Wie können wir zuverlässig wissen, ob die Verwendung einer Schlüsselgröße bei der Erstellung neuer Quantencomputer noch sicher ist?

7

Ich habe gehört, dass Quantencomputer eine große Bedrohung für die 1024-Bit- und möglicherweise sogar 2048-Bit-RSA-Kryptographie mit öffentlich-privaten Schlüsseln darstellen. In Zukunft werden jedoch wahrscheinlich größere Schlüssel irgendwann gefährdet sein, da neuere, schnellere Quantencomputer für viele (wenn nicht alle) Algorithmen erstellt werden. Wie kann ich zuverlässig feststellen, ob eine Schlüsselgröße oder sogar ein Algorithmus selbst zum gegenwärtigen Zeitpunkt sicher und sicher zu verwenden ist? Gibt es eine zuverlässige Ressource / Website, die berechnet, welche Schlüsselgrößen derzeit gefährdet sind, basierend darauf, wie schnell die neuesten Quantencomputer sind? Oder werden möglicherweise neue Algorithmen erstellt, die verhindern sollen, dass Quantencomputer sie leicht knacken können? Das Ziel hier ist es, die UX positiv zu halten, indem ein Produkt aufgrund von Verschlüsselung nicht langsam gemacht wird. Langsamere Apps sind es jedoch wert, eine sichere Datenübertragung zu gewährleisten.

cryptography

— Alex Jone
quelle

1

Ich würde mir vorstellen, dass die allerersten Quantencomputer, die eine tatsächliche Bedrohung für klassische Kryptographieprotokolle darstellen, geheim gehalten werden. Was ich gerade gesagt habe, ist eine Art Antwort, aber es ist auch eine Meinung. Dies könnte ein Problem sein , siehe den Link.

— Kiro

1

Mögliches Duplikat von Kann es eine Verschlüsselungsmethode geben, die selbst mit Quantencomputern nicht zu knacken ist?

— Rob

6

Wir (dh der aktuelle Forschungsstand) wissen es einfach nicht, aber wir können es erraten.

$n$ $O(2^{n/2})$ $O(2^n)$

Daher versucht PQC, Kryptografie auf der Grundlage von Methoden zu erstellen, für die wir derzeit der Meinung sind, dass Quantencomputer nur geringe Vorteile bieten, wie z. B. gitterbasierte oder codierungsbasierte Krypto. Aber wir können das nicht mit Sicherheit wissen, genauso wie wir nicht wissen, ob es klassische Algorithmen gibt, die die aktuelle Krypto der kommerziellen Qualität brechen.

Beachten Sie, dass das Erhöhen der Schlüsselgröße für RSA einfach nicht funktioniert, da Shor die Zeit eines Polynoms niedriger Ordnung berücksichtigen kann, um den Schlüssel zu knacken. Mit anderen Worten, ein Schlüssel, der groß genug ist, damit Shor versagt, ist ein Schlüssel, der groß genug ist, so dass normale Entschlüsselungs- / Entschlüsselungsvorgänge unmöglich sind.

Wir brauchen also wirklich Ersatz. Glücklicherweise denke ich, dass PQC pünktlich gestartet wurde und dass wir einen guten Ersatz für RSA (und andere!) Erhalten werden, wenn die wirklich leistungsstarken Maschinen, die Shor und Grover effektiv ausführen können, eintreffen.

— Diskrete Eidechse
quelle

3

Gibt es eine zuverlässige Ressource / Website, die berechnet, welche Schlüsselgrößen derzeit gefährdet sind, basierend darauf, wie schnell die neuesten Quantencomputer sind?

Wie andere Antworten gezeigt haben, ist es nicht wirklich eine Frage einer größeren Schlüssellänge, wenn ein bestimmter Algorithmus für Angriffe durch Quantencomputer anfällig ist. Es würde nicht viel technologischen Fortschritt erfordern, um diese größere Schlüssellänge in Gefahr zu bringen (und Sie wissen nie wirklich, wie der aktuelle Stand der Technik ist). Wir haben aus der Geschichte der klassischen Computer (z. B. Moores Gesetz) gesehen, dass exponentielle Verbesserungen möglich sind, sobald Sie eine grundlegende Schwelle überschritten haben.

Was andere Antworten nicht erwähnt haben, ist Aktualität. Ja, Sie könnten fragen: "Ist eine bestimmte Kombination aus Algorithmus und Schlüssellänge nach unserem derzeitigen Stand der Technik sicher?", Aber das ist nur eine sofortige Sicherheit. Manchmal ist das gut genug. Wenn Sie morgen ein geheimes Treffen mit jemandem vereinbaren möchten und solange niemand davon erfährt, können Sie jeden Algorithmus verwenden, der die Frage mit Ja beantwortet. Was ist jedoch, wenn diese Informationen länger geheim bleiben sollen? Vielleicht senden Sie jemandem per E-Mail die Identität eines Undercover-Agenten, den er treffen soll. Es ist nicht gut genug, dass die Identität dieses Individuums jetzt geschützt ist, aber es muss auch in Zukunft geschützt werden. Solche Daten, Sie müssen im Wesentlichen davon ausgehen, dass wenn es mit einem Algorithmus verschlüsselt wurde, der möglicherweise von einem Quantencomputer angegriffen werden kann, es irgendwann gelesen wird und daher kompromittiert wird. Wenn Sie superparanoid sind, sollten Sie dies ohnehin für alle Krypto-Algorithmen annehmen, denn selbst wenn die Theorie besagt, dass sie vollkommen sicher sind, kann ihre praktische Implementierung fehlerhaft und anfällig für Risse sein.

Oder werden möglicherweise neue Algorithmen erstellt, die verhindern sollen, dass Quantencomputer sie leicht knacken können?

$\neq$

— DaftWullie
quelle

2

Da Sie große Schlüsselgrößen (1024 Bit und höher) erwähnen, sprechen Sie von asymmetrischer Kryptographie. Andere (symmetrische) kryptografische Schemata sind sicher, indem sie einfach ihre Schlüsselgröße verdoppeln (z. B. von 128 auf 256 Bit), da dies den theoretischen Vorteil des Grover-Algorithmus für eine umfassende Suche kompensiert.

Die asymmetrische Kryptographie kann in derzeit verwendete praktische Schemata (im Wesentlichen RSA und ECC) und Postquantum-Kryptographie unterteilt werden.

$O(n^3)$

Die Postquantum-Kryptographie berücksichtigt bereits Quantencomputer als Angriffsvektoren. Sie erfordern jedoch normalerweise große Schlüsselgrößen (z. B. mehr als 10 KBit).

— Pyramiden
quelle