¿Cómo podemos saber de manera confiable si un tamaño de clave aún es seguro de usar a medida que se crean nuevas computadoras cuánticas?

He oído que las computadoras cuánticas representan una gran amenaza para la criptografía de clave pública-privada RSA de 1024 bits y posiblemente incluso de 2048 bits. Sin embargo, en el futuro, las claves de mayor tamaño probablemente estarán en riesgo en un momento u otro, a medida que se creen computadoras cuánticas más nuevas y más rápidas, para muchos (si no todos) los algoritmos. ¿Cómo puedo saber de manera confiable si un tamaño de clave, o incluso un algoritmo en sí mismo, es seguro y seguro de usar en el momento actual? ¿Existe un recurso / sitio web confiable que calcule qué tamaños de clave están actualmente en riesgo, en función de lo rápido que son las computadoras cuánticas más nuevas? O posiblemente, ¿se crearán nuevos algoritmos que intenten evitar que las computadoras cuánticas puedan descifrarlos fácilmente? El objetivo aquí es mantener el UX positivo al no hacer que un producto sea lento debido al cifrado, pero las aplicaciones más lentas valen la pena para garantizar una transferencia segura de datos.

Nosotros (es decir, el estado actual de la investigación) simplemente no lo sabemos, pero podemos adivinar.

$n$$O(2^{n/2})$$O(2^n)$

Entonces, PQC intenta crear criptografía basada en métodos para los cuales actualmente creemos que la computación cuántica ofrece poca ventaja, como la criptografía basada en la red o la codificación. Pero no podemos saber esto con certeza, al igual que no sabemos si hay algoritmos clásicos que rompan el cifrado actual de 'grado comercial'.

Tenga en cuenta que para RSA, aumentar el tamaño de la clave simplemente no funciona, ya que Shor puede tener en cuenta el tiempo de un polinomio de orden bastante bajo para descifrar la clave. En otras palabras, una clave lo suficientemente grande como para que Shor falle, es una clave lo suficientemente grande como para que cualquier operación normal de desencriptado / desencriptado sea imposible.

Entonces, realmente necesitamos reemplazos. Afortunadamente, creo que PQC comenzó a tiempo y que obtendremos un buen reemplazo para RSA (¡y otros!) Cuando lleguen efectivamente las máquinas realmente poderosas capaces de ejecutar Shor y Grover.

¿Existe un recurso / sitio web confiable que calcule qué tamaños de clave están actualmente en riesgo, en función de lo rápido que son las computadoras cuánticas más nuevas?

Como han transmitido otras respuestas, si un algoritmo dado es susceptible al ataque de las computadoras cuánticas, en realidad no se trata de ir a una longitud de clave mayor; No se necesitaría mucho avance tecnológico para poner en peligro esa longitud de clave más grande (y nunca se sabe cuál es el estado actual de la técnica). Hemos visto en la historia de las computadoras clásicas (por ejemplo, la Ley de Moore) que una vez que superas un umbral básico, son posibles mejoras exponenciales.

Lo que otras respuestas no han mencionado es la puntualidad. Sí, podría preguntar "en base a nuestro estado actual de tecnología, ¿es segura una combinación particular de algoritmo y longitud de clave?", Pero eso es solo una seguridad instantánea. A veces eso es lo suficientemente bueno. Si desea acordar una reunión clandestina con alguien mañana, y mientras nadie se entere hasta después del hecho, está bien, puede usar cualquier algoritmo que dio un sí a la pregunta. Sin embargo, ¿qué pasa si esa información debe permanecer en secreto por más tiempo? Quizás le está enviando un correo electrónico a alguien con la identidad de un agente encubierto que debe conocer. No es lo suficientemente bueno que la identidad de ese individuo esté protegida ahora, pero también debe protegerse en el futuro. Cualquier dato como ese, esencialmente debe suponer que si ha sido encriptado con un algoritmo que es potencialmente susceptible de ser atacado por una computadora cuántica, se leerá en algún momento y, por lo tanto, se verá comprometido. En realidad, si eres súper paranoico, debes asumir esto sobre todos los algoritmos criptográficos de todos modos porque, incluso si la teoría dice que son perfectamente seguros, su implementación práctica puede ser defectuosa y susceptible a grietas.

O posiblemente, ¿se crearán nuevos algoritmos que intenten evitar que las computadoras cuánticas puedan descifrarlos fácilmente?

$\neq$

Dado que menciona tamaños de clave grandes (1024 bits en adelante), está hablando de criptografía asimétrica. Otros esquemas criptográficos (simétricos) son seguros simplemente duplicando su tamaño de clave (por ejemplo, pasando de 128 a 256 bits) porque eso compensa la ventaja teórica del algoritmo de Grover para una búsqueda exhaustiva.

La criptografía asimétrica se puede dividir en esquemas prácticos utilizados actualmente (esencialmente RSA y ECC) y criptografía postquantum.

Dado que el algoritmo de Shor escala (en tiempo de ejecución) como $O(n^3)$, una vez que cierto tamaño de clave de RSA o ECC es inseguro, incluso duplicar su tamaño solo significará un aumento de 8 veces en la dificultad computacional para calcular la nueva clave privada con una computadora cuántica: una vez que concluya que las claves RSA y ECC no son seguras Ya no es seguro debido a las computadoras cuánticas, ir a longitudes de clave más largas no ganará mucho. Se están diseñando nuevos algoritmos ("criptografía postquantum") que se cree que son seguros contra ataques usando computadoras cuánticas.

La criptografía postquantum ya tiene en cuenta las computadoras cuánticas como vectores de ataque. Sin embargo, generalmente requieren grandes tamaños de clave (como más de 10 kbits).