Jag börjar nu skriva en serie lättlästa dagliga inlägg om post-kvantsäkerhet. Men jag har ingen aning om hur många dagar det kommer att pågå :). Så, låt oss se. DAG 1: Shors algoritm och kvantapokalyps(?) Största delen av vår säkerhetsstack—RSA, ECC, Diffie-Hellman—bygger på ett enda antagande: Heltalsfaktorisering och diskreta loggar är "svåra." På klassisk kisel är de det. För att knäcka RSA-2048 skulle du helt enkelt behöva mer tid än universums ålder. Men detta är ingen fysisk lag. Det är en begränsning i klassisk beräkning. År 1994 visade Peter Shor att de kan lösas effektivt på en kvantdator. Shors algoritm använder inte bara brute force-tangenter; den använder kvant-Fouriertransformen (QFT [Inte kvantfältteori lol]) för att hitta perioden för en funktion f(x) = a^x mod N. När du väl har mensen, har du faktorerna. Och när du har faktorerna är den privata nyckeln död. Eftersom den privata nyckeln kan rekonstrueras från den publika nyckeln. Komplexitetsskiftet är den verkliga "apokalypsen." Vi går från subexponentiell tid till polynomtid O((log N)^3). Vi pratar inte om en 10x hastighetsökning; vi pratar om att gå från biljoner år till några timmar på en CRQC. Likt RSA är ECC (elliptisk kurvkryptografi) också INTE säkert. På grund av sin effektiva algebraiska gruppstruktur kräver det faktiskt färre logiska qubits än RSA-2048 att bryta en 256-bitars ECC-nyckel. --- Tack för att du läste! Imorgon ska vi diskutera varför hotet om HNDL (harvest-now-decrypt-later) innebär att post-kvant-övergången måste ske nu. (Visuell: Peter Shor)

Jag är inte säker på att de flesta inom integritetsområdet är fullt medvetna om attacken harvest-now-decrypt-later. Vi fortsätter att säga att vi fortfarande har n år kvar tills den första mogna kvantdatorn kör Shors algoritm på ett verkligt fall. Post-kvantsäkerhet är ingen framtida lyx, särskilt inte för integritetssystem. Hotmodellen har redan förändrats: motståndare behöver inte en kvantdator idag för att bryta din data imorgon. De behöver bara samla in det. Varje krypterad transaktion, meddelande eller bevis som når den offentliga mempoolen eller kedjan kan arkiveras på obestämd tid. I samma ögonblick som en tillräckligt kraftfull kvantmaskin anländer blir allt som krypterats under klassiska antaganden om elliptiska kurvor klartext. Detta är problemet med att skörda nu, avkryptera senare, och det dödar tyst garantin att "krypterad idag betyder privat för alltid." Integritetsprotokoll måste behandla detta som en förstklassig designbegränsning. Om ditt system förlitar sig på ECDH, secp256k1-signaturer för att härleda nycklar, eller någon elliptisk kurva-baserad kryptering i ditt integritetslager, utsätter du redan dina användare för ett fördröjt intrång. Vi vill gärna tro att integritet är en omedelbar egendom, men i verkligheten är den en hållbar sådan: den måste överleva tid, hårdvaruframsteg och motståndare med långt minne och billig lagring. Det är därför post-kvantsäkerhet är så mycket viktigare för integritet än för allmän autentisering eller konsensus. En signatur kan roteras. En valideringsnyckel kan migreras. Men chiffertexter, när de väl är publicerade, är permanenta. Och "dekryptering" är inget misstag du kan rätta till. (Visuell: Peter Shor)

Trevligt samtal med andra paneldeltagare på scenen på Privacy and Compliance Summit av @partyactionppl. Tack för organisationen!