Pitäisikö krypton pelätä kvanttilaskentaa?

Tietoja:

– Huipputeknologialla, kvanttilaskentalla, on valtava potentiaali laskennan mullistamiseen vertaansa vailla olevalla laskentatehollaan. – Huolimatta siitä, että suuresta läpimurrosta on kulunut vähintään useita vuosia, kvanttilaskentaa pidetään merkittävänä uhkana kryptografialle sen valtavien tietojenkäsittelykapasiteetin vuoksi. – Kvanttilaskennan mahdollista vaikutusta kryptografiaan ja turvallisiin järjestelmiin, kuten Bitcoinin todisteisiin, on harkittava huolellisesti. Maailman turvallisimpana salausporttina tällaiset peruskysymykset ansaitsevat Ledgerin täyden huomion.

Kvanttilaskenta: seuraava suuri tekninen harppaus

Päivittäin käyttämämme tietokoneet käsittelevät tietoa ”bittien” perusteella. Bitissä voi olla vain yksi seuraavista arvoista: 0 tai 1, ja se voidaan yhdistää binäärikoodinpätkän luomiseksi. Nykyään kaikki, mitä teemme tietokoneella, sähköpostien lähettämisestä ja videoiden katselusta musiikin jakamiseen, on mahdollista tällaisten binäärilukujen ansiosta. 

Perinteisten tietokoneiden binääriluonne asettaa rajoituksia niiden laskentateholle. Nämä tietokoneet suorittavat toimintoja vain yksi askel kerrallaan ja kamppailevat simuloidakseen tarkasti todellisia ongelmia. Sitä vastoin fyysinen maailma toimii amplitudien eikä binäärilukujen perusteella, mikä tekee siitä paljon monimutkaisemman. Tässä kvanttitietokoneet tulevat peliin.

Vuonna 1981 Richard Feynman sanoi, että "luonto ei ole klassista, ja jos haluat tehdä luonnon simulaation, sinun on parempi tehdä siitä kvanttimekaaninen." Bittien manipuloinnin sijaan kvanttilaskenta käyttää "kvanttibittejä" tai kubitteja, mikä mahdollistaa tietojen käsittelyn huomattavasti tehokkaammalla tavalla. Qubitit voivat olla nolla, yksi ja mikä tärkeintä, nollan ja yhden yhdistelmä.

Kvanttilaskenta on fysiikan ja tietojenkäsittelytieteen risteyksessä. Jotta asiat saadaan perspektiiviin, 500 kubitin kvanttitietokone vaatisi enemmän klassisia bittejä kuin… koko maailmankaikkeuden atomien määrä.

Onko kvantti uhka kryptografialle?

Julkisen avaimen kryptografia, jota kutsutaan myös epäsymmetriseksi salaukseksi, muodostaa kryptovaluuttojen turvallisuuden perustan. Se sisältää julkisen avaimen (joka on kaikkien saatavilla) ja yksityisen avaimen yhdistelmän. Kubittien nopeat laskentaominaisuudet lisäävät mahdollisuutta murtaa salaus ja häiritä kryptovaluuttateollisuuden turvallisuutta, jos kvanttilaskenta jatkaa eteenpäin.

Kaksi algoritmia on tarkasteltava tarkasti: Shorin ja Groverin. Molemmat algoritmit ovat teoreettisia, koska tällä hetkellä ei ole konetta niiden toteuttamiseen, mutta kuten näet, näiden algoritmien mahdollinen toteutus voi olla haitallista salaukselle.

Toisaalta Peter Shorin mukaan nimetty Shorin (1994) kvanttialgoritmi mahdollistaa suurten kokonaislukujen laskemisen tai diskreetin logaritmiongelman ratkaisemisen polynomiajassa. Tämä algoritmi voisi rikkoa julkisen avaimen salauksen riittävän tehokkaalla kvanttitietokoneella. Shorin algoritmi rikkoisi suurimman osan nykyisin käytetystä epäsymmetrisestä salakirjoituksesta, koska se perustuu RSA:han (luottaen kokonaislukujen tekijöiden jakamisen ongelmaan) ja elliptisen käyrän salakirjoitukseen (riippuen diskreetistä logaritmiongelmasta elliptisten käyrien ryhmässä). 

Toisaalta Groverin (1996) algoritmi on Lov Groverin vuonna 1996 kehittämä kvanttihakualgoritmi, jota voidaan käyttää strukturoimattomien hakuongelmien ratkaisemiseen. Grover-algoritmi heikentää merkittävästi symmetristen primitiivien turvallisuutta, mutta se ei ole ylitsepääsemätön. Yleensä on suositeltavaa kaksinkertaistaa avaimen pituus tämän tauon neliöjuuren monimutkaisuuden kompensoimiseksi. AES256:n käyttöä AES128:n sijaan pidetään riittävänä, mutta on huomattava, että tämä nyrkkisääntö saattaa vain joskus olla voimassa kaikille salakirjoille[5]. Mitä tulee hash-funktioihin, jotka ovat osa symmetrisen primitiivin maisemaa, sillä ajatellaan, ettei sillä ole vaikutusta törmäyskestävyyteen. Tutkijat löysivät kuitenkin tapauksia ongelmasta tämä ei ole totta[6] (esimerkiksi usean kohteen esikuvahaku).

Pohjimmiltaan molemmat algoritmit aiheuttavat mahdollisia vaaroja kryptografialle. Shorin algoritmi yksinkertaistaa suurten lukujen laskentaa, mikä helpottaa julkiseen avaimeen yhdistetyn yksityisen avaimen paljastamista, ja Groverin algoritmi pystyy vaarantamaan kryptografisen hajautusjärjestelmän nykyistä tietokonetta tehokkaammin.

Milloin salausta rikkovat kvanttitietokoneet ilmestyvät?

Käydään läpi joitakin uusimpia kokeita ja katsotaan kuinka nopeasti tutkimus etenee. Ensimmäinen todellinen kvanttitietokone on kaukana, mutta se ei estä globaalia rotua saavuttamasta "kvanttiylivaltaa". Ayal Itzkovitz, kvanttikeskeisen riskipääomarahaston johtaja, sanoi: ”Jos kolme vuotta sitten emme tienneet, onko tällaisen tietokoneen rakentaminen kokonaan mahdollista, nyt tiedämme jo, että tulee olemaan kvanttitietokoneita, jotka pystyvät tehdä jotain erilaista kuin perinteiset tietokoneet." 

Yksi tapahtuma, josta kaikki ovat luultavasti kuulleet, oli Googlen "kvanttiylivaltakoe" vuonna 2019, jossa käytettiin 54 kubitin laitetta. Vuonna 2021, Kiinan tiede- ja teknologiayliopisto ratkaisi monimutkaisemman laskelman 56 kubitin avulla ja saavutti 60 kubitin myöhemmin. Sen tavoitteena oli suorittaa laskenta ilman Shorin algoritmia, joka yhtä lailla osoittaisi kvanttinopeuden klassiseen laskemiseen verrattuna.

Määritelmän mukaan nämä kokeet eivät osoita edistymistä kohti salauksen murtamista, koska ne on suunniteltu välttämään kvanttikokonaislukujen tekijöiden tekemisen koko ja monimutkaisuus. Ne osoittavat kuitenkin, että kubittien lisääminen kvanttitietokoneeseen ei ole enää vaikeaa, koska saatavilla on erilaisia ​​laitteistoratkaisuja, Googlen Sycamore-sirun kubitit poikkeavat olennaisesti USTC:n fotoneista. Seuraavana tärkeänä askeleena salausta rikkovaan tietokoneeseen pääsemiseksi pidetään yleensä vikasietoisen laskennan ja virheenkorjauskubittien rakentamista. 

BSI:n kvanttitietokonekehityksen tila [1] osoittaa, kuinka kaukana nykyiset kvanttitietokoneet ovat 160 bitin diskreetin logaritmin (seuraavan kuvan alin sininen viiva) rikkomisesta. Abskissa osoittaa, kuinka virhesuhteen vähentäminen pelkkien laitteistoparannusten tai vikasietoisen laskennan avulla auttaa saavuttamaan tällaiset laskentatasot ilman, että käytettävissä olevien kubittien (y-akseli) määrää dramaattisesti skaalataan.

Shorin algoritmin toteuttaminen skaalautuvalla tavalla vaatii vikasietoisen laskennan muutamalle tuhannelle loogiselle kubitille: vähintään 2124 kubitille 256-bittisen elliptisen käyrän, kuten bitcoinin secp256k1, katkaisemiseksi, alkaen Parannetut kvanttipiirit elliptisen käyrän diskreeteille logaritmeille[7]. "Looginen" kubitti tällaisessa järjestelmässä koostuu useista kubiteista, jotka on suunniteltu toimimaan virhekorjattuina versioina yhdestä kubitista.

Tuhat loogista kubittia tarkoittaa karkeasti useita miljoonia kubitteja, jotka kattavat jalkapallokentän koon. Käytännön esittely tällaisesta vikasietoisesta laskennasta tehtiin äskettäin Virhekorjatun qubitin vikasietoinen ohjaus[2], jossa yksittäinen looginen kubitti, jonka virhetodennäköisyys on pienempi kuin niiden kubittien, joista se koostuu. Tämän alueen parannuksen odotetaan tapahtuvan nopeasti, kun siitä tulee painopiste. 

Edistyminen tähän suuntaan muuttuu suoraan konkreettiseksi uhkaksi julkisen avaimen salaukselle. Lopuksi toinen mahdollisuus nopeaan edistymiseen voi tulla puhtaasti algoritmisista parannuksista tai vain laitteistosta tehdyistä löydöistä. BSI:n kvanttitietokonekehityksen tila[1] selittää: "Voi tapahtua häiritseviä löytöjä, jotka muuttaisivat dramaattisesti [nykyistä tietämyksen tilaa], joista tärkeimmät ovat salausalgoritmit, joita voidaan ajaa lyhyellä aikavälillä ei-virhekorjatuilla koneilla tai dramaattiset läpimurrot virhesuhteessa. joiltakin alustoilta." Toisin sanoen ongelma ei ole vain suurien, paljon kubitteja sisältävien tietokoneiden rakentaminen (itse asiassa enemmän kubittien rakentaminen luotettavasti ei ole pääpaino, vaan vikasietoinen laskenta), vaan myös algoritminen ja mahdollisesti materiaalitutkimus. yksi.

Tätä artikkelia kirjoittaessamme IBM julkaisi tulokset 127 kubitin sirulla, jonka virheprosentti on 0.001, ja aikoo julkaista 433 kubitin sirun ensi vuonna ja 1121 kubitin sirun vuonna 2023. 

Kaiken kaikkiaan on edelleen vaikea ennustaa, kuinka nopeasti kvanttitietokone herää henkiin. Voimme kuitenkin luottaa asiantuntijalausuntoihin asiassa: Resurssien arviointikehys kryptografisia toimintoja vastaan ​​tehtäviä kvanttihyökkäyksiä varten – viimeaikainen kehitys[3] ja Asiantuntijakysely kvanttiriskistä[4] osoittavat, että monet asiantuntijat ovat yhtä mieltä siitä, että 15–20 vuoden kuluttua meillä pitäisi olla käytettävissämme kvanttitietokone.

Lainaaminen Resurssien arviointikehys kryptografisia toimintoja vastaan ​​tehtäviä kvanttihyökkäyksiä varten – viimeaikainen kehitys [3] tiivistelmänä:

”Tällä hetkellä käytössä olevat julkisen avaimen järjestelmät, kuten RSA ja ECC, ovat täysin rikki Shorin algoritmin takia. Sitä vastoin symmetristen menetelmien ja hash-funktioiden turvaparametreja alennetaan korkeintaan kaksinkertaiseksi tunnetuilla hyökkäyksillä – Groverin hakualgoritmia käyttävillä "raakavoimaisilla" hauilla. Kaikki nuo algoritmit vaativat suuria, vikasietoisia kvanttikoneita, joita ei ole vielä saatavilla. Suurin osa asiantuntijayhteisöstä on samaa mieltä siitä, että niistä tulee todennäköisesti todellisuutta 10–20 vuoden kuluessa.

Nyt kun olemme tutkineet, miksi kvanttialgoritmit voivat vahingoittaa kryptografiaa, analysoidaan krypto- ja Web3-kenttiin liittyviä merkittäviä riskejä. 

Quantum: Mitä riskejä kryptovaluutoilla on?

Bitcoinin tapaus:

Aloitetaan Pieter Wuillen analyysistä Bitcoinin ongelmasta, jota joskus pidetään "kvanttiturvallisena", koska osoitteet ovat hashes julkisista avaimista ja siten paljastamatta niitä.

Se, että Bitcoinin yksityistä avainta ei voida rikkoa sen oletuksen perusteella, että hajautusarvot tekevät sen mahdottomaksi, riippuu myös siitä, ettei julkista avainta koskaan paljasteta keinoista riippumatta, mikä on jo väärin monille tileille.

Toiseen säikeeseen viitaten Pieter Wuille antaa käsityksen vaikutuksista, joita ~37 % (silloin) altistuneista varoista on varastettu. Bitcoin todennäköisesti tankkisi, ja jopa valottamattomana, kaikki muutkin häviävät.

Ratkaiseva kohta tässä on maininta siitä, että edistyminen kvanttitietokoneen rakentamisessa tulee olemaan inkrementaalinen: miljardeja dollareita investoidaan julkisesti tälle alalle, ja kaikki parannukset resonoivat maailmanlaajuisesti, kuten Googlen kvanttiylivaltakoe osoitti.

Tämä tarkoittaa, että riskirahastoihin päätyminen vie aikaa ja vaihtoehtoisia ratkaisuja voidaan suunnitella oikein. Voidaan kuvitella, että ketjun haarukka asetetaan käyttämällä post-kvanttisalausalgoritmeja allekirjoittamiseen ja sallien ihmisten siirtää varansa uuteen ketjuun vanhasta, kun uutiset kohtuullisen lihavasta kvanttitietokoneesta näyttävät olevan välittömiä.

Ethereumin tapaus:

Ethereumin tapaus on mielenkiintoinen, sillä ETH 2.0 sisältää varasuunnitelman katastrofaalista vikaa varten EIP-2333.

Jos ETH2:n BLS-allekirjoitukset rikkoutuvat, mikä tapahtuisi samaan aikaan kuin ECDSA, koska ne ovat molemmat yhtä haavoittuvia Shorin algoritmin edessä, lohkoketjun kova haara suoritetaan ennen kuin algoritmin epäillään vaarantuvan. Sitten käyttäjät paljastavat avaimensa esikuvan, jonka vain lailliset omistajat voivat hallita. Tämä ei sisällä avaimia, jotka on haettu rikkomalla BLS-allekirjoitus. Tällä esikuvalla he allekirjoittavat tietyn tapahtuman, jonka avulla he voivat siirtyä kovaan haaraan ja käyttää uusia kvanttialgoritmeja.

Tämä ei ole vielä vaihto postkvanttiketjuun, mutta se tarjoaa pakoluukun. Muutama lisätieto tätä.

Kvanttijälkeiset allekirjoitukset:

Muutamia asioita voitaisiin parantaa koskien siirtymistä jälkeiseen kvanttiallekirjoitusjärjestelmään kryptovaluutoissa käytettäväksi. Nykyisillä NIST-finalisteilla on melko suuret muistivaatimukset. Kun allekirjoituksen koko ei ole kohtuuttoman suurempi kuin ECDSA:n, julkisen avaimen koko kasvattaa lohkokokoja ja niihin liittyviä maksuja.  

Ehdokasnimi	Koko
Sateenkaari	58.3 kB
Dilitium	3.5 kB
Haukka	1.5 kB
GeMSS	352 kB
Piknikki	12 kB
SPHINCS +	7 kB

Falcon-algoritmi on suunniteltu minimoimaan julkisen avaimen ja allekirjoituksen koko. Sen 1563 tavua ovat kuitenkin vielä kaukana ECDSA:n tällä hetkellä saavuttamasta 65 tavusta.

Kryptografiset tekniikat voivat pienentää lohkojen kokoa, kuten yhdistämällä useita allekirjoituksia yhteen. Tämä GeMSS-allekirjoituksen [moniallekirjoitusjärjestelmä](https://eprint.iacr.org/2020/520) tekee juuri tämän ja alentaa tallennuskustannukset allekirjoitusta kohti hyväksyttävälle tasolle huolimatta GeMSS-allekirjoituksen valtavasta kertamaksusta. .

Salauslaitteistoon kohdistuvat uhat:

Allekirjoituskoot vaikuttavat myös laitteistolompakoihin, joissa muisti on erittäin rajoitettu: Ledger Nano S:ssä on 320 kt Flash-muistia ja vain 10 kilotavua RAM-muistia. Jos yhtäkkiä tarvitsisimme käyttää Rainbow-allekirjoituksia, julkisen avaimen luominen alkuperäisellä tavalla ei olisi mahdollista.

Koska ongelma kuitenkin vaikuttaa koko kryptografiseen yhteisöön, mukaan lukien pankki-, televiestintä- ja identiteettiteollisuus, jotka muodostavat suurimman osan turvallisten sirujen markkinoista, odotamme laitteiston mukautuvan nopeasti jälkikvanttialgoritmien tarpeisiin. ystävällinen laitteisto ja poista muisti (tai joskus suorituskyky) kaikki yhdessä ajoissa.

Näiden taukojen seuraukset ovat nykyisen pankkijärjestelmän, televiestinnän ja henkilöllisyysjärjestelmien, kuten passien, romahtaminen. Mitä tehdä näin apokalyptisen tulevaisuuden edessä? Älä pelkää, tai vähän, sillä kryptografit ovat saaneet sen katettua.

Onko olemassa parannuskeinoa, tohtori?

Vaikka nykyiset tietokoneemme tarvitsisivat tuhansia vuosia julkisen avaimen salauksen murtamiseen, täysin kehittyneet kvanttitietokoneet tekisivät sen minuuteissa tai tunneissa. "Kvanttiturvallisuus"-standardeja tarvitaan väistämättä tämän uhan torjumiseksi ja tulevien rahoitustapahtumiemme ja verkkoviestintämme turvallisuuden varmistamiseksi.

Työ on jo käynnissä sen suhteen, mitä yleisesti kutsutaan "post-kvanttisalaukseksi" se olisi mahdollisesti olla "Yhteensopiva nykyisten tietokoneiden kanssa, mutta joka pystyy myös kestämään kvanttitietokoneiden hyökkääjät tulevaisuudessa." Postkvanttisalaus tuo algoritmit ja matemaattiset standardit uudelle tasolle ja mahdollistaa yhteensopivuuden nykyisten tietokoneiden kanssa.

- NIST-kilpailu tätä tilaisuutta varten luotu on jo saavuttanut kolmannen kierroksen ja tuottanut listan mahdollisista standardointiehdokkaista. The Post-kvanttiturvallisuuskonferenssi aloitettiin jo vuonna 2006 tutkimaan kryptografisia primitiivisiä, jotka vastustavat tunnettuja kvanttihyökkäyksiä.

Tämän tutkimuksen perusteet juontavat asiantuntijoiden varoituksista, että salattu data on jo vaarassa vaarantua, sillä ensimmäisten käytännöllisten kvanttitietokoneiden odotetaan ilmestyvän seuraavan 15 vuoden aikana.
Tällainen hyökkäys tunnetaan nimellä "varaa dataa nyt, hyökkää myöhemmin", jossa suuri organisaatio tallentaa salattua tietoa muilta osapuolilta, jotka se haluaa murtaa, ja odottaa, kunnes riittävän tehokas kvanttitietokone sallii sen tehdä niin. Tämä on sama huoli kuin tässä artikkelissa, esimerkiksi "Yhdysvallat on huolissaan siitä, että hakkerit varastavat dataa nykyään, jotta kvanttitietokoneet voivat murtaa sen vuosikymmenessä", mutta se ei kerro, mitä osavaltiotason toimijat voisivat tehdä samalla tavalla. Heillä on paljon enemmän resursseja ja tallennustilaa.

Sulkeminen Ajatuksia

Tarkkaa nopeutta, jolla salattu viestintä tulee alttiiksi kvanttitutkimukselle, on edelleen vaikea määrittää.

Yksi asia on varma: vaikka kvanttilaskennassa tapahtuu merkittävää edistystä, emme ole vielä kaukana kyvystä murtaa kryptografia näillä koneilla. Todennäköisyys äkilliseen läpimurtoon, joka johtaa tällaisen tietokoneen suunnitteluun, on minimaalinen, mikä antaa meille aikaa valmistautua sen saapumiseen. Jos se tapahtuisi yhdessä yössä, seuraukset olisivat tuhoisia ja vaikuttaisivat kryptovaluuttojen lisäksi useisiin sektoreihin. 

Onneksi ratkaisuja, mukaan lukien post-kvanttisalaus, on saatavilla uhan torjumiseksi, mutta kryptoteollisuus ei ole vielä nähnyt kiireellisyyttä investoida näihin toimenpiteisiin. 

Kryptovaluuttamarkkinoiden on seurattava tarkasti kvanttikehitystä. Laitteiston osalta ei ole juurikaan syytä huoleen, sillä odotamme uusien suojattujen elementtien kehittämistä vastaamaan kysyntään. On erittäin tärkeää pysyä ajan tasalla näiden algoritmien sivukanavaisten ja vikasietoisten versioiden viimeisimmistä edistysaskeleista, jotta voimme tarjota käyttäjillemme luotettavan toteutuksen.

Viitteet:

[1]: BSI:n kvanttitietokonekehityksen tila

[2]: Virhekorjatun qubitin vikasietoinen ohjaus

[3]: Resurssien arviointikehys kryptografisia toimintoja vastaan ​​tehtäviä kvanttihyökkäyksiä varten – viimeaikainen kehitys

[4]: Asiantuntijakysely kvanttiriskistä

[5]: Kvadraattisten nopeuksien lisäksi symmetrisiin järjestelmiin kohdistuvissa kvanttihyökkäyksissä

[6]: Tehokas kvanttitörmäyshakualgoritmi ja vaikutukset symmetriseen kryptografiaan

[7]: Parannetut kvanttipiirit elliptisen käyrän diskreeteille logaritmeille

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://www.ledger.com/blog/should-crypto-fear-quantum-computing