Análise aprofundada: Temos demasiado medo das ameaças criptográficas à segurança colocadas pelos computadores quânticos?

A linha temporal das ameaças dos computadores quânticos é frequentemente exagerada, e o risco de vulnerabilidades de programas ainda é muito maior do que o de ataques quânticos a curto prazo. As blockchains não precisam de se apressar a implementar assinaturas pós-quânticas, mas o planeamento deve começar imediatamente. Este artigo é derivado de um artigo escrito por Justin Thaler, compilado, compilado e escrito pela Vernacular Blockchain. (Resumo: Raoul Pal alerta: Se a Fed não imprimir dinheiro para QE, “a liquidez será escassa”, ou uma repetição da crise financeira de 2018 no mercado de recompras) (Suplemento de contexto: Os EUA vão divulgar o seu relatório de salários não agrícolas de setembro na próxima semana, e o mercado acompanha de perto o impacto do corte (Fed) das taxas de juro do Fed) A linha temporal dos computadores quânticos relacionados com criptografia é frequentemente exagerada – levando à exigência de uma transição urgente e abrangente para a criptografia pós-quântica. Mas estas decisões muitas vezes ignoram os custos e riscos da migração prematura e ignoram os perfis de risco muito diferentes entre diferentes primitivas criptográficas: . A encriptação pós-quântica requer uma implementação imediata apesar dos seus custos: “Obtenha primeiro, desencripta depois” (Harvest-Now-Decrypt-Later, HNDL) ataques já estão em curso, pois dados sensíveis encriptados hoje continuarão a ser valiosos quando os computadores quânticos chegarem, mesmo que seja daqui a décadas. A sobrecarga de desempenho e os riscos de implementação da encriptação pós-quântica são reais, mas os ataques HNDL não deixam escolha para dados que exijam confidencialidade a longo prazo. As assinaturas pós-quânticas enfrentam considerações diferentes. São menos vulneráveis a ataques HNDL, e o seu custo e risco ( maior dimensão, sobrecarga de desempenho, implementação imatura e ) de bugs requerem uma consideração cuidadosa em vez de migração imediata. Estas distinções são cruciais. Equívocos podem distorcer a análise custo-benefício, levando as equipas a ignorar riscos de segurança mais evidentes — como erros de programação (bugs). O verdadeiro desafio na transição bem-sucedida para a criptografia pós-quântica reside em alinhar a urgência com ameaças reais. A seguir, irei esclarecer os equívocos comuns sobre as ameaças da quântica à criptografia — abrangendo criptografia, assinaturas e provas de conhecimento zero — com especial foco no seu impacto na blockchain. Como está a correr a nossa linha temporal? Apesar das alegações de grande destaque, a probabilidade de um (CRQC) de computador quântico relacionado com criptografia na década de 2020 é extremamente baixa. Por “computadores quânticos relacionados com criptografia” refiro-me a um computador quântico tolerante a falhas e corretor de erros, capaz de executar o algoritmo Shor a uma escala suficiente para atacar criptografia de curvas elípticas ou RSA num prazo razoável ( por exemplo, para decifrar ataques {secp}256{k}1 ou {RSA-2048} à criptografia de curvas elípticas ou RSA num máximo de um mês de cálculo contínuo. Com base em qualquer interpretação razoável de marcos públicos e estimativas de recursos, ainda estamos longe de computadores quânticos relacionados criptograficamente. As empresas por vezes afirmam que a CRQC poderia surgir antes de 2030 ou muito antes de 2035, mas desenvolvimentos publicamente conhecidos não sustentam estas alegações. Para contextualizar, em todas as arquiteturas atuais – iões aprisionados, qubits supercondutores e sistemas atómicos neutros – as plataformas atuais de computação quântica não chegam nem perto de executar as centenas de milhares a milhões de qubits físicos necessários para executar o ataque do algoritmo Shor {RSA-2048} ou {secp}256{k}1 ( dependendo da taxa de erro e do esquema de correção de erros ). Os fatores limitantes não são apenas o número de qubits, mas também a fidelidade das portas, a conectividade dos qubits e a profundidade dos circuitos contínuos de correção de erros necessários para executar algoritmos quânticos profundos. Embora alguns sistemas tenham agora mais de 1.000 qubits físicos, a contagem original de qubits em si é enganadora: estes sistemas não possuem a conectividade de qubits e a fidelidade de portas necessárias para cálculos relacionados com criptografia. Sistemas recentes aproximam-se da taxa física de erro a que a correção quântica de erros entra em ação, mas ninguém provou que mais do que um punhado de qubits lógicos possuja profundidade contínua de correção de erros… Sem falar nos milhares de qubits lógicos de alta fidelidade, circuito profundo e tolerantes a falhas necessários para realmente executar o algoritmo de Shor. A diferença entre provar que a correção quântica de erros é viável em princípio e a escala necessária para alcançar a criptoanálise continua significativa. Resumindo: a menos que tanto o número de qubits como a fidelidade aumentem várias ordens de grandeza, os computadores quânticos relacionados com criptografia continuam fora de alcance. No entanto, os comunicados de imprensa corporativos e a cobertura mediática podem ser confusos. Aqui estão algumas fontes comuns de equívocos e confusão, incluindo: Demos que alegam “vantagem quântica”, atualmente a visar tarefas desenhadas por humanos. Estas tarefas foram escolhidas não pela sua praticidade, mas porque podiam correr em hardware existente enquanto pareciam exibir grande aceleração quântica – um facto que muitas vezes é desfocado nos anúncios. A empresa afirma ter alcançado milhares de qubits físicos. Mas isto refere-se às máquinas de recozimento quântico, não às máquinas de modelos de portas necessárias para executar o algoritmo de Shor para atacar a criptografia de chave pública. A empresa utiliza livremente o termo “qubits lógicos”. Os qubits físicos são ruidosos. Como mencionado anteriormente, algoritmos quânticos requerem qubits lógicos; O algoritmo Shor requer milhares. Com a correção quântica de erros, um qubit lógico pode ser implementado com muitos qubits físicos – geralmente centenas a milhares, dependendo da taxa de erro. Mas algumas empresas prolongaram o mandato para além do reconhecimento. Por exemplo, um anúncio recente afirma usar uma distância de 2 jardas e implementar um qubit lógico com apenas dois qubits físicos. Isto é ridículo: uma distância de 2 jardas só deteta erros, não corrige. Qubits lógicos verdadeiramente tolerantes a falhas para criptoanálise requerem centenas a milhares de qubits físicos cada, não dois. De forma mais geral, muitos roadmaps de computação quântica utilizam o termo “qubits lógicos” para se referirem a qubits que apenas suportam operações Clifford. Estas operações podem ser realizadas de forma eficiente para simulações clássicas e, por isso, não são suficientes para executar o algoritmo de Shor, que requer milhares de portas T corrigidas por erro ( ou ) de portas mais gerais não-Clifford. Mesmo que um dos roadmaps pretenda “alcançar milhares de qubits lógicos no ano X”, isso não significa que a empresa espere executar o algoritmo Shor para decifrar a criptografia clássica no mesmo ano X. Estas práticas distorceram gravemente a perceção pública sobre a proximidade que temos de computadores quânticos relacionados criptograficamente, mesmo entre observadores estabelecidos. Dito isto, alguns especialistas estão realmente entusiasmados com o progresso. Por exemplo, Scott Aaronson escreveu recentemente que, dada a “velocidade atual e impressionante do desenvolvimento de hardware”, acredito agora que é uma possibilidade realista termos um computador quântico tolerante a falhas a correr o algoritmo Shor antes das próximas eleições presidenciais dos EUA. Mas Aaronson esclareceu mais tarde que a sua afirmação não se refere a computadores quânticos relacionados com criptografia: argumenta que, mesmo que um algoritmo Shor totalmente tolerante a falhas execute uma fatoração de 15 = 3 imes 5, conta como uma implementação – e este cálculo pode ser feito muito mais rapidamente com lápis e papel. O padrão continua a ser executar o algoritmo Shor numa pequena escala, não numa escala relacionada com criptografia, pois experiências anteriores com fatoração 15 em computadores quânticos usaram circuitos simplificados em vez de um algoritmo Shor completo e tolerante a falhas. E há uma razão para estas experiências sempre considerarem o número 15: os cálculos aritméticos para módulo 15 são simples, enquanto fatorar números ligeiramente maiores como 21 é muito mais difícil. Por isso, experiências quânticas que afirmam quebrar o 21 frequentemente dependem de pistas ou atalhos adicionais. Em suma, a expectativa de um computador quântico relacionado com criptografia capaz de decifrar {RSA-2048} ou {secp}256{k}1 nos próximos 5 anos – isto é crucial para a criptografia real…