View
1
Download
0
Category
Preview:
Citation preview
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Kvanteresistent kryptografi
Thomas Gregersen
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Kvantedatamaskiner kan bli et problem for fundamentetbak dagens protokoller.
I Selv om vi ikke kjenner de nøyaktige forholdene ma viforberede oss.
I For mange parter ma informasjon beskyttes lenge.I Introduksjonen av nye algoritmer tar vanligvis lang tid.I Med et langsiktig perspektiv ma vi altsa starte tidlig for
a kunne klare omstillingen i tide.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Utgangspunktet for a etablere konfidensialitet:
I Dette krever en felles nøkkel som ma etableres paforhand.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I For a slippe a møtes, kan de to partene etablere enfelles nøkkel ved hjelp av asymmetriske algoritmer:
I Det er vanlig a kombinere dette i en hybridisert løsning:Den symmetriske algoritmen tar seg av bulktransportsiden den er mye raskere.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Det finnes flere varianter vi kan benytte tilnøkkeletablering:
I RSAI DHI ECDH
I I hver av dem antar vi at vi kan redusere det a finnenøkler eller klartekst til et beregningstungt problem(faktorisering, finne logaritmer).
I Kvantealgoritmer angriper disse underliggendeproblemene og utgjør en alvorlig trussel.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Det finnes igjen flere varianter vi kan benytte:I RSAI DSAI ECDSA
I De underliggende problemene blir igjen angrepet avkvantealgoritmer.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Algoritmen finner i elementer som avbilder til et oppgittelement gjennom en funksjon f .
I Kryptografisk relevant fordi vi f.eks. kan la f være etchiffer eller en kryptografisk hash-funksjon hvor viønsker a finne nøkler eller kollisjoner.
I Kompleksiteten for denne beregningen er en forbedringsammenlignet med klassiske varianter:
O(√N) versus O(N), (N = |dom(f )|).
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Shors algoritme tar et naturlig tall N som input ogfinner en ikke-triviell divisor a.
I I RSA kan vi dermed faktorisere den offentligemodulusen vi bygger pa og finne den private nøkkelen.
I Algoritmens kjerne finner perioden til en funksjon, ogdette bruker Fourier-transformen som kanimplementeres effektivt i en kvantekrets. Oppsettet kanmodifiseres til a finne logaritmer i enkelte typer grupperog dermed utfordre DH/ECDH.
I Med andre ord kan en ikke forlate en enkelt algoritmefor a unnga dette angrepet.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Tar vi et pessimistisk utgangspunkt blir vi nødt til adoble antall bits i symmetriske nøkler, men dette ermest sannsynlig ikke det endelige estimatet.
I For de asymmetriske algoritmene vi vanligvis bruker serdet verre ut: Det kan bli nødvendig a utvide tilstørrelser det er helt urealistisk a implementere.
I For a finne kandidater vi kan bytte til er det satt oppflere løp som organiserer veien fremover:
I National Institute of Standards and Technology (NIST)er allerede i gang med runde 2 for a komme til muligeerstattere1.
I PQCRYPTO (EU) er et annet inititiativ som skal leverekandidater og praksis2.
1https://csrc.nist.gov/Projects/Post-Quantum-Cryptography2https://pqcrypto.eu.org/
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Hva ønsker vi oss av nye algoritmer?I Nøkler/signaturer/chiffertekst som ikke tar for mye
plass.I Kryptering/dekryptering/signering/autentisering som
ikke tar for lang tid.I Sikkerhet basert pa reduksjon til beregningsproblemer
som vi vet er vanskelige.
I Det er pa ingen mate lett a kombinere alt dettesamtidig, men det finnes kandidater.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I NIST startet med 69 algoritmer for nøkkeletablering ogsignaturer som na har blitt til 17 og 9.
I Til nøkkeletablering er kandidatene basert pakodebasert, lattice-basert eller isogeni-basertkryptografi:
I BIKE/Classic McEliece/HQC/LedaCrypt/NTS-KEM/ROLLO/RQC.
I CRYSTALS-KYBER/FrodoKEM/LAC/NewHope/NTRU/NTRU Prime/Round5/SABER/Three Bears.
I SIKE.
I Signaturalgoritmene er basert pa lattice, multivariatepolynomsystemer, Zero Knowledge Proof-system oghash-baserte signaturer:
I CRYSTALS-DILITHIUM/FALCON/qTesla.I GeMSS/LUOV/MQDSS/Rainbow.I Picnic.I SPHINCS+.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I McEliece/Niederreiter-system (1978/1986) basert pafeilkorrigerende koder.
I En feilkorrigerende kode C er en metode for a legge tilredundans til informasjon slik at feil kan rettes ettersending.
I Tilhørende finnes en dekodingsalgoritme DC som retterde ev. feil som har oppstatt.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I En lineær feilkorrigerende kode gjør dette ved abehandle informasjon som vektorer i et omkringliggendevektorrom.
I Dermed kan C en [n, k]-kode spesifiseres ved:
I Rekkerommet til en generatormatrise G ∈ F k×n2
C = {mG |m ∈ F k2 }
I Nullrommet til en paritetsjekkmatrise H ∈ F(n−k)×n2
C = {c |Hcᵀ = 0, c ∈ F n2 }
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Systemparametre: n, t ∈ N, t � n.I Nøkkelgenerering:
I G : k × n generatormatrise for en lineær kode (binær,irredusibel Goppa) C som kan korrigere opp til t feil.
I S : k × k tilfeldig binær invertibel matrise.I P : n × n tilfeldig permutasjonsmatrise.
Beregn sa G ′ = SGP.
I Public Key: (G ′, t).
I Private Key: (S ,P,DC).
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Kryptering: m ∈ F k2 sendes til
c = mG ′ + e
hvor e ∈ F n2 ,wt(e) = t.
I Dekryptering:
I BeregncP−1 = (mS)G ′ + eP−1
og far kodeordet
mS = DC(cP−1).
I Beregn til sluttm = mSS−1.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I A dekode en generell lineær kode er et NP-hardtproblem. Derfor er den private nøkkelen forkledd vedmatrisene S og P, og den er vanskelig a skille fra engenerell lineær kode.
I De raskeste angrepsalgoritmene viser seg a væreinformasjonssettdekoding(ISD)-angrep som dekodermeldinger fra en generell kode, men for binæreGoppa-koder er dette fortsatt langt fra effektivt.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Skolebokvariantene av McEliece/Niederreiter blir fortynne i seg selv: Det er muligheter for a brukestrukturen i kryptosystemet for a gjøre analysen lettere:
I Delvis kjent klartekst:Dette medfører at vi kan redusere raskestedekodingsangrep (ISD-varianter) til de komplementærebitene.
I Kjente relasjoner mellom meldinger:Disse forplanter seg til chifferteksten og kan brukes til aredusere antall feilvektorer vi trenger a teste iISD-analysen.
I Dette løser man ved a bruke en CCA2-sikret variantsom medfører overhead: Ekstra bits for en valgtsikkerhetstoleranse som avhenger av input tilhashfunksjonen som involveres.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Matrisene vi trenger er store og kan gi problemer nardet er lite plass.
I Vi kan velge mellom flere mulige koder, men mangeviser seg for svake til kryptografisk anvendelse.
De klassiske binære Goppa-kodene holder enda, menkanskje er det flere (LDPC/MDPC/Rank-Metric codes).
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Kan baseres pa flere strukturer som hviler palattice-teori: LWE, RLWE, MLWE, NTRU.
I Raske fakta:I Kryptering/dekryptering innebærer a kode informasjon
som heltallskombinasjoner av vektorer (et lattice).
I Sikkerhet ved reduksjon til geometriske problem i latticesom er velkjente, men ikke sa godt studert somMcEliece/Niederreiter.
I Mer effektive enn McEliece/Niederreiter og det erforeslatt varianter hvor vektorene tar form av polynomersom kompaktifiserer. Dette kan likevel ga utoversikkerheten hvis vi innfører for mye struktur.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Merkle signaturer3:
I Raske fakta:I Tar engangssignaturer som utgangspunkt (Lamport,
Winternitz,..).I Kan i utgangspunktet signere et endelig antall ganger
for en gitt offentlig nøkkel, noe som kan løses meddynamiske trær.
I Store signaturer hvis treet er stort.I Sikkerhet hviler pa styrken til den interne
hash-funksjonen H.
3https://postscryptum.lip6.fr/slides aline.pdf
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Noen observasjoner:I Nøkler/signaturer/chiffertekst er i noen tilfeller veldig
store (tall i bytes for Classic McEliece4 og SPHINCS+5):
I Regnetid man som regel kan leve med.I Sikkerhet er i noen tilfeller godt fundert, andre ganger
er det mindre kryptoanalyse a hvile pa.
4https://classic.mceliece.org/nist/mceliece-20190331.pdf5https://sphincs.org/data/sphincs+-round2-specification.pdf
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I I denne tidlige fasen er vi usikre pa hvor inngripendekvantealgoritmer faktisk blir. Det er foreslatt a brukehybridløsninger:
I Protokollene vi bruker kan i sa fall fa størrekompleksitet og vi blir nødt til a analysere hvordandette pavirker sikkerhet og effektivitet.
I Det kan bli standardisert mange muligheter avhengig avbrukercase, altsa ikke en variant til alle formal.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Masser av forskning peker mot det a realiserekvantekretser, men pa hvilket niva?
I Et lite modent eksempel6:
6https://www.dwavesys.com
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Med sa mange veier til mal for a realisere dem, virkerdet dumt a satse pa at ingen forsøk pa a realisere demvil lykkes.
I Det gjenstar en god del arbeid før vi har en stor ogstabil nok kvantekrets hvor en vilkarlig kvantealgoritmekan kjøres (logiske versus fysiske qubits).
I Det er satt av store ressurser til forskning og utvikling,og mange aktører vil bidra (Google, IBM, LockheedMartin..).
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Det er ikke lett a avgjøre nar vi ma være klare for ahandtere en kvantedatamaskin/kvantekrets.
I I denne fasen er det tatt utgangspunkt i at dette kanvære realistisk rundt 2030.
I For oss blir det viktigste a kunne handtere nyeprimitiver/algoritmer, altsa ha plass nok til a kunneintegrere dem.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Oppsummering
I Kvantealgoritmer tvinger oss til a finne nye byggesteineri kryptografien.
I Vi vet fortsatt ikke nar vi ma ha dem pa plass, men sasnart som mulig.
I For oss som jobber med planlegging er det en god ide afølge standardprosessen tett og sørge for at det blirplass til de nye primitivene der hvor vi ma bruke dem.
Recommended