Глибокий аналіз: Чи не надто ми боїмося криптографічних загроз безпеці, які становлять квантові комп'ютери?

Хронологія загроз квантових комп’ютерів часто перебільшена, а ризик вразливостей програм у короткостроковій перспективі все ще значно вищий, ніж у квантових атак. Блокчейнам не потрібно поспішати з розгортанням постквантових підписів, але планування слід розпочати негайно. Ця стаття взята на основі статті, написаної Джастіном Талером, зібраною, компільованою та написаною компанією Vernacular Blockchain. (Резюме: Рауль Паль попереджає: Якщо ФРС не надрукує гроші на QE, «ліквідність буде дефіцитом» або повториться фінансова криза 2018 року на ринку репо) (Довідкове доповнення: США опублікують вересневий звіт про неаграрну зарплату наступного тижня, а ринок уважно стежить за впливом зниження процентної ставки ФРС (Fed)) Хронологія квантових комп’ютерів, пов’язаних із криптографією, часто перебільшується — що призводить до потреби термінового та комплексного переходу до постквантової криптографії. Але ці дзвінки часто ігнорують витрати та ризики передчасної міграції і ігнорують кардинально різні профілі ризиків між різними криптографічними примітивами: . Постквантове шифрування потребує негайного впровадження, незважаючи на витрати: «Спочатку отримай, потім розшифруй» (Врожай-зараз-розшифровуйте-пізніше, атаки HNDL) вже розпочалися, адже чутливі дані, зашифровані сьогодні, залишаться цінними, коли з’являться квантові комп’ютери, навіть якщо це буде через десятиліття. Накладні витрати продуктивності та ризики впровадження після квантового шифрування реальні, але атаки HNDL не залишають вибору для даних, які потребують довгострокової конфіденційності. Постквантові сигнатури стикаються з іншими міркуваннями. Вони менш вразливі до атак HNDL, а їхня вартість і ризики ( більшому розмірі, накладних витратах продуктивності, незрілості впровадження та багових ) вимагають обдуманого розгляду, а не негайної міграції. Ці відмінності мають вирішальне значення. Хибні уявлення можуть спотворювати аналіз співвідношення витрат і вигод, змушуючи команди ігнорувати більш серйозні ризики безпеки — наприклад, помилки програмування (bugs). Справжній виклик успішного переходу до постквантової криптографії полягає у поєднанні терміновості з реальними загрозами. Нижче я проллю світло на поширені хибні уявлення про загрози квантової мови для криптографії — охоплюючи криптографію, підписи та докази з нульовим знанням — з особливим акцентом на їхній вплив на блокчейн. Як просувається наш графік? Незважаючи на гучні заяви, ймовірність того, що квантовий комп’ютер, пов’язаний із криптографією, (CRQC) у 2020-х роках надзвичайно низька. Під «квантовими комп’ютерами, пов’язаними з криптографією» я маю на увазі відмовостійкий, виправляючий помилки квантовий комп’ютер, здатний запускати алгоритм Шора на масштабі, достатньому для атаки на криптографію еліптичних кривих або RSA у розумний часовий проміжок (, наприклад, щоб зламати атаки {secp}256{k}1 або {RSA-2048} на криптографію з еліптичними кривими або RSA протягом максимум місяця безперервних обчислень. Виходячи з будь-якого розумного тлумачення публічних етапів і оцінок ресурсів, ми все ще далекі від криптографічно пов’язаних квантових комп’ютерів. Компанії іноді стверджують, що CRQC може з’явитися до 2030 року або задовго до 2035 року, але публічно відомі події не підтверджують ці твердження. Для контексту: у всіх сучасних архітектурах — ув’язнених іонах, надпровідних кубітах і нейтральних атомних системах — сучасні квантові обчислювальні платформи не наближаються до того, щоб запустити сотні тисяч або мільйони фізичних кубітів, необхідних для атаки алгоритмом Шор {RSA-2048} або {secp}256{k}1 ( залежно від рівня помилок і схеми корекції помилок ). Обмежувальними факторами є не лише кількість кубітів, а й точність затворів, зв’язність кубітів і глибина безперервних схем корекції помилок, необхідних для роботи глибоких квантових алгоритмів. Хоча деякі системи зараз мають понад 1000 фізичних кубітів, сама початкова кількість кубітів є оманливою: ці системи не мають належної зв’язності та точності елементів елементів для криптографічних розрахунків. Сучасні системи близькі до фізичного рівня помилок, при якому застосовується квантова корекція помилок, але ніхто не довів, що більше ніж кілька логічних кубітів мають безперервну глибину кола корекції помилок… Не кажучи вже про тисячі високоякісних, глибоколінійних, відмовостійких логічних кубітів, необхідних для запуску алгоритму Шор. Розрив між доведенням принципової можливості квантової корекції помилок і масштабом, необхідним для досягнення криптоаналізу, залишається значним. Коротко кажучи: якщо кількість кубітів і точність не зростуть на кілька порядків, квантові комп’ютери, пов’язані з криптографією, все ще залишаються недосяжними. Однак корпоративні прес-релізи та медіа-висвітлення можуть бути заплутаними. Ось деякі поширені джерела непорозумінь і плутанини, зокрема: демонстрації, які заявляють про «квантову перевагу», наразі спрямовані на завдання, створені людьми. Ці завдання були обрані не через практичність, а тому, що вони могли працювати на вже існуючому обладнанні, водночас демонструючи значне квантове прискорення — факт, який часто розмивається в оголошеннях. Компанія стверджує, що досягла тисяч фізичних кубітів. Але йдеться про машини для квантового відпалу, а не про машини з моделюванням затворів, необхідних для запуску алгоритму Шора з метою атаки криптографії з відкритим ключем. Компанія вільно використовує термін «логічні кубіти». Фізичні кубіти шумні. Як уже згадувалося, квантові алгоритми потребують логічних кубітів; Алгоритм Шор потребує тисяч. За допомогою квантової корекції помилок логічний кубіт можна реалізувати з багатьма фізичними кубітами — зазвичай сотнями до тисяч, залежно від рівня похибки. Але деякі компанії продовжили цей термін до невпізнання. Наприклад, нещодавнє оголошення стверджує, що потрібно використовувати відстань у 2 ярди та реалізувати логічний кубіт лише з двома фізичними кубітами. Це абсурд: відстань у 2 ярди лише виявляє помилки, а не виправляє їх. Справді стійкі до відмов логічні кубіти для криптоаналізу потребують сотень або тисяч фізичних кубітів кожен, а не двох. Загалом, багато дорожніх карт квантових обчислень використовують термін «логічні кубіти» для позначення кубітів, які підтримують лише операції Кліффорда. Ці операції можна ефективно виконувати для класичних симуляцій і тому недостатні для запуску алгоритму Шора, який вимагає тисяч виправлених помилок Т-елементів ( або більш загальних не-кліффордових ). Навіть якщо одна з дорожніх карт має на меті «досягти тисяч логічних кубітів у рік X», це не означає, що компанія очікує запустити алгоритм Шор для розкриття класичної криптографії в тому ж році X. Ці практики суттєво спотворили суспільне сприйняття того, наскільки ми близькі до криптографічно пов’язаних квантових комп’ютерів, навіть серед досвідчених спостерігачів. Втім, деякі експерти дуже раді прогресу. Наприклад, нещодавно Скотт Ааронсон написав, що з огляду на «нинішню приголомшливу швидкість розробки апаратного забезпечення», я тепер вважаю, що реалістична ймовірність того, що до наступних президентських виборів у США з’явиться відмовостійкий квантовий комп’ютер із алгоритмом Шора. Але пізніше Ааронсон уточнив, що його твердження не стосується квантових комп’ютерів, пов’язаних із криптографією: він стверджує, що навіть якщо повністю відмовостійкий алгоритм Шора виконує факторинг 15 = 3 imes 5, це вважається реалізацією — і цей розрахунок можна виконати набагато швидше за допомогою олівця та паперу. Стандартом досі є виконання алгоритму Шора в малому масштабі, а не на криптографічному масштабі, оскільки попередні експерименти з факторингом 15 на квантових комп’ютерах використовували спрощену схему замість повного, відмовостійкого алгоритму Шора. І є причина, чому ці експерименти завжди зменшували число 15: арифметичні обчислення для модуля 15 легкі, а зменшити трохи більші числа, як 21, набагато складніше. Тому квантові експерименти, які стверджують, що розбивають 21, часто використовують додаткові підказки або скорочення. Коротко кажучи, очікування квантового комп’ютера, пов’язаного з криптографією, здатного зламати {RSA-2048} або {secp}256{k}1 у найближчі 5 років — це критично важливо для реальної криптографії…