Analyse approfondie : Avons-nous trop peur des menaces cryptographiques à la sécurité posées par les ordinateurs quantiques ?

Le calendrier des menaces des ordinateurs quantiques est souvent exagéré, et le risque de vulnérabilités de programme reste bien plus élevé que celui des attaques quantiques à court terme. Les blockchains n’ont pas besoin de se précipiter pour déployer des signatures post-quantiques, mais la planification doit commencer immédiatement. Cet article est dérivé d’un article écrit par Justin Thaler, compilé, compilé et rédigé par Vernacular Blockchain. (Résumé : Raoul Pal avertit : Si la Fed n’imprime pas d’argent pour le QE, « la liquidité sera une pénurie », ou une répétition de la crise financière de 2018 sur le marché des repos) (Supplément de contexte : Les États-Unis publieront leur rapport sur la masse salariale non agricole de septembre la semaine prochaine, et le marché suit de près l’impact de la baisse (Fed) des taux d’intérêt de la Fed) Le calendrier des ordinateurs quantiques liés à la cryptographie est souvent exagéré – ce qui conduit à la demande d’une transition urgente et complète vers la cryptographie post-quantique. Mais ces appels ignorent souvent les coûts et les risques d’une migration prématurée et ignorent les profils de risque très différents entre les différentes primitives cryptographiques : . Le chiffrement post-quantique nécessite un déploiement immédiat malgré ses coûts : « Obtenez-le d’abord, déchiffrez ensuite » (Récolte-Maintenant-Déchiffre-Plus tard, les attaques de HNDL) sont déjà en cours, car les données sensibles chiffrées aujourd’hui resteront précieuses lorsque les ordinateurs quantiques arriveront, même si cela se produit dans plusieurs décennies. La surcharge de performance et les risques d’implémentation liés au chiffrement post-quantique sont réels, mais les attaques HNDL ne laissent pas d’autre choix pour des données nécessitant une confidentialité à long terme. Les signatures post-quantique font face à des considérations différentes. Ils sont moins vulnérables aux attaques HNDL, et leur coût ainsi que leur risque ( une taille plus importante, une surcharge de performance, une implémentation immature et des ) de bugs nécessitent une réflexion réfléchie plutôt qu’une migration immédiate. Ces distinctions sont cruciales. Les idées fausses peuvent fausser l’analyse coûts-bénéfices, poussant les équipes à négliger des risques de sécurité plus importants — comme des erreurs de programmation (bugs). Le véritable défi pour réussir la transition vers la cryptographie post-quantique réside dans la correspondance de l’urgence avec les menaces réelles. Ci-dessous, je vais éclairer les idées reçues courantes concernant les menaces quantique pour la cryptographie — couvrant la cryptographie, les signatures et les preuves à connaissance nulle — en mettant particulièrement l’accent sur leur impact sur la blockchain. Comment se passe notre calendrier ? Malgré les affirmations très médiatisées, la probabilité d’un (CRQC) informatique quantique liée à la cryptographie dans les années 2020 est extrêmement faible. Par « ordinateurs quantiques liés à la cryptographie », j’entends un ordinateur quantique tolérant aux pannes et corrigeant les erreurs, capable d’exécuter l’algorithme Shor à une échelle suffisante pour attaquer la cryptographie à courbes elliptiques ou RSA dans un délai raisonnable ( par exemple, pour déchiffrer les attaques {secp}256{k}1 ou {RSA-2048} sur la cryptographie à courbes elliptiques ou RSA dans un délai maximum d’un mois de calcul continu. D’après toute interprétation raisonnable des jalons publics et des estimations de ressources, nous sommes encore loin d’être des ordinateurs quantiques liés à la cryptographie. Les entreprises affirment parfois que la CRQC pourrait apparaître avant 2030 ou bien avant 2035, mais des développements connus publiquement ne confirment pas ces affirmations. Pour contexte, dans toutes les architectures actuelles – ions emprisonnés, qubits supraconducteurs et systèmes atomiques neutres – les plateformes de calcul quantique actuelles ne peuvent pas faire fonctionner les centaines de milliers voire des millions de qubits physiques nécessaires pour exécuter l’attaque de l’algorithme Shor {RSA-2048} ou {secp}256{k}1 ( selon le taux d’erreur et le schéma de correction d’erreur ). Les facteurs limitants ne sont pas seulement le nombre de qubits, mais aussi la fidélité des portes, la connectivité des qubits et la profondeur des circuits de correction d’erreurs continues nécessaires pour exécuter des algorithmes quantiques profonds. Bien que certains systèmes disposent désormais de plus de 1 000 qubits physiques, le comptage original des qubits lui-même est trompeur : ces systèmes ne disposent pas de la connectivité et de la fidélité des portes requises pour des calculs liés à la cryptographie. Les systèmes récents sont proches du taux d’erreur physique auquel la correction quantique entre en jeu, mais personne n’a prouvé que plus d’une poignée de qubits logiques possèdent une profondeur continue de circuit de correction d’erreurs… Sans parler des milliers de qubits logiques haute fidélité, en circuits profonds et tolérants aux pannes nécessaires pour réellement exécuter l’algorithme de Shor. L’écart entre la preuve que la correction quantique d’erreur est réalisable en principe et l’échelle nécessaire pour réaliser la cryptanalyse reste significatif. En résumé : à moins que le nombre de qubits et la fidélité n’augmentent de plusieurs ordres de grandeur, les ordinateurs quantiques liés à la cryptographie restent hors de portée. Cependant, les communiqués de presse d’entreprise et la couverture médiatique peuvent être déroutants. Voici quelques sources courantes de malentendus et de confusion, notamment : les Demos prétendant « l’avantage quantique », ciblant actuellement des tâches conçues par l’homme. Ces tâches ont été choisies non pas pour leur praticité, mais parce qu’elles pouvaient fonctionner sur du matériel existant tout en semblant présenter une grande accélération quantique – un fait souvent brouillé lors des annonces. L’entreprise affirme avoir atteint des milliers de qubits physiques. Mais cela concerne les machines de recuit quantique, pas les machines à modèles de portes nécessaires pour exécuter l’algorithme de Shor afin d’attaquer la cryptographie à clé publique. L’entreprise utilise librement le terme « qubits logiques ». Les qubits physiques sont bruyants. Comme mentionné précédemment, les algorithmes quantiques nécessitent des qubits logiques ; L’algorithme Shor en nécessite des milliers. Avec la correction quantique d’erreurs, un qubit logique peut être implémenté avec de nombreux qubits physiques – généralement des centaines à des milliers, selon le taux d’erreur. Mais certaines entreprises ont prolongé le mandat au point d’être méconnaissable. Par exemple, une annonce récente affirme utiliser une distance de 2 yards et implémenter un qubit logique avec seulement deux qubits physiques. C’est ridicule : une distance de 2 yards ne détecte que les erreurs, pas les corrige. Les qubits logiques véritablement tolérants aux pannes pour la cryptanalyse nécessitent des centaines voire des milliers de qubits physiques chacun, et non deux. Plus généralement, de nombreuses feuilles de route de l’informatique quantique utilisent le terme « qubits logiques » pour désigner les qubits qui ne supportent que les opérations Clifford. Ces opérations peuvent être effectuées efficacement pour des simulations classiques et ne suffisent donc pas à exécuter l’algorithme de Shor, qui nécessite des milliers de portes en T corrigées ( ou des ) de portes non Clifford plus générales. Même si l’une des feuilles de route vise à « atteindre des milliers de qubits logiques en l’année X », cela ne signifie pas que l’entreprise prévoit d’utiliser l’algorithme Shor pour casser la cryptographie classique la même année X. Ces pratiques ont gravement déformé la perception publique de notre proximité avec les ordinateurs quantiques liés à la cryptographie, même parmi les observateurs établis. Cela dit, certains experts sont vraiment enthousiastes quant à ces progrès. Par exemple, Scott Aaronson a récemment écrit qu’étant donné la « vitesse actuelle stupéfiante du développement matériel », je crois désormais qu’il est réaliste que nous ayons un ordinateur quantique tolérant aux pannes exécutant l’algorithme Shor avant la prochaine élection présidentielle américaine. Mais Aaronson a ensuite précisé que sa déclaration ne désigne pas les ordinateurs quantiques liés à la cryptographie : il soutient que même si un algorithme Shor totalement tolérant aux pannes exécute une factorisation de 15 = 3 imes 5, cela compte comme une implémentation – et ce calcul peut être fait beaucoup plus rapidement avec du crayon et du papier. La norme reste d’exécuter l’algorithme Shor à petite échelle, et non à l’échelle de la cryptographie, car les expériences précédentes de factoring 15 sur ordinateurs quantiques utilisaient des circuits simplifiés au lieu d’un algorithme Shor complet tolérant aux pannes. Et il y a une raison pour laquelle ces expériences ont toujours pris en compte le nombre 15 : les calculs arithmétiques pour modulo 15 sont faciles, tandis que défaire des nombres légèrement plus grands comme 21 est beaucoup plus difficile. Ainsi, les expériences quantiques prétendant décomposer le 21 reposent souvent sur des indices ou raccourcis supplémentaires. En résumé, l’attente d’un ordinateur quantique lié à la cryptographie capable de craquer {RSA-2048} ou {secp}256{k}1 dans les 5 prochaines années – c’est crucial pour la cryptographie réelle…