Ventaja de la distribución de claves cuánticas sobre la criptografía post-cuántica

La criptografía post-cuántica, como la criptografía basada en la red, está diseñada para ser segura, incluso si hay computadoras cuánticas disponibles. Se asemeja a las encriptaciones empleadas actualmente, pero se basa en problemas que probablemente no sean solucionados de manera eficiente por una computadora cuántica.

Obviamente, la investigación sobre la distribución de claves cuánticas (QKD) continúa. Pero, ¿cuáles son exactamente las ventajas de la distribución de claves cuánticas sobre la criptografía post-cuántica?

El desarrollo de una nueva tecnología como QKD puede tener grandes efectos secundarios, y tal vez QKD sea más rentable o más rápido a largo plazo, pero dudo que esta sea la razón principal.

Si se demuestra que un protocolo de cifrado asimétrico dado se basa en un problema que no puede resolverse eficientemente ni siquiera por una computadora cuántica, entonces la criptografía cuántica se vuelve irrelevante.

El punto es que, a partir de hoy, nadie fue capaz de hacer esto. De hecho, tal resultado sería un gran avance, ya que probaría la existencia de problemas que no se pueden resolver de manera eficiente en una computadora cuántica (aunque generalmente se cree que este es el caso, aún se desconoce si existe hay problemas en ).$\text{NP}$$\text{NP}\!\setminus\!\text{BQP}$

En términos generales, todos los protocolos de cifrado asimétricos clásicos son seguros bajo el supuesto de que un problema dado es difícil de resolver, pero en ningún caso, que yo sepa, se ha demostrado (en el sentido de la complejidad computacional) que ese problema es exponencialmente difícil de resolver. resolver con una computadora cuántica (y para muchos ni siquiera que el problema no se puede resolver de manera eficiente con una computadora clásica ).

Creo que Bernstein lo explica muy bien en su revisión de la criptografía post-cuántica ( Link ). Citando de la primera sección en lo anterior, donde acaba de hablar sobre una serie de protocolos de cifrado clásicos:

¿Hay un mejor ataque en estos sistemas? Quizás. Este es un riesgo familiar en la criptografía. Es por eso que la comunidad invierte enormes cantidades de tiempo y energía en criptoanálisis. A veces, los criptoanalistas encuentran un ataque devastador, lo que demuestra que un sistema es inútil para la criptografía; por ejemplo, cada opción utilizable de parámetros para el sistema de cifrado de clave pública de mochila Merkle – Hellman es fácilmente rompible. A veces, los criptoanalistas encuentran ataques que no son tan devastadores pero que fuerzan tamaños de teclas más grandes. A veces, los criptoanalistas estudian sistemas durante años sin encontrar ningún ataque mejorado, y la comunidad criptográfica comienza a generar confianza en que se ha encontrado el mejor ataque posible, o al menos que los atacantes del mundo real no podrán encontrar nada mejor.

Por otro lado, la seguridad de QKD, idealmente , no se basa en conjeturas (o, como se suele decir, los protocolos QKD proporcionan, en principio , seguridad teórica de la información ). Si las dos partes comparten una clave segura, entonces el canal de comunicación es incondicionalmente seguro, y QKD proporciona una forma incondicionalmente segura para que intercambien dicha clave (por supuesto, aún bajo el supuesto de que la mecánica cuántica es correcta). En la Sección 4 de la revisión mencionada anteriormente, el autor presenta una comparación directa (si es posible que parcial) de QKD versus criptografía post-cuántica. Es importante tener en cuenta que, por supuesto, "seguridad incondicional" debe entenderse en el sentido teórico de la información, mientras que en el mundo real puede haber aspectos de seguridad más importantes a considerar.. También se debe tener en cuenta que algunos no creen que la seguridad y practicidad del mundo real de QKD sea objetiva (ver, por ejemplo, Bernstein aquí y la discusión relacionada sobre QKD en crypto.SE ), y que la seguridad teórica de la información de QKD los protocolos solo son verdaderos si se siguen correctamente, lo que en particular significa que la clave compartida se debe usar como una sola vez .

Finalmente, en realidad, también se pueden romper muchos protocolos QKD. La razón es que la imperfección experimental de implementaciones específicas puede ser explotado para romper el protocolo (véase, por ejemplo 1505.05303 , y Pág.6 de npjqi201625 ). Todavía es posible garantizar la seguridad contra tales ataques utilizando protocolos QKD independientes del dispositivo, cuya seguridad se basa en las violaciones de desigualdades de Bell y se puede demostrar que no depende de los detalles de implementación. El problema es que estos protocolos son aún más difíciles de implementar que los QKD normales.

La distribución de claves cuánticas requiere que reemplace al por mayor toda su infraestructura de comunicaciones construida con cables Ethernet de 5 EUR y CPU de 0,50 EUR por enlaces de fibra dedicados multimillonarios y computadoras especializadas que de todos modos solo hacen criptografía clásica de clave secreta.

Además, debe autenticar las claves secretas compartidas que negocia con la distribución cuántica de claves, lo que probablemente hará utilizando la criptografía clásica de clave pública, a menos que sea lo suficientemente rico como para pagar correos con maletas esposadas a sus muñecas.

Más detalles de François Grieu en crypto.se sobre lo que hace segura la criptografía cuántica.

El quid de la diferencia técnica (dejando de lado los costos y la capacidad de implementación y la política y las divisiones de clase) es que el protocolo físico de un sistema QKD está diseñado para que no tenga que dejar un rastro físico que los avances matemáticos futuros podrían permitir recuperar retroactivamente secreto compartido negociado sobre estos enlaces de fibra dedicados. En contraste, con la criptografía clásica, los acuerdos clave de clave pública a través de Internet, donde un espía registra cada bit a través del cable, en principio podrían romperse con futuros avances matemáticos.

Luego, en ambos casos, los pares usan el secreto compartido que negociaron, ya sea con distribución cuántica de claves o con un acuerdo clásico de clave pública, como una clave secreta para la criptografía clásica de clave secreta, que en principio podría romperse con futuros avances matemáticos . (Pero personas muy inteligentes y bien financiadas no han logrado esos avances después de intentarlo durante décadas). Y esto no significa que las implementaciones prácticas de QKD tampoco dejarán rastros físicos .

Dicho todo esto, QKD es cuántico, por lo que es sexy y hace una buena venta a gobiernos y bancos ricos, que tienen fondos discrecionales multimillonarios para juguetes inútiles como QKD. La física también es genial para que jueguen los nerds.

M. Stern recuerda otra ventaja de QKD: opera en la capa de enlace , negociando una clave secreta compartida por los dos puntos finales de un enlace de fibra, que podría ser un usuario legítimo y el MITM que se unió a ese enlace de fibra con un pícaro Dispositivo QKD. Si, en la era de la supremacía cuántica, reemplazamos todos los acuerdos clásicos de clave pública del mundo por QKD, donde las aplicaciones actualmente negocian claves secretas con sus pares en Internet para un cifrado autenticado de extremo a extremo en cualquier medio enrutable , en cambio, tendría que negociar claves secretas con su ISP , quien negociaría secretos con su ISP ascendente, y así sucesivamente, para saltar por saltocifrado autenticado Esto sería una bendición para los buenos en los principales gobiernos del mundo que intentan monitorear (retroactivamente) las comunicaciones de los usuarios para erradicar a los terroristas y activistas y periodistas y otros elementos inconvenientes de la sociedad, porque los ISP necesariamente tendrían las claves secretas listas para entregar a la policía.