การวิเคราะห์เชิงลึก: เรากลัวภัยคุกคามด้านความปลอดภัยในการเข้ารหัสที่เกิดจากคอมพิวเตอร์ควอนตัมมากเกินไปหรือไม่?

ไทม์ไลน์ของภัยคุกคามคอมพิวเตอร์ควอนตัมมักเกินจริง และความเสี่ยงของช่องโหว่ของโปรแกรมยังคงมากกว่าการโจมตีควอนตัมในระยะสั้นมาก บล็อกเชนไม่จําเป็นต้องรีบปรับใช้ลายเซ็นหลังควอนตัม แต่การวางแผนควรเริ่มทันที บทความนี้ได้มาจากบทความที่เขียนโดย Justin Thaler รวบรวม รวบรวม และเขียนโดย Vernacular Blockchain (สรุป: Raoul Pal เตือน: หากเฟดไม่พิมพ์เงินสําหรับ QE “สภาพคล่องจะขาดแคลน” หรือเกิดวิกฤตการเงินปี 2018 ซ้ําซากในตลาด repo) (ข้อมูลเสริม: สหรัฐฯ จะเผยแพร่รายงานการจ้างงานนอกภาคเกษตรประจําเดือนกันยายนในสัปดาห์หน้า และตลาดกําลังจับตาดูผลกระทบของการปรับลดอัตราดอกเบี้ย (Fed) ของเฟดอย่างใกล้ชิด)ไทม์ไลน์ของคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสมักจะเกินจริง ซึ่งนําไปสู่ความต้องการการเปลี่ยนไปใช้การเข้ารหัสหลังควอนตัมอย่างเร่งด่วนและครอบคลุม แต่การโทรเหล่านี้มักจะเพิกเฉยต่อต้นทุนและความเสี่ยงของการย้ายข้อมูลก่อนเวลาอันควร และเพิกเฉยต่อโปรไฟล์ความเสี่ยงที่แตกต่างกันอย่างมากระหว่างการเข้ารหัสดั้งเดิมที่แตกต่างกัน: การเข้ารหัสหลังควอนตัมต้องมีการปรับใช้ทันทีแม้จะมีค่าใช้จ่าย: “รับก่อน ถอดรหัสทีหลัง” ( เก็บเกี่ยว-ตอนนี้-ถอดรหัส-ภายหลัง การโจมตี HNDL) กําลังดําเนินการอยู่แล้ว เนื่องจากข้อมูลที่ละเอียดอ่อนที่เข้ารหัสในปัจจุบันจะยังคงมีค่าเมื่อคอมพิวเตอร์ควอนตัมมาถึง แม้ว่าจะเป็นอีกหลายทศวรรษข้างหน้าก็ตาม ค่าใช้จ่ายด้านประสิทธิภาพและความเสี่ยงในการใช้งานของการเข้ารหัสหลังควอนตัมนั้นมีอยู่จริง แต่การโจมตี HNDL ทําให้ไม่มีทางเลือกสําหรับข้อมูลที่ต้องการการรักษาความลับในระยะยาว ลายเซ็นหลังควอนตัมต้องเผชิญกับการพิจารณาที่แตกต่างกัน พวกเขามีความเสี่ยงน้อยกว่าต่อการโจมตี HNDL และต้นทุนและความเสี่ยง ( ขนาดที่ใหญ่ขึ้นค่าใช้จ่ายด้านประสิทธิภาพการใช้งานที่ยังไม่สมบูรณ์และการ ) ข้อบกพร่องจําเป็นต้องมีการพิจารณาอย่างรอบคอบมากกว่าการย้ายข้อมูลในทันที ความแตกต่างเหล่านี้มีความสําคัญ ความเข้าใจผิดอาจทําให้การวิเคราะห์ต้นทุนและผลประโยชน์บิดเบือน ทําให้ทีมมองข้ามความเสี่ยงด้านความปลอดภัยที่โดดเด่นมากขึ้น เช่น ข้อผิดพลาดในการเขียนโปรแกรม (bugs) ความท้าทายที่แท้จริงในการเปลี่ยนไปใช้การเข้ารหัสหลังควอนตัมให้ประสบความสําเร็จอยู่ที่การจับคู่ความเร่งด่วนกับภัยคุกคามที่แท้จริง ด้านล่างนี้ ฉันจะให้ความกระจ่างเกี่ยวกับความเข้าใจผิดทั่วไปเกี่ยวกับภัยคุกคามของควอนตัมต่อการเข้ารหัส ซึ่งครอบคลุมการเข้ารหัส ลายเซ็น และการพิสูจน์ความรู้เป็นศูนย์ โดยมุ่งเน้นไปที่ผลกระทบต่อบล็อกเชนเป็นพิเศษ ไทม์ไลน์ของเราเป็นอย่างไร? แม้จะมีการอ้างสิทธิ์ที่มีชื่อเสียง แต่ความเป็นไปได้ของการ (CRQC) คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสในปี 2020 นั้นต่ํามาก โดย “คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัส” ฉันหมายถึงคอมพิวเตอร์ควอนตัมที่ทนต่อข้อผิดพลาดและแก้ไขข้อผิดพลาดที่สามารถเรียกใช้อัลกอริทึม Shor ในระดับที่เพียงพอที่จะโจมตีการเข้ารหัสเส้นโค้งวงรีหรือ RSA ภายในกรอบเวลาที่เหมาะสม ( เช่น เพื่อถอดรหัสการโจมตี {secp}256{k}1 หรือ {RSA-2048} ในการเข้ารหัสเส้นโค้งวงรีหรือ RSA ภายในสูงสุดหนึ่งเดือนของการคํานวณต่อเนื่อง จากการตีความเหตุการณ์สําคัญสาธารณะและการประมาณการทรัพยากรที่สมเหตุสมผลเรายังห่างไกลจากคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัส บางครั้งบริษัทต่างๆ อ้างว่า CRQC อาจปรากฏก่อนปี 2030 หรือก่อนปี 2035 แต่การพัฒนาที่เป็นที่รู้จักต่อสาธารณชนไม่สนับสนุนการอ้างสิทธิ์เหล่านี้ สําหรับบริบท ในสถาปัตยกรรมปัจจุบันทั้งหมด – ไอออนที่ถูกคุมขัง คิวบิตตัวนํายิ่งยวด และระบบอะตอมที่เป็นกลาง – แพลตฟอร์มคอมพิวเตอร์ควอนตัมในปัจจุบันไม่ได้ใกล้เคียงกับการเรียกใช้คิวบิตทางกายภาพหลายแสนถึงหลายล้านคิวบิตที่จําเป็นในการเรียกใช้การโจมตีอัลกอริทึม Shor {RSA-2048} หรือ {secp}256{k}1 ( ขึ้นอยู่กับอัตราความผิดพลาดและรูปแบบการแก้ไขข้อผิดพลาด ) ปัจจัยจํากัดไม่ได้เป็นเพียงจํานวนคิวบิตเท่านั้น แต่ยังรวมถึงความเที่ยงตรงของเกต การเชื่อมต่อคิวบิต และความลึกของวงจรแก้ไขข้อผิดพลาดอย่างต่อเนื่องที่จําเป็นในการเรียกใช้อัลกอริทึมควอนตัมเชิงลึก แม้ว่าบางระบบจะมีคิวบิตทางกายภาพมากกว่า 1,000 คิวบิต แต่จํานวนคิวบิตดั้งเดิมนั้นทําให้เข้าใจผิด: ระบบเหล่านี้ขาดการเชื่อมต่อคิวบิตและความเที่ยงตรงของเกตที่จําเป็นสําหรับการคํานวณที่เกี่ยวข้องกับการเข้ารหัส ระบบล่าสุดใกล้เคียงกับอัตราข้อผิดพลาดทางกายภาพที่การแก้ไขข้อผิดพลาดควอนตัมเข้ามามีบทบาท แต่ไม่มีใครพิสูจน์ได้ว่าคิวบิตเชิงตรรกะมากกว่าหนึ่งกํามือมีความลึกของวงจรแก้ไขข้อผิดพลาดอย่างต่อเนื่อง… ไม่ต้องพูดถึงคิวบิตลอจิกที่มีความเที่ยงตรงสูง วงจรลึก และทนต่อความผิดพลาดหลายพันรายการที่จําเป็นในการเรียกใช้อัลกอริทึม Shor จริงๆ ช่องว่างระหว่างการพิสูจน์ว่าการแก้ไขข้อผิดพลาดควอนตัมนั้นเป็นไปได้ในหลักการและมาตราส่วนที่จําเป็นในการบรรลุการวิเคราะห์การเข้ารหัสยังคงมีความสําคัญ กล่าวโดยย่อ: เว้นแต่ทั้งจํานวนคิวบิตและความเที่ยงตรงจะเพิ่มขึ้นหลายลําดับความสําคัญคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสก็ยังอยู่ไกลเกินเอื้อม อย่างไรก็ตาม ข่าวประชาสัมพันธ์ขององค์กรและการรายงานข่าวของสื่ออาจทําให้สับสนได้ ต่อไปนี้คือแหล่งที่มาของความเข้าใจผิดและความสับสนทั่วไป ได้แก่: การสาธิตที่อ้างว่า “ความได้เปรียบทางควอนตัม” ซึ่งปัจจุบันกําหนดเป้าหมายงานที่ออกแบบโดยมนุษย์ งานเหล่านี้ไม่ได้ถูกเลือกเพื่อการใช้งานจริง แต่เป็นเพราะสามารถทํางานบนฮาร์ดแวร์ที่มีอยู่ในขณะที่ดูเหมือนจะแสดงการเร่งความเร็วควอนตัมที่ยอดเยี่ยมซึ่งเป็นข้อเท็จจริงที่มักเบลอในการประกาศ บริษัทอ้างว่าประสบความสําเร็จในคิวบิตทางกายภาพหลายพันคิวบิต แต่นี่หมายถึงเครื่องหลอมควอนตัม ไม่ใช่เครื่องโมเดลเกตที่จําเป็นในการเรียกใช้อัลกอริทึม Shor เพื่อโจมตีการเข้ารหัสคีย์สาธารณะ บริษัทใช้คําว่า “คิวบิตเชิงตรรกะ” ได้อย่างอิสระ คิวบิตทางกายภาพมีเสียงดัง ดังที่ได้กล่าวไว้ก่อนหน้านี้อัลกอริทึมควอนตัมต้องการคิวบิตเชิงตรรกะ อัลกอริทึม Shor ต้องการหลายพัน ด้วยการแก้ไขข้อผิดพลาดควอนตัม คิวบิตเชิงตรรกะสามารถนําไปใช้กับคิวบิตทางกายภาพจํานวนมาก ซึ่งโดยปกติแล้วหลายร้อยถึงหลายพันคิวบิต ขึ้นอยู่กับอัตราความผิดพลาด แต่บางบริษัทได้ขยายระยะเวลาเกินกว่าจะจดจําได้ ตัวอย่างเช่น ประกาศล่าสุดอ้างว่าใช้ระยะทาง 2 หลาและใช้คิวบิตเชิงตรรกะที่มีคิวบิตทางกายภาพเพียงสองคิวบิต นี่เป็นเรื่องไร้สาระ: ระยะทาง 2 หลาจะตรวจจับข้อผิดพลาดเท่านั้นไม่ใช่การแก้ไข คิวบิตเชิงตรรกะที่ทนต่อความผิดพลาดอย่างแท้จริงสําหรับการวิเคราะห์การเข้ารหัสต้องใช้คิวบิตทางกายภาพหลายร้อยถึงหลายพันคิวบิต ไม่ใช่สองคิวบิต โดยทั่วไป แผนงานการประมวลผลควอนตัมจํานวนมากใช้คําว่า “คิวบิตเชิงตรรกะ” เพื่ออ้างถึงคิวบิตที่รองรับการดําเนินการ Clifford เท่านั้น การดําเนินการเหล่านี้สามารถทําได้อย่างมีประสิทธิภาพสําหรับการจําลองแบบคลาสสิก ดังนั้นจึงไม่เพียงพอที่จะเรียกใช้อัลกอริทึม Shor ซึ่งต้องใช้ T-gate ที่แก้ไขข้อผิดพลาดหลายพันรายการ ( ) ประตูที่ไม่ใช่ Clifford ทั่วไป แม้ว่าแผนงานแผนงานข้อใดข้อหนึ่งมีเป้าหมายเพื่อ “บรรลุคิวบิตเชิงตรรกะหลายพันคิวบิตในปีที่ X” แต่ก็ไม่ได้หมายความว่าบริษัทคาดว่าจะเรียกใช้อัลกอริทึม Shor เพื่อถอดรหัสการเข้ารหัสแบบคลาสสิกในปีเดียวกัน X การปฏิบัติเหล่านี้ได้บิดเบือนการรับรู้ของสาธารณชนอย่างรุนแรงว่าเราอยู่ใกล้กับคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสเพียงใด ที่กล่าวว่าผู้เชี่ยวชาญบางคนรู้สึกตื่นเต้นกับความคืบหน้า ตัวอย่างเช่น Scott Aaronson เพิ่งเขียนว่าเมื่อพิจารณาจาก “ความเร็วในการพัฒนาฮาร์ดแวร์ที่น่าตกตะลึงในปัจจุบัน” ตอนนี้ฉันเชื่อว่ามีความเป็นไปได้จริงที่เราจะมีคอมพิวเตอร์ควอนตัมที่ทนต่อความผิดพลาดที่ใช้อัลกอริทึม Shor ก่อนการเลือกตั้งประธานาธิบดีสหรัฐฯ ครั้งต่อไป แต่ Aaronson ชี้แจงในภายหลังว่าข้อความของเขาไม่ได้หมายถึงคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัส: เขาโต้แย้งว่าแม้ว่าอัลกอริทึม Shor ที่ทนต่อความผิดพลาดได้อย่างเต็มที่จะเรียกใช้แฟคตอริ่ง 15 = 3 imes 5 แต่ก็นับเป็นการใช้งาน - และการคํานวณนี้สามารถทําได้เร็วกว่ามากด้วยดินสอและกระดาษ มาตรฐานยังคงเป็นการดําเนินการอัลกอริทึม Shor ในระดับเล็ก ๆ ไม่ใช่ในระดับที่เกี่ยวข้องกับการเข้ารหัส เนื่องจากการทดลองก่อนหน้านี้กับแฟคตอริ่ง 15 บนคอมพิวเตอร์ควอนตัมใช้วงจรแบบง่ายแทนอัลกอริทึม Shor ที่ทนต่อความผิดพลาดเต็มรูปแบบ และมีเหตุผลที่การทดลองเหล่านี้คํานึงถึงหมายเลข 15 เสมอ: การคํานวณเลขคณิตสําหรับโมดูโล 15 นั้นง่าย ในขณะที่การแยกตัวประกอบตัวเลขที่ใหญ่กว่าเล็กน้อยเช่น 21 นั้นยากกว่ามาก ดังนั้นการทดลองควอนตัมที่อ้างว่าทําลาย 21 มักจะอาศัยคําแนะนําหรือทางลัดเพิ่มเติม กล่าวโดยย่อ ความคาดหวังของคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสที่สามารถถอดรหัส {RSA-2048} หรือ {secp}256{k}1 ได้ในอีก 5 ปีข้างหน้า ซึ่งเป็นสิ่งสําคัญต่อการเข้ารหัสที่แท้จริง…