Tiefgehende Analyse: Haben wir zu viel Angst vor den kryptografischen Sicherheitsbedrohungen durch Quantencomputer?

Der Zeitrahmen der Bedrohungen durch Quantencomputer ist oft übertrieben, und das Risiko von Programmschwachstellen ist kurzfristig immer noch viel größer als das von Quantenangriffen. Blockchains müssen nicht überstürzt sein, um Post-Quanten-Signaturen bereitzustellen, aber die Planung sollte sofort beginnen. Dieser Artikel basiert auf einem Artikel von Justin Thaler, der von Vernacular Blockchain zusammengestellt, zusammengestellt und verfasst wurde. (Zusammenfassung: Raoul Pal warnt: Wenn die Fed kein Geld für QE druckt, “wird die Liquidität knapp sein” oder eine Wiederholung der Finanzkrise 2018 am Repo-Markt) (Hintergrundbeitrag: Die USA veröffentlichen nächste Woche ihren September-Non-Farm-Lohnbericht, und der Markt beobachtet genau die Auswirkungen der (Fed) Zinssenkung der Fed) Der Zeitrahmen von kryptographischen Quantencomputern ist oft übertrieben – was zu einer dringenden und umfassenden Umstellung auf post-quantenbasierte Kryptographie führt. Diese Aufrufe ignorieren jedoch oft die Kosten und Risiken einer vorzeitigen Migration und ignorieren die stark unterschiedlichen Risikoprofile zwischen verschiedenen kryptographischen Primitiven: . Post-Quanten-Verschlüsselung erfordert trotz ihrer Kosten eine sofortige Bereitstellung: “Erst holen, später entschlüsseln” (Harvest-Now-Decrypt-Später sind HNDL) Angriffe bereits im Gange, da sensible Daten, die heute verschlüsselt sind, auch wenn Quantencomputer erscheinen, noch wertvoll sein werden. Der Performance-Overhead und Implementierungsrisiken der Post-Quanten-Verschlüsselung sind real, aber HNDL-Angriffe lassen keine Wahl für Daten, die langfristige Vertraulichkeit erfordern. Post-Quanten-Signaturen stehen vor anderen Überlegungen. Sie sind weniger anfällig für HNDL-Angriffe, und ihre Kosten und Risiken ( größere Größe, Leistungsüberkopf, unreife Implementierung und Fehler erfordern ) sorgfältige Überlegung statt sofortiger Migration. Diese Unterscheidungen sind entscheidend. Missverständnisse können die Kosten-Nutzen-Analyse verzerren, sodass Teams größere Sicherheitsrisiken – wie Programmierfehler (bugs) – übersehen. Die eigentliche Herausforderung beim erfolgreichen Übergang zur postquantenmechanischen Kryptographie besteht darin, Dringlichkeit mit realen Bedrohungen in Einklang zu bringen. Im Folgenden werde ich häufige Missverständnisse über die Bedrohungen durch Quanten für die Kryptographie beleuchten – darunter Kryptographie, Signaturen und Zero-Knowledge-Beweise – mit besonderem Fokus auf deren Auswirkungen auf die Blockchain. Wie läuft unser Zeitplan? Trotz der hochkarätigen Behauptungen ist die Wahrscheinlichkeit, dass in den 2020er Jahren ein kryptographiebezogener Quantencomputer (CRQC), äußerst gering. Mit “kryptographiebezogene Quantencomputer” meine ich einen fehlertoleranten, fehlerkorrigierenden Quantencomputer, der in der Lage ist, den Shor-Algorithmus in einem Maßstab auszuführen, der ausreicht, um elliptische Kurvenkryptographie oder RSA innerhalb eines angemessenen Zeitrahmens anzugreifen ( zum Beispiel {secp}256{k}1- oder {RSA-2048}-Angriffe auf elliptische Kurvenkryptographie oder RSA innerhalb eines maximalen Monats kontinuierlicher Berechnung zu knacken. Basierend auf jeder vernünftigen Interpretation öffentlicher Meilensteine und Ressourcenschätzungen sind wir noch weit von kryptographisch verwandten Quantencomputern entfernt. Unternehmen behaupten manchmal, dass CRQC vor 2030 oder deutlich vor 2035 erscheinen könnte, aber öffentlich bekannte Entwicklungen stützen diese Behauptungen nicht. Zum Kontext: In allen aktuellen Architekturen – gefangenen Ionen, supraleitenden Qubits und neutralen atomaren Systemen – kommen heutige Quantencomputing-Plattformen nicht annähernd an die Hunderttausende bis Millionen physikalischer Qubits heran, die für den Shor-Algorithmus-Angriff {RSA-2048} oder {secp}256{k}1 ( erforderlich sind, je nach Fehlerrate und Fehlerkorrekturschema ). Die Grenzfaktoren sind nicht nur die Anzahl der Qubits, sondern auch die Gattertreue, die Qubit-Konnektivität und die Tiefe der kontinuierlichen Fehlerkorrekturschaltungen, die für den Betrieb tiefer quantenmechanischer Algorithmen erforderlich sind. Während einige Systeme inzwischen über 1.000 physische Qubits besitzen, ist die ursprüngliche Anzahl der Qubits selbst irreführend: Diese Systeme verfügen nicht über die für kryptographische Berechnungen erforderliche Qubit-Konnektivität und Gate-Fidelität. Neuere Systeme liegen nahe an der physikalischen Fehlerrate, mit der die Quantenfehlerkorrektur ins Spiel kommt, aber niemand hat bewiesen, dass mehr als eine Handvoll logischer Qubits eine kontinuierliche Fehlerkorrektur-Schaltungstiefe besitzt… Ganz zu schweigen von den Tausenden von hochauflösenden, tiefschaltungsfähigen, fehlertoleranten Logikqubits, die nötig sind, um den Shor-Algorithmus tatsächlich auszuführen. Die Lücke zwischen dem Beweis, dass Quantenfehlerkorrektur prinzipiell machbar ist, und dem erforderlichen Maßstab zur Kryptanalyse bleibt erheblich. Kurz gesagt: Sofern sowohl die Anzahl der Qubits als auch die Genauigkeit nicht um mehrere Größenordnungen steigen, sind kryptographische Quantencomputer weiterhin unerreichbar. Allerdings können Unternehmenspressemitteilungen und Medienberichterstattung verwirrend sein. Hier sind einige häufige Quellen von Missverständnissen und Verwirrung, darunter: Demos behaupten “Quantenvorteil” und zielen derzeit auf von Menschen entworfene Aufgaben ab. Diese Aufgaben wurden nicht wegen ihrer Praktikabilität gewählt, sondern weil sie auf vorhandener Hardware laufen konnten und dabei eine große Quantenbeschleunigung zeigten – eine Tatsache, die in Ankündigungen oft verschwommen wird. Das Unternehmen behauptet, Tausende physischer Qubits erreicht zu haben. Dies bezieht sich jedoch auf Quanten-Annealing-Maschinen, nicht auf Gate-Modell-Maschinen, die benötigt werden, um den Shor-Algorithmus auszuführen, um die Public-Key-Kryptographie anzugreifen. Das Unternehmen verwendet frei den Begriff “logische Qubits”. Physische Qubits sind laut. Wie bereits erwähnt, benötigen Quantenalgorithmen logische Qubits; Der Shor-Algorithmus benötigt Tausende. Mit der Quantenfehlerkorrektur kann ein logisches Qubit mit vielen physikalischen Qubits implementiert werden – meist Hunderte bis Tausende, abhängig von der Fehlerquote. Aber einige Unternehmen haben den Begriff bis zur Unkenntlichkeit erweitert. Zum Beispiel behauptet eine kürzliche Ankündigung, eine Distanz von 2 Yards zu verwenden und einen logischen Qubit mit nur zwei physischen Qubits zu implementieren. Das ist absurd: Eine Entfernung von 2 Yards erkennt nur Fehler, korrigiert sie nicht. Wirklich fehlertolerante logische Qubits für die Kryptoanalyse benötigen jeweils Hunderte bis Tausende physischer Qubits, nicht zwei. Allgemeiner verwenden viele Quantencomputing-Roadmaps den Begriff “logische Qubits”, um Qubits zu bezeichnen, die nur Clifford-Operationen unterstützen. Diese Operationen können für klassische Simulationen effizient ausgeführt werden und reichen daher nicht aus, um den Shor-Algorithmus auszuführen, der Tausende fehlerkorrigierter T-Gatter ( oder allgemeineren Nicht-Clifford-Gate-) erfordert. Selbst wenn eine der Roadmaps darauf abzielt, “Tausende logischer Qubits im Jahr X zu erreichen”, bedeutet das nicht, dass das Unternehmen erwartet, im selben Jahr X den Shor-Algorithmus laufen zu lassen, um klassische Kryptographie zu knacken. Diese Praktiken haben die öffentliche Wahrnehmung darüber, wie nah wir kryptografisch verwandten Quantencomputern sind, selbst unter etablierten Beobachtern stark verzerrt. Dennoch sind einige Experten sehr begeistert von dem Fortschritt. Zum Beispiel schrieb Scott Aaronson kürzlich, dass ich angesichts der “derzeit atemberaubenden Geschwindigkeit der Hardwareentwicklung” nun glaube, dass es realistisch ist, dass wir vor der nächsten US-Präsidentschaftswahl einen fehlertoleranten Quantencomputer mit dem Shor-Algorithmus haben werden. Aaronson stellte jedoch später klar, dass seine Aussage nicht kryptographiebezogene Quantencomputer meint: Er argumentiert, dass selbst wenn ein vollständig fehlertoleranter Shor-Algorithmus eine Faktorisierung von 15 = 3 imes 5 durchführt, er als Implementierung gilt – und diese Berechnung lässt sich mit Bleistift und Papier viel schneller durchführen. Der Standard ist immer noch, den Shor-Algorithmus im kleinen Maßstab auszuführen, nicht in kryptographischem Maßstab, da frühere Experimente mit der Faktorisierung 15 auf Quantencomputern vereinfachte Schaltungen anstelle eines vollständigen, fehlertoleranten Shor-Algorithmus verwendeten. Und es gibt einen Grund, warum diese Experimente immer die Zahl 15 herunterfaktorisierten: Arithmetische Berechnungen für modulo 15 sind einfach, während es viel schwieriger ist, etwas größere Zahlen wie 21 zu reduzieren. Daher verlassen sich Quantenexperimente, die behaupten, 21 zu analysieren, oft auf zusätzliche Hinweise oder Abkürzungen. Kurz gesagt, die Erwartung eines kryptographiebezogenen Quantencomputers, der in den nächsten 5 Jahren {RSA-2048} oder {secp}256{k}1 knacken kann – das ist entscheidend für die tatsächliche Kryptographie…