Przewaga dystrybucji klucza kwantowego nad kryptografią post kwantową

Kryptografia postkwantowa, taka jak kryptografia oparta na sieci, została zaprojektowana tak, aby była bezpieczna, nawet jeśli dostępne są komputery kwantowe. Przypomina obecnie stosowane szyfrowania, ale opiera się na problemach, które najprawdopodobniej nie są w stanie skutecznie rozwiązać przez komputer kwantowy.

Oczywiście trwają badania nad kwantową dystrybucją klucza (QKD). Ale jakie dokładnie są zalety dystrybucji klucza kwantowego nad kryptografią postkwantową?

Opracowanie nowej technologii, takiej jak QKD, może mieć świetne skutki uboczne, a być może QKD będzie bardziej opłacalne lub szybsze w perspektywie długoterminowej, ale wątpię, żeby to był główny powód.

Jeśli zostanie udowodnione, że dany asymetryczny protokół szyfrowania opiera się na problemie, którego nie można skutecznie rozwiązać nawet za pomocą komputera kwantowego, kryptografia kwantowa staje się w dużej mierze nieistotna.

Chodzi o to, że na dzień dzisiejszy nikt nie był w stanie tego zrobić. Rzeczywiście, taki wynik byłby poważnym przełomem, ponieważ dowodziłby istnienia $\text{NP}$$\text{NP}\!\setminus\!\text{BQP}$ ).

Ogólnie rzecz biorąc, wszystkie klasyczne protokoły szyfrowania asymetrycznego są bezpieczne przy założeniu, że dany problem jest trudny do rozwiązania, ale w żadnym wypadku, o ile mi wiadomo, udowodniono (w sensie złożoności obliczeniowej), że problem ten jest rzeczywiście wykładniczo trudny rozwiązać za pomocą komputera kwantowego (a dla wielu nawet nie to, że problem nie jest skutecznie rozwiązany za pomocą klasycznego komputera).

Myślę, że to dobrze wyjaśnia Bernstein w swoim przeglądzie kryptografii post kwantowej ( Link ). Cytując z pierwszej części powyższego, gdzie właśnie mówił o szeregu klasycznych protokołów szyfrowania:

Czy istnieje lepszy atak na te systemy? Być może. Jest to znane ryzyko w kryptografii. Właśnie dlatego społeczność inwestuje ogromne ilości czasu i energii w kryptoanalizę. Czasami kryptoanalitycy odnajdują niszczycielski atak, co pokazuje, że system jest bezużyteczny dla kryptografii; na przykład każdy użyteczny wybór parametrów systemu szyfrowania z kluczem publicznym Merkle – Hellman można łatwo złamać. Czasami kryptoanalitycy znajdują ataki, które nie są tak druzgocące, ale zmuszają do większych rozmiarów kluczy. Czasami kryptoanalityki badają systemy przez lata, nie znajdując żadnych ulepszonych ataków, a społeczność kryptograficzna zaczyna budować pewność, że znaleziono najlepszy możliwy atak - lub przynajmniej, że atakujący z prawdziwego świata nie będą w stanie wymyślić nic lepszego.

Z drugiej strony bezpieczeństwo QKD idealnie nie opiera się na przypuszczeniach (lub, jak się często mówi, protokoły QKD zapewniają w zasadzie bezpieczeństwo teoretyczne ). Jeśli obie strony dzielą bezpieczny klucz, wówczas kanał komunikacji jest bezwarunkowo bezpieczny, a QKD zapewnia im bezwarunkowo bezpieczny sposób wymiany takiego klucza (oczywiście nadal przy założeniu, że mechanika kwantowa ma rację). W sekcji 4 wyżej wspomnianej recenzji autor przedstawia bezpośrednie (jeśli być może nieco stronnicze) porównanie QKD z kryptografią post-kwantową. Należy zauważyć, że oczywiście „bezwarunkowe bezpieczeństwo” należy rozumieć w sensie teoretycznym, podczas gdy w świecie rzeczywistym mogą istnieć ważniejsze aspekty bezpieczeństwa. Należy również zauważyć, że niektórzy nie uważają faktycznego bezpieczeństwa i praktyczności QKD za rzeczywiste (patrz np. Bernstein tutaj i związana z nim dyskusja na temat QKD na crypto.SE ) oraz że teoretyczne bezpieczeństwo QKD protokoły są prawdziwe tylko wtedy, gdy są odpowiednio przestrzegane, co w szczególności oznacza, że ​​klucz wspólny musi być używany jako jednorazowa podkładka .

Wreszcie w rzeczywistości wiele protokołów QKD może zostać zerwanych. Powodem jest to, że do złamania protokołu można wykorzystać eksperymentalną niedoskonałość określonych implementacji (patrz np. 1505.05303 i pag.6 npjqi201625 ). Nadal możliwe jest zapewnienie bezpieczeństwa przed takimi atakami za pomocą niezależnych od urządzenia protokołów QKD, których bezpieczeństwo opiera się na naruszeniach nierówności Bella i można udowodnić, że nie zależą one od szczegółów implementacji. Chodzi o to, że te protokoły są jeszcze trudniejsze do wdrożenia niż zwykłe QKD.

Dystrybucja klucza kwantowego wymaga hurtowej wymiany całej infrastruktury komunikacyjnej zbudowanej z kabli Ethernet 5 EUR i procesorów 0,50 EUR na dedykowane łącza światłowodowe o wartości wielu milionów euro i wyspecjalizowane komputery, które i tak wykonują klasyczną kryptografię z tajnym kluczem.

Ponadto musisz uwierzytelnić udostępnione tajne klucze, które negocjujesz, z kwantową dystrybucją klucza, co prawdopodobnie zrobisz za pomocą klasycznej kryptografii klucza publicznego, chyba że jesteś wystarczająco bogaty, aby pozwolić kurierom z walizkami przykutymi do nadgarstków.

Więcej informacji od François Grieu na crypto.se o tym, co sprawia, że ​​kryptografia kwantowa jest bezpieczna.

Istotą różnicy technicznej - pomijając koszty i możliwość wdrożenia, a także podziały polityczne i klasowe - jest to, że protokół fizyczny systemu QKD ma być zaprojektowany w taki sposób, aby nie musiał pozostawiać fizycznego śladu, że przyszłe przełomy matematyczne mogłyby umożliwić retroaktywne odzyskanie wspólny sekret wynegocjowany przez te dedykowane łącza światłowodowe. Z kolei w przypadku klasycznej kryptografii umowy klucza publicznego w Internecie, w których podsłuchiwacz rejestruje wszystko przez sieć, mogą w zasadzie zostać przełamane przez przyszłe przełomy matematyczne.

Następnie, w obu przypadkach, rówieśnicy używają wynegocjowanego wspólnie tajnego klucza, czy to z kwantową dystrybucją klucza, czy z klasyczną zgodą klucza publicznego, jako klucz tajny dla klasycznej kryptografii tajnego klucza, który w zasadzie może zostać złamany przez przyszłe przełomy matematyczne . (Ale bardzo inteligentni, dobrze finansowani ludzie nie dokonali tych przełomów po dziesięcioleciach). A to nie znaczy, że praktyczne implementacje QKD również nie pozostawiają fizycznych śladów .

Wszystko to powiedziało, że QKD jest kwantowe, więc jest seksowne i dobrze sprzedaje się bogatym rządom i bankom, które dysponują wielomilionowymi funduszami uznaniowymi na bezużyteczne zabawki, takie jak QKD. Fizyka jest również całkiem fajna dla nerdów do zabawy.

M. Stern przywołuje kolejną zaletę QKD: Działa na warstwie łącza , negocjując tajny klucz współdzielony przez dwa punkty końcowe łącza światłowodowego - którym może być jeden legalny użytkownik i MITM, którzy połączyli się w to łącze światłowodowe z nieuczciwym Urządzenie QKD. Jeżeli w erze kwantowej supremacji, możemy wymienić na świecie klasycznego klucza publicznego umowy kluczu QKD, wtedy gdy wnioski obecnie negocjować tajnych kluczy z ich równorzędnego w internecie dla end-to-end uwierzytelnionego szyfrowania nad każdym routingu ośrodka , oni zamiast tego musieliby negocjować tajne klucze ze swoim dostawcą usług internetowych , który negocjowałby tajne dokumenty ze swoim pierwotnym dostawcą usług internetowych i tak dalej, w przypadku przeskakiwaniauwierzytelnione szyfrowanie. Byłoby to dobrodziejstwem dla dobrych ludzi z głównych światowych rządów próbujących (z mocą wsteczną) monitorować komunikację użytkowników, aby wykorzenić terrorystów i aktywistów, dziennikarzy i inne niewygodne elementy społeczeństwa, ponieważ dostawcy usług internetowych musieliby wtedy mieć tajne klucze gotowe do przekazania na policje.