Làm thế nào chúng ta có thể biết một cách đáng tin cậy nếu một kích thước khóa vẫn an toàn để sử dụng khi các máy tính lượng tử mới được tạo ra?

Tôi đã nghe nói rằng máy tính lượng tử gây ra mối đe dọa lớn đối với 1024 bit và thậm chí có thể là mật mã khóa công khai RSA 2048 bit. Tuy nhiên, trong tương lai, các khóa kích thước lớn hơn có thể sẽ gặp rủi ro ở điểm này hay điểm khác, vì các máy tính lượng tử mới hơn, nhanh hơn được tạo ra, cho rất nhiều thuật toán (nếu không, tất cả). Làm thế nào tôi có thể biết một cách đáng tin cậy nếu một kích thước khóa, hoặc thậm chí một thuật toán tự nó là an toàn và an toàn để sử dụng tại thời điểm hiện tại? Có tài nguyên / trang web đáng tin cậy nào tính toán các kích thước chính hiện đang gặp rủi ro, dựa trên tốc độ của các máy tính lượng tử mới nhất không? Hoặc có thể, các thuật toán mới sẽ được tạo ra để cố gắng ngăn máy tính lượng tử có thể bẻ khóa chúng dễ dàng? Mục tiêu ở đây là giữ cho UX tích cực bằng cách không làm cho sản phẩm bị chậm do mã hóa, nhưng các ứng dụng chậm hơn đáng để đảm bảo việc truyền dữ liệu an toàn.

Chúng tôi (tức là tình trạng nghiên cứu hiện tại) chỉ không biết, nhưng chúng tôi có thể đoán.

$n$$O(2^{n/2})$$O(2^n)$

Vì vậy, PQC cố gắng tạo ra mật mã dựa trên các phương pháp mà hiện tại chúng tôi nghĩ rằng điện toán lượng tử cung cấp ít lợi thế, chẳng hạn như tiền điện tử dựa trên mạng tinh thể hoặc mã hóa. Nhưng chúng ta không thể biết điều này chắc chắn, giống như chúng ta không biết liệu có thuật toán cổ điển nào phá vỡ tiền điện tử 'cấp thương mại' hiện tại hay không.

Lưu ý rằng đối với RSA, việc tăng kích thước khóa đơn giản là không hoạt động, vì Shor có thể tính đến thời gian của một đa thức bậc thấp để bẻ khóa. Nói cách khác, một khóa đủ lớn để Shor thất bại, là một khóa đủ lớn để mọi hoạt động giải mã / giải mã thông thường là không thể.

Vì vậy, chúng tôi thực sự cần thay thế. May mắn thay, tôi nghĩ rằng PQC đã bắt đầu đúng giờ và chúng tôi sẽ có được sự thay thế tốt cho RSA (và những người khác!) Khi các máy thực sự mạnh mẽ có khả năng chạy Shor và Grover thực sự xuất hiện.

Có tài nguyên / trang web đáng tin cậy nào tính toán các kích thước chính hiện đang gặp rủi ro, dựa trên tốc độ của các máy tính lượng tử mới nhất không?

Như các câu trả lời khác đã truyền đạt, nếu một thuật toán nhất định dễ bị tấn công bởi các máy tính lượng tử, thì đó thực sự không phải là câu hỏi về độ dài khóa lớn hơn; sẽ không mất nhiều tiến bộ công nghệ để mang lại độ dài khóa lớn hơn đó (và bạn không bao giờ thực sự biết tình trạng hiện tại của nghệ thuật là gì). Chúng ta đã thấy từ lịch sử của máy tính cổ điển (ví dụ Định luật Moore) rằng một khi bạn vượt qua một số ngưỡng cơ bản, có thể cải thiện theo cấp số nhân.

Những câu trả lời khác chưa được đề cập là tính kịp thời. Có, bạn có thể hỏi "dựa trên tình trạng công nghệ hiện tại của chúng tôi, một thuật toán cụ thể và kết hợp độ dài khóa có an toàn không?", Nhưng đó chỉ là bảo mật tức thời. Đôi khi điều đó là đủ tốt. Nếu bạn muốn đồng ý một cuộc họp bí mật với ai đó vào ngày mai và miễn là không ai phát hiện ra điều đó cho đến khi thực tế, điều đó tốt, bạn có thể sử dụng bất kỳ thuật toán nào đưa ra câu trả lời có cho câu hỏi. Tuy nhiên, nếu thông tin đó được giữ bí mật lâu hơn thì sao? Có lẽ bạn đang gửi email cho ai đó danh tính của một đại lý dưới quyền mà họ sẽ gặp. Điều đó không đủ tốt để danh tính của cá nhân đó được bảo vệ ngay bây giờ, nhưng nó cũng phải được bảo vệ trong tương lai. Bất kỳ dữ liệu nào như vậy, về cơ bản bạn phải giả định rằng nếu nó đã được mã hóa bằng thuật toán có khả năng dễ bị tấn công bởi máy tính lượng tử, thì nó sẽ bị đọc vào một lúc nào đó và do đó bị xâm phạm. Trên thực tế, nếu bạn siêu hoang tưởng, dù sao bạn cũng nên thừa nhận điều này về tất cả các thuật toán tiền điện tử bởi vì ngay cả khi lý thuyết nói rằng chúng hoàn toàn an toàn, thì việc triển khai thực tế của chúng có thể bị lỗi và dễ bị bẻ khóa.

Hoặc có thể, các thuật toán mới sẽ được tạo ra để cố gắng ngăn máy tính lượng tử có thể bẻ khóa chúng dễ dàng?

$\neq$

Cho rằng bạn đề cập đến kích thước khóa lớn (1024 bit trở lên), bạn đang nói về mật mã bất đối xứng. Các lược đồ mã hóa (đối xứng) khác an toàn bằng cách tăng gấp đôi kích thước khóa của chúng (ví dụ: từ 128 lên 256 bit) vì điều đó bù cho lợi thế về mặt lý thuyết của thuật toán Grover cho một tìm kiếm toàn diện.

Mật mã bất đối xứng có thể được chia thành các sơ đồ hiện đang được sử dụng, về cơ bản (về cơ bản là RSA và ECC) và mật mã sauquantum.

$O(n^3)$

Mật mã Postquantum đã đưa máy tính lượng tử làm vectơ tấn công vào tài khoản. Chúng thường yêu cầu kích thước khóa lớn, mặc dù (chẳng hạn như hơn 10 kbits).