Vorteil der Quantenschlüsselverteilung gegenüber der Post-Quanten-Kryptographie

Post-Quanten-Kryptografie wie die gitterbasierte Kryptografie ist so konzipiert, dass sie auch dann sicher ist, wenn Quantencomputer verfügbar sind. Es ähnelt derzeit verwendeten Verschlüsselungen, basiert jedoch auf Problemen, die von einem Quantencomputer höchstwahrscheinlich nicht effizient gelöst werden können.

Offensichtlich wird die Forschung zur Quantenschlüsselverteilung (QKD) fortgesetzt. Aber was genau sind die Vorteile der Quantenschlüsselverteilung gegenüber der Post-Quanten-Kryptographie?

Die Entwicklung einer neuen Technologie wie QKD kann große Nebenwirkungen haben, und möglicherweise wird QKD auf lange Sicht kostengünstiger oder schneller sein, aber ich bezweifle, dass dies der Hauptgrund ist.

Wenn sich herausstellt, dass eine gegebene asymmetrisches Verschlüsselungsprotokoll auf einem Problem beruht, das selbst von einem Quantencomputer nicht effizient gelöst werden kann, wird die Quantenkryptographie weitgehend irrelevant.

$\text{NP}$$\text{NP}\!\setminus\!\text{BQP}$ ).

Im Allgemeinen sind alle klassischen asymmetrischen Verschlüsselungsprotokolle unter der Annahme sicher, dass ein bestimmtes Problem schwer zu lösen ist, aber meines Wissens wurde in keinem Fall (im Sinne der rechnerischen Komplexität) bewiesen, dass dieses Problem tatsächlich exponentiell schwer zu lösen ist mit einem Quantencomputer lösen (und für viele nicht einmal, dass das Problem mit einem klassischen Computer nicht effizient lösbar ist ).

Ich denke, dies wird von Bernstein in seiner Rezension zur Post-Quanten-Kryptographie ( Link ) gut erklärt. Zitat aus dem ersten Abschnitt oben, in dem er gerade über eine Reihe klassischer Verschlüsselungsprotokolle sprach:

Gibt es einen besseren Angriff auf diese Systeme? Vielleicht. Dies ist ein in der Kryptographie bekanntes Risiko. Aus diesem Grund investiert die Community viel Zeit und Energie in die Kryptoanalyse. Manchmal finden Kryptoanalytiker einen verheerenden Angriff, der zeigt, dass ein System für die Kryptografie unbrauchbar ist. Beispielsweise ist jede verwendbare Auswahl von Parametern für das Public-Key-Verschlüsselungssystem Merkle-Hellman-Knapsack leicht auflösbar. Manchmal finden Kryptoanalytiker Angriffe, die nicht so verheerend sind, aber größere Schlüsselgrößen erzwingen. Manchmal untersuchen Kryptoanalytiker Systeme jahrelang, ohne bessere Angriffe zu finden, und die kryptografische Community beginnt, das Vertrauen aufzubauen, dass der bestmögliche Angriff gefunden wurde - oder zumindest, dass Angreifer aus der realen Welt sich nichts Besseres einfallen lassen.

Andererseits beruht die Sicherheit von QKD im Idealfall nicht auf Vermutungen (oder, wie oft gesagt, QKD-Protokolle bieten im Prinzip informationstheoretische Sicherheit ). Wenn die beiden Parteien einen sicheren Schlüssel gemeinsam haben, ist der Kommunikationskanal bedingungslos sicher, und QKD bietet ihnen eine bedingungslos sichere Möglichkeit, einen solchen Schlüssel auszutauschen (natürlich immer noch unter der Annahme, dass die Quantenmechanik richtig ist). In Abschnitt 4 der oben erwähnten Übersicht präsentiert der Autor einen direkten (wenn auch möglicherweise etwas voreingenommenen) Vergleich von QKD mit Post-Quantum-Kryptographie. Es ist wichtig anzumerken, dass "bedingungslose Sicherheit" hier natürlich im informationstheoretischen Sinne gemeint ist, während in der realen Welt möglicherweise wichtigere Sicherheitsaspekte zu berücksichtigen sind. Es ist auch anzumerken, dass die reale Sicherheit und Praktikabilität von QKD von einigen als nicht sachlich angesehen wird (siehe z. B. Bernstein hier und die entsprechende Diskussion über QKD in Crypto.SE ) und dass die informationstheoretische Sicherheit von QKD protokolle sind nur dann gültig, wenn sie ordnungsgemäß befolgt werden, was insbesondere bedeutet, dass der gemeinsam genutzte schlüssel als einmaliges pad verwendet werden muss .

Schließlich können in der Realität auch viele QKD-Protokolle fehlerhaft sein. Der Grund dafür ist, dass experimentelle Mängel bestimmter Implementierungen ausgenutzt werden können, um das Protokoll zu brechen (siehe z. B. 1505.05303 und Seite 6 von npjqi201625 ). Es ist weiterhin möglich, die Sicherheit gegen solche Angriffe mit geräteunabhängigen QKD-Protokollen zu gewährleisten, deren Sicherheit von Bell's Ungleichheitsverletzungen abhängt und nachweislich nicht von den Implementierungsdetails abhängt. Der Haken ist, dass diese Protokolle noch schwieriger zu implementieren sind als reguläre QKD.

Für die Verteilung von Quantenschlüsseln müssen Sie Ihre gesamte Kommunikationsinfrastruktur, die aus 5-Euro-Ethernet-Kabeln und 0,50-Euro-CPUs besteht, durch mehrere Millionen Euro teure Glasfaserverbindungen und spezialisierte Computer ersetzen, die ohnehin nur klassische Kryptografie mit geheimen Schlüsseln durchführen.

Außerdem müssen Sie die geteilten geheimen Schlüssel, die Sie aushandeln, mit der Quantenschlüsselverteilung authentifizieren, was Sie wahrscheinlich mit der klassischen Kryptographie mit öffentlichen Schlüsseln tun werden, es sei denn, Sie sind reich genug, um sich Kuriere mit Handschellen an den Handgelenken zu leisten.

Weitere Details von François Grieu auf crypto.se darüber, was Quantenkryptografie sicher macht.

Der Kern des technischen Unterschieds - neben Kosten und Einsetzbarkeit auch Politik und Klassenunterschiede - besteht darin, dass das physische Protokoll eines QKD-Systems so gestaltet werden soll, dass es keine physischen Spuren hinterlässt, die künftige mathematische Durchbrüche zur rückwirkenden Wiederherstellung des Protokolls ermöglichen könnten Shared Secret, das über diese dedizierten Glasfaserverbindungen ausgehandelt wird. Im Gegensatz dazu könnten bei der klassischen Kryptographie Public-Key-Schlüsselvereinbarungen über das Internet, bei denen ein Lauscher jedes Bit über das Kabel aufzeichnet, im Prinzip durch zukünftige mathematische Durchbrüche zerstört werden.

In beiden Fällen verwenden die Peers dann das gemeinsame Geheimnis, das sie ausgehandelt haben, sei es mit Quantenschlüsselverteilung oder mit klassischer Public-Key-Schlüsselvereinbarung, als geheimen Schlüssel für die klassische Kryptographie mit geheimem Schlüssel, der im Prinzip durch zukünftige mathematische Durchbrüche gebrochen werden könnte . (Aber sehr kluge, gut finanzierte Leute haben diese Durchbrüche nach jahrzehntelangen Versuchen nicht geschafft.) Und das bedeutet nicht, dass praktische Implementierungen von QKD auch keine physischen Spuren hinterlassen .

Alles in allem ist QKD ein Quantum, also ist es sexy und macht einen guten Verkauf für reiche Regierungen und Banken, die über mehrere Millionen Euro Ermessensfonds für nutzlose Spielzeuge wie QKD verfügen. Die Physik ist auch ziemlich cool für Nerds.

M. Stern erinnert an einen weiteren Vorteil von QKD: Es handelt sich um eine Verbindungsschicht , die einen geheimen Schlüssel aushandelt, der von den beiden Endpunkten einer Glasfaserverbindung gemeinsam genutzt wird. Dabei kann es sich um einen legitimen Benutzer und das MITM handeln, das diese Glasfaserverbindung mit einem Schurken verbunden hat QKD-Gerät. Wenn in der Ära der Quanten Vorherrschaft, wir ersetzt alle klassischen Public-Key - Schlüsselvereinbarungs der Welt von QKD, dann wo Anwendungen verhandeln zur Zeit geheime Schlüssel mit ihrem Peer über das Internet für End-to-End - authentifizierte Verschlüsselung über jedes routbaren Medium , sie Stattdessen müssten geheime Schlüssel mit ihrem ISP ausgehandelt werden, der Geheimnisse mit ihrem vorgelagerten ISP aushandelt, und so weiter, für Hop-by-Hopauthentifizierte Verschlüsselung. Dies wäre ein Segen für die Guten in den wichtigsten Regierungen der Welt, die (rückwirkend) versuchen, die Benutzerkommunikation zu überwachen, um Terroristen und Aktivisten sowie Journalisten und andere ungünstige gesellschaftliche Elemente auszurotten, da die ISPs dann notwendigerweise die geheimen Schlüssel zur Übergabe bereithalten würden zur Polizei.