Análisis en profundidad: ¿Tenemos demasiado miedo de las amenazas criptográficas a la seguridad que suponen los ordenadores cuánticos?

La cronología de las amenazas de los ordenadores cuánticos suele exagerarse, y el riesgo de vulnerabilidades en los programas sigue siendo mucho mayor que el de los ataques cuánticos a corto plazo. Las blockchains no necesitan apresurarse para desplegar firmas post-cuánticas, pero la planificación debe comenzar de inmediato. Este artículo se basa en un artículo escrito por Justin Thaler, compilado, compilado y escrito por Vernacular Blockchain. (Resumen: Raoul Pal advierte: Si la Fed no imprime dinero para la QE, “la liquidez será escasez”, o una repetición de la crisis financiera de 2018 en el mercado de repo) (Suplemento de contexto: Estados Unidos publicará su informe de nóminas no agrícolas de septiembre la próxima semana, y el mercado sigue de cerca el impacto de la reducción de tipos de interés de la Fed en (Fed)) La cronología de los ordenadores cuánticos relacionados con la criptografía suele exagerarse, lo que lleva a la demanda de una transición urgente y completa hacia la criptografía post-cuántica. Pero estas llamadas a menudo ignoran los costes y riesgos de la migración prematura y los perfiles de riesgo tan diferentes entre distintas primitivas criptográficas: . El cifrado post-cuántico requiere un despliegue inmediato a pesar de sus costes: “Consíguelo primero, descifra después” (Harvest-Now-Decrypt-Later, HNDL) ataques ya están en marcha, ya que los datos sensibles cifrados hoy seguirán siendo valiosos cuando lleguen los ordenadores cuánticos, aunque sea dentro de décadas. La sobrecarga de rendimiento y los riesgos de implementación del cifrado post-cuántico son reales, pero los ataques HNDL no dejan opción para datos que requieren confidencialidad a largo plazo. Las firmas post-cuánticas enfrentan diferentes consideraciones. Son menos vulnerables a ataques HNDL, y su coste y riesgo ( mayor tamaño, sobrecarga de rendimiento, implementación inmadura y ) de bugs requieren una consideración reflexiva en lugar de migración inmediata. Estas distinciones son cruciales. Los conceptos erróneos pueden distorsionar el análisis coste-beneficio, haciendo que los equipos pasen por alto riesgos de seguridad más evidentes, como errores de programación (bugs). El verdadero desafío para hacer una transición exitosa a la criptografía post-cuántica reside en emparejar la urgencia con las amenazas reales. A continuación, arrojaré luz sobre los conceptos erróneos comunes sobre las amenazas de la criptografía cuántica —que abarcan criptografía, firmas y pruebas de conocimiento cero— con especial atención a su impacto en blockchain. ¿Cómo va nuestra línea temporal? A pesar de las afirmaciones de alto perfil, la probabilidad de que se (CRQC) un ordenador cuántico relacionado con la criptografía en la década de 2020 es extremadamente baja. Por “ordenadores cuánticos relacionados con la criptografía” me refiero a un ordenador cuántico tolerante a fallos y corrector de errores, capaz de ejecutar el algoritmo Shor a una escala suficiente para atacar la criptografía de curvas elípticas o RSA en un plazo razonable ( por ejemplo, para descifrar ataques {secp}256{k}1 o {RSA-2048} contra criptografía de curvas elípticas o RSA en un máximo de un mes de cálculo continuo. Según cualquier interpretación razonable de hitos públicos y estimaciones de recursos, seguimos lejos de ser ordenadores cuánticos relacionados criptográficamente. A veces las empresas afirman que la CRQC podría aparecer antes de 2030 o mucho antes de 2035, pero los desarrollos de conocimiento público no respaldan estas afirmaciones. Para contextualizar, en todas las arquitecturas actuales —iones encarcelados, qubits superconductores y sistemas atómicos neutrales— las plataformas actuales de computación cuántica no se acercan a ejecutar los cientos de miles o millones de qubits físicos necesarios para ejecutar el ataque del algoritmo Shor {RSA-2048} o {secp}256{k}1 ( dependiendo de la tasa de error y del esquema de corrección de errores ). Los factores limitantes no son solo el número de qubits, sino también la fidelidad de las puertas, la conectividad de los qubits y la profundidad de los circuitos de corrección de errores continuos necesarios para ejecutar algoritmos cuánticos profundos. Aunque algunos sistemas ahora tienen más de 1.000 qubits físicos, el recuento original de qubits en sí mismo es engañoso: estos sistemas carecen de la conectividad y fidelidad de puertas de los qubits necesarias para cálculos relacionados con la criptografía. Los sistemas recientes están cerca de la tasa física de error a la que entra en juego la corrección cuántica de errores, pero nadie ha demostrado que más de un puñado de qubits lógicos tengan profundidad continua en un circuito de corrección de errores… Sin mencionar los miles de qubits lógicos de alta fidelidad, circuitos profundos y tolerantes a fallos necesarios para ejecutar realmente el algoritmo de Shor. La diferencia entre demostrar que la corrección cuántica de errores es factible en principio y la escala necesaria para lograr el criptoanálisis sigue siendo significativa. En resumen: a menos que tanto el número de qubits como la fidelidad aumenten varios órdenes de magnitud, los ordenadores cuánticos relacionados con la criptografía siguen estando fuera de alcance. Sin embargo, los comunicados de prensa corporativos y la cobertura mediática pueden resultar confusos. Aquí hay algunas fuentes comunes de malentendidos y confusión, incluyendo: Demos que afirma “ventaja cuántica”, actualmente dirigida a tareas diseñadas por humanos. Estas tareas no se eligieron por su practicidad, sino porque podían funcionar en hardware existente mientras parecían mostrar una gran aceleración cuántica, un hecho que a menudo se difumina en los anuncios. La empresa afirma haber logrado miles de qubits físicos. Pero esto se refiere a máquinas de recocido cuántico, no a máquinas de modelos de puertas necesarias para ejecutar el algoritmo de Shor y atacar criptografía de clave pública. La empresa utiliza libremente el término “qubits lógicos”. Los qubits físicos son ruidosos. Como se mencionó antes, los algoritmos cuánticos requieren qubits lógicos; El algoritmo Shor requiere miles. Con la corrección cuántica de errores, un qubit lógico puede implementarse con muchos qubits físicos, normalmente de cientos a miles, dependiendo de la tasa de error. Pero algunas empresas han ampliado el mandato hasta quedar irreconocibles. Por ejemplo, un anuncio reciente afirma usar una distancia de 2 yardas e implementar un qubit lógico con solo dos qubits físicos. Esto es ridículo: una distancia de 2 yardas solo detecta errores, no los corrige. Los qubits lógicos verdaderamente tolerantes a fallos para criptoanálisis requieren cientos o miles de qubits físicos cada uno, no dos. De forma más general, muchas hojas de ruta de computación cuántica utilizan el término “qubits lógicos” para referirse a qubits que solo soportan operaciones de Clifford. Estas operaciones pueden realizarse eficientemente para simulaciones clásicas y, por tanto, no son suficientes para ejecutar el algoritmo de Shor, que requiere miles de puertas en T corregidas por error ( o ) de puertas no Clifford más generales. Incluso si una de las hojas de ruta busca “alcanzar miles de qubits lógicos en el año X”, eso no significa que la empresa espere ejecutar el algoritmo Shor para descifrar la criptografía clásica en el mismo año X. Estas prácticas han distorsionado gravemente la percepción pública de lo cerca que estamos de ordenadores cuánticos relacionados criptográficamente, incluso entre observadores establecidos. Dicho esto, algunos expertos están realmente entusiasmados con el progreso. Por ejemplo, Scott Aaronson escribió recientemente que, dada la “velocidad actual y asombrosa del desarrollo del hardware”, ahora creo que es una posibilidad realista que tengamos un ordenador cuántico tolerante a fallos ejecutando el algoritmo Shor antes de las próximas elecciones presidenciales estadounidenses. Pero Aaronson aclaró más tarde que su afirmación no se refiere a ordenadores cuánticos relacionados con la criptografía: argumenta que incluso si un algoritmo Shor totalmente tolerante a fallos ejecuta una factorización de 15 = 3 imes 5, cuenta como una implementación, y este cálculo puede hacerse mucho más rápido con lápiz y papel. El estándar sigue siendo ejecutar el algoritmo Shor a pequeña escala, no relacionado con la criptografía, ya que experimentos previos con factorización 15 en ordenadores cuánticos usaron circuitos simplificados en lugar de un algoritmo Shor completo y tolerante a fallos. Y hay una razón por la que estos experimentos siempre reducían el número 15: los cálculos aritméticos para módulo 15 son fáciles, mientras que reducir números ligeramente mayores como 21 es mucho más difícil. Por lo tanto, los experimentos cuánticos que afirman descomponer el 21 suelen depender de pistas o atajos adicionales. En resumen, la expectativa de un ordenador cuántico relacionado con la criptografía capaz de descifrar {RSA-2048} o {secp}256{k}1 en los próximos 5 años —esto es crucial para la criptografía real…