Vantaggio della distribuzione di chiavi quantistiche rispetto alla crittografia post-quantistica

La crittografia post-quantistica come la crittografia basata su reticolo è progettata per essere sicura anche se sono disponibili computer quantistici. Assomiglia alle crittografie attualmente impiegate, ma si basa su problemi che molto probabilmente non sono risolvibili in modo efficiente da un computer quantistico.

Ovviamente continua la ricerca sulla distribuzione quantistica delle chiavi (QKD). Ma quali sono esattamente i vantaggi della distribuzione delle chiavi quantistiche rispetto alla crittografia post-quantistica?

Lo sviluppo di una nuova tecnologia come QKD può avere grandi effetti collaterali e forse QKD sarà più efficiente in termini di costi o più veloce a lungo termine, ma dubito che questa sia la ragione principale.

Se è dimostrato che un determinato protocollo di crittografia asimmetrica si basa su un problema che non può essere risolto in modo efficiente nemmeno da un computer quantistico, la crittografia quantistica diventa in gran parte irrilevante.

Il punto è che, ad oggi, nessuno è stato in grado di farlo. In effetti, un tale risultato sarebbe un grande passo avanti, in quanto dimostrerebbe l'esistenza di problemi che non sono risolvibili in modo efficiente su un computer quantistico (mentre si ritiene generalmente che questo sia il caso, non è ancora noto se ci siano problemi in $\text{NP}$ ).$\text{NP}\!\setminus\!\text{BQP}$

In generale, tutti i protocolli di crittografia asimmetrica classici sono sicuri supponendo che un determinato problema sia difficile da risolvere, ma in nessun caso, a mia conoscenza, è stato dimostrato (nel senso della complessità computazionale) che quel problema è davvero esponenzialmente difficile da risolvere con un computer quantistico (e per molti nemmeno che il problema non sia risolvibile in modo efficiente con un computer classico ).

Penso che questo sia ben spiegato da Bernstein nella sua recensione di crittografia post-quantistica ( Link ). Citando dalla prima sezione di cui sopra, dove ha appena parlato di una serie di protocolli di crittografia classici:

Esiste un attacco migliore a questi sistemi? Forse. Questo è un rischio familiare nella crittografia. Ecco perché la comunità investe enormi quantità di tempo ed energia nella crittoanalisi. A volte i crittoanalisti trovano un attacco devastante, dimostrando che un sistema è inutile per la crittografia; ad esempio, ogni scelta utilizzabile di parametri per il sistema di crittografia a chiave pubblica zaino Merkle-Hellman è facilmente separabile. A volte i crittoanalisti trovano attacchi che non sono così devastanti ma che costringono chiavi di dimensioni maggiori. A volte i crittografi studiano i sistemi per anni senza trovare alcun attacco migliorato e la comunità crittografica inizia a costruire la fiducia che sia stato trovato il miglior attacco possibile, o almeno che gli aggressori del mondo reale non saranno in grado di escogitare qualcosa di meglio.

D'altra parte, la sicurezza di QKD, idealmente , non si basa su congetture (o, come viene spesso detto, i protocolli QKD forniscono in linea di principio una sicurezza teorica delle informazioni ). Se le due parti condividono una chiave sicura, allora il canale di comunicazione è incondizionatamente sicuro e QKD fornisce un modo incondizionatamente sicuro per scambiare tale chiave (ovviamente, sempre supponendo che la meccanica quantistica abbia ragione). Nella sezione 4 della recensione di cui sopra, l'autore presenta un confronto diretto (se forse in qualche modo distorto) della crittografia QKD vs Post-Quantum. È importante notare che ovviamente "sicurezza incondizionata" è qui intesa nel senso della teoria dell'informazione, mentre nel mondo reale ci possono essere aspetti di sicurezza più importanti da considerare. Va anche notato che la sicurezza e la praticità del mondo reale di QKD non sono ritenute fattuali da alcuni (vedi ad esempio Bernstein qui e la relativa discussione su QKD su crypto.SE ) e che la sicurezza teorica dell'informazione di QKD i protocolli sono veri solo se vengono seguiti correttamente, il che significa in particolare che la chiave condivisa deve essere utilizzata come un unico pad .

Infine, in realtà, anche molti protocolli QKD potrebbero essere violati. Il motivo è che l'imperfezione sperimentale di implementazioni specifiche può essere sfruttata per violare il protocollo (vedere ad esempio 1505.05303 e pag.6 di npjqi201625 ). È ancora possibile garantire la sicurezza contro tali attacchi utilizzando protocolli QKD indipendenti dal dispositivo, la cui sicurezza si basa sulle violazioni delle disuguaglianze di Bell e si può dimostrare che non dipende dai dettagli di implementazione. Il problema è che questi protocolli sono ancora più difficili da implementare rispetto al normale QKD.

La distribuzione quantistica delle chiavi richiede la sostituzione all'ingrosso dell'intera infrastruttura di comunicazione costituita da 5 cavi Ethernet e CPU da 0,50 EUR con collegamenti in fibra dedicati multimilionari e computer specializzati che eseguono comunque la classica crittografia a chiave segreta.

Inoltre, devi autenticare le chiavi segrete condivise che negozia con la distribuzione quantistica delle chiavi, cosa che probabilmente farai utilizzando la crittografia a chiave pubblica classica a meno che non sia abbastanza ricco da permettersi corrieri con le valigie ammanettate al polso.

Maggiori dettagli da François Grieu su crypto.se su ciò che rende sicura la crittografia quantistica.

Il punto cruciale della differenza tecnica - costi e schieramento e politiche e divisioni di classe a parte - è che il protocollo fisico di un sistema QKD è progettato per essere progettato in modo che non debba lasciare traccia fisica che le future scoperte matematiche potrebbero consentire di recuperare retroattivamente il segreto condiviso negoziato su questi collegamenti in fibra dedicati. Al contrario, con la crittografia classica, gli accordi di chiave pubblica su Internet, in cui un intercettatore registra ogni bit sul filo, potrebbero in linea di principio essere infranti da future scoperte matematiche.

Quindi, in entrambi i casi, i peer usano il segreto condiviso che hanno negoziato, sia con la distribuzione quantistica delle chiavi sia con l'accordo classico di chiave pubblica, come chiave segreta per la crittografia classica di chiave segreta, che potrebbe in linea di principio essere violata da future scoperte matematiche . (Ma persone molto intelligenti e ben finanziate non hanno fatto queste scoperte dopo aver provato per decenni.) E questo non significa che le implementazioni pratiche di QKD non lasceranno tracce fisiche .

Detto questo, QKD è quantico, quindi è sexy e fa una buona vendita a governi e banche ricchi, che hanno fondi discrezionali multimilionari per giocattoli inutili come QKD. La fisica è anche piuttosto interessante per i nerd con cui giocare.

M. Stern ricorda un altro vantaggio di QKD: opera a livello di collegamento , negoziando una chiave segreta condivisa dai due endpoint di un collegamento in fibra, che potrebbe essere un utente legittimo e il MITM che si è unito a quel collegamento in fibra con un ladro Dispositivo QKD. Se, nell'era della supremazia quantistica, abbiamo sostituito tutto il classico accordo di chiave pubblica del mondo con QKD, allora dove le applicazioni attualmente negoziano chiavi segrete con il loro pari su Internet per la crittografia autenticata end-to-end su qualsiasi supporto instradabile , essi dovrebbe invece negoziare chiavi segrete con il proprio ISP , che negozerebbe segreti con il proprio ISP a monte, e così via, per hop-by-hopcrittografia autenticata. Questo sarebbe un vantaggio per i bravi ragazzi nei principali governi del mondo che cercano di monitorare (retroattivamente) le comunicazioni degli utenti per sradicare terroristi e attivisti e giornalisti e altri elementi scomodi della società, perché gli ISP avrebbero quindi necessariamente le chiavi segrete pronte a girare alla polizia.