Постквантова криптографія

Постквантова криптографія — частина криптографії, яка залишається актуальною після появи квантових комп'ютерів і квантових атак. Оскільки за швидкістю обчислення традиційних криптографічних алгоритмів квантові комп'ютери значно перевершують класичні комп'ютерні архітектури, сучасні криптографічні системи стають потенційно вразливими для криптографічних атак. Більшість традиційних криптосистем спирається на задачі факторизації цілих чисел або задачі дискретного логарифмування, які легко можна розв'язати на достатньо великих квантових комп'ютерах, що використовують алгоритм Шора^[1]. Багато криптографів нині розробляють алгоритми, незалежні від квантових обчислень, тобто стійкі до квантових атак.

Існують класичні криптосистеми, які спираються на обчислювально складні завдання та мають низку суттєвих відмінностей від зазначених вище систем, через що їх значно складніше вирішити. Ці системи незалежні від квантових обчислень, і, отже, їх вважають квантово-стійкими (quantum-resistant), або постквантовими криптосистемами.

Постквантова криптографія у свою чергу відрізняється від квантової криптографії, яка займається методами захисту комунікацій, заснованих на принципах квантової фізики.

Алгоритми[ред. | ред. код]

Постквантові криптографічні конструкції здатні врятувати криптографічний світ від квантових атак. Хоча квантовий комп'ютер і знищить більшість традиційних алгоритмів (RSA, DSA, ECDSA), але надшвидкі обчислення не скасують повністю криптографії, оскільки постквантова криптографія, переважно, зосереджена на п'яти різних підходах, які вирішують проблему квантових атак^[1][2].

Криптографія, заснована на геш-функціях[ред. | ред. код]

Класичним прикладом є підпис Меркла з відкритим ключем на основі геш-дерева. 1979 року Ральф Чарльз Меркл запропонував цей алгоритм цифрового підпису, як цікаву альтернативу цифровим підписам RSA та DSA. Основний недолік схеми Меркла полягає в тому, що для будь-якого відкритого ключа на основі геш-функції існує обмеження кількості підписів, які можна отримати з відповідного набору закритих ключів. Цей факт і знижував рівень інтересу до підписів такого типу, до появи потреби у криптографії, стійкій до впливу квантових комп'ютерів.

Криптографія, заснована на кодах виправлення помилок[ред. | ред. код]

Один із найперспективніших кандидатів на постквантові криптосистеми. Класичним прикладом є схеми шифрування McEliece та Niederreiter.

Криптографія, заснована на ґратках[ред. | ред. код]

Класичним прикладом схем шифрування є Ring — Learning with Errors^[3][4][5][6] або старіші NTRU, GGH і криптосистема Міччанчо.

Криптографія, заснована на багатовимірних квадратичних системах[ред. | ред. код]

Однією з найцікавіших схем є підпис з відкритим ключем Жака Патаріна HFE, який він запропонував 1996 року, як узагальнення пропозицій Мацумото (Matsumoto) та Імаї (Imai)^[1].

Шифрування зі секретним ключем[ред. | ред. код]

Яскравим прикладом є шифр Rijndael, запропонований 1998 року, згодом перейменований на AES (Advanced Encryption Standard).

Шифрування з використанням суперсингулярної ізогенії[ред. | ред. код]

Аналог протоколу Діффі — Геллмана, заснований на блуканні в суперсингулярному ізогенному графі, що дозволяє двом і більше сторонам отримати спільний секретний ключ, використовуючи незахищений від прослуховування канал зв'язку.

Приклади криптографічних атак на RSA^[1][ред. | ред. код]

У документі, який 1978 року опублікували розробники криптографічного алгоритму з відкритим ключем RSA (абревіатура від прізвищ Rivest, Shamir та Adleman), згадано новий алгоритм Річарда Шреппеля^[en] «лінійне сито» (англ. linear sieve), який факторизував будь-який модуль RSA ${\displaystyle n}$ довжини ${\displaystyle [\log _{2}n]+1}$ біт, використовуючи ${\displaystyle 2^{(1+o(1))(\log _{2}n)^{1/2}(\log _{2}\log _{2}n)^{1/2}}}$ найпростіших операцій. Таким чином, щоб цей алгоритм вимагав щонайменше ${\displaystyle 2^{b}}$ простих операцій, необхідно вибирати ${\displaystyle n}$ довжини принаймні не менше ніж ${\displaystyle (0,5+o(1))b^{2}/{\log _{2}b}}$ біт. Оскільки ${\displaystyle 0{,}5+o(1)}$ означає, що щось збігається до ${\displaystyle 0{,}5}$ при ${\displaystyle b\to \infty }$, то для з'ясування правильного розміру ${\displaystyle n}$ за скінченного ${\displaystyle b}$ потрібен ретельніший аналіз швидкості «лінійного сита».

В 1988 Джон Поллард^[en] запропонував новий алгоритм факторизації, який називають «загальний метод решета числового поля». Цей алгоритм факторизував RSA-модуль ${\displaystyle n}$ розмірності ${\displaystyle \log _{2}n}$ біт, використовуючи ${\displaystyle 2^{(1,9\dotso +o(1))(\log _{2}n)^{1/3}(\log _{2}\log _{2}n)^{2/3}}}$найпростіших операцій. Таким чином, щоб алгоритму знадобилося як мінімум ${\displaystyle 2^{b}}$ найпростіших операцій, потрібно вибирати ${\displaystyle n}$ довжини не менше ніж ${\displaystyle (0,016\dotso +o(1))b^{3}/(\log _{2}b)^{2}}$ біт.

Від 2008 року найшвидші алгоритми факторизації для класичних комп'ютерних архітектур використовують щонайменше ${\displaystyle 2^{(const+o(1))(\log _{2}n)^{1/3}(\log _{2}\log _{2}n)^{2/3}}}$ найпростіших операцій. Були деякі покращення в значеннях ${\displaystyle const}$ та в деталях ${\displaystyle o(1)}$, але зрозуміло, що ${\displaystyle 1/3}$ оптимальне, і що вибір модуля ${\displaystyle n}$ довжиною приблизно рівною ${\displaystyle b^{3}}$ біт, дозволить чинити опір усім можливим атакам на класичних комп'ютерах.

1994 року Пітер Шор запропонував алгоритм, який факторизував будь-який RSA-модуль ${\displaystyle n}$ розмірності ${\displaystyle b=\log _{2}n}$ біт, використовуючи ${\displaystyle b^{2+o(1)}}$ (точніше ${\displaystyle b^{2}\cdot \log(b)\cdot \log(\log(b))}$) кубітових операцій на квантовому комп'ютері розміру порядку ${\displaystyle 2\cdot b^{1+o(1)}}$ кубіт (і незначний обсяг допоміжних обчислень на класичному комп'ютері). Користуючись алгоритмом Шора, необхідно принаймні вибирати модуль ${\displaystyle n}$ бітовим розміром не менше ніж ${\displaystyle 2^{(0,5+o(1))b}}$ біт, що є занадто великою кількістю для будь-якого цікавого для нас ${\displaystyle b}$^[7].

Практичні застосування криптографічних конструкцій^[1][ред. | ред. код]

Прикладів алгоритмів, стійких до квантових атак, дуже мало. Але, попри вищу криптографічну стійкість, постквантові алгоритми не здатні витіснити сучасних криптосистем (RSA, DSA, ECDSA тощо).

Розглянемо напади на криптосистему з відкритим ключем, а саме на алгоритм шифрування McEliece, який використовує двійкові коди Гоппи. Спочатку Роберт Мак-Еліс^[en] надав документи, в яких коди завдовжки ${\displaystyle n}$ зламуються за ${\displaystyle 2^{(0,5+o(1))n/{\log _{2}n}}}$ найпростіших операцій. Таким чином, потрібно вибирати ${\displaystyle n}$ не меншим ніж ${\displaystyle (2+o(1))b\log _{2}b}$ біт, щоб алгоритму знадобилося як мінімум ${\displaystyle 2^{b}}$ найпростіших операцій. Декілька наступних робіт скоротили кількість операцій атаки до ${\displaystyle n^{\log _{2}n}=2^{(\log _{2}n)^{2}}}$, але ${\displaystyle (\log _{2}n)^{2}}$ значно менше ніж ${\displaystyle 0{,}5n/{\log _{2}n}}$, якщо ${\displaystyle n}$ велике. Тому покращені атаки досі використовують ${\displaystyle 2^{(0,5+o(1))n/{\log _{2}n}}}$ найпростіших операцій. Що стосується квантових комп'ютерів, то їх використання призведе лише до зменшення константи ${\displaystyle 0,5}$, що зовсім мало скоротить кількість операцій, необхідних для зламу цього алгоритму.

Якщо система шифрування McEliece так добре захищена, чому вона не приходить на зміну RSA? Причина в ефективності, зокрема в розмірі ключа. Відкритий ключ McEliece використовує приблизно ${\displaystyle {n^{2}}/4}$ ≈ ${\displaystyle {b^{2}}(\log _{2}b)^{2}}$ біт, тоді як для відкритого ключа RSA достатньо близько ${\displaystyle (0{,}016\dots )b^{3}/(\log _{2}b)^{2}}$ біт. Якщо ${\displaystyle b\to \infty }$, то ${\displaystyle b^{2+o(1)}}$ біт для McEliece, буде менше від ${\displaystyle b^{3+o(1)}}$ біт для RSA, але реальні рівні безпеки, такі як ${\displaystyle b=128}$, дозволяють RSA мати відкритий ключ довжиною кілька тисяч біт, тоді як для McEliece розмір ключа наближається до мільйона біт.

Конференція PQCrypto[ред. | ред. код]

Від 2006 року проводиться серія конференцій, присвячених постквантовій криптографії.

• PQCrypto 2006. Левенський католицький університет, Бельгія, від 23 до 26 травня^[8]
• PQCrypto 2008. Університет Цинциннаті, США, від 17 до 19 жовтня^[9]
• PQCrypto 2010. Дармштадт, Німеччина, від 25 до 28 травня^[10]
• PQCrypto 2011. Тайбей, Тайвань, від 29 листопада до 2 грудня^[11]
• PQCrypto 2013. Лімож, Франція, від 4 до 7 червня^[12]
• PQCrypto 2014. Університет Ватерлоо, Канада, від 1 до 3 жовтня^[13]
• PQCrypto 2016. Попередній план: Фукуока, Японія, лютий 2016^{[уточнити]}

Див. також[ред. | ред. код]

• Криптографія на ґратках
• Алгоритм Шора

Примітки[ред. | ред. код]

Посилання[ред. | ред. код]

• PQCrypto, the post-quantum cryptography conference
• Post-Quantum Cryptography. — Springer, 2008. — С. 245. — ISBN 978-3-540-88701-0.
• ETSI Квантова безпека(англ.)
• NIST's Постквантовий криптопроєкт(англ.)
• PQCrypto Використання та розгортання(англ.)

Словники та енциклопедії NicoNicoPedia Довідкові видання KBpedia Нормативний контроль Freebase: /m/0bhc70l