Постквантовая криптография ( PQC ), иногда называемая квантово-устойчивой , квантово-безопасной или квантово-устойчивой , представляет собой разработку криптографических алгоритмов (обычно алгоритмов с открытым ключом ), которые считаются защищенными от криптоаналитической атаки со стороны квантовый компьютер . Проблема с популярными алгоритмами, используемыми в настоящее время на рынке, заключается в том, что их безопасность зависит от одной из трех сложных математических задач: задачи целочисленной факторизации , задачи дискретного логарифма или задачи дискретного логарифма на основе эллиптической кривой . Все эти проблемы можно было бы легко решить на достаточно мощном квантовом компьютере, использующем алгоритм Шора [1] [2] или даже более быстрые и менее требовательные (с точки зрения количества требуемых кубитов) альтернативы. [3]
Хотя по состоянию на 2023 год квантовым компьютерам не хватает вычислительной мощности для взлома широко используемых криптографических алгоритмов, [4] криптографы разрабатывают новые алгоритмы для подготовки к Q-Day , дню, когда существующие алгоритмы будут уязвимы для атак квантовых вычислений. Их работа привлекла внимание ученых и промышленности благодаря серии конференций PQCrypto , проводимых с 2006 года, нескольким семинарам по квантовой безопасной криптографии, организованным Европейским институтом телекоммуникационных стандартов (ETSI) и Институтом квантовых вычислений . [5] [6] [7] Слухи о широко распространенном распространении программ «сбор сейчас, расшифровка позже» также рассматривались как мотивация для раннего внедрения постквантовых алгоритмов, поскольку данные, записанные сейчас, могут оставаться конфиденциальными много лет в будущем. . [8] [9] [10]
В отличие от угрозы, которую квантовые вычисления представляют для современных алгоритмов с открытым ключом, большинство современных симметричных криптографических алгоритмов и хэш-функций считаются относительно безопасными против атак со стороны квантовых компьютеров. [2] [11] Хотя квантовый алгоритм Гровера действительно ускоряет атаки на симметричные шифры, удвоение размера ключа может эффективно блокировать эти атаки. [12] Таким образом, постквантовая симметричная криптография не должна существенно отличаться от современной симметричной криптографии.
Исследования постквантовой криптографии в основном сосредоточены на шести различных подходах: [2] [6]
Этот подход включает в себя криптографические системы, такие как обучение с ошибками , кольцевое обучение с ошибками ( ring-LWE ), [13] [14] [15] кольцевое обучение с обменом ключами с ошибками и кольцевое обучение с сигнатурой ошибок , более старый NTRU или GGH. схемы шифрования, а также новые подписи NTRU и подписи BLISS . [16] Некоторые из этих схем, такие как шифрование NTRU, изучались в течение многих лет, но никто не нашел реальной атаки. Другие алгоритмы, такие как кольцевые алгоритмы LWE, имеют доказательства того, что их безопасность сводится к проблеме наихудшего случая. [17] Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, предложила изучить вариант NTRU Стеле-Штайнфельда для стандартизации, а не алгоритм NTRU. [18] [19] В то время NTRU все еще был запатентован. Исследования показали, что NTRU может обладать более безопасными свойствами, чем другие алгоритмы на основе решетки. [20]
Сюда входят криптографические системы, такие как схема «Радуга» ( несбалансированное масло и уксус ), которая основана на сложности решения систем многомерных уравнений. Различные попытки построить безопасные схемы шифрования многомерных уравнений потерпели неудачу. Однако схемы многомерной подписи, такие как Rainbow, могут стать основой для квантовобезопасной цифровой подписи. [21] Схема Rainbow Signature запатентована.
Сюда входят криптографические системы, такие как подписи Лампорта , схема подписи Меркла , XMSS, [22] SPHINCS, [23] и схемы WOTS. Цифровые подписи на основе хэша были изобретены в конце 1970-х годов Ральфом Мерклем и с тех пор изучаются как интересная альтернатива теоретико-числовым цифровым подписям, таким как RSA и DSA. Их основной недостаток заключается в том, что для любого открытого ключа на основе хэша существует ограничение на количество подписей, которые можно подписать с использованием соответствующего набора закрытых ключей. Этот факт снизил интерес к этим подписям, пока интерес не возродился из-за стремления к криптографии, устойчивой к атакам квантовых компьютеров. Похоже, что на схему подписи Меркла не существует патентов [ нужна ссылка ] , и существует множество незапатентованных хэш-функций, которые можно использовать с этими схемами. Схема подписи XMSS на основе хэша с сохранением состояния, разработанная группой исследователей под руководством Йоханнеса Бухмана, описана в RFC 8391. [24]
Обратите внимание, что все вышеперечисленные схемы являются одноразовыми или ограниченными по времени подписями. Мони Наор и Моти Юнг изобрели хеширование UOWHF в 1989 году и разработали подпись, основанную на хешировании (схема Наора-Юнга) [25] , которая может быть неограниченной по времени в использование (первая подобная подпись, не требующая свойств лазейки).
Сюда входят криптографические системы, которые полагаются на коды, исправляющие ошибки , такие как алгоритмы шифрования МакЭлиса и Нидеррайтера и связанная с ними схема подписи Куртуа, Финиаса и Сендрие . Оригинальная подпись МакЭлиса с использованием случайных кодов Гоппы выдерживала проверку более 40 лет. Однако многие варианты схемы МакЭлиса, направленные на придание большей структуры используемому коду для уменьшения размера ключей, оказались небезопасными. [26] Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала систему шифрования с открытым ключом McEliece в качестве кандидата для долгосрочной защиты от атак квантовых компьютеров. [18]
Эти криптографические системы полагаются на свойства графов изогении эллиптических кривых (и абелевых многообразий более высокой размерности ) над конечными полями, в частности, суперсингулярных графов изогении , для создания криптографических систем. Среди наиболее известных представителей этой области — метод обмена ключами, подобный Диффи-Хеллману , CSIDH , который может служить прямой квантовостойкой заменой широко распространенных методов обмена ключами Диффи-Хеллмана и эллиптической кривой Диффи-Хеллмана. использовать сегодня [27] и схему сигнатур SQISign, которая основана на категориальной эквивалентности между суперсингулярными эллиптическими кривыми и максимальными порядками в определенных типах кватернионных алгебр. [28] Другая широко известная конструкция, SIDH/SIKE , была взломана в 2022 году. [29] Однако атака специфична для семейства схем SIDH/SIKE и не распространяется на другие конструкции, основанные на изогении. [30]
При условии использования ключей достаточно большого размера криптографические системы с симметричным ключом, такие как AES и SNOW 3G, уже устойчивы к атакам квантового компьютера. [31] Кроме того, системы и протоколы управления ключами, которые используют криптографию с симметричным ключом вместо криптографии с открытым ключом, такие как Kerberos и структура аутентификации мобильной сети 3GPP, также по своей сути защищены от атак со стороны квантового компьютера. Учитывая его широкое распространение в мире, некоторые исследователи рекомендуют более широкое использование симметричного управления ключами, подобного Kerberos, как эффективный способ получить постквантовую криптографию сегодня. [32]
При исследовании криптографии желательно доказать эквивалентность криптографического алгоритма и известной сложной математической задачи. Эти доказательства часто называют «снижением безопасности» и используются для демонстрации сложности взлома алгоритма шифрования. Другими словами, безопасность данного криптографического алгоритма сводится к безопасности известной сложной проблемы. Исследователи активно ищут возможности снижения безопасности в перспективах постквантовой криптографии. Текущие результаты приведены здесь:
В некоторых версиях Ring-LWE существует сведение безопасности к задаче кратчайшего вектора (SVP) в решетке в качестве нижней границы безопасности. SVP, как известно, является NP-трудным . [33] Конкретные системы кольцевого LWE, которые имеют доказуемое снижение безопасности, включают вариант сигнатур кольцевого LWE Любашевского, определенный в статье Гюнейсу, Любашевского и Поппельмана. [14] Схема подписи GLYPH представляет собой вариант подписи Гюнейсу, Любашевского и Пёппельмана (GLP), которая учитывает результаты исследований, полученные после публикации подписи GLP в 2012 году. Еще одна подпись Ring-LWE — Ring-TESLA. . [34] Также существует «дерандомизированный вариант» LWE, называемый «Обучение с округлением» (LWR), который обеспечивает «улучшенное ускорение (за счет устранения небольших ошибок выборки из гауссовского распределения с детерминированными ошибками) и пропускную способность». [35] В то время как LWE использует добавление небольшой ошибки для сокрытия младших битов, LWR использует округление с той же целью.
Считается , что безопасность схемы шифрования NTRU и подписи BLISS [16] связана с задачей ближайшего вектора (CVP) в решетке, но не доказуемо сводится к ней. Известно, что CVP является NP-трудным . Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, предложила изучить вариант Стеле-Штайнфельда NTRU, который действительно имеет снижение безопасности, для долгосрочного использования вместо исходного алгоритма NTRU. [18]
Несбалансированные схемы подписей Oil and Vinegar представляют собой асимметричные криптографические примитивы, основанные на многомерных полиномах над конечным полем . Булыгин, Петцольдт и Бухманн показали сведение общих многомерных квадратных UOV-систем к задаче решения многомерных квадратных уравнений NP-Hard. [36]
В 2005 году Луис Гарсия доказал, что безопасность подписей Merkle Hash Tree снижается до безопасности базовой хеш-функции. Гарсиа показал в своей статье, что если существуют односторонние хэш-функции с вычислительной точки зрения, то подпись хеш-дерева Меркла доказуемо безопасна. [37]
Следовательно, если бы кто-то использовал хеш-функцию с доказуемым снижением безопасности до известной сложной проблемы, он получил бы доказуемое снижение безопасности сигнатуры дерева Меркла до этой известной сложной проблемы. [38]
Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала использовать схему подписи Меркла для долгосрочной защиты от квантовых компьютеров. [18]
Система шифрования McEliece снижает уровень безопасности до проблемы синдромного декодирования (SDP). Известно, что СДП является NP-жесткой . [39] Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала использовать эту криптографию для долгосрочной защиты от атак со стороны квантового компьютера. [18]
В 2016 году Ван предложил схему шифрования случайного линейного кода RLCE [40] , основанную на схемах МакЭлиса. Схема RLCE может быть построена с использованием любого линейного кода, такого как код Рида-Соломона, путем вставки случайных столбцов в базовую матрицу генератора линейного кода.
Безопасность связана с задачей построения изогении между двумя суперсингулярными кривыми с одинаковым числом точек. Самое последнее исследование сложности этой проблемы, проведенное Делфсом и Гэлбрейтом, показывает, что эта проблема настолько сложна, насколько предполагают изобретатели обмена ключами. [41] Не существует снижения безопасности к известной NP-сложной задаче.
Одной из общих характеристик многих алгоритмов постквантовой криптографии является то, что они требуют ключей большего размера, чем обычно используемые «доквантовые» алгоритмы с открытым ключом. Часто приходится идти на компромисс между размером ключа, вычислительной эффективностью и размером зашифрованного текста или подписи. В таблице приведены некоторые значения для различных схем на 128-битном постквантовом уровне безопасности.
Практическим соображением при выборе постквантового криптографического алгоритма является усилие, необходимое для отправки открытых ключей через Интернет. С этой точки зрения алгоритмы Ring-LWE, NTRU и SIDH удобно обеспечивают размеры ключей менее 1 КБ, открытые ключи хеш-подписи — менее 5 КБ, а McEliece на основе MDPC занимает около 1 КБ. С другой стороны, схемы Rainbow требуют около 125 КБ, а McEliece на основе Goppa требует ключ размером почти 1 МБ.
Фундаментальная идея использования LWE и Ring LWE для обмена ключами была предложена и подана в Университете Цинциннати в 2011 году Цзиньтаем Дином. Основная идея исходит из ассоциативности матричных умножений, а ошибки используются для обеспечения безопасности. Статья [51] появилась в 2012 г. после подачи предварительной заявки на патент в 2012 г.
В 2014 году Пейкерт [52] представил ключевую транспортную схему, следующую той же базовой идее, что и Дин, где также используется новая идея отправки дополнительного 1-битного сигнала для округления в конструкции Дина. Для защиты, превышающей 128 бит , Сингх представляет набор параметров, которые имеют 6956-битные открытые ключи для схемы Пейкерта. [53] Соответствующий закрытый ключ будет иметь длину примерно 14 000 бит.
В 2015 году обмен ключами с проверкой подлинности и доказуемой прямой безопасностью, следующий той же базовой идее, что и Дин, был представлен на Eurocrypt 2015 [54] , который является расширением конструкции HMQV [55] в Crypto2005. В документе представлены параметры для различных уровней безопасности от 80 до 350 бит, а также соответствующие размеры ключей. [54]
Для 128-битной безопасности в NTRU Хиршхорн, Хоффштейн, Хогрейв-Грэм и Уайт рекомендуют использовать открытый ключ, представленный в виде полинома 613 степени с коэффициентами. В результате открытый ключ имеет длину 6130 бит. Соответствующий закрытый ключ будет иметь длину 6743 бита. [42]
Для обеспечения 128-битной безопасности и наименьшего размера подписи в схеме подписи многомерных квадратных уравнений Rainbow Петцольдт, Булыгин и Бухман рекомендуют использовать уравнения с размером открытого ключа чуть более 991 000 бит, закрытого ключа чуть более 740 000 бит и цифрового подписи длиной 424 бита. [43]
Чтобы получить 128 бит безопасности для подписей на основе хэша для подписи 1 миллиона сообщений с использованием метода фрактального дерева Меркла Наора Шенхава и Вула, размеры открытого и закрытого ключей составляют примерно 36 000 бит в длину. [56]
Для 128-битной безопасности в схеме МакЭлиса группа исследования пост-квантовой криптографии Европейской комиссии рекомендует использовать двоичный код Гоппы длиной не менее и размерностью не менее , способный исправлять ошибки. С этими параметрами открытый ключ для системы МакЭлиса будет систематической порождающей матрицей, неидентичная часть которой занимает биты. Соответствующий закрытый ключ, который состоит из поддержки кода с элементами из и генераторного полинома с коэффициентами из , будет иметь длину 92 027 бит [18]
Группа также исследует использование квазициклических кодов MDPC длиной не менее и размерностью не менее 1,000 и способных исправлять ошибки. При этих параметрах открытым ключом для системы МакЭлиса будет первая строка систематической порождающей матрицы, неидентичная часть которой принимает биты. Закрытый ключ, квазициклическая матрица проверки четности с ненулевыми элементами в столбце (или в два раза больше в строке), занимает не более битов, если он представлен в виде координат ненулевых элементов в первой строке.
Баррето и др. рекомендуют использовать двоичный код Гоппы длиной не менее и размерностью не менее , способный исправлять ошибки. С этими параметрами открытый ключ для системы МакЭлиса будет систематической порождающей матрицей, неидентичная часть которой занимает биты. [57] Соответствующий закрытый ключ, который состоит из поддержки кода с элементами из и полинома генератора с коэффициентами из , будет иметь длину 40 476 бит.
Для 128-битной безопасности в методе суперсингулярной изогении Диффи-Хеллмана (SIDH) Де Фео, Джао и Плут рекомендуют использовать суперсингулярную кривую по модулю 768-битного простого числа. Если используется сжатие точек эллиптической кривой, длина открытого ключа должна быть не более 8x768 или 6144 бит. [58] В статье, опубликованной в марте 2016 года авторами Азардерахшем, Джао, Калачем, Козиэлем и Леонарди, было показано, как сократить количество передаваемых битов вдвое. Этот метод был дополнительно улучшен авторами Костелло, Джао, Лонгой, Наеригом, Ренесом и Урбаником, в результате чего версия протокола SIDH со сжатым ключом с открытыми ключами размером всего 2640 бит. [50] Это делает количество передаваемых битов примерно эквивалентным неквантовому безопасному RSA и алгоритму Диффи-Хеллмана при том же классическом уровне безопасности. [59]
Как правило, для 128-битной безопасности в системе на основе симметричных ключей можно безопасно использовать ключи длиной 256 бит. Лучшая квантовая атака против обычных систем с симметричным ключом — это применение алгоритма Гровера , который требует работы, пропорциональной квадратному корню из размера ключевого пространства. Для передачи зашифрованного ключа на устройство, обладающее симметричным ключом, необходимым для расшифровки этого ключа, также требуется примерно 256 бит. Понятно, что системы с симметричными ключами предлагают наименьшие размеры ключей для постквантовой криптографии. [ нужна цитата ]
Система с открытым ключом демонстрирует свойство, называемое совершенной прямой секретностью, когда она генерирует случайные открытые ключи за сеанс для целей соглашения о ключах. Это означает, что компрометация одного сообщения не может привести к компрометации других, а также что не существует ни одного секретного значения, которое могло бы привести к компрометации нескольких сообщений. Эксперты по безопасности рекомендуют использовать криптографические алгоритмы, поддерживающие прямую секретность, а не те, которые ее не поддерживают. [60] Причина этого в том, что прямая секретность может защитить от компрометации долгосрочных закрытых ключей, связанных с парами открытого/частного ключей. Это рассматривается как средство предотвращения массовой слежки со стороны спецслужб.
И обмен ключами Ring-LWE, и обмен ключами суперсингулярной изогении Диффи-Хеллмана (SIDH) могут поддерживать прямую секретность при одном обмене с другой стороной. И Ring-LWE, и SIDH также можно использовать без прямой секретности, создав вариант классического варианта шифрования Эль-Гамаля Диффи-Хеллмана.
Другие алгоритмы в этой статье, такие как NTRU, не поддерживают прямую секретность как таковую.
Любая аутентифицированная система шифрования с открытым ключом может использоваться для организации обмена ключами с прямой секретностью. [61]
Проект Open Quantum Safe ( OQS ) был запущен в конце 2016 года и направлен на разработку и прототипирование квантово-устойчивой криптографии. [62] [63] Он направлен на интеграцию текущих постквантовых схем в одну библиотеку: liboqs . [64] liboqs — это библиотека C с открытым исходным кодом для квантовоустойчивых криптографических алгоритмов. Первоначально он фокусируется на алгоритмах обмена ключами, но на данный момент включает несколько схем подписи. Он предоставляет общий API, подходящий для алгоритмов постквантового обмена ключами, и объединяет различные реализации. liboqs также будет включать в себя средства тестирования и процедуры сравнительного анализа для сравнения производительности постквантовых реализаций. Кроме того, OQS также обеспечивает интеграцию liboqs в OpenSSL . [65]
По состоянию на март 2023 года поддерживаются следующие алгоритмы обмена ключами: [62]
Старые поддерживаемые версии, которые были удалены в связи с развитием проекта стандартизации пост-квантовой криптографии NIST:
Одной из основных задач постквантовой криптографии считается внедрение потенциально квантовобезопасных алгоритмов в существующие системы. Были проведены тесты, например, компанией Microsoft Research , реализующей PICNIC в PKI с использованием аппаратных модулей безопасности . [79] Тестовые реализации алгоритма Google NewHope также были выполнены поставщиками HSM . В августе 2023 года Google выпустила реализацию ключа безопасности FIDO2 гибридной схемы подписи ECC /Dilithium, которая была создана в сотрудничестве с ETH Zürich . [80]
21 февраля 2024 года Apple объявила, что собирается обновить свой протокол iMessage новым протоколом PQC под названием «PQ3», который будет использовать постоянный ключ. [81] [82] [83] Apple заявила, что, хотя квантовых компьютеров еще не существует, они хотели снизить риски, связанные с будущими квантовыми компьютерами, а также с так называемыми сценариями атак « Собери сейчас, расшифровай позже ». Apple заявила, что, по их мнению, их реализация PQ3 обеспечивает защиту, которая «превосходит защиту всех других широко распространенных приложений для обмена сообщениями, поскольку она использует постоянный ввод ключей. Apple намерена полностью заменить существующий протокол iMessage во всех поддерживаемых диалогах PQ3 к концу 2024 года. также определил шкалу, чтобы упростить сравнение свойств безопасности приложений для обмена сообщениями, при этом шкала представлена уровнями от 0 до 3. [81]
Другие известные реализации включают в себя:
{{cite web}}
: CS1 maint: bot: original URL status unknown (link){{cite web}}
: CS1 maint: bot: original URL status unknown (link){{cite web}}
: CS1 maint: bot: original URL status unknown (link){{cite web}}
: CS1 maint: bot: original URL status unknown (link){{cite web}}
: CS1 maint: bot: original URL status unknown (link)Благодаря устойчивому к компрометации шифрованию и обширной защите даже от самых сложных квантовых атак PQ3 является первым протоколом обмена сообщениями, достигшим того, что мы называем безопасностью уровня 3, обеспечивая защиту протокола, превосходящую защиту во всех других широко используемых приложениях для обмена сообщениями.