Estou começando uma série de posts diários de fácil leitura sobre segurança pós-quântica. Mas não faço ideia de quantos dias isso vai durar :). Então, vamos ver. DIA 1: Algoritmo de Shor e Apocalipse Quântico(?) A maior parte da nossa pilha de segurança — RSA, ECC, Diffie-Hellman — depende de uma única suposição: a fatoração de inteiros e os logs discretos são "difíceis". No silício clássico, eles são. Para decifrar o RSA-2048, você precisaria simplesmente de mais tempo do que a idade do universo. Mas isso não é uma lei física. É uma limitação da computação clássica. Em 1994, Peter Shor mostrou que eles podem ser resolvidos de forma eficiente em um computador quântico. O Algoritmo de Shor não usa apenas chaves de força bruta; ela usa a Transformada Quântica de Fourier (QFT [Não teoria quântica de campos, rs]) para encontrar o período de uma função f(x) = a^x mod N. Depois que você tem o período, você tem os fatores. E uma vez que você tem os fatores, a chave privada está morta. Porque a chave privada pode ser reconstruída a partir da chave pública. A mudança de complexidade é o verdadeiro "apocalipse". Passamos do tempo subexponencial para o tempo polinomial O((log N)^3). Não estamos falando de um aumento de velocidade 10x; estamos falando de passar de trilhões de anos para algumas horas em um CRQC. Semelhante à RSA, a ECC (criptografia de curvas elípticas) também NÃO é segura. Devido à sua eficiente estrutura de grupo algébrica, quebrar uma chave ECC de 256 bits na verdade requer menos qubits lógicos do que o RSA-2048. --- Obrigado por ler! Amanhã, discutiremos por que a ameaça HNDL (colheita agora-decriptação-depois) significa que a transição pós-quântica precisa acontecer agora. (Visual: Peter Shor)

Não tenho certeza se a maioria das pessoas no espaço de privacidade está totalmente ciente do ataque de colheita agora-decifrar-depois. Continuamos dizendo que ainda temos n anos até que o primeiro computador quântico maduro execute o algoritmo de Shor em um caso real. A segurança pós-quântica não é um luxo futuro, especialmente para sistemas de privacidade. O modelo de ameaça já mudou: adversários não precisam de um computador quântico hoje para quebrar seus dados amanhã. Eles só precisam coletá-lo. Toda transação, mensagem ou prova criptografada que chega ao mempool ou chain público pode ser arquivada indefinidamente. No momento em que uma máquina quântica suficientemente poderosa chega, qualquer coisa criptografada sob as suposições clássicas de curvas elípticas torna-se texto simples. Esse é o problema de colher agora, criptografar, depois, e silenciosamente mata a garantia de que "criptografado hoje significa privado para sempre." Os protocolos de privacidade precisam tratar isso como uma restrição de design de primeira classe. Se seu sistema depende de ECDH, assinaturas secp256k1 para derivar chaves ou qualquer criptografia baseada em curvas elípticas dentro da sua camada de privacidade, você já está expondo seus usuários a uma violação atrasada. Gostamos de pensar que a privacidade é uma propriedade instantânea, mas na realidade é duradoura: ela deve sobreviver ao tempo, avanços em hardware e adversários com memória longa e armazenamento barato. É por isso que a segurança pós-quântica importa muito mais para a privacidade do que para a autenticação ou consenso geral. Uma assinatura pode ser rotacionada. Uma chave validadora pode ser migrada. Mas os textos cifrados, uma vez publicados, são permanentes. E "descriptografia" não é um erro que você possa reparar. (Visual: Peter Shor)

Foi ótimo conversar com outros painelistas no palco do Privacy and Compliance Summit by @partyactionppl. Obrigado pela organização!