Question:
Quels types de chiffrement sont _pas_ cassables via les ordinateurs quantiques?
Tobias Kienzler
2014-01-03 20:15:59 UTC
view on stackexchange narkive permalink

Il y a un article récent NSA cherche à construire un ordinateur quantique qui pourrait déchiffrer la plupart des types de chiffrement. Maintenant, je ne suis pas surpris que la NSA essaie quoi que ce soit 1 , mais ce qui me déroute un peu, c'est le mot «le plus» - alors, quels algorithmes de chiffrement sont connus et suffisamment testés sur le terrain qui ne le sont pas gravement vulnérable à l'informatique quantique?

1) Ouais, je ne serais même pas surpris s'ils avaient un département secret de bonne aventure ...
Les ordinateurs quantiques sont encore loin. Le concept repose sur l'utilisation de bits qui, lorsqu'ils ne sont pas observés, sont à la fois 1 et 0 et donc capables de calculer avec toutes les valeurs pouvant être représentées dans l'espace donné - avec un seul calcul. Aussi romantique que cela puisse paraître, je n'ai pas encore entendu d'un moyen de calculer avec ces bits tout en les laissant inaperçus.
Ne supposez pas cela simplement parce qu'une organisation de la taille de la NSA essaie de créer quelque chose dont elle espère pouvoir en déployer un prochainement. Parce que les courses aux armements sont des courses, souvent une organisation recherche quelque chose parce qu'elle ne veut pas être débutante alors que ses concurrents en déploient une. Si la NSA construit un cerveau de personnes qui connaissent l'informatique quantique, elles pourraient alors être en mesure d'en déployer une avant leurs concurrents et sont moins susceptibles d'être prises au dépourvu.
Ma préoccupation n'est pas la NSA, qui pourrait tout aussi bien utiliser des méthodes moins agréables du monde de la viande pour obtenir ses secrets, mais plutôt les implications du QC en général.
Pourquoi les ordinateurs quantiques ne permettraient-ils pas également un cryptage plus fort?
@mirimir Qui a prétendu cela? Bien sûr, il y a la cryptographie quantique, mais même une fois disponible, tout le monde ne pourra pas se le permettre, je suppose, il est donc toujours important de savoir sur quel cryptage classique on peut s'appuyer, même si les écouteurs potentiels ont des ordinateurs quantiques.
Il est préférable d'utiliser OTP dans le monde réel et pour le monde virtuel, utilisez des algorithmes symétriques + clés de 256 bits. regardez ceci http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance
@November En modifiant légèrement [cette belle expérience de Gedanken] (http://physics.stackexchange.com/a/3162/97), supposons qu'un de vos amis soit sorti avant qu'il ne fasse froid. Ni vous ni eux ne savent combien de gants (le cas échéant) ils ont emportés avec eux, mais tous les deux savent où se trouveraient les autres; et qu'en raison du grand froid, votre ami rentrait chez lui pour le (s) gant (s) restant (s) une fois qu'il en aurait remarqué qu'il en manquait. Supposons la même chose pour un ami que votre ami voulait rencontrer à l'extérieur. Observez maintenant si certains de leurs gants sont à la maison - et voilà, vous pouvez déterminer s'ils se sont rencontrés à l'extérieur ou s'ils rentrent à la maison
@November Vos connaissances sont dépassées. Des calculs sur qbits * ont * été effectués. Pas beaucoup. Mais il n’ya rien de «romantique» dans ce concept, il a été démontré dans la pratique.
Merci de m'avoir corrigé. C'est très excitant, avez-vous un lien qui explique cela plus en détail?
@November Ceci vient de sortir: http://arxiv.org/pdf/1512.02206v1.pdf C'est un peu technique et nécessite un peu de connaissances pour être utilisable, mais je suppose que la plupart des gens ici sont :-)
Cinq réponses:
Thomas Pornin
2014-01-03 21:01:05 UTC
view on stackexchange narkive permalink

Comme d'habitude, le journalisme traitant de sujets techniques a tendance à être flou sur les détails ...

En supposant qu'un véritable ordinateur quantique puisse être construit, alors:

  • RSA, et d'autres algorithmes qui reposent sur la dureté de la factorisation entière (par exemple Rabin), sont toast. L’algorithme de Shor factorise très efficacement les grands entiers.
  • DSA, Diffie-Hellman ElGamal et d’autres algorithmes qui reposent sur la dureté du logarithme discret sont également cassé. Une variante de l'algorithme de Shor s'applique également. Notez que cela est vrai pour tous les groupes, donc les variantes de courbes elliptiques de ces algorithmes ne sont pas meilleures.

  • Le cryptage symétrique est affaibli ; à savoir, un ordinateur quantique peut rechercher dans un espace de taille 2n dans le temps 2n/2 . Cela signifie qu'une clé AES de 128 bits serait rétrogradée à la force d'une clé de 64 bits - cependant, notez qu'il s'agit de 264 quantum -opérations informatiques ; vous ne pouvez pas appliquer les chiffres d'études avec FPGA et GPU et supposer aveuglément que si un ordinateur quantique peut être construit du tout , il peut être construit et utilisé à moindre coût .

  • De même, la résistance de la fonction de hachage à divers types d'attaques serait réduite de la même manière. En gros, une fonction de hachage avec une sortie de n bits résisterait aux pré-images de force 2n/2 et aux collisions jusqu'à 2 n/3 (les chiffres avec les ordinateurs classiques étant 2n et 2 n / 2 sup > , respectivement). SHA-256 serait toujours aussi fort contre les collisions qu'une fonction de hachage de 170 bits de nos jours, c'est-à-dire mieux qu'un "SHA-1 parfait".

La cryptographie symétrique ne serait donc pas gravement endommagée si un ordinateur quantique s'avérait être construit. Même s'il pouvait être construit à très bas prix , les algorithmes de chiffrement symétrique et de fonction de hachage offriraient toujours une très bonne résistance. Pour le cryptage asymétrique, cependant, cela signifierait des problèmes. Nous connaissons néanmoins plusieurs algorithmes asymétriques pour lesquels aucune attaque efficace basée sur le QC n'est connue, en particulier des algorithmes basés sur la réduction de réseau (par exemple NTRU), et le vénérable cryptage McEliece. Ces algorithmes ne sont pas très populaires de nos jours, pour diverses raisons (les premières versions de NTRU se sont avérées faibles; il y a des brevets; les clés publiques de McEliece sont énormes ; et ainsi de suite), mais certaines le seraient encore être acceptable.

L'étude de la cryptographie sous l'hypothèse que des ordinateurs quantiques efficaces peuvent être construits s'appelle cryptographie post-quantique.

Personnellement, je ne croyez pas qu'un maigre budget de 80 millions de dollars permettrait à la NSA d'aller loin. IBM travaille sur ce sujet depuis des décennies et a dépensé beaucoup plus que cela, et leurs meilleurs prototypes ne sont pas étonnants. Il est hautement plausible que la NSA ait dépensé quelques dollars sur l'idée de l'informatique quantique; après tout, c'est leur travail, et ce serait un scandale si l'argent des contribuables n'était pas consacré à ce genre de recherche. Mais il y a une différence entre rechercher et trouver ...

+1, et j'aimerais pouvoir vous donner +10 juste pour les deux dernières phrases. Avec tous les scandales sur leurs abus, il est parfois facile d'oublier que quand tout est dit et fait, pouvoir espionner les gens est leur * travail * et ce à quoi nous nous opposons, c'est leur manque de retenue en le faisant ...
+1 - Bien sûr, vous pourriez considérer qu'avec 80 millions de dollars, la NSA pourrait simplement [embaucher des crétins pour battre les clés privées de la plupart des cibles] (http://xkcd.com/538/) ... Là encore, ils auraient pu a forcé IBM et d'autres à «se porter volontaires» pour fournir leurs progrès de recherche les plus secrets
@Thomas Pornin La complexité de la recherche d'un espace a-t-elle diminué en raison du principe d'incertitude? Je pourrais être loin .....
@Rell3oT: l'idée est qu'un qubit est une superposition de plusieurs états, et donc, dans une certaine mesure, avec une opération, plusieurs calculs sont effectués simultanément. Le principe d'incertitude est une autre expression assez indépendante du fait qu'au niveau quantique, ce que nous considérons comme «matière» se comporte en fait comme une distribution de probabilité.
D'accord Merci @ThomasPornin. Ce que vous avez décrit, c'est ce que je pensais être le principe d'incertitude. Apparemment, j'ai besoin de rafraîchir ...
Tout cela ne signifie-t-il pas que si RSA peut être interrompu, toutes les sessions TLS avec certificats sont essentiellement interrompues car RSA est utilisé pour négocier une clé symétrique au début de la session? Pouvons-nous encore avoir PFS?
@Rell3oT L'incertitude se résume à ce qu'il ne suffit pas d'exploiter la superposition d'états mais que vous devez le faire de manière à pouvoir ensuite mesurer le résultat entier sans en changer la partie déjà mesurée - par exemple. si un bit était codé dans la coordonnée x et un autre dans l'élan de cette direction, vous pourriez toujours être vissé car la mesure de la quantité de mouvement (suffisamment précise) changera de manière rétroactive la coordonnée x (précision maximale possible) que vous venez de mesurer et vice versa. Btw, consultez http://physics.stackexchange.com;)
@Matrix RSA (ou DSA) est utilisé pour que le serveur s'identifie, la négociation de clé utilise [Diffie-Hellman] (https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange). Mais comme cela repose sur le logarithme discret tout comme le fait DSA, je suppose qu'il est tout aussi vulnérable à l'informatique quantique. Cependant, je serais surpris s'il n'y avait pas un moyen d'utiliser / modifier les méthodes les moins vulnérables au QC pour PFS
Et si le cryptage était également effectué sur un ordinateur quantique?
@Jojo01: Je pense que certains algorithmes de chiffrement conçus pour fonctionner sur des ordinateurs quantiques ont été définis (je ne me souviens pas des détails pour le moment).Ils devraient résister aux attaquants avec des ordinateurs quantiques, mais ils ont également besoin d'un ordinateur quantique pour être utilisé, et étant donné le manque de disponibilité des ordinateurs quantiques à l'heure actuelle, nous ne pouvons pas les tester.Disons qu'il s'agit d'une construction intellectuelle intéressante qui _pourrait_ être utile dans un monde futur où chaque ordinateur et smartphone est un ordinateur quantique.
@ThomasPornin Oui, je pense que l'informatique quantique améliorera la sécurité des comptes, car les grandes entreprises utiliseront très probablement des ordinateurs quantiques, ce que votre hacker typique n'a pas.Bien sûr, lorsque l'informatique quantique arrive au niveau du consommateur, cet avantage est perdu et la situation revient à zéro.
Et Serpent?J'ai lu que cela ne sera pas affecté non plus.
@skan: Serpent est un algorithme de cryptage symétrique;ce que je dis à propos d'AES s'applique également bien à Serpent.En effet, cela signifie que le cryptage Serpent avec une clé de 128 bits pourrait être interrompu avec environ 2 ^ 64 opérations sur un ordinateur quantique (2 ^ 64 est déjà une quantité très importante sur un ordinateur classique).
Ayant beaucoup traité avec IBM, je soupçonne qu'ils ont développé un ordinateur quantique il y a des décennies, mais personne ne peut trouver le lien pour celui-ci sur leur site Web.
"notez que ce sont des opérations de calcul quantique $ 2 ^ 64 $": ces opérations doivent également être séquentielles, ce qui signifie que votre ordinateur quantique doit être très rapide (2 $ ^ 64 $ nanosecondes> 500 ans).Avec les ordinateurs quantiques parallèles $ K $, vous obtenez une petite vitesse, mais vous avez encore besoin de temps $ \ frac {2 ^ 64} {\ sqrt {K}} $.Voir https://quantumcomputing.stackexchange.com/a/4538/5047
mricon
2014-01-03 21:05:28 UTC
view on stackexchange narkive permalink

L'informatique quantique aura un impact considérable sur le chiffrement asymétrique, mais les algorithmes symétriques sont considérés comme sûrs avec une taille de clé suffisamment grande (256 bits). Donc, oui, nous devrons réinventer x509 / SSL au moment où l'informatique quantique décolle vraiment (ce qui est un TODO assez grand), mais il y aura de vastes zones de cryptographie qui resteront relativement sûres.

http://en.wikipedia.org/wiki/Post-quantum_cryptography http://www.pqcrypto.org/www.springer.com/cda/content/document/cda_downloaddocument/ 9783540887010-c1.pdf

0skar
2016-03-08 00:26:36 UTC
view on stackexchange narkive permalink

Lorsque les cryptographes parlent d’ordinateur quantique et de cryptographie post-quantique, ils parlent en fait de la puissance de l ’ algorithme de Shor pour la factorisation des nombres, donc les problèmes difficiles basés sur la factorisation des nombres utilisés pour créer des cryptosystèmes sont interrompus. L'algorithme de Shor (ordinateur quantique) donc RSA, DSA, ELGamal, Diffie-Hellman Key Exchabge, ECC sont vulnérables à l'informatique quantique!

Dans la cryptographie à clé publique, trois schémas sont quantiques sécurisés:

  • Cryptographie basée sur des treillis comme NTRUEncrypt; basée sur des treillis
  • cryptographie basée sur des codes comme le cryptosystème McEliece; basée sur la théorie de l'information
  • cryptographie multivariée comme les équations de champs cachés

    • et dans le cryptage symétrique comme AES, si vous choisissez une clé longue; vous êtes à l'abri de l'ordinateur quantique et de la NSA !

    pour lecture future: Lien vers le magazine Quanta et livre sur la cryptographie post-quantique

    sean
    2015-03-14 21:08:01 UTC
    view on stackexchange narkive permalink

    1-time pad reste le cryptage le plus puissant et incassable (s'il est utilisé correctement). Bien sûr, vous devez échanger le pad face à face, mais je pense que 95% des personnes qui ont besoin de ce niveau de sécurité se rencontreront avant de configurer des communications sécurisées.

    Il suffit de spécifier la clé 256 bits à utiliser pour un message particulier fonctionne parfaitement et est utilisé par les services de sécurité.

    Cela n'explique pas quels types de cryptage ne sont pas cassables par les ordinateurs quantiques et ne répond donc pas réellement à la question.
    @Xander cette réponse dit que la méthode One-Time Pad est incassable, ce qui est une déclaration correcte.
    Je ne comprends pas pourquoi cette réponse mentionne des clés 256 bits.Le chiffrement d'un texte brut de 1024 bits avec une clé de 256 bits n'utilise pas d'OTP.
    Bardeen
    2014-01-04 09:38:37 UTC
    view on stackexchange narkive permalink

    Pour une protection supplémentaire contre la NSA, chiffrez en utilisant le mode de chiffrement par bloc de chaîne AES, puis chiffrez à nouveau le texte chiffré (le résultat du premier chiffrement) et répétez autant de fois que vous pouvez vous permettre de le répéter. La NSA essaierait probablement de rechercher par force brute pour parcourir l'espace de recherche et découvrirait qu'elle a déchiffré le code en déterminant l'entropie du résultat pour chacune des clés qu'elle teste. Ils savent quand s'arrêter lorsqu'ils voient un texte significatif comme résultat. En chiffrant plusieurs fois, vous leur rendez plus difficile la tâche de déterminer quand ils ont déchiffré un code, car s'ils essayaient la bonne clé, ils verraient alors un désordre comme résultat, presque impossible à distinguer des résultats des clés incorrectes. À mesure que vous augmentez le nombre de rechiffrements, la difficulté de déchiffrer le contenu de chiffrement devient plus difficile. La NSA perdra la raison en essayant de savoir quand elle aura déchiffré le code.

    Un logiciel comme TrueCrypt peut effectuer plusieurs cryptages pour vous. Mais méfiez-vous du cryptage naïf qui fonctionne simplement en mode "Electronic Code Book" (ECB). Vous aurez besoin d'un cryptage qui s'exécute dans l'un des modes les plus sophistiqués tels que «Chain Block Cipher» ou «Cipher Feedback». Oui, un ordinateur quantique permettrait à la NSA de parcourir plus facilement les clés possibles pour essayer. Mais en chiffrant plusieurs fois (avec une clé DIFFÉRENTE pour chaque répétition de chiffrement bien sûr), vous rendez l'espace de recherche difficile par un facteur de la longueur de la clé. J'espère que cela vous aidera à garder vos affaires hors de portée de la NSA.

    Les implications de l'application de plusieurs couches de cryptage peuvent être assez complexes et dans le pire des cas, _réduisez_ la sécurité des couches individuelles - prenez par exemple «XOR» en utilisant le message entier _deux fois_ - vous vous retrouvez avec le message d'origine! Et même si vous utilisez deux clés différentes, cela équivaut toujours à utiliser `XOR` avec _une_ clé entièrement différente. C'est bien sûr plus complexe avec AES, mais vous vous feriez vraiment une faveur en augmentant la taille de la clé à la place ...
    @TobiasKienzler Cela ne s'applique qu'à certains types de chiffrements.Pour les chiffrements de flux, tant que le nonce est différent, tout va bien.Pour (la plupart) des chiffrements par blocs, peu importe si la clé est différente ou non, bien sûr, si la clé est la même, vous n'obtenez pas de sécurité supplémentaire.Pour quelque chose comme AES, il est totalement sûr de faire un cryptage multiple, c'est généralement un peu ridicule et inutile.
    @forest Faire quelque chose de stupide et inutile _est_ dangereux, puisque vous gaspillez des ressources de calcul sur quelque chose qui n'augmente pas vraiment la sécurité lorsque l'utilisation appropriée de ladite ressource pourrait
    @TobiasKienzler C'est vrai.L'augmentation de la complexité peut conduire à des bugs.Je voulais simplement dire que ce n'était pas dangereux dans la plupart des cas dans un sens purement cryptographique.


    Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
    Loading...