 64 бита. Это достаточно слабо, чтобы считаться небезопасным. Однако проблему можно решить, удвоив размер ключа до 256 бит. 256-битный ключ AES обеспечивает 128-битную защиту даже от достаточно мощного квантового компьютера. Этого достаточно, чтобы считаться безопасным. Более того, 256-битный AES уже общедоступен и используется.
Совет. Уровень безопасности, обеспечиваемый алгоритмами симметричного и асимметричного шифрования, нельзя сравнивать напрямую.
Всю эту штуку с «достаточно мощным квантовым компьютером» сложно дать точное определение. Это означает, что квантовый компьютер должен иметь возможность хранить достаточно кубитов, чтобы иметь возможность отслеживать все состояния, необходимые для взлома ключа шифрования. Ключевым фактом является то, что пока ни у кого нет технологий для этого. Проблема в том, что мы не знаем, когда кто-то разработает эту технологию. Это может быть пять лет, десять лет или больше.
Учитывая, что есть по крайней мере один тип математической задачи, подходящей для криптографии, которая не особенно уязвима для квантовых компьютеров, можно с уверенностью предположить, что есть и другие. На самом деле существует множество предложенных схем шифрования, которые можно безопасно использовать даже перед лицом квантовых компьютеров. Задача состоит в том, чтобы стандартизировать эти схемы постквантового шифрования и доказать их безопасность.
Заключение
Постквантовая криптография относится к криптографии, которая остается сильной даже перед лицом мощных квантовых компьютеров. Квантовые компьютеры способны полностью взломать некоторые типы шифрования. Благодаря алгоритму Шора они могут делать это намного быстрее, чем обычные компьютеры. Ускорение настолько велико, что противодействовать ему практически невозможно. Таким образом, предпринимаются усилия по выявлению потенциальных криптографических схем, которые не уязвимы для этого экспоненциального ускорения и поэтому могут противостоять квантовым компьютерам.
Если у кого-то с будущим квантовым компьютером есть много старых исторических данных, которые он может легко взломать, он все равно может нанести большой ущерб. Учитывая высокую стоимость и технические навыки, необходимые для создания, обслуживания и использования квантового компьютера, маловероятно, что они будут использованы преступниками. Однако правительства и этически неоднозначные мегакорпорации имеют ресурсы и не могут использовать их для общего блага. Даже если этих мощных квантовых компьютеров еще не существует, важно перейти на постквантовой криптографии, как только будет показано, что она безопасна, чтобы предотвратить широкое историческое расшифровка.
Многие кандидаты на постквантовую криптографию практически готовы к работе. Проблема в том, что доказать, что они безопасны, было уже чертовски сложно, если не учитывать умопомрачительно сложные квантовые компьютеры. В настоящее время проводится множество исследований, чтобы определить лучшие варианты для широкого использования. Важно понимать, что постквантовая криптография работает на обычном компьютере. Это отличает ее от квантовой криптографии, которая должна работать на квантовом компьютере.