Skal Crypto frygt for kvanteberegning?

Ting at vide:

– Quantum computing, en banebrydende teknologi, rummer et enormt potentiale for at revolutionere beregningen med sin uovertrufne beregningskraft. – Kvantecomputere, på trods af at det er mindst flere år fra et stort gennembrud, opfattes som en væsentlig trussel mod kryptografi på grund af dens enorme databehandlingsevner. – Den potentielle indvirkning af kvanteberegning på kryptografi og sikre systemer såsom Bitcoins bevis-på-arbejde skal nøje overvejes. Som verdens mest sikre gateway til krypto, fortjener sådanne grundlæggende spørgsmål Ledgers fulde opmærksomhed.

Quantum Computing: The Next Big Tech Leap

De computere, vi bruger dagligt, behandler information baseret på "bits". En bit kan kun indeholde en af ​​følgende værdier: 0 eller 1, og kan sættes sammen for at skabe et stykke binær kode. I dag er alt, hvad vi gør med en computer, lige fra at sende e-mails og se videoer til at dele musik, muligt på grund af sådanne strenge af binære cifre. 

Den binære natur af traditionelle computere pålægger begrænsninger på deres computerkraft. Disse computere udfører kun operationer et trin ad gangen og kæmper for nøjagtigt at simulere problemer i den virkelige verden. I modsætning hertil opererer den fysiske verden baseret på amplituder snarere end binære cifre, hvilket gør den meget mere kompleks. Det er her, kvantecomputere kommer i spil.

I 1981 sagde Richard Feynman, at "naturen ikke er klassisk, og hvis du vil lave en simulering af naturen, må du hellere gøre den kvantemekanisk." I stedet for at manipulere bits bruger kvanteberegning "kvantebits" eller qubits, hvilket gør det muligt for den at behandle data på en langt mere effektiv måde. Qubits kan være nul, én og vigtigst af alt en kombination af nul og én.

Kvantecomputere står ved krydsfeltet mellem fysik og datalogi. For at sætte tingene i perspektiv ville en 500-qubit kvantecomputer kræve flere klassiske bits end ... antallet af atomer i hele universet.

Er Quantum en trussel mod kryptografi?

Offentlig nøglekryptering, også kaldet asymmetrisk kryptografi, danner grundlaget for kryptovalutasikkerhed. Det involverer en kombination af en offentlig nøgle (tilgængelig for alle) og en privat nøgle. Qubits' hurtige beregningsevner øger potentialet for at bryde kryptering og forstyrre sikkerheden i kryptovalutaindustrien, hvis kvanteberegningen fortsætter med at udvikle sig.

To algoritmer skal overvejes nøje: Shor's og Grover's. Begge algoritmer er teoretiske, fordi der i øjeblikket ikke er nogen maskine til at implementere dem, men som du vil se, kan den potentielle implementering af disse algoritmer være skadelig for kryptografi.

På den ene side muliggør Shors (1994) kvantealgoritme, opkaldt efter Peter Shor, faktorisering af store heltal eller løsning af det diskrete logaritmeproblem i polynomisk tid. Denne algoritme kunne bryde offentlig nøglekryptografi med en tilstrækkelig kraftig kvantecomputer. Shor's algoritme ville bryde det store flertal af asymmetrisk kryptografi, der bruges i dag, da den er baseret på RSA (afhængig af heltalsfaktoriseringsproblemet) og elliptisk kurvekryptering (afhængigt af det diskrete logaritmeproblem i en elliptisk kurvegruppe). 

På den anden side er Grovers (1996) algoritme en kvantesøgealgoritme udtænkt af Lov Grover i 1996, som kan bruges til at løse ustrukturerede søgeproblemer. Grover-algoritmen sætter et betydeligt indhug i symmetriske primitivers sikkerhed, men er ikke uoverkommelig. Det anbefales generelt at fordoble nøglelængden for at kompensere for denne pauses kvadratrodskompleksitet. Brug af AES256 i stedet for AES128 anses for nok, men det skal bemærkes, at denne tommelfingerregel kan kun nogle gange være gyldig for alle cifre[5]. Hvad angår hashfunktioner, som er en del af det symmetriske primitives landskab, menes det, at det ikke har nogen indflydelse på kollisionsmodstanden. Forskere fandt dog eksempler på problemet hvor dette er usandt[6] (multi-target preimage search, for eksempel).

I bund og grund udgør begge algoritmer potentielle farer for kryptografi. Shor's algoritme forenkler processen med at faktorisere store tal, hvilket gør det nemmere at afdække en privat nøgle forbundet til en offentlig nøgle, og Grovers algoritme er i stand til at kompromittere kryptografisk hashing mere effektivt end nuværende computere.

Hvornår vil krypteringsbrydende kvantecomputere dukke op?

Lad os gennemgå nogle af de seneste eksperimenter og se, hvor hurtigt forskningen går. Den første rigtige kvantecomputer er stadig langt væk, men det forhindrer ikke en global race i at nå "kvanteoverherredømme". For Ayal Itzkovitz, managing partner i en kvantefokuseret VC-fond, "hvis vi for tre år siden ikke vidste, om det overhovedet var muligt at bygge sådan en computer, nu ved vi allerede, at der vil være kvantecomputere, der vil være i stand til at gøre noget andet end klassiske computere." 

En begivenhed, som alle sikkert har hørt om, var Googles "kvanteoverherredømme-eksperiment" i 2019 med en enhed med 54 qubits. I 2021 blev Kinas universitet for videnskab og teknologi løst en mere kompleks beregning ved hjælp af 56 qubits, nåede 60 qubits senere. Dens mål var at udføre en beregning, der ikke involverede Shor's algoritme, som ligeså ville demonstrere en kvantehastighedsstigning i forhold til klassisk databehandling.

Per definition viser disse eksperimenter ikke fremskridt mod at bryde kryptografi, fordi de var designet til at undgå størrelsen og kompleksiteten ved at udføre kvanteheltalsfaktorisering. Men de viser, at det ikke længere er svært at bygge flere qubits ind i en kvantecomputer, med forskellige hardwareløsninger til rådighed, Googles 'Sycamore'-chip-qubits er fundamentalt forskellige fra USTC's fotoner. Det næste vigtige skridt til at komme til en krypteringsbrud computer anses generelt for at være at bygge fejltolerante beregninger og fejlkorrigerende qubits. 

BSI's status for kvantecomputerudvikling [1] viser, hvor langt fra at bryde en 160 bit diskret logaritme (laveste blå linje i det følgende billede) nuværende kvantecomputere er. Abscissen viser, hvordan reduktion af fejlraten gennem rene hardwareforbedringer eller fejltolerant databehandling hjælper med at nå sådanne computerniveauer uden dramatisk skalering af antallet af tilgængelige qubits (y-aksen).

Implementering af Shors algoritme på en skalerbar måde kræver fejltolerant beregning på et par tusinde logiske qubits: 2124 qubits som minimum for at bryde en 256-bit elliptisk kurve som bitcoins secp256k1, fra Forbedrede kvantekredsløb til elliptiske kurvediskrete logaritmer[7]. En 'logisk' qubit i et sådant system er sammensat af flere qubits designet til at fungere som en fejlkorrigeret version af en enkelt qubit.

Tusind logiske qubits oversættes groft til flere millioner qubits, der dækker størrelsen af ​​en fodboldbane. En praktisk demonstration af en sådan fejltolerant beregning blev for nylig lavet i Fejltolerant styring af en fejlkorrigeret qubit[2], hvor en enkelt logisk qubit, hvis fejlsandsynlighed er lavere end for de qubits, den er lavet af. Dette områdes forbedring forventes at følge hurtigt, da det vil blive fokus. 

Fremskridt i denne retning vil direkte udmønte sig i en konkret trussel mod offentlig nøglekryptografi. Endelig kan en anden mulighed for hurtige fremskridt komme fra rent algoritmiske forbedringer eller hardware-only opdagelser. BSI's status for kvantecomputerudvikling[1] forklarer: "Der kan være forstyrrende opdagelser, som dramatisk vil ændre [den nuværende vidensstatus], de vigtigste er kryptografiske algoritmer, der kan køres på kortsigtede ikke-fejlkorrigerede maskiner eller dramatiske gennembrud i fejlfrekvensen af nogle platforme." Det er med andre ord ikke kun et problem at kunne bygge store computere med mange qubits (det er faktisk ikke hovedfokus at bygge flere qubits pålideligt, fejltolerant computing er), men også en algoritmisk og muligvis en materialeforskning en.

Mens vi skrev denne artikel, offentliggjorde IBM sine resultater på en 127-qubit-chip med en fejlrate på 0.001, og planlægger at udstede en 433-qubit-chip næste år og en 1121-qubit-chip i 2023. 

Alt i alt er det stadig svært at forudsige, hvor hurtigt en kvantecomputer vil komme til live. Alligevel kan vi stole på ekspertudtalelser om sagen: En ressourceestimationsramme for kvanteangreb mod kryptografiske funktioner – seneste udvikling[3] og Ekspertundersøgelse om kvanterisiko[4] viser, at mange eksperter er enige om, at vi om 15 til 20 år bør have en kvantecomputer til rådighed.

Citerer En ressourceestimationsramme for kvanteangreb mod kryptografiske funktioner – seneste udvikling [3] som et resumé:

“De aktuelt implementerede offentlige nøgleordninger, såsom RSA og ECC, er fuldstændig brudt af Shors algoritme. Derimod reduceres sikkerhedsparametrene for symmetriske metoder og hash-funktioner med højst en faktor to af de kendte angreb – ved "brute force"-søgninger ved hjælp af Grovers søgealgoritme. Alle disse algoritmer kræver storskala, fejltolerante kvantemaskiner, som endnu ikke er tilgængelige. Det meste af ekspertsamfundet er enige om, at de sandsynligvis vil blive en realitet inden for 10 til 20 år."

Nu hvor vi har undersøgt, hvorfor kvantealgoritmer kunne skade kryptografi, lad os analysere de væsentlige risici, der er forbundet med krypto- og Web3-felterne. 

Quantum: Hvilke risici for kryptovalutaer?

Bitcoin-sagen:

Lad os starte med Pieter Wuilles analyse af problemet for Bitcoin, som nogle gange betragtes som "kvantesikkert" på grund af adresser, der er hash offentlige nøgler og dermed ikke blotlægge dem.

Ikke at kunne bryde en privat Bitcoin-nøgle baseret på antagelsen om, at hash gør det umuligt, afhænger også af aldrig at afsløre sin offentlige nøgle, uanset midlet, hvilket allerede er forkert for mange konti.

Med henvisning til en anden tråd giver Pieter Wuille en idé om virkningen af ​​at få stjålet de ~37% af de udsatte midler (på det tidspunkt). Bitcoin ville sandsynligvis gå i stykker, og endda ueksponeret, taber alle andre også.

Det afgørende punkt her er omtalen, at fremskridtet hen imod at bygge en kvantecomputer vil være inkremental: milliarder af dollars er offentligt investeret i dette felt, og enhver forbedring giver genlyd verden over, som Googles kvanteoverherredømme-eksperiment viste.

Det betyder, at det vil tage tid at ende med midler i fare, og alternative løsninger kan udformes korrekt. Man kan forestille sig at oprette en forgrening af kæden ved at bruge post-kvantekryptografiske algoritmer til at signere og give folk mulighed for at overføre deres midler til den nye kæde fra den gamle engang nyhed om en rimeligt kødfuld kvantecomputer synes nært forestående.

Ethereum-sagen:

Tilfældet med Ethereum er interessant, da ETH 2.0 inkluderer en backup-plan for en katastrofal fiasko i EIP-2333.

I tilfælde af at ETH2's BLS-signaturer går i stykker, hvilket ville ske på samme tid som ECDSA, da de begge er lige sårbare over for Shor's algoritme, vil en hård fork af blockchain blive eksekveret, før algoritmen mistænkes for at være kompromitteret. Derefter afslører brugere et forhåndsbillede af deres nøgle, som kun legitime ejere kan besidde. Dette udelukker nøgler hentet ved at bryde en BLS-signatur. Med det preimage underskriver de en specifik transaktion, der giver dem mulighed for at flytte til den hårde gaffel og bruge nye post-kvantealgoritmer.

Dette er ikke et skifte til en post-kvantekæde endnu, men det giver en flugtluge. Nogle flere oplysninger link..

Post-kvante signaturer:

Et par ting kunne forbedres med hensyn til at skifte til en post-kvante signaturordning til brug i en kryptovaluta. De nuværende NIST-finalister har ret store hukommelseskrav. Når signaturstørrelsen ikke er urimeligt større end en ECDSA, øger den offentlige nøglestørrelse blokstørrelser og de tilhørende gebyrer.  

Kandidatens navn	Størrelse
Rainbow	58.3 kB
Dilithium	3.5 kB
Falcon	1.5 kB
GeMSS	352 kB
Picnic	12 kB
SPHINCS+	7 kB

Falcon-algoritmen blev designet til at minimere størrelsen af ​​den offentlige nøgle og signatur. Dens 1563 bytes er dog stadig langt fra de 65 bytes, ECDSA i øjeblikket når.

Kryptografiske teknikker kan reducere blokstørrelser, som at samle flere signaturer sammen. Denne [multisignaturordning](https://eprint.iacr.org/2020/520) for GeMSS-signaturen gør netop det og reducerer lageromkostningerne pr. signatur til noget acceptabelt, på trods af det enorme engangsgebyr for en GeMSS-signatur .

Trusler mod kryptografisk hardware:

Signaturstørrelser påvirker også hardware-punge, hvor hukommelsen er meget begrænset: en Ledger Nano S har 320 KB Flash-hukommelse tilgængelig og kun 10 kilobyte RAM. Hvis vi pludselig skulle bruge Rainbow-signaturer, ville det ikke være muligt at generere den offentlige nøgle på en indbygget måde.

Da hele det kryptografiske samfund imidlertid er påvirket af problemet, inklusive bank-, telekommunikations- og identitetsindustrien, som udgør det meste af markedet for sikre chips, forventer vi, at hardware hurtigt tilpasser sig behovet for post-kvantealgoritmer. venlig hardware og fjern denne hukommelse (eller nogle gange ydeevne) sammen i tide.

Konsekvenserne af disse pauser er det nuværende banksystems undergang, telekommunikation og identitetssystemer såsom pas. Hvad skal man gøre i lyset af sådan en apokalyptisk fremtid? Frygt ikke, eller lidt, da kryptografer har fået det dækket.

Er der en kur, læge?

Mens vores nuværende computere ville bruge tusinder af år for at bryde offentlig nøglekryptografi, ville fuldt udviklede kvantecomputere gøre dette på få minutter eller timer. "Kvantesikkerhed"-standarder vil uundgåeligt være nødvendige for at imødegå denne trussel og sikre sikkerheden for vores fremtidige finansielle transaktioner og onlinekommunikation.

Arbejdet er allerede i gang med det, der almindeligvis kaldes "Post-kvantekryptografi" det ville muligvis være "kompatibel med nutidens computere, men som også vil være i stand til at modstå angribere fra kvantecomputere i fremtiden." Post-kvantekryptografi bringer algoritmer og matematiske standarder til næste niveau, samtidig med at det tillader kompatibilitet med nuværende computere.

NIST konkurrence skabt netop til lejligheden har allerede nået sin tredje runde og produceret en liste over potentielle kandidater til standardisering. Det Post-kvantesikkerhedskonference blev lanceret så langt tilbage som 2006 for at studere kryptografiske primitiver, der ville modstå kendte kvanteangreb.

Grundlaget for denne forskning stammer fra ekspertadvarsler om, at krypterede data allerede er i fare for at blive kompromitteret, da de første praktiske kvantecomputere forventes at dukke op inden for de næste 15 år.
Denne form for angreb er kendt som "hamstre data nu, angreb senere", hvor en stor organisation gemmer krypteret information fra andre parter, den ønsker at bryde og venter, indtil en kraftig nok kvantecomputer tillader den at gøre det. Dette er den samme bekymring i denne artikel, f.eks. "USA er bekymret for, at hackere stjæler data i dag, så kvantecomputere kan knække det om et årti", men det siger ikke, hvad aktører på statsniveau kan gøre i samme ånd. De har mange flere ressourcer og lagerplads til rådighed.

Lukning Tanker

Den nøjagtige hastighed, hvormed krypteret kommunikation vil blive sårbar over for kvanteforskning, er stadig svær at bestemme.

Én ting er sikker: Selvom der gøres betydelige fremskridt inden for kvanteberegning, er vi stadig langt fra i besiddelse af evnen til at knække kryptografi med disse maskiner. Sandsynligheden for et pludseligt gennembrud, der resulterer i designet af en sådan computer, er minimal, hvilket giver os tid til at forberede os på dens ankomst. Hvis det skulle ske fra den ene dag til den anden, ville konsekvenserne være katastrofale og påvirke ikke kun kryptovalutaer, men en bred vifte af sektorer. 

Heldigvis er løsninger, herunder post-kvantekryptering, tilgængelige for at imødegå truslen, men kryptoindustrien har endnu ikke set, hvor presserende det er at investere i disse foranstaltninger. 

Kryptovalutamarkedet skal nøje overvåge kvanteudviklingen. Med hensyn til hardware er der ringe grund til bekymring, da vi forventer udviklingen af ​​nye sikre elementer for at imødekomme efterspørgslen. Det er afgørende at holde sig ajour med de seneste fremskridt inden for side-kanal og fejlresistente versioner af disse algoritmer, for at give en pålidelig implementering for vores brugere.

Referencer:

[1]: BSI's status for kvantecomputerudvikling

[2]: Fejltolerant styring af en fejlkorrigeret qubit

[3]: En ressourceestimationsramme for kvanteangreb mod kryptografiske funktioner – seneste udvikling

[4]: Ekspertundersøgelse om kvanterisiko

[5]: Ud over kvadratiske speedups i kvanteangreb på symmetriske skemaer

[6]: En effektiv Quantum Collision Search Algoritme og implikationer på symmetrisk kryptografi

[7]: Forbedrede kvantekredsløb til elliptiske kurvediskrete logaritmer

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.ledger.com/blog/should-crypto-fear-quantum-computing