Mesmo em 2016, artigos sobre computadores quânticos criaram incertezas em torno da segurança dos dados, caso pudessem ser construídos computadores quânticos suficientemente poderosos. Este artigo tentará lançar alguma luz sobre a situação.
O que é Quantum Computing?
A computação quântica é a aplicação dos princípios da mecânica quântica para realizar cálculos. Especificamente, a computação quântica explora estados quânticos de partículas subatômicas, como superposição e emaranhamento, para criar computadores quânticos. Quando aplicados a computadores quânticos com potência suficiente, algoritmos específicos podem realizar cálculos muito mais rápidos que os computadores clássicos e até mesmo resolver problemas fora do alcance da tecnologia de computação atual. Como resultado, há um interesse crescente de governos e indústrias em todo o mundo no desenvolvimento de computadores quânticos. Avanços recentes na computação quântica, como o processador Quantum Heron da IBM, melhoraram significativamente a redução de erros, mostrando um rápido progresso na área. A introdução do IBM Quantum System Two, equipado com esses processadores avançados, marca um salto em direção à supercomputação prática centrada no quantum.
Computação Clássica vs. Computação Quântica
A computação clássica depende de bits, representando uns e zeros através de correntes elétricas em circuitos, para resolver problemas complexos. A computação quântica, utilizando qubits como os do IBM Quantum Heron, supera a computação clássica em poder computacional por meio de correção de erros aprimorada e estabilidade de qubit. Qubits, diferentemente dos bits, podem existir em superposição, incorporando um e zero simultaneamente. Esse recurso permite que um único qubit represente dois estados ao mesmo tempo e, com cada qubit adicional, os estados representáveis dobrem exponencialmente (`2 ^ n` para n qubits). Por exemplo, um computador quântico com dez qubits pode representar 1024 estados, ao contrário de 10 bits na computação clássica. O emaranhamento quântico, um fenômeno complexo e não totalmente compreendido, permite que qubits sejam interconectados, aumentando a eficiência computacional. Ao aproveitar a superposição e o emaranhamento, os computadores quânticos operam em espaços multidimensionais, realizando cálculos paralelos, ao contrário da abordagem sequencial da computação clássica. Esta capacidade computacional avançada permite que os computadores quânticos resolvam problemas que vão além do escopo dos computadores clássicos, como simular com precisão interações moleculares em reações químicas. Isto tem implicações de longo alcance para a ciência e a tecnologia, incluindo o potencial para resolver problemas muito mais rapidamente do que os computadores clássicos, impactando áreas como a criptografia.Como a computação quântica pode influenciar a criptografia?
Conforme discutido acima, a criptografia é baseada na existência de problemas matemáticos intratáveis, não significando que eles sejam insolúveis, mas que o tempo e os recursos necessários para revertê-los os tornam praticamente seguros.
A computação quântica muda esse ecossistema, minimizando o tempo necessário para resolver esses problemas, aplicando algoritmos específicos.
Por exemplo, o algoritmo descoberto por , juntamente com as implicações de algoritmos como o de Shor no contexto de processadores quânticos avançados como o Quantum Heron da IBM, sublinham a necessidade iminente de sistemas criptográficos resistentes ao quantum.
“Em 1994, Peter Shor, dos Laboratórios Bell, mostrou que os computadores quânticos, uma nova tecnologia que aproveita as propriedades físicas da matéria e da energia para realizar cálculos, podem resolver eficientemente cada um destes problemas, tornando assim impotentes todos os criptossistemas de chave pública baseados em tais suposições. Assim, um computador quântico suficientemente poderoso colocará muitas formas de comunicação moderna – desde a troca de chaves até a criptografia e a autenticação digital – em perigo.”
Resumindo, um computador quântico com potência suficiente poderia causar uma pane total na infraestrutura de chave pública, criando a necessidade de um redesenho de todo o ecossistema de segurança cibernética.
Aplicações recentes de criptografia pós-quântica estão sendo vistas em espaços de consumo, como o suporte do Chrome para um algoritmo PQC, indicando os impactos práticos da computação quântica nos sistemas criptográficos atuais.
Mas isto não é tudo. Outro algoritmo, este de ” pode representar uma ameaça à criptografia simétrica, embora não tão grave quanto a de Shor. Quando aplicado a um computador quântico suficientemente poderoso, o algoritmo de Grover permite quebrar chaves simétricas a uma velocidade quádrupla em comparação com a computação clássica. Uma melhoria significativa que é combatida usando chaves maiores e mantendo o nível de segurança atual.
A computação quântica chegará em breve?
A física provou que a computação quântica é viável. Agora, é um problema de engenharia, embora muito difícil. A construção de computadores quânticos envolve a implementação de tecnologia de ponta como, entre outras coisas, superfluidos e supercondutores. O desafio de criar um sistema quântico-mecânico estável e escalável é imenso e leva equipes em todo o mundo a buscar caminhos diferentes. Existem vários tipos de computadores quânticos, incluindo o modelo de circuito quântico, máquina de Turing quântica, computador quântico adiabático, computador quântico unilateral e vários autômatos celulares quânticos. O mais utilizado é o circuito quântico.
Um problema significativo com qualquer modelo de computador quântico é que, por sua natureza, os qubits perdem seu status de superposição uma vez medidos e, conseqüentemente, são muito sensíveis a interferências externas. Portanto, é um desafio para os qubits manterem seus estados quânticos. Algumas soluções incluem o uso de armadilhas de íons, mas a eliminação total de interferência externa é provavelmente inatingível. Como resultado, uma das questões mais cruciais para a criação de computadores quânticos é um mecanismo robusto de correção de erros.
Com avanços recentes, como os avanços da IBM na computação quântica, o campo foi além dos modelos teóricos para sistemas quânticos mais práticos e poderosos, aproximando a era quântica do que anteriormente previsto.
O quadro geral é que um avanço pode estar acontecendo agora, ou pode levar alguns anos até que um protótipo funcional com poder computacional suficiente seja criado. Já existem alguns protótipos, sendo o IBM Q System One o mais famoso, mas seu poder computacional ainda é muito pequeno para ser um problema para sistemas criptográficos. De forma alguma, é claro, a comunidade de segurança cibernética pode relaxar. Mesmo se tivéssemos um esquema de segurança pós-quântico eficiente, migrar todo o ecossistema para este novo padrão é uma tarefa enorme. Consequentemente, vários esforços estão sendo feitos para estarmos prontos para a era pós-quântica.
Tecnologias promissoras para a era pós-quântica
À medida que nos aproximamos da aplicação generalizada da tecnologia quântica, evidenciada por avanços como o Quantum System Two da IBM, surge a necessidade de um sistema resistente ao quantum PKI torna-se mais urgente à medida que a tecnologia de computação quântica se espalha. A seguir, tentaremos resumir as tecnologias mais promissoras e fazer uma breve revisão dos projetos coletivos em andamento para estabelecer a criptografia pós-quântica, juntamente com os desafios que temos pela frente.
Famílias de algoritmos pós-quânticos
Pesquisas nos últimos 15-20 anos comprovaram a existência de algoritmos resistentes a ataques quânticos. Abaixo, fornecemos uma breve descrição das famílias de algoritmos mais promissoras que podem fornecer uma solução para segurança em um mundo pós-quântico.
Criptografia baseada em código
Desenvolvimentos recentes neste campo da criptografia baseada em código usam códigos de correção de erros para construir criptografia de chave pública. Foi proposto pela primeira vez por Robert McEliece em 1978 e é um dos algoritmos de criptografia assimétrica mais antigos e mais pesquisados. Um esquema de assinatura pode ser construído com base no esquema Niederreiter, a variante dupla do esquema McEliece. O criptossistema McEliece resistiu à criptoanálise até agora. O principal problema do sistema original é o grande tamanho das chaves públicas e privadas.
Criptografia baseada em hash
Com a crescente implementação em aplicações práticas, a criptografia baseada em Hash representa uma abordagem promissora de criptografia pós-quântica para assinaturas digitais. Funções hash são funções que mapeiam strings de comprimento arbitrário para strings de comprimento fixo. Eles são um dos esquemas de criptografia de chave pública mais antigos e suas avaliações de segurança contra ataques clássicos e baseados em quântica são bem compreendidas. As funções hash já são uma das ferramentas criptográficas mais utilizadas. Sabia-se que por muito tempo eles poderiam ser usados como a única ferramenta para a construção de criptografia de chave pública. Além disso, a criptografia baseada em hash é flexível e pode atender a diferentes expectativas de desempenho. Por outro lado, os esquemas de assinatura baseados em hash são principalmente stateful, o que significa que a chave privada precisa ser atualizada após cada uso; caso contrário, a segurança não será garantida. Existem esquemas baseados em hash que não têm estado, mas têm o custo de assinaturas mais longas, tempos de processamento mais significativos e a necessidade do signatário de acompanhar algumas informações, como quantas vezes uma chave foi usada para criar uma assinatura.
Criptografia baseada em látex
Agora considerada para soluções criptográficas mais avançadas, a criptografia baseada em rede é um caso particular da criptografia baseada em problemas de soma de subconjuntos e foi introduzida pela primeira vez em 1996 por Ajtai. É o termo genérico para primitivas criptográficas construídas com o uso de redes. Algumas dessas construções parecem ser resistentes a ataques de computadores quânticos e clássicos. Além disso, eles têm outras características atraentes, como dificuldade de dureza no pior caso. Eles também apresentam simplicidade e paralelismo e são versáteis o suficiente para construir esquemas criptográficos robustos. Finalmente, eles são a única família de algoritmos que contém todos os três tipos de primitivos necessários para construir uma infraestrutura de chave pública pós-quântica: criptografia de chave pública, troca de chaves e assinatura digital.
Criptografia multivariada
A criptografia multivariada refere-se à criptografia de chave pública cujas chaves públicas representam um mapa polinomial multivariado e não linear (geralmente quadrático). A resolução desses sistemas é comprovadamente NP-completa, tornando essa família de algoritmos bons candidatos para criptografia pós-quântica. Atualmente, os esquemas de criptografia multivariada têm se mostrado menos eficientes do que outros esquemas, uma vez que exigem chaves públicas substanciais e longos tempos de descriptografia. Por outro lado, eles se mostraram mais adequados para a construção de esquemas de assinatura, pois fornecem os menores tamanhos de assinatura entre os algoritmos pós-quânticos, embora incorram em chaves públicas bastante grandes.
Criptografia baseada em isogenia
A criptografia baseada em isogenia usa mapas entre curvas elípticas para construir criptografia de chave pública. O algoritmo candidato à criptografia pós-quântica é a troca de chaves Diffie-Hellman (SIDH) de isogenia supersingular introduzida em 2011, tornando este esquema o mais recente entre os candidatos. O SIDH requer uma das menores chaves entre os esquemas de troca de chaves propostos e oferece suporte a sigilo de encaminhamento perfeito. No entanto, sua idade relativamente jovem significa que não existem muitos esquemas baseados neste conceito, e não há muito para inspecionar suas possíveis vulnerabilidades.
Projetos para criptografia pós-quântica
Existem vários grupos de trabalho para esquemas de criptografia pós-quântica, como o projeto Open Quantum Safe (OQS) e ENISA. Ainda assim, a iniciativa mais coerente é o Projeto de Padronização da Criptografia Pós-Quantum do NIST, que fez progressos significativos desde 2021, com novos algoritmos emergindo como pioneiros na padronização da indústria na era pós-quântica. O processo começou com 69 algoritmos candidatos, dos quais 26 avançaram para a segunda rodada de avaliação. Em julho de 2020, foram anunciados os candidatos da 3ª rodada, conforme tabela abaixo. Há sete finalistas e oito candidatos alternativos no total. Na tabela está indicado se eles são considerados para esquemas de criptografia ou assinatura, a família de algoritmos e o problema difícil em que se baseiam.
| Esquema | Enc / SIg | Um plano de comunicação para a sua família | Problema Difícil |
|---|---|---|---|
| Clássico McEliece | Incluir | Baseado em código | Decodificando códigos binários Goppa aleatórios |
| Cristais-Kyber | Incluir | Com base em treliça | Módulo Ciclotômico-LWE |
| NTRU | Incluir | Com base em treliça | Problema NTRU ciclotômico |
| Saber | Incluir | Com base em treliça | Módulo Ciclotômico-LWR |
| Cristais-Dilítio | Sig | Com base em treliça | Módulo Ciclotômico-LWE e Módulo-SIS |
| falcão | Sig | Com base em treliça | Anel Ciclotômico-SIS |
| arco-íris | Sig | Baseado em multivariado | Alçapão de óleo e vinagre |
3ª Rodada de Candidatos Alternativos
| Esquema | Enc/Sig | Um plano de comunicação para a sua família |
|---|---|---|
| BIKE | Incluir | Baseado em código |
| Controle de Qualidade Geral | Incluir | Baseado em código |
| Frodo-KEM | Incluir | Com base em treliça |
| NTRU-Prime | Incluir | Com base em treliça |
| SIKE | Incluir | Baseado em Isogenia |
| GeMSSGenericName | Sig | Baseado em multivariado |
| Piquenique | Sig | Criptografia simétrica |
| SPHINCS + | Sig | Baseado em Hash |
A avaliação do algoritmo foi baseada nos três critérios mostrados abaixo.
-
Segurança: Este é o critério mais crucial. O NIST estabeleceu vários fatores a serem considerados na avaliação da segurança fornecida por cada algoritmo candidato. Além da resistência quântica dos algoritmos, o NIST também definiu parâmetros de segurança adicionais que não fazem parte do atual ecossistema de segurança cibernética. Estes são sigilo direto perfeito,
-
Custo e desempenho: os algoritmos são avaliados com base em suas métricas de desempenho, como tamanhos de chave, eficiência computacional de operações e geração de chaves públicas e privadas e falhas de descriptografia.
-
Características de algoritmo e implementação: Supondo que os algoritmos forneçam boa segurança e desempenho geral, eles são avaliados com base em sua flexibilidade, simplicidade e facilidade de adoção (como a existência ou não de propriedade intelectual cobrindo o algoritmo).
Agilidade criptográfica
Um paradigma importante no projeto de protocolos de segurança da informação é a agilidade criptográfica. Ela determina que os protocolos devem suportar múltiplas primitivas criptográficas, permitindo que os sistemas que implementam um padrão específico escolham quais combinações de primitivas são adequadas. O objetivo principal da agilidade criptográfica é permitir a rápida adaptação de primitivos criptográficos vulneráveis e algoritmos robustos sem fazer alterações perturbadoras na infraestrutura do sistema. Este paradigma prova ser crucial no projeto de criptografia pós-quântica e requer pelo menos automação parcial. Por exemplo, uma empresa média possui mais de centenas de milhares de certificados e chaves — e esse número continua a crescer. Com tantos certificados, as organizações devem implantar métodos automatizados para substituir rapidamente esses certificados caso a criptografia na qual dependem se torne insegura.
Uma excelente primeira medida para as organizações é começar a implementar criptografia híbrida, na qual algoritmos de chave pública quântica segura são usados junto com algoritmos de chave pública tradicionais (como RSA ou curvas elípticas) para que a solução não seja menos segura do que os tradicionais criptografia.
Olhando para o futuro
A computação quântica está em transição de uma possibilidade teórica para uma realidade prática, exemplificada pelos recentes desenvolvimentos em processadores e sistemas quânticos. Consequentemente, o campo da segurança cibernética terá de se adaptar rapidamente a estas mudanças.
