Глубокий анализ: Не слишком ли мы боимся криптографических угроз безопасности, которые представляют квантовые компьютеры?

Хронология угроз со стороны квантовых компьютеров часто преувеличена, и риск уязвимостей программ всё ещё значительно выше, чем при квантовых атаках в краткосрочной перспективе. Блокчейнам не нужно спешить с внедрением постквантовых подписей, но планирование должно начаться немедленно. Эта статья основана на статье, написанной Джастином Талером, составленной, компилированной и написанной компанией Vernacular Blockchain. (Резюме: Рауль Пал предупреждает: Если ФРС не напечатает деньги на QE, «ликвидность будет дефицитом» или повторится финансовый кризис 2018 года на рынке репо) (Справочное дополнение: США опубликуют сентябрьский отчёт по заработной плате в несельскохозяйственных секторах на следующей неделе, и рынок внимательно следит за влиянием снижения процентной ставки ФРС (Fed)) Хронология квантовых компьютеров, связанных с криптографией, часто преувеличена — что приводит к срочному и комплексному переходу к постквантовой криптографии. Однако эти призывы часто игнорируют затраты и риски преждевременной миграции и игнорируют кардинально различающиеся профили рисков между разными криптографическими примитивами: . Постквантовое шифрование требует немедленного внедрения, несмотря на свои затраты: «Сначала получить, потом расшифровать» (Harvest-Now-Decrypt-Later, HNDL) атаки уже начались, ведь чувствительные данные, зашифрованные сегодня, останутся ценными при появлении квантовых компьютеров, даже если это произойдёт через десятилетия. Накладные расходы производительности и риски внедрения после квантового шифрования реальны, но HNDL-атаки не оставляют выбора для данных, требующих долгосрочной конфиденциальности. Постквантовые сигнатуры сталкиваются с другими аспектами. Они менее уязвимы к атакам HNDL, а их стоимость и риски ( большом размере, накладных расходах производительности, незрелой реализации и баговых ) требуют внимательного рассмотрения, а не немедленной миграции. Эти различия имеют решающее значение. Заблуждения могут искажать анализ соотношения затрат и выгод, заставляя команды упускать из виду более серьёзные риски безопасности — например, ошибки программирования (bugs). Настоящая сложность успешного перехода к постквантовой криптографии заключается в сопоставлении срочности с реальными угрозами. Ниже я пролю свет на распространённые заблуждения относительно угроз Quantum для криптографии — охватывая криптографию, подписи и доказательства с нулевым уровнем информации — с особым вниманием к их влиянию на блокчейн. Как идут наши сроки? Несмотря на громкие заявления, вероятность того, что квантовый компьютер, связанный с криптографией, (CRQC) в 2020-х годах крайне низка. Под «квантовыми компьютерами, связанными с криптографией», я имею в виду отказоустойчивый, корректирующий ошибки квантовый компьютер, способный запускать алгоритм Шора в масштабе, достаточном для атаки криптографии эллиптической кривой или RSA в разумные сроки, ( например, чтобы взломать атаки {secp}256{k}1 или {RSA-2048} на криптографию эллиптических кривых или RSA в течение максимум месяца непрерывных вычислений. Исходя из любой разумной интерпретации публичных этапов и оценок ресурсов, мы всё ещё далеки от криптографически связанных квантовых компьютеров. Компании иногда утверждают, что CRQC может появиться до 2030 года или задолго до 2035 года, но публично известные события не подтверждают эти утверждения. Для контекста: во всех современных архитектурах — заключённых ионах, сверхпроводящих кубитах и нейтральных атомных системах — современные квантовые вычислительные платформы не могут приблизиться к тому, чтобы обработать сотни тысяч или миллионы физических кубитов, необходимых для атакой алгоритма Шора {RSA-2048} или {secp}256{k}1 (, в зависимости от уровня ошибок и схемы коррекции ошибок ). Ограничивающими факторами являются не только количество кубитов, но и точность затворов, связность кубитов и глубина непрерывных схем коррекции ошибок, необходимых для работы глубоких квантовых алгоритмов. Хотя в некоторых системах сейчас более 1 000 физических кубитов, исходное количество кубитов само по себе вводит в заблуждение: этим системам не хватает связности кубитов и точности элементов, необходимых для криптографических вычислений. Современные системы близки к физическому уровню ошибок, при которой применяется квантовая коррекция ошибок, но никто не доказал, что более нескольких логических кубитов имеют непрерывную глубину цепи коррекции ошибок… Не говоря уже о тысячах кубитов логики с высокой точностью, глубокой цепью и отказостойкостью, необходимых для запуска алгоритма Шор. Разрыв между доказательством того, что квантовая коррекция ошибок осуществима в принципе, и масштабом, необходимым для достижения криптоанализа, остаётся значительным. Короче говоря: если число кубитов и их точность не увеличатся на несколько порядков, квантовые компьютеры, связанные с криптографией, всё ещё недоступны. Однако корпоративные пресс-релизы и освещение в СМИ могут быть запутанными. Вот некоторые распространённые источники заблуждений и путаницы, включая: демонстрации, утверждающие «квантовое преимущество», в настоящее время нацелено на задачи, созданные человеком. Эти задачи были выбраны не из-за практичности, а потому, что они могли работать на существующем оборудовании, при этом демонстрируя большое квантовое ускорение — факт, который часто размывается в анонсах. Компания утверждает, что достигла тысяч физических кубитов. Но речь идёт о квантовых машинах отжига, а не о машинах с элементами вентиляций, необходимых для запуска алгоритма Шора для атаки криптографии с открытым ключом. Компания свободно использует термин «логические кубиты». Физические кубиты шумные. Как уже упоминалось, квантовые алгоритмы требуют логических кубитов; Алгоритм Шора требует тысячи. С помощью квантовой коррекции ошибок логический кубит может быть реализован с множеством физических кубитов — обычно от сотен до тысяч, в зависимости от уровня ошибки. Но некоторые компании продлили этот срок до неузнаваемости. Например, недавнее объявление утверждает, что используется расстояние 2 ярда и реализация логического кубита только с двумя физическими кубитами. Это абсурд: расстояние в 2 ярда обнажает только ошибки, а не исправляет их. По-настоящему отказоустойчивые логические кубиты для криптоанализа требуют сотен или тысяч физических кубитов каждый, а не двух. В более общем плане многие дорожные карты квантовых вычислений используют термин «логические кубиты» для обозначения кубитов, поддерживающих только операции Клиффорда. Эти операции можно эффективно выполнять в классических симуляциях и, следовательно, недостаточны для запуска алгоритма Шора, который требует тысяч исправленных ошибок Т-элементов ( или более общих не-Клиффордовских ). Даже если одна из дорожных карт направлена на «достижение тысяч логических кубитов в год X», это не значит, что компания рассчитывает запустить алгоритм Шора для взлома классической криптографии в тот же год X. Эти практики серьёзно исказили общественное восприятие того, насколько мы близки к криптографически связанным квантовым компьютерам, даже среди признанных наблюдателей. Тем не менее, некоторые эксперты очень воодушевлены прогрессом. Например, Скотт Ааронсон недавно написал, что учитывая «нынешнюю ошеломляющую скорость разработки аппаратного обеспечения», я теперь считаю, что реалистична возможность того, что до следующих президентских выборов в США у нас появится отказоустойчивый квантовый компьютер с запуском алгоритма Шора. Однако позже Ааронсон уточнил, что его утверждение не имеет в виду квантовые компьютеры, связанные с криптографией: он утверждает, что даже если полностью отказоустойчивый алгоритм Шора выполняет факторизацию 15 = 3 imes 5, он считается реализацией — и этот расчёт можно выполнить гораздо быстрее с помощью карандаша и бумаги. Стандартом всё ещё предстоит исполнять алгоритм Шора в малом масштабе, а не в криптографии, поскольку предыдущие эксперименты с факторингом 15 на квантовых компьютерах использовали упрощённую схему вместо полноценного, отказоустойчивого алгоритма Шора. И есть причина, почему эти эксперименты всегда уменьшали число 15: арифметические вычисления по модулю 15 просты, а уменьшить немного большие числа, например 21, гораздо сложнее. Поэтому квантовые эксперименты, заявляющие о разборе 21, часто опираются на дополнительные подсказки или упрощения. Короче говоря, ожидание квантового компьютера, связанного с криптографией, способного взломать {RSA-2048} или {secp}256{k}1 в ближайшие 5 лет — это крайне важно для реальной криптографии…