Комментарии 28
Насколько мне известно ГОСТ Р 34.11-2012, который уже давно в обязательном порядке используется в госсекторе, как раз основан на эллиптических кривых.
А частники для себя хоть хоть Шифр Цезаря могут использовать, если законодательство соблюдено. Их проблемы.
ГОСТ Р 34.11-2012 - это стандарт на функцию хеширования. На эллиптических кривых "смежный" стандарт на электронную подпись - ГОСТ Р 34.10-2012 или его межгосударственный аналог ГОСТ 34.10-2018, я о нем как раз и упоминал в статье в числе подверженных квантовому криптоанализу алгоритмов.
Не надо пользоваться несимметричными ключами. Только симметричные, желательно одноразовые.
А для реальной жизни есть что-нибудь?
А электронную подпись как сделать на симметричных ключах?
шифрование ГОСТ Р 34.12-2005. А аутентифицированное шифрование, например Р Е К О М Е Н Д А Ц И И ПО С Т А Н Д А Р Т И З А Ц И И Р 1323565.1.026— 2019. Альтернатива ЭП. А для IoT Р Е К О М Е Н Д А Ц И И ПО С Т А Н Д А Р Т И З А Ц И И Р 1323565.1.029— 2019.
Основные свойства различаются. Например, ЭП обеспечивает неотказуемость (от факта подписания), а на симметричных ключах это свойство не обеспечивается.
согласен, но это и вопрос применения. Например, есть случаи выдачи ЭП недобросовестными организациями, которые копии секретного ключа оставляют себе и потом используют, пользователи судятся,.ЭЦП признают недействительными. При аутентицифированном шифровании на аппаратном устройстве по крайней мере можно добавить точное время шифрования и атрибуты, которые другое устройство или это-же в другой момент времени не сгенерирует, это определенная защита.
В общем случае никак
Состояние с реализацией в железе квантовых вычислений похоже на воплощение термоядерной электростанции: каждые 20 лет можно с уверенностью сказать, что будет построена через 30 лет.
синтез и анализ постквантового криптографического алгоритма;
это буквально "дорисовать остатки совы". Не знаю что у нас там по математикам по теме, но пока во всём мире не представлено сколько-нибудь надёжного PQ-алгоритма.
На конкурсе NIST по выбору постквантовых криптоалгоритмов было несколько алгоритмов с доказуемой стойкостью, посмотреть можно здесь:
https://www.nist.gov/pqcrypto
Пока что там кучка уязвимых кандидатов. Идея понятно, но полноценный механизм насколько мне известно пока ещё не придуман.
По тому, что я читал в уроках ibm на эту тему- устойчивыми считается группа алгоритмов, основанных, очень упрощённо, на прямой и обратной задаче разделения множества точек на 2 класса, где суть примерно такая: зная параметры разделяющей многомерной гиперплоскости(они являются нашим приватным ключом), сгенерим массив случайных пар "точка+расстояние до гиперплоскости" и добавим к расстояниям случайный шум определенного распределения- это будет публичный ключ. Дальше не очень сложной математикой в зависимости от того, шифруем мы 0 или 1, считаем одну из двух линейных комбинаций из векторов точек публичного ключа и полученный вектор есть наш шифр. Прикол в том, что понять, какое из двух преобразований было применено, очень просто, зная коэффициенты гиперплоскости, и никак, не решая тяжёлую задачу ML- не зная.
Прикол в том, что понять, какое из двух преобразований было применено, очень просто, зная коэффициенты гиперплоскости
ну вот собственно одна из проблем. Вторая - с развитием программы Лэнглэнда сдаётся мне что в какой-то момент задачи на решётках сведутся к изоморфизмам на (гипер)эллиптических кривых, что даже с учётом гиперплоскости будет ровно той же сложности что и обычные эллиптические кривые и PQ инвалидируется.
Почему второе(если действительно докажут изоморфизм этих задач) проблема- понятно, а первое почему? Это же буквально тот самый "бэкдор", сложно обратимая операция, которая и позволяет нам использовать эту механику для асимметричного шифрования.
Похоже на ночь глядя я плохо прочитал. Первое это для обращения ключей, да. Проблема там маленько иного рода.
Интересно, если квантовые компьютеры будут принадлежать только крупным корпорациям или правительствам, то они смогут расшифровать практически любой сложный шифр, созданный на персональных компьютерах обычных пользователей. Как в будущем можно будет устранить этот дисбаланс?
Кажется, что обычные пользователи не смогут получить доступ к квантовым компьютерам длительное время, а до тех пор они будут уязвимы.
3 неправильных ввода - блокировка на сутки, и смысл квантовых ключей теряется. Другой вопрос - шифрование самой информации, но если учесть что можно сделать с ключами как сказано, то вероятность противоправного доступа к ней сильно уменьшается. А шифровать то что в открытом доступе - абсурд.
Никакие алгоритмы сейчас не являются уязвимыми перед всё ещё теоритеческим большим квантовым компьютером. RSA не используется для ключей, только для удостоверения сервера. Ключи на эллиптике уже тоже есть для удостоверения.
Симметрический ключ для шифрования AES получается из эфемерных 2 пар ассиметричных ключей, они так называются, так как создаются в момент соединения. Квантового алгоритма для эллиптики не существует, хотя и есть статьи про то, что алгоритм должен существовать.
При использовании постквантовой криптографии дисбаланса не будет, поскольку квантовый компьютер (принадлежащий крупным корпорациям или правительствам) вскроет их не быстрее, чем классический (принадлежащий обычному пользователю).
А биткоин тоже уязвим?
С точки зрения используемого алгоритма электронной подписи - да, уязвим - там же используется алгоритм ECDSA на эллиптических кривых.
То есть квантовый взломщик автоматически получает приз. Неплохо, неплохо.
В своё время, как только стало ясно что создание ядерной бомбы возможно, все открытые публикации на эту тему резко прекратились.
Неужели с квантовыми алгоритмами другая ситуация?
Ну электронная подпись - не шифрование, здесь метод HNDL не применим. Перейти на новые алгоритмы можно и прямо перед непосредственной угрозой.
Правильно ли я понимаю, что биткойн достаточно гибок и с помощью механизма BIP можно относительно безболезненно перейти на постквантовые алгоритмы (при наличии их реализаций)?
Перейти на новые алгоритмы можно и прямо перед непосредственной угрозой.
Дык в том и дело, кто же расскажет об этом что непосредственно угроза уже близка? Сейчас наверняка идёт куча секретных проектов, ведь приз внушительный. Никто ведь никому не докладывал о ходе разработки ядерной бомбы. Единственное заявили когда уже получилось, но это было необходимо. В случае достижения квантового превосходства заявлений не будет.
С биткоином максимум кто-то заметит, что на старых заброшенных кошельках происходят какие-то транзакции. А со взломом всего остального шифрования мы можем не заметить ничего вообще, кроме того что у кого-то вдруг резко вырастут прибыли и начнутся какие-то странные успехи.
биткойн достаточно гибок и с помощью механизма BIP можно относительно безболезненно перейти на постквантовые алгоритмы (при наличии их реализаций)?
не могу ответить, не знаю
Ну да, про реализацию угрозы согласен. Тогда тем более пора заняться переходом на новые алгоритмы (кстати, алгоритмы описаны здесь: https://habr.com/ru/companies/aktiv-company/articles/882490/) прямо сейчас. Думаю, что лучшие умы уже думают над тем, как перевести на них биткойн.
Не пора ли переходить на постквантовые криптоалгоритмы уже сейчас?