Постквантовая криптография: различия между версиями
[отпатрулированная версия] | [отпатрулированная версия] |
Нет описания правки |
запятая, „log“ |
||
Строка 27: | Строка 27: | ||
== Примеры криптографических атак на RSA<ref name=djb-intro /> == |
== Примеры криптографических атак на RSA<ref name=djb-intro /> == |
||
В 1978 году документ, опубликованный разработчиками криптографического алгоритма с открытым ключом RSA (аббревиатура от фамилий Rivest, Shamir и Adleman), упоминал новый алгоритм {{iw|Ричард Шреппель|Ричарда Шреппеля|en|Richard Schroeppel}} «linear sieve», который факторизовал любой RSA модуль <math>n</math> длины <math>[ log_2 n ] + 1</math> бит, используя <math>2^{(1+o(1))(log_2 n)^{1/2}(log_2 |
В 1978 году документ, опубликованный разработчиками криптографического алгоритма с открытым ключом RSA (аббревиатура от фамилий Rivest, Shamir и Adleman), упоминал новый алгоритм {{iw|Ричард Шреппель|Ричарда Шреппеля|en|Richard Schroeppel}} «linear sieve», который факторизовал любой RSA модуль <math>n</math> длины <math>[ \log_2 n ] + 1</math> бит, используя <math>2^{(1+o(1))(\log_2 n)^{1/2}(\log_2\log_2 n)^{1/2}}</math> простых операций. Таким образом, для того чтобы этот алгоритм требовал по меньшей мере <math>2^b</math> простых операций, необходимо выбирать <math>n</math> по крайней мере не меньше чем <math>2^{(0,5 + o(1))b^2/{\log_2 b}}</math> бит. Так как <math>0{,}5 + o(1)</math> означает, что что-то сходится к <math>0{,}5</math> при <math>b\to \infty</math>, то для выяснения правильного размера <math>n</math> при конечном <math>b</math> требуется более тщательный анализ скорости «linear sieve». |
||
В 1988 году {{iw|Поллард, Джон (математик)|Джон Поллард|en|John Pollard (mathematician)}} предложил новый алгоритм факторизации, который называется [[Общий метод решета числового поля]]. Этот алгоритм факторизовал RSA-модуль <math>n</math> размерности <math>log_2 n</math> бит, используя <math>2^{(1,9 |
В 1988 году {{iw|Поллард, Джон (математик)|Джон Поллард|en|John Pollard (mathematician)}} предложил новый алгоритм факторизации, который называется [[Общий метод решета числового поля]]. Этот алгоритм факторизовал RSA-модуль <math>n</math> размерности <math>\log_2 n</math> бит, используя <math>2^{(1,9\dotso+o(1))(\log_2 n)^{1/3}(\log_2\log_2 n)^{2/3}}</math> простых операций. Таким образом, требуется выбирать <math>n</math> не меньше чем <math>2^{(0,016\dotso + o(1))b^3/(\log_2 b)^2}</math> бит, чтобы алгоритму потребовалось как минимум <math>2^b</math> простых операций. |
||
С 2008 года самые быстрые алгоритмы факторизации для классических компьютерных архитектур используют по меньшей мере <math>2^{(const + o(1))b^3/(log_2 b)^2}</math> простых операций. Были некоторые улучшения в значениях <math>const</math> и в деталях <math>o(1)</math>, но не трудно догадаться, что <math>1/3</math> оптимально, и что выбор модуля <math>n</math> длиной примерно равной <math>b^3</math> бит, позволит сопротивляться всем возможным атакам на классических компьютерах. |
С 2008 года самые быстрые алгоритмы факторизации для классических компьютерных архитектур используют по меньшей мере <math>2^{(const + o(1))b^3/(\log_2 b)^2}</math> простых операций. Были некоторые улучшения в значениях <math>const</math> и в деталях <math>o(1)</math>, но не трудно догадаться, что <math>1/3</math> оптимально, и что выбор модуля <math>n</math> длиной примерно равной <math>b^3</math> бит, позволит сопротивляться всем возможным атакам на классических компьютерах. |
||
В 1994 году [[Шор, Питер|Питер Шор]] предложил алгоритм, который факторизовал любой RSA-модуль <math>n</math> размерности <math>b=log_2 n</math> бит, используя <math>b^{2+o(1)}</math> (точнее <math>b^2 |
В 1994 году [[Шор, Питер|Питер Шор]] предложил алгоритм, который факторизовал любой RSA-модуль <math>n</math> размерности <math>b=\log_2 n</math> бит, используя <math>b^{2+o(1)}</math> (точнее <math>b^2 \cdot \log(b) \cdot \log(\log(b))</math>) кубитовых операций на квантовом компьютере размера порядка <math>2\cdot b^{1+o(1)}</math> кубит (и небольшого количества вспомогательных вычислений на классическом компьютере). Пользуясь алгоритмом Шора, необходимо по крайней мере выбирать модуль <math>n</math> битовым размером не меньше чем <math>2^{(0,5+o(1))b}</math> бит, что является слишком большим числом для любого интересующего нас <math>b</math><ref>http://crypto.rsuh.ru/papers/bogdanov-kizhvatov-quantum.pdf стр 9</ref>. |
||
== Практические применения криптографических конструкций<ref name=djb-intro /> == |
== Практические применения криптографических конструкций<ref name=djb-intro /> == |
||
Примеров алгоритмов, устойчивых к квантовым атакам, крайне мало. Но несмотря на больший уровень криптографической устойчивости, постквантовые алгоритмы неспособны вытеснить современные криптосистемы (RSA, DSA, ECDSA и др.). |
Примеров алгоритмов, устойчивых к квантовым атакам, крайне мало. Но несмотря на больший уровень криптографической устойчивости, постквантовые алгоритмы неспособны вытеснить современные криптосистемы (RSA, DSA, ECDSA и др.). |
||
Рассмотрим нападения на криптосистему с открытым ключом, а именно на алгоритм шифрования [[McEliece]], который использует {{iw|двоичные коды Гоппы||en|Binary Goppa code}}. Первоначально {{iw|Мак-Элис, Роберт|Роберт Мак-Элис|en|Robert McEliece}} представил документы, в которых коды длиной <math>n</math> взламываются за <math>2^{(0,5+o(1))n/log_2n}</math> простых операций. Таким образом, требуется выбирать <math>n</math> не меньше чем <math>(2+o(1)) |
Рассмотрим нападения на криптосистему с открытым ключом, а именно на алгоритм шифрования [[McEliece]], который использует {{iw|двоичные коды Гоппы||en|Binary Goppa code}}. Первоначально {{iw|Мак-Элис, Роберт|Роберт Мак-Элис|en|Robert McEliece}} представил документы, в которых коды длиной <math>n</math> взламываются за <math>2^{(0,5+o(1))n/{\log_2n}}</math> простых операций. Таким образом, требуется выбирать <math>n</math> не меньше чем <math>(2+o(1))b\log_2b</math> бит, чтобы алгоритму потребовалось как минимум <math>2^b</math> простых операций. Несколько последующих работ сократили количество операций атаки до <math>n^{\log_2n} = 2^{(\log_2n)^2}</math>, но <math>(\log_2n)^2</math> значительно меньше <math>0{,}5n/{\log_2n}</math>, если <math>n</math> большое. Поэтому улучшенные атаки до сих пор используют <math>2^{(0,5+o(1))n/{\log_2n}}</math> простых операций. Что касается квантовых компьютеров, то их использование приведёт лишь к уменьшению константы <math>0,5</math>, что совсем незначительно сократит количество операций, необходимых для взлома этого алгоритма. |
||
Если система шифрования McEliece так хорошо защищена, то почему она не приходит на смену RSA? Всё дело в эффективности — в частности, в размере ключа. Открытый ключ McEliece использует примерно <math>{n^2}/4</math> ≈ <math>{b^2}(log_2b)^2</math> бит, в то время как открытому ключу RSA достаточно около <math>(0,016 |
Если система шифрования McEliece так хорошо защищена, то почему она не приходит на смену RSA? Всё дело в эффективности — в частности, в размере ключа. Открытый ключ McEliece использует примерно <math>{n^2}/4</math> ≈ <math>{b^2}(\log_2b)^2</math> бит, в то время как открытому ключу RSA достаточно около <math>(0{,}016\dots)b^3/(\log_2b)^2</math> бит. Если <math>b\to \infty</math>, то <math>b^{2+o(1)}</math> бит для McEliece, будет меньше <math>b^{3+o(1)}</math> бит для RSA, но реальные [[Уровень безопасности|уровни безопасности]], такие как <math>b = 128</math>, позволяют RSA иметь открытый ключ в несколько тысяч бит, в то время как для McEliece размер ключа приближается к миллиону бит. |
||
== Конференция PQCrypto == |
== Конференция PQCrypto == |
Версия от 13:18, 2 декабря 2019
Постквантовая криптография — часть криптографии, которая остаётся актуальной и при появлении квантовых компьютеров и квантовых атак. Так как по скорости вычисления традиционных криптографических алгоритмов квантовые компьютеры значительно превосходят классические компьютерные архитектуры, современные криптографические системы становятся потенциально уязвимыми для криптографических атак. Большинство традиционных криптосистем опирается на проблемы факторизации целых чисел или задачи дискретного логарифмирования, которые будут легко разрешимы на достаточно больших квантовых компьютерах, использующих алгоритм Шора.[1][2] Многие криптографы в настоящее время ведут разработку алгоритмов, независимых от квантовых вычислений, то есть устойчивых к квантовым атакам.
Существуют классические криптосистемы, которые опираются на вычислительно сложные задачи и имеют ряд существенных отличий от систем указанных выше, из-за чего их гораздо сложнее решить. Эти системы независимы от квантовых вычислений, и, следовательно, их считают квантово-устойчивыми (quantum-resistant), или «постквантовыми» криптосистемами.
Постквантовая криптография в свою очередь отличается от квантовой криптографии, которая занимается методами защиты коммуникаций, основанных на принципах квантовой физики.
Алгоритмы
Постквантовые криптографические конструкции способны спасти криптографический мир от квантовых атак. Хотя квантовый компьютер и уничтожит большинство традиционных алгоритмов (RSA, DSA, ECDSA), но сверхбыстрыми вычислениями не получится полностью избавиться от криптографии, так как постквантовая криптография, в основном, сосредоточена на пяти различных подходах, решающих проблему квантовых атак.[2][3]
Криптография, основанная на хеш-функциях
Классическим примером является подпись Меркла с открытым ключом на основе хеш-дерева, Ральф Чарльз Меркл предложил этот алгоритм цифровой подписи в 1979 году, как интересную альтернативу цифровым подписям RSA и DSA. Основной недостаток схемы Меркла состоит в том, что для любого открытого ключа на основе хеш-функции существует ограничение на количество подписей, которые могут быть получены из соответствующего набора закрытых ключей. Этот факт и снижал уровень интереса к подписям такого типа, пока не появилась потребность в криптографии, устойчивой к воздействию квантовых компьютеров.
Криптография, основанная на кодах исправления ошибок
Является одним из наиболее перспективных кандидатов на пост-квантовые криптосистемы. Классическим примером является схемы шифрования McEliece и Niederreiter.
Криптография, основанная на решётках
Классическим примером схем шифрования являются Ring-Learning with Errors[4][5][6][7] или более старые NTRU и GGH[англ.].
Криптография, основанная на многомерных квадратичных системах
Одной из самых интересных схем является подпись с открытым ключом Жака Патарина HFE, предложенная им в 1996 году, как обобщение предложений Matsumoto и Imai.[2]
Шифрование с секретным ключом
Ярким примером является шифр Rijndael, предложенный в 1998 году, впоследствии переименованный в AES (Advanced Encryption Standard).
Шифрование с использованием суперсингулярной изогении
Это аналог протокола Диффи-Хеллмана, основанный на блуждании в суперсингулярном изогенном графе, позволяющий двум и более сторонам получить общий секретный ключ, используя незащищённый от прослушивания канал связи.[8]
Примеры криптографических атак на RSA[2]
В 1978 году документ, опубликованный разработчиками криптографического алгоритма с открытым ключом RSA (аббревиатура от фамилий Rivest, Shamir и Adleman), упоминал новый алгоритм Ричарда Шреппеля[англ.] «linear sieve», который факторизовал любой RSA модуль длины бит, используя простых операций. Таким образом, для того чтобы этот алгоритм требовал по меньшей мере простых операций, необходимо выбирать по крайней мере не меньше чем бит. Так как означает, что что-то сходится к при , то для выяснения правильного размера при конечном требуется более тщательный анализ скорости «linear sieve».
В 1988 году Джон Поллард[англ.] предложил новый алгоритм факторизации, который называется Общий метод решета числового поля. Этот алгоритм факторизовал RSA-модуль размерности бит, используя простых операций. Таким образом, требуется выбирать не меньше чем бит, чтобы алгоритму потребовалось как минимум простых операций.
С 2008 года самые быстрые алгоритмы факторизации для классических компьютерных архитектур используют по меньшей мере простых операций. Были некоторые улучшения в значениях и в деталях , но не трудно догадаться, что оптимально, и что выбор модуля длиной примерно равной бит, позволит сопротивляться всем возможным атакам на классических компьютерах.
В 1994 году Питер Шор предложил алгоритм, который факторизовал любой RSA-модуль размерности бит, используя (точнее ) кубитовых операций на квантовом компьютере размера порядка кубит (и небольшого количества вспомогательных вычислений на классическом компьютере). Пользуясь алгоритмом Шора, необходимо по крайней мере выбирать модуль битовым размером не меньше чем бит, что является слишком большим числом для любого интересующего нас [9].
Практические применения криптографических конструкций[2]
Примеров алгоритмов, устойчивых к квантовым атакам, крайне мало. Но несмотря на больший уровень криптографической устойчивости, постквантовые алгоритмы неспособны вытеснить современные криптосистемы (RSA, DSA, ECDSA и др.).
Рассмотрим нападения на криптосистему с открытым ключом, а именно на алгоритм шифрования McEliece, который использует двоичные коды Гоппы[англ.]*. Первоначально Роберт Мак-Элис[англ.] представил документы, в которых коды длиной взламываются за простых операций. Таким образом, требуется выбирать не меньше чем бит, чтобы алгоритму потребовалось как минимум простых операций. Несколько последующих работ сократили количество операций атаки до , но значительно меньше , если большое. Поэтому улучшенные атаки до сих пор используют простых операций. Что касается квантовых компьютеров, то их использование приведёт лишь к уменьшению константы , что совсем незначительно сократит количество операций, необходимых для взлома этого алгоритма.
Если система шифрования McEliece так хорошо защищена, то почему она не приходит на смену RSA? Всё дело в эффективности — в частности, в размере ключа. Открытый ключ McEliece использует примерно ≈ бит, в то время как открытому ключу RSA достаточно около бит. Если , то бит для McEliece, будет меньше бит для RSA, но реальные уровни безопасности, такие как , позволяют RSA иметь открытый ключ в несколько тысяч бит, в то время как для McEliece размер ключа приближается к миллиону бит.
Конференция PQCrypto
С 2006 года проводится серия конференций, посвящённых постквантовой криптографии.
- PQCrypto 2006. Лёвенский католический университет, Бельгия, с 23 по 26 мая[10]
- PQCrypto 2008. Университет Цинциннати, США, с 17 по 19 октября[11]
- PQCrypto 2010. Дармштадт, Германия, с 25 по 28 мая[12]
- PQCrypto 2011. Тайбэй, Тайвань, с 29 ноября по 2 декабря[13]
- PQCrypto 2013. Лимож, Франция, с 4 по 7 июня[14]
- PQCrypto 2014. Университет Ватерлоо, Канада, с 1 по 3 октября[15]
- PQCrypto 2016. Предварительный план: Фукуока, Япония, февраль 2016
См. также
Примечания
- ↑ Peter Shor (1995-08-30). "Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer". arXiv:quant-ph/9508027.
- ↑ 1 2 3 4 5 Daniel J. Bernstein. Introduction to post-quantum cryptography (неопр.) // (Introductory chapter to book "Post-quantum cryptography"). — 2009.
- ↑ "Q&A With Post-Quantum Computing Cryptography Researcher Jintai Ding". IEEE Spectrum. 2008-11-01.
- ↑ рус. обучение с ошибками
- ↑ Peikert, Chris Lattice Cryptography for the Internet . IACR (2014). Дата обращения: 10 мая 2014. Архивировано 31 января 2014 года.
- ↑ Guneysu, Tim Practical Lattice-Based Cryptography: A Signature Scheme for Embedded Systems . INRIA (2012). Дата обращения: 12 мая 2014. Архивировано 18 мая 2014 года.
- ↑ Zhang, jiang Authenticated Key Exchange from Ideal Lattices . iacr.org. IACR (2014). Дата обращения: 7 сентября 2014. Архивировано 17 августа 2014 года.
- ↑ Протокол Диффи-Хеллмана с использованием суперсингулярной изогении .
- ↑ http://crypto.rsuh.ru/papers/bogdanov-kizhvatov-quantum.pdf стр 9
- ↑ официальный сайт PQCrypto 2006 .
- ↑ официальный сайт PQCrypto 2008 . Дата обращения: 19 ноября 2014. Архивировано из оригинала 19 октября 2014 года.
- ↑ официальный сайт PQCrypto 2010 .
- ↑ официальный сайт PQCrypto 2011 .
- ↑ официальный сайт PQCrypto 2013 .
- ↑ официальный сайт PQCrypto 2014 .
Ссылки
- PQCrypto, the post-quantum cryptography conference
- Post-Quantum Cryptography. — Springer, 2008. — P. 245. — ISBN 978-3-540-88701-0.
- ETSI Квантовая безопасность (англ.)
- NIST’s Постквантовый криптопроект (англ.)
- PQCrypto Использование и развертывание (англ.)
В другом языковом разделе есть более полная статья Post-quantum cryptography (англ.). |