Преимущество квантового распределения ключей перед постквантовой криптографией

Постквантовая криптография, такая как криптография на основе решеток, разработана для обеспечения безопасности даже при наличии квантовых компьютеров. Он напоминает используемые в настоящее время шифрования, но основан на проблемах, которые, скорее всего, не могут быть эффективно решены квантовым компьютером.

Очевидно, что исследования по распределению квантовых ключей (QKD) продолжаются. Но каковы преимущества распределения квантовых ключей перед постквантовой криптографией?

Разработка новой технологии, такой как QKD, может иметь большие побочные эффекты, и, возможно, QKD будет более рентабельным или более быстрым в очень долгосрочной перспективе, но я сомневаюсь, что это главная причина.

Если доказано, что данный протокол асимметричного шифрования основан на проблеме, которая не может быть эффективно решена даже квантовым компьютером, тогда квантовая криптография становится в значительной степени неактуальной.

$\text{NP}$$\text{NP}\!\setminus\!\text{BQP}$

Вообще говоря, все классические протоколы асимметричного шифрования безопасны в предположении, что данную проблему трудно решить, но, насколько мне известно, ни в коем случае не было доказано (в смысле сложности вычислений), что эта проблема действительно экспоненциально трудна для решения решить с помощью квантового компьютера (и для многих даже не то, что проблема не может быть эффективно решена с помощью классического компьютера).

Я думаю, что это хорошо объяснено Бернштейном в его обзоре постквантовой криптографии ( ссылка ). Цитата из первого раздела выше, где он только что рассказал о ряде классических протоколов шифрования:

Есть ли лучшая атака на эти системы? Может быть. Это знакомый риск в криптографии. Вот почему сообщество тратит огромное количество времени и энергии на криптоанализ. Иногда криптоаналитики обнаруживают разрушительную атаку, демонстрирующую, что система бесполезна для криптографии; например, любой полезный выбор параметров для системы шифрования с открытым ключом рюкзака Меркля-Хеллмана легко взломать. Иногда криптоаналитики обнаруживают атаки, которые не столь разрушительны, но требуют больших ключей. Иногда криптоаналитики годами изучают системы, не обнаруживая улучшенных атак, и криптографическое сообщество начинает обретать уверенность в том, что найдена лучшая из возможных атак, или, по крайней мере, злоумышленники в реальном мире не смогут придумать ничего лучшего.

С другой стороны, безопасность QKD в идеале не опирается на гипотезы (или, как часто говорят, протоколы QKD в принципе обеспечивают теоретико-информационную безопасность ). Если обе стороны совместно используют защищенный ключ, то канал связи безусловно безопасен, и QKD предоставляет им безоговорочно безопасный способ обмена таким ключом (конечно, все еще в предположении, что квантовая механика права). В разделе 4 вышеупомянутого обзора автор представляет прямое (если возможно несколько предвзятое) сравнение QKD с постквантовой криптографией. Важно отметить, что, разумеется, термин «безусловная безопасность» следует понимать в теоретико-информационном смысле, тогда как в реальном мире могут существовать более важные аспекты безопасности, которые следует учитывать., Также следует отметить, что некоторые считают, что реальная безопасность и практичность QKD не являются фактическими (см., Например, Бернштейн здесь и соответствующее обсуждение QKD на crypto.SE ), и что теоретико-информационная безопасность QKD протоколы верны только в том случае, если они должным образом соблюдаются, что, в частности, означает, что общий ключ должен использоваться в качестве одноразовой клавиатуры .

Наконец, в действительности также могут быть нарушены многие протоколы QKD. Причина в том, что экспериментальное несовершенство конкретных реализаций может быть использовано для нарушения протокола (см., Например, 1505.05303 и стр.6 в npjqi201625 ). По-прежнему возможно обеспечить защиту от таких атак с использованием независимых от устройств протоколов QKD, безопасность которых зависит от нарушений неравенства Белла и может доказать, что они не зависят от деталей реализации. Суть в том, что эти протоколы даже сложнее реализовать, чем обычные QKD.

Квантовое распределение ключей требует, чтобы вы в полном объеме заменили всю коммуникационную инфраструктуру, построенную из Ethernet-кабелей стоимостью 5 евро и ЦП стоимостью 0,50 евро, на выделенные оптоволоконные каналы стоимостью в несколько миллионов евро и специализированные компьютеры, которые в любом случае фактически просто выполняют классическую криптографию с секретным ключом.

Кроме того, вам необходимо подтвердить подлинность общих секретных ключей, с которыми вы договариваетесь при распределении квантовых ключей, что вы, вероятно, будете делать с помощью классической криптографии с открытым ключом, если вы не достаточно богаты, чтобы позволить себе курьеров с чемоданами, прикованными наручниками к их запястьям.

Более подробная информация от Франсуа Гриу на crypto.se о том, что делает квантовую криптографию безопасной.

Суть технического различия - в затратах и ​​возможности развертывания, а также в политике и разделении классов - заключается в том, что физический протокол системы QKD предназначен для разработки таким образом, чтобы он не оставлял физического следа, который будущие математические прорывы могли бы позволить ретроактивно восстановить поделился секретом, согласованным по этим выделенным оптоволоконным каналам. Напротив, в случае классической криптографии соглашения о открытых ключах через Интернет, когда перехватчик записывает каждый бит по проводам, в принципе могут быть нарушены в результате будущих математических прорывов.

Затем в обоих случаях одноранговые узлы используют общий секретный ключ, о котором они договорились, либо с квантовым распределением ключей, либо с классическим соглашением открытого ключа, в качестве секретного ключа для классической криптографии с секретным ключом, который в принципе может быть взломан будущими математическими открытиями. , (Но очень умные, хорошо финансируемые люди не сделали этих прорывов после десятилетий попыток.) ​​И это не означает, что практическая реализация QKD также не оставит физических следов .

Все это говорит о том, что QKD является квантовым, поэтому оно сексуально и выгодно продается богатым правительствам и банкам, которые имеют многомиллионные дискреционные средства на бесполезные игрушки, такие как QKD. Физика также хороша для ботаников.

М. Стерн вспоминает еще одно преимущество QKD: он работает на канальном уровне , согласовывая секретный ключ, совместно используемый двумя конечными точками оптоволоконного канала, которым может быть один законный пользователь и MITM, которые врубились в этот оптоволоконный канал с помощью мошенника. Устройство QKD. Если в эпоху квантового превосходства мы заменили все классические мировые соглашения о открытых ключах на QKD, то там, где приложения в настоящее время согласовывают секретные ключи со своими одноранговыми узлами через Интернет для сквозного аутентифицированного шифрования на любом маршрутизируемом носителе , они вместо этого придется договариваться о секретных ключах со своим провайдером , который будет договариваться о секретах со своим восходящим провайдером, и так далее, для хоп-хопааутентифицированное шифрование. Это было бы благом для хороших парней в крупных мировых правительствах, пытающихся (задним числом) контролировать общение пользователей с целью искоренения террористов, активистов, журналистов и других неудобных элементов общества, потому что у интернет-провайдеров обязательно будут секретные ключи, готовые к передаче. в полицию.