Постквантовая криптография

Постквантовая криптография ( PQC ), иногда называемая квантово-устойчивой , квантово-безопасной или квантово-устойчивой , представляет собой разработку криптографических алгоритмов (обычно алгоритмов с открытым ключом ), которые считаются защищенными от криптоаналитической атаки со стороны квантовый компьютер . Наиболее широко используемые алгоритмы с открытым ключом основаны на сложности одной из трех математических задач: задачи факторизации целых чисел , задачи дискретного логарифма или задачи дискретного логарифма на эллиптической кривой . Все эти проблемы можно было бы легко решить на достаточно мощном квантовом компьютере, работающем по алгоритму Шора. ^{[ 1 ] [ 2 ]} или даже более быстрые и менее требовательные (с точки зрения количества требуемых кубитов) альтернативы. ^{[ 3 ]}

Хотя по состоянию на 2023 год квантовым компьютерам не хватает вычислительной мощности , чтобы взломать широко используемые криптографические алгоритмы. ^{[ 4 ]} криптографы разрабатывают новые алгоритмы для подготовки к Y2Q или Q-Day , дню, когда текущие алгоритмы будут уязвимы для атак квантовых вычислений. Их работа привлекла внимание ученых и промышленности благодаря серии конференций PQCrypto , проводимых с 2006 года, нескольким семинарам по квантовой безопасной криптографии, организованным Европейским институтом телекоммуникационных стандартов (ETSI) и Институтом квантовых вычислений . ^{[ 5 ] [ 6 ] [ 7 ]} Слухи о широко распространенном распространении программ «собирай сейчас, дешифруй позже» также рассматривались как мотивация для скорейшего внедрения постквантовых алгоритмов, поскольку данные, записанные сейчас, могут оставаться конфиденциальными еще много лет в будущем. ^{[ 8 ] [ 9 ] [ 10 ]}

В отличие от угрозы, которую квантовые вычисления представляют для современных алгоритмов с открытым ключом, большинство современных симметричных криптографических алгоритмов и хеш-функций считаются относительно безопасными против атак со стороны квантовых компьютеров. ^{[ 2 ] [ 11 ]} Хотя квантовый алгоритм Гровера действительно ускоряет атаки на симметричные шифры, удвоение размера ключа может эффективно блокировать эти атаки. ^{[ 12 ]} Таким образом, постквантовая симметричная криптография не должна существенно отличаться от современной симметричной криптографии.

Исследования постквантовой криптографии в основном сосредоточены на шести различных подходах: ^{[ 2 ] [ 6 ]}

К этому подходу относятся такие криптографические системы, как обучение с ошибками , кольцевое обучение с ошибками ( ring-LWE ), ^{[ 13 ] [ 14 ] [ 15 ]} кольцевое обучение с обменом ключами с ошибками и кольцевое обучение с сигнатурой ошибок , старые схемы шифрования NTRU или GGH , а также новые подписи NTRU и подписи BLISS . ^{[ 16 ]} Некоторые из этих схем, такие как шифрование NTRU, изучались в течение многих лет, но никто не нашел реальной атаки. Другие алгоритмы, такие как кольцевые алгоритмы LWE, имеют доказательства того, что их безопасность сводится к проблеме наихудшего случая. ^{[ 17 ]} Исследовательская группа по пост-квантовой криптографии, спонсируемая Европейской комиссией, предложила изучить вариант NTRU Стеле-Штайнфельда для стандартизации, а не алгоритм NTRU. ^{[ 18 ] [ 19 ]} В то время NTRU еще был запатентован. Исследования показали, что NTRU может обладать более безопасными свойствами, чем другие алгоритмы на основе решетки. ^{[ 20 ]}

Сюда входят криптографические системы, такие как схема «Радуга» ( несбалансированное масло и уксус ), которая основана на сложности решения систем многомерных уравнений. Различные попытки построить безопасные схемы шифрования многомерных уравнений потерпели неудачу. Однако схемы многомерной подписи, такие как Rainbow, могут стать основой для квантовобезопасной цифровой подписи. ^{[ 21 ]} Схема подписи Rainbow запатентована.

Сюда входят криптографические системы, такие как подписи Лампорта , схема подписи Меркла , XMSS, ^{[ 22 ]} СФИНКИ, ^{[ 23 ]} и схемы WOTS. Цифровые подписи на основе хэша были изобретены в конце 1970-х годов Ральфом Мерклем и с тех пор изучаются как интересная альтернатива теоретико-числовым цифровым подписям, таким как RSA и DSA. Их основной недостаток заключается в том, что для любого открытого ключа на основе хэша существует ограничение на количество подписей, которые можно подписать с использованием соответствующего набора закрытых ключей. Этот факт снизил интерес к этим подписям, пока интерес не возродился из-за стремления к криптографии, устойчивой к атакам квантовых компьютеров. На схему подписи Меркла, похоже, нет патентов. ^{[ нужна ссылка ]} и существует множество незапатентованных хеш-функций, которые можно использовать с этими схемами. Схема подписи XMSS на основе хэша с сохранением состояния, разработанная группой исследователей под руководством Йоханнеса Бухмана , описана в RFC 8391. ^{[ 24 ]}

Обратите внимание, что все вышеперечисленные схемы являются одноразовыми или ограниченными по времени подписями. Мони Наор и Моти Юнг изобрели хеширование UOWHF в 1989 году и разработали подпись на основе хеширования (схема Наора-Юнга). ^{[ 25 ]} которая может использоваться неограниченное время (первая такая подпись, не требующая свойств лазейки).

Сюда входят криптографические системы, которые полагаются на коды, исправляющие ошибки , такие как алгоритмы шифрования МакЭлиса и Нидеррайтера и связанная с ними схема подписи Куртуа, Финиаса и Сендрие . Оригинальная подпись МакЭлиса с использованием случайных кодов Гоппы выдерживала проверку более 40 лет. Однако многие варианты схемы МакЭлиса, направленные на придание большей структуры используемому коду для уменьшения размера ключей, оказались небезопасными. ^{[ 26 ]} Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала систему шифрования с открытым ключом McEliece в качестве кандидата для долгосрочной защиты от атак квантовых компьютеров. ^{[ 18 ]}

Эти криптографические системы полагаются на свойства изогении графов эллиптических кривых более высокой размерности (и абелевых многообразий ) над конечными полями, в частности, суперсингулярных графов изогении , для создания криптографических систем. Среди наиболее известных представителей этой области — метод Диффи-Хеллману обмена ключами, подобный , CSIDH , который может служить простой квантовостойкой заменой Диффи-Хеллмана и эллиптической кривой Диффи-Хеллмана широко распространенных методов обмена ключами . использовать сегодня, ^{[ 27 ]} и схема сигнатур SQISign , основанная на категориальной эквивалентности суперсингулярных эллиптических кривых и максимальных порядков в определенных типах кватернионных алгебр. ^{[ 28 ]} Другая широко известная конструкция, SIDH/SIKE , была сломана в 2022 году. ^{[ 29 ]} Однако атака специфична для семейства схем SIDH/SIKE и не распространяется на другие конструкции, основанные на изогении. ^{[ 30 ]}

При условии использования достаточно больших размеров ключей криптографические системы с симметричным ключом, такие как AES и SNOW 3G, уже устойчивы к атакам квантового компьютера. ^{[ 31 ]} Кроме того, системы и протоколы управления ключами, использующие криптографию с симметричным ключом вместо криптографии с открытым ключом, такие как Kerberos и структура аутентификации мобильной сети 3GPP, также по своей сути защищены от атак со стороны квантового компьютера. Учитывая его широкое распространение в мире, некоторые исследователи рекомендуют более широкое использование симметричного управления ключами, подобного Kerberos, как эффективный способ получить постквантовую криптографию сегодня. ^{[ 32 ]}

При исследовании криптографии желательно доказать эквивалентность криптографического алгоритма и известной сложной математической задачи. Эти доказательства часто называют «снижением безопасности» и используются для демонстрации сложности взлома алгоритма шифрования. Другими словами, безопасность данного криптографического алгоритма сводится к безопасности известной сложной проблемы. Исследователи активно ищут возможности снижения безопасности в перспективах постквантовой криптографии. Текущие результаты приведены здесь:

В некоторых версиях Ring-LWE существует сведение безопасности к задаче кратчайшего вектора (SVP) в решетке в качестве нижней границы безопасности. SVP, как известно, NP-труден . ^{[ 33 ]} Конкретные системы кольцевого LWE, которые имеют доказуемое снижение безопасности, включают вариант сигнатур кольцевого LWE Любашевского, определенный в статье Гюнейсу, Любашевского и Поппельмана. ^{[ 14 ]} Схема подписи GLYPH представляет собой вариант подписи Гюнейсу, Любашевского и Пёппельмана (GLP) , которая учитывает результаты исследований, полученные после публикации подписи GLP в 2012 году. Еще одна подпись Ring-LWE — Ring-TESLA. ^{[ 34 ]} Также существует «дерандомизированный вариант» LWE, называемый «Обучение с округлением» (LWR), который обеспечивает «улучшенное ускорение (за счет устранения небольших ошибок выборки из гауссовского распределения с детерминированными ошибками) и пропускную способность». ^{[ 35 ]} В то время как LWE использует добавление небольшой ошибки для сокрытия младших битов, LWR использует округление с той же целью.

Безопасность схемы шифрования NTRU и BLISS ^{[ 16 ]} Считается, что сигнатура связана с ближайшей векторной задачей (CVP) в решетке, но не может быть доказуемо сведена к ней. Известно, что CVP является NP-трудным . Группа по изучению пост-квантовой криптографии, спонсируемая Европейской комиссией, предложила изучить вариант Стеле-Штайнфельда NTRU, который действительно имеет снижение безопасности, для долгосрочного использования вместо исходного алгоритма NTRU. ^{[ 18 ]}

масла и уксуса Несбалансированные схемы подписи представляют собой асимметричные криптографические примитивы, основанные на многомерных полиномах над конечным полем ⁠ ${\displaystyle \mathbb {F} }$⁠ . Булыгин, Петцольдт и Бухман показали сведение общих многомерных квадратичных UOV-систем к NP-Hard задаче решения многомерных квадратных уравнений . ^{[ 36 ]}

снижается В 2005 году Луис Гарсия доказал, что безопасность подписей Merkle Hash Tree до безопасности базовой хеш-функции. Гарсиа показал в своей статье, что если существуют односторонние хэш-функции с вычислительной точки зрения, то подпись хеш-дерева Меркла доказуемо безопасна. ^{[ 37 ]}

Следовательно, если бы кто-то использовал хэш-функцию с доказуемым снижением безопасности до известной сложной проблемы, он получил бы доказуемое снижение безопасности сигнатуры дерева Меркла до этой известной сложной проблемы. ^{[ 38 ]}

Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала использовать схему подписи Меркла для долгосрочной защиты от квантовых компьютеров. ^{[ 18 ]}

Система шифрования McEliece снижает уровень безопасности до проблемы синдромного декодирования (SDP). Известно, что СДП является NP-жесткой . ^{[ 39 ]} Исследовательская группа по постквантовой криптографии, спонсируемая Европейской комиссией, рекомендовала использовать эту криптографию для долгосрочной защиты от атак квантового компьютера. ^{[ 18 ]}

В 2016 году Ван предложил схему шифрования случайного линейного кода RLCE. ^{[ 40 ]} который основан на схемах МакЭлиса. Схема RLCE может быть построена с использованием любого линейного кода, такого как код Рида-Соломона, путем вставки случайных столбцов в базовую матрицу генератора линейного кода.

Безопасность связана с задачей построения изогении между двумя суперсингулярными кривыми с одинаковым числом точек. Самое последнее исследование сложности этой проблемы, проведенное Делфсом и Гэлбрейтом, показывает, что эта проблема настолько сложна, насколько предполагают изобретатели обмена ключами. ^{[ 41 ]} Никакого снижения уровня безопасности до известной NP-сложной проблемы не существует.

Одной из общих характеристик многих алгоритмов постквантовой криптографии является то, что они требуют ключей большего размера, чем обычно используемые «доквантовые» алгоритмы с открытым ключом. Часто приходится идти на компромисс между размером ключа, вычислительной эффективностью и размером зашифрованного текста или подписи. В таблице приведены некоторые значения для различных схем на 128-битном постквантовом уровне безопасности.

Практическим соображением при выборе пост-квантового криптографического алгоритма является усилие, необходимое для отправки открытых ключей через Интернет. С этой точки зрения алгоритмы Ring-LWE, NTRU и SIDH удобно обеспечивают размеры ключей менее 1 КБ, открытые ключи хеш-подписи — менее 5 КБ, а McEliece на основе MDPC занимает около 1 КБ. С другой стороны, схемы Rainbow требуют около 125 КБ, а McEliece на основе Goppa требует ключ размером почти 1 МБ.

Фундаментальная идея использования LWE и Ring LWE для обмена ключами была предложена и подана в Университете Цинциннати в 2011 году Цзиньтаем Дином. Основная идея исходит из ассоциативности матричных умножений, а ошибки используются для обеспечения безопасности. Бумага ^{[ 51 ]} появился в 2012 году после подачи предварительной заявки на патент в 2012 году.

В 2014 году Пейкерт ^{[ 52 ]} представил ключевую транспортную схему, следующую той же базовой идее, что и Дин, где также используется новая идея отправки дополнительного 1-битного сигнала для округления в конструкции Дина. превышающей 128 Для защиты, бит , Сингх представляет набор параметров, которые имеют 6956-битные открытые ключи для схемы Пейкерта. ^{[ 53 ]} Соответствующий закрытый ключ будет иметь длину примерно 14 000 бит.

В 2015 году на выставке Eurocrypt 2015 был представлен аутентифицированный обмен ключами с доказуемой прямой безопасностью, следующий той же базовой идее, что и Дин. ^{[ 54 ]} который является расширением HMQV ^{[ 55 ]} строительство в Crypto2005. В документе представлены параметры для различных уровней безопасности от 80 до 350 бит, а также соответствующие размеры ключей. ^{[ 54 ]}

Для 128-битной безопасности в NTRU Хиршхорн, Хоффштейн, Хогрейв-Грэм и Уайт рекомендуют использовать открытый ключ, представленный в виде полинома 613 степени с коэффициентами ⁠ ${\displaystyle {\bmod {\left(2^{10}\right)}}}$⁠ В результате открытый ключ имеет длину 6130 бит. Соответствующий закрытый ключ будет иметь длину 6743 бита. ^{[ 42 ]}

Для обеспечения 128-битной безопасности и наименьшего размера подписи в схеме подписи многомерных квадратных уравнений Rainbow Петцольдт, Булыгин и Бухман рекомендуют использовать уравнения в ${\displaystyle \mathbb {F} _{31}}$ с размером открытого ключа чуть более 991 000 бит, секретным ключом чуть более 740 000 бит и цифровыми подписями длиной 424 бита. ^{[ 43 ]}

Чтобы получить 128 бит безопасности для подписей на основе хэша для подписи 1 миллиона сообщений с использованием метода фрактального дерева Меркла Наора Шенхава и Вула, размеры открытого и закрытого ключей составляют примерно 36 000 бит в длину. ^{[ 56 ]}

Для 128-битной безопасности в схеме МакЭлиса группа исследования пост-квантовой криптографии Европейской комиссии рекомендует использовать двоичный код Гоппы длиной не менее ${\displaystyle n=6960}$ и размер не менее ⁠ ${\displaystyle k=5413}$⁠ , и способный исправить ${\displaystyle t=119}$ ошибки. С этими параметрами открытый ключ для системы МакЭлиса будет систематической порождающей матрицей, неидентичная часть которой принимает ${\displaystyle k\times (n-k)=8373911}$ биты. Соответствующий закрытый ключ, который состоит из поддержки кода с ${\displaystyle n=6960}$ элементы из ${\displaystyle \mathrm {GF} (2^{13})}$ и генераторный полином с ${\displaystyle t=119}$ коэффициенты от ⁠ ${\displaystyle \mathrm {GF} (2^{13})}$⁠ , будет иметь длину 92 027 бит. ^{[ 18 ]}

Группа также исследует использование квазициклических кодов MDPC длиной не менее ${\displaystyle n=2^{16}+6=65542}$ и размер не менее ⁠ ${\displaystyle k=2^{15}+3=32771}$⁠ , и способный исправить ${\displaystyle t=264}$ ошибки. С этими параметрами открытый ключ для системы МакЭлиса будет первой строкой систематической порождающей матрицы, неидентичная часть которой принимает ${\displaystyle k=32771}$ биты. Закрытый ключ — квазициклическая матрица проверки четности с ${\displaystyle d=274}$ ненулевые записи в столбце (или в два раза больше в строке), занимает не более ${\displaystyle d\times 16=4384}$ биты, если они представлены как координаты ненулевых записей в первой строке.

Баррето и др. рекомендуем использовать двоичный код Гоппы длиной не менее ${\displaystyle n=3307}$ и размер не менее ⁠ ${\displaystyle k=2515}$⁠ , и способный исправить ${\displaystyle t=66}$ ошибки. С этими параметрами открытый ключ для системы МакЭлиса будет систематической порождающей матрицей, неидентичная часть которой принимает ${\displaystyle k\times (n-k)=1991880}$ биты. ^{[ 57 ]} Соответствующий закрытый ключ, который состоит из поддержки кода с ${\displaystyle n=3307}$ элементы из ${\displaystyle \mathrm {GF} (2^{12})}$ и генераторный полином с ${\displaystyle t=66}$ коэффициенты от ⁠ ${\displaystyle \mathrm {GF} (2^{12})}$⁠ , будет иметь длину 40 476 бит.

Для 128-битной безопасности в методе суперсингулярной изогении Диффи-Хеллмана (SIDH) Де Фео, Джао и Плут рекомендуют использовать суперсингулярную кривую по модулю 768-битного простого числа. Если используется сжатие точек эллиптической кривой, длина открытого ключа должна быть не более 8x768 или 6144 бит. ^{[ 58 ]} В статье авторов Азардерахша, Джао, Калача, Козиэля и Леонарди, опубликованной в марте 2016 года, было показано, как сократить количество передаваемых битов вдвое, что было дополнительно улучшено авторами Костелло, Джао, Лонгой, Наэригом, Ренесом и Урбаником, что привело к сжатию данных. ключевая версия протокола SIDH с открытыми ключами размером всего 2640 бит. ^{[ 50 ]} Это делает количество передаваемых битов примерно эквивалентным неквантовому безопасному RSA и алгоритму Диффи-Хеллмана при том же классическом уровне безопасности. ^{[ 59 ]}

Как правило, для 128-битной безопасности в системе на основе симметричных ключей можно безопасно использовать ключи длиной 256 бит. Лучшая квантовая атака против произвольных систем с симметричным ключом — это применение алгоритма Гровера , который требует работы, пропорциональной квадратному корню из размера ключевого пространства. Для передачи зашифрованного ключа на устройство, обладающее симметричным ключом, необходимым для расшифровки этого ключа, также требуется примерно 256 бит. Понятно, что системы с симметричными ключами предлагают наименьшие размеры ключей для постквантовой криптографии. ^{[ нужна ссылка ]}

Система с открытым ключом демонстрирует свойство, называемое совершенной прямой секретностью , когда она генерирует случайные открытые ключи за сеанс для целей соглашения о ключах. Это означает, что компрометация одного сообщения не может привести к компрометации других, а также что не существует ни одного секретного значения, которое могло бы привести к компрометации нескольких сообщений. Эксперты по безопасности рекомендуют использовать криптографические алгоритмы, поддерживающие прямую секретность, а не те, которые ее не поддерживают. ^{[ 60 ]} Причина этого в том, что прямая секретность может защитить от компрометации долгосрочных закрытых ключей, связанных с парами открытого/закрытого ключей. Это рассматривается как средство предотвращения массовой слежки со стороны спецслужб.

И обмен ключами Ring-LWE, и обмен ключами суперсингулярной изогении Диффи-Хеллмана (SIDH) могут поддерживать прямую секретность при одном обмене с другой стороной. И Ring-LWE, и SIDH также можно использовать без прямой секретности, создав вариант классического варианта шифрования Эль-Гамаля Диффи-Хеллмана.

Другие алгоритмы в этой статье, такие как NTRU, не поддерживают прямую секретность как таковую.

Любая аутентифицированная система шифрования с открытым ключом может использоваться для организации обмена ключами с прямой секретностью. ^{[ 61 ]}

Проект Open Quantum Safe ( OQS ) был запущен в конце 2016 года и направлен на разработку и прототипирование квантово-устойчивой криптографии. ^{[ 62 ] [ 63 ]} Он направлен на интеграцию текущих постквантовых схем в одну библиотеку: liboqs . ^{[ 64 ]} liboqs — это библиотека C с открытым исходным кодом для квантово-устойчивых криптографических алгоритмов. Первоначально он фокусируется на алгоритмах обмена ключами, но на данный момент включает несколько схем подписи. Он предоставляет общий API, подходящий для алгоритмов постквантового обмена ключами, и объединяет различные реализации. liboqs также будет включать в себя средства тестирования и процедуры сравнительного анализа для сравнения производительности постквантовых реализаций. Кроме того, OQS также обеспечивает интеграцию liboqs в OpenSSL . ^{[ 65 ]}

По состоянию на март 2023 г. поддерживаются следующие алгоритмы обмена ключами: ^{[ 62 ]}

Старые поддерживаемые версии, которые были удалены в связи с развитием проекта стандартизации пост-квантовой криптографии NIST:

Одной из основных задач постквантовой криптографии считается внедрение потенциально квантовобезопасных алгоритмов в существующие системы. Были проведены тесты, например, компанией Microsoft Research, реализующей PICNIC в PKI с использованием аппаратных модулей безопасности . ^{[ 79 ]} Тестовые реализации алгоритма Google NewHope также были выполнены поставщиками HSM . В августе 2023 года Google выпустила FIDO2 реализацию ключа безопасности гибридной схемы подписи ECC /Dilithium, которая была создана в сотрудничестве с ETH Zürich . ^{[ 80 ]}

21 февраля 2024 года Apple объявила, что собирается обновить свой протокол iMessage новым протоколом PQC под названием «PQ3», который будет использовать постоянный ключ. ^{[ 81 ] [ 82 ] [ 83 ]} Apple заявила, что, хотя квантовых компьютеров еще не существует, они хотели снизить риски, связанные с будущими квантовыми компьютерами, а также с так называемыми « Собери сейчас, расшифровай позже сценариями атак ». Apple заявила, что, по их мнению, их реализация PQ3 обеспечивает защиту, которая «превосходит защиту всех других широко распространенных приложений для обмена сообщениями, поскольку она использует постоянный ввод ключей. Apple намерена полностью заменить существующий протокол iMessage во всех поддерживаемых диалогах на PQ3 к концу 2024 года. Apple также определила шкалу, чтобы упростить сравнение свойств безопасности приложений для обмена сообщениями, при этом шкала представлена ​​уровнями от 0 до 3. . ^{[ 81 ]}

Другие известные реализации включают в себя:

• надувной замок ^{[ 84 ]}
• либоки ^{[ 85 ]}

• Стандартизация постквантовой криптографии NIST
• Квантовая криптография - криптография, основанная на квантовой механике.
• Крипто-шреддинг – удаление ключей шифрования.
• Соберите сейчас, расшифруйте позже

• Постквантовая криптография . Спрингер. 2008. с. 245. ИСБН  978-3-540-88701-0 .
• Изогении в квантовом мире. Архивировано 2 мая 2014 г. в Wayback Machine.
• Об идеальных решетках и обучении с ошибками по кольцам
• Возвращение к Kerberos: квантовобезопасная аутентификация
• Схема подписи на пикнике

• PQCrypto, конференция по постквантовой криптографии
• Усилия ETSI по стандартам Quantum Secure
• Постквантовый криптопроект NIST
• Использование и развертывание PQCrypto
• Стоимость сертификации ISO 27001
• ISO 22301:2019 – Безопасность и отказоустойчивость в США.