Articoli sensazionali come questo sui computer quantistici anche nel 2016, creano incertezze per la sicurezza dei dati nel caso in cui vengano costruiti computer quantistici di potenza sufficiente. Questo articolo cercherà di far luce sulla situazione.
Cos'è il Quantum Computing?
Il calcolo quantistico è l'applicazione dei principi della meccanica quantistica per eseguire calcoli. Nello specifico, l'informatica quantistica sfrutta gli stati quantistici delle particelle subatomiche come la sovrapposizione e l'entanglement per creare computer quantistici. Se applicati a computer quantistici con potenza sufficiente, algoritmi specifici possono eseguire calcoli molto più velocemente dei computer classici e persino risolvere problemi fuori dalla portata dell'attuale tecnologia informatica. Di conseguenza, c'è un maggiore interesse da governi e industrie di tutto il mondo per sviluppare computer quantistici. Il campo è ancora agli inizi, ma lo sviluppo sta prendendo piede e ci sono già computer quantistici funzionanti, anche se molto deboli a questo punto.
SSL.com fornisce un'ampia varietà di file SSL /TLS certificati del server per i siti Web HTTPS.
Informatica classica e quantistica
In che modo l'informatica quantistica può influenzare la crittografia?
“Nel 1994, Peter Shor dei Bell Laboratories ha dimostrato che i computer quantistici, una nuova tecnologia che sfrutta le proprietà fisiche della materia e dell'energia per eseguire calcoli, può risolvere in modo efficiente ciascuno di questi problemi, rendendo impotenti tutti i sistemi crittografici a chiave pubblica basati su tali presupposti. Pertanto, un computer quantistico sufficientemente potente metterà in pericolo molte forme di comunicazione moderna, dallo scambio di chiavi alla crittografia all'autenticazione digitale".
L'informatica quantistica arriverà presto?
Cosa possiamo fare?
Quando arriverà la tecnologia di calcolo quantistico diffusa, dovremo essere pronti con un quantum-resistente PKI. Ci sono molti progetti in corso verso questo obiettivo e molte tecnologie proposte che potrebbero fornire una soluzione. Di seguito, cercheremo di riassumere le tecnologie più promettenti e forniremo una breve rassegna dei progetti collettivi in corso per stabilire la crittografia post-quantistica, insieme alle sfide che ci attendono.
Famiglie di algoritmi post-quantici
La ricerca negli ultimi 15-20 anni ha dimostrato l'esistenza di algoritmi resistenti agli attacchi quantistici. Di seguito forniamo una breve descrizione delle famiglie di algoritmi più promettenti che potrebbero fornire una soluzione per la sicurezza in un mondo post-quantistico.
Crittografia basata su codice
La crittografia basata su codice utilizza codici di correzione degli errori per creare crittografia a chiave pubblica. È stato proposto per la prima volta da Robert McEliece nel 1978 ed è uno degli algoritmi di crittografia asimmetrica più antichi e più ricercati. Uno schema di firma può essere costruito sulla base dello schema Niederreiter, la doppia variante dello schema McEliece. Finora il crittosistema McEliece ha resistito alla crittoanalisi. Il problema principale con il sistema originale è la grande dimensione della chiave pubblica e privata.
Crittografia basata su hash
Crittografia basata su hash rappresenta un promettente approccio alla crittografia post-quantistica per le firme digitali. Le funzioni hash sono funzioni che mappano stringhe di lunghezza arbitraria a stringhe di lunghezza fissa. Sono uno dei più vecchi schemi di crittografia a chiave pubblica e le loro valutazioni di sicurezza contro gli attacchi classici e quantistici sono ben comprese. Le funzioni hash sono già uno degli strumenti crittografici più utilizzati. Si sapeva che avrebbero potuto essere usati come unico strumento per costruire la crittografia a chiave pubblica per molto tempo. Inoltre, la crittografia basata su hash è flessibile e può soddisfare diverse aspettative di prestazioni. L'aspetto negativo è che gli schemi di firma basati su hash sono principalmente stateful, il che significa che la chiave privata deve essere aggiornata dopo ogni utilizzo; in caso contrario, la sicurezza non è garantita. Esistono schemi basati su hash senza stato, ma hanno il costo di firme più lunghe, tempi di elaborazione più significativi e la necessità del firmatario di tenere traccia di alcune informazioni, come quante volte è stata utilizzata una chiave per creare una firma.
Crittografia basata su reticolo
La crittografia basata su reticolo è un caso particolare della crittografia basata su problemi di somma dei sottoinsiemi ed è stata introdotta per la prima volta nel 1996 da Ajtai. È il termine generico per le primitive crittografiche costruite con l'uso di reticoli. Alcune di queste costruzioni sembrano essere resistenti agli attacchi dei computer sia quantistici che classici. Inoltre, hanno altre caratteristiche interessanti, come la difficoltà di durezza nel peggiore dei casi. Inoltre, presentano semplicità e parallelismo e sono sufficientemente versatili per costruire schemi crittografici robusti. Infine, sono l'unica famiglia di algoritmi che contiene tutti e tre i tipi di primitive necessarie per costruire un'infrastruttura a chiave pubblica post-quantistica: crittografia a chiave pubblica, scambio di chiavi e firma digitale.
Crittografia multivariata
La crittografia multivariata si riferisce alla crittografia a chiave pubblica le cui chiavi pubbliche rappresentano una mappa polinomiale multivariata e non lineare (di solito quadratica). È stato dimostrato che la risoluzione di questi sistemi è NP-completa, rendendo così questa famiglia di algoritmi buoni candidati per la crittografia post-quantistica. Attualmente, gli schemi di crittografia multivariata si sono dimostrati meno efficienti di altri schemi poiché richiedono chiavi pubbliche sostanziali e lunghi tempi di decrittazione. D'altra parte, si sono rivelati più adatti per la costruzione di schemi di firma, in quanto forniscono le dimensioni di firma più brevi tra gli algoritmi post-quantistici, sebbene incorrano in chiavi pubbliche piuttosto grandi.
Crittografia basata sull'isogenesi
La crittografia basata sull'isogenesi utilizza mappe tra curve ellittiche per creare crittografia a chiave pubblica. L'algoritmo che è un candidato per la crittografia post-quantistica è lo scambio di chiavi Diffie-Hellman di isogenia supersingulare (SIDH) introdotto nel 2011, rendendo questo schema il più recente tra i candidati. SIDH richiede una delle chiavi più piccole tra gli schemi di scambio di chiavi proposti e supporta la perfetta segretezza in avanti. Tuttavia, la sua età relativamente giovane significa che non ci sono molti schemi basati su questo concetto, e non c'è stato molto per ispezionare le loro possibili vulnerabilità.
Progetti per la crittografia post-quantistica
Esistono vari gruppi di lavoro per schemi di crittografia post-quantistica, come il Aprire il progetto Quantum Safe (OQS) e ENISA. Tuttavia, l'iniziativa più coerente è il Progetto di standardizzazione della crittografia post-quantistica del NIST che è in corso dal 2017. Come suggerisce il nome, il progetto mira a scegliere uno schema di crittografia adatto che sarà lo standard del settore nell'era post-quantistica. Il processo è iniziato con 69 algoritmi candidati, di cui 26 sono passati al secondo round di valutazione. A luglio 2020 sono stati annunciati i candidati al round 3, come mostrato nella tabella seguente. Ci sono sette finalisti e otto candidati alternativi in totale. Sulla tabella viene annotato se sono considerati per gli schemi di crittografia o firma, la famiglia di algoritmi e il problema difficile su cui si basano.
schema | Enc/SIg | Famiglia | Problema difficile |
Finalisti Round 3 | |||
McEliece classico | Inc | Basato su codice | Decodifica di codici Goppa binari casuali |
Cristalli-Kyber | Inc | A base di reticolo | Modulo ciclotomico-LWE |
NTR | Inc | A base di reticolo | Problema ciclotomico NTRU |
Sciabola | Inc | A base di reticolo | Modulo ciclotomico-LWR |
Cristalli-Dilitio | Sig | A base di reticolo | Modulo ciclotomico-LWE e Modulo-SIS |
falco | Sig | A base di reticolo | Anello ciclotomico-SIS |
Rainbow | Sig | Basato su multivariato | Botola dell'olio e dell'aceto |
Candidati alternativi al turno 3 | |||
MOTO | Inc | Basato su codice | Decodifica di codici quasi ciclici |
HQC | Inc | Basato su codice | Variante di codifica di Ring-LWE |
Frodo-KEM | Inc | A base di reticolo | LWE |
NTRU-Prime | Inc | A base di reticolo | Problema NTRU non ciclotomico o Ring-LWE |
MI PIACE | Inc | A base di isogenia | Problema di isogenia con punti extra |
GeMSS | Sig | Basato su multivariato | Botola 'Big-Field' |
Picnic | Sig | Crittografia simmetrica | Resistenza alla preimmagine di un cifrario a blocchi |
SPHINCS + | Sig | Basato su hash | Resistenza alla preimmagine di una funzione hash |
La valutazione dell'algoritmo si è basata sui tre criteri mostrati di seguito.
- Sicurezza: questo è il criterio più cruciale. Il NIST ha stabilito diversi fattori da considerare per valutare la sicurezza fornita da ciascun algoritmo candidato. Oltre alla resistenza quantistica degli algoritmi, il NIST ha anche definito parametri di sicurezza aggiuntivi che non fanno parte dell'attuale ecosistema di sicurezza informatica. Questi sono la perfetta segretezza in avanti, la resistenza agli attacchi del canale laterale e la resistenza agli attacchi multi-chiave.
- Costo e prestazioni: gli algoritmi vengono valutati in base alle loro metriche di prestazione come le dimensioni delle chiavi, l'efficienza computazionale delle operazioni e della generazione di chiavi pubbliche e private e gli errori di decrittazione.
- Algoritmo e caratteristiche di implementazione: supponendo che gli algoritmi forniscano una buona sicurezza e prestazioni complessive, vengono valutati in base alla loro flessibilità, semplicità e facilità di adozione (come l'esistenza o meno della proprietà intellettuale che copre l'algoritmo).
Agilità crittografica
Conclusione