Frage:
Welche Arten der Verschlüsselung können über Quantencomputer nicht gebrochen werden?
Tobias Kienzler
2014-01-03 20:15:59 UTC
view on stackexchange narkive permalink

Es gibt den jüngsten Artikel Die NSA versucht, einen Quantencomputer zu bauen, der die meisten Arten der Verschlüsselung knacken kann. Jetzt bin ich nicht überrascht, dass die NSA irgendetwas 1 sup> versucht, aber was mich etwas verwirrt, ist das Wort "am meisten" - also, welche Verschlüsselungsalgorithmen bekannt sind und ausreichend vor Ort getestet wurden, die nicht stark anfällig für Quantum Computing?

1) Ja, ich wäre nicht einmal überrascht, wenn sie eine Geheimabteilung für Wahrsagerei hätten ...
Quantencomputer sind noch weit entfernt. Das Konzept basiert auf der Verwendung von Bits, die, wenn sie nicht beobachtet werden, sowohl 1 als auch 0 sind und so mit allen Werten rechnen können, die in dem gegebenen Raum dargestellt werden können - mit einer Berechnung. So romantisch dies klingt, muss ich noch hören eine Möglichkeit, mit diesen Bits zu rechnen, ohne sie zu beachten.
Gehen Sie nicht davon aus, dass eine Organisation von der Größe der NSA versucht, etwas aufzubauen, von dem sie erwartet, dass es bald eine erfolgreiche Bereitstellung durchführt. Da Wettrüsten Rennen sind, wird eine Organisation oft etwas erforschen, weil sie nicht erst anfangen wollen, wenn ihre Konkurrenten eines einsetzen. Wenn die NSA ein Brain-Trust von Menschen aufbaut, die sich mit Quantencomputern auskennen, können sie möglicherweise eine vor ihren Konkurrenten einsetzen und sind weniger wahrscheinlich platt.
Mein Anliegen ist nicht die NSA, die genauso gut einige weniger angenehme Fleischweltmethoden anwenden könnte, um ihre Geheimnisse zu erlangen, sondern die Auswirkungen der Qualitätskontrolle im Allgemeinen
Warum würden Quantencomputer nicht auch eine entsprechend stärkere Verschlüsselung ermöglichen?
@mirimir Wer hat das behauptet? Natürlich gibt es Quantenkryptografie, aber selbst wenn sie einmal verfügbar ist, kann es sich vermutlich nicht jeder leisten. Daher ist es immer noch wichtig zu wissen, auf welche klassische Verschlüsselung man sich verlassen kann, selbst wenn potenzielle Lauscher über Quantencomputer verfügen
Verwenden Sie am besten OTP in der realen Welt und für die virtuelle Welt symmetrische Algorithmen + 256-Bit-Schlüssel. Schauen Sie sich diese http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance an
@November [dieses nette Gedankenexperiment] leicht modifizieren (http://physics.stackexchange.com/a/3162/97), nehmen Sie an, ein Freund von Ihnen ist nach draußen gegangen, bevor es kalt wurde. Weder Sie noch sie wissen, wie viele Handschuhe (falls vorhanden) sie mitgenommen haben, aber beide wissen, wo sich die verbleibenden befinden würden. und dass Ihr Freund aufgrund der starken Erkältung für die verbleibenden Handschuhe nach Hause zurückkehren würde, sobald er bemerkte, dass einige fehlten. Nehmen Sie dasselbe für einen Freund an, den Ihr Freund draußen treffen wollte. Beobachten Sie nun, ob einige ihrer Handschuhe zu Hause sind - und voilà können Sie feststellen, ob sie sich draußen getroffen haben oder nach Hause kommen
@November Ihr Wissen ist veraltet. Berechnungen an qbits * wurden * durchgeführt. Nur nicht sehr viele. Dieses Konzept hat jedoch nichts „Romantisches“, es wurde in der Praxis demonstriert.
Danke, dass du mich verbessert hast. Das ist sehr aufregend. Haben Sie einen Link, der dies ausführlicher erklärt?
@November Dies kam gerade heraus: http://arxiv.org/pdf/1512.02206v1.pdf Es ist ein bisschen technisch und erfordert einiges an Wissen, um nutzbar zu sein, aber ich denke, die meisten Leute hier sind :-)
Fünf antworten:
Thomas Pornin
2014-01-03 21:01:05 UTC
view on stackexchange narkive permalink

Wie üblich ist der Journalismus, der über technische Themen spricht, in Bezug auf Details eher verschwommen ...

Angenommen, ein echter Quantencomputer kann gebaut werden, dann:

  • RSA und andere Algorithmen, die auf der Härte der ganzzahligen Faktorisierung beruhen (z. B. Rabin), sind Toast. Shors Algorithmus berücksichtigt große Ganzzahlen sehr effizient.
  • DSA, Diffie-Hellman ElGamal und andere Algorithmen, die auf der Härte des diskreten Logarithmus beruhen, sind gleichermaßen gebrochen. Eine Variante von Shors Algorithmus gilt ebenfalls. Beachten Sie, dass dies für jede Gruppe gilt, sodass elliptische Kurvenvarianten dieser Algorithmen nicht besser abschneiden.

  • Symmetrische Verschlüsselung ist geschwächt ; Ein Quantencomputer kann nämlich einen Raum der Größe 2n in der Zeit 2 n / 2 sup> durchsuchen. Dies bedeutet, dass ein 128-Bit-AES-Schlüssel auf die Stärke eines 64-Bit-Schlüssels zurückgestuft wird. Beachten Sie jedoch, dass es sich um 2 /> Quantum handelt -computing i> Operationen; Sie können keine Zahlen aus Studien mit FPGA und GPU anwenden und blind davon ausgehen, dass ein Quantencomputer, wenn er überhaupt gebaut werden kann, billig gebaut und betrieben werden kann

In ähnlicher Weise würde der Widerstand der Hash-Funktion gegen verschiedene Arten von Angriffen auf ähnliche Weise verringert. Grob gesagt würde eine Hash-Funktion mit einer Ausgabe von n Bits Vorbildern mit der Stärke 2 n/2 und Kollisionen bis zu 2 widerstehen n / 3 sup> (Zahlen mit klassischen Computern sind 2 n sup> und 2 n / 2 sup > ). SHA-256 wäre heutzutage immer noch so stark gegen Kollisionen wie eine 170-Bit-Hash-Funktion, d. H. Besser als ein "perfektes SHA-1".

Die symmetrische Kryptographie würde also nicht ernsthaft beschädigt, wenn sich herausstellen würde, dass ein Quantencomputer gebaut wurde. Selbst wenn es sehr billig gebaut werden könnte, würden tatsächliche symmetrische Verschlüsselungs- und Hash-Funktionsalgorithmen immer noch ein gutes Maß an Widerstand bieten. Für eine asymmetrische Verschlüsselung würde dies jedoch Probleme bedeuten. Wir kennen jedoch mehrere asymmetrische Algorithmen, für die kein effizienter QC-basierter Angriff bekannt ist, insbesondere Algorithmen, die auf Gitterreduktion (z. B. NTRU) und der ehrwürdigen McEliece-Verschlüsselung basieren. Diese Algorithmen sind heutzutage aus verschiedenen Gründen nicht sehr beliebt (frühe Versionen von NTRU erwiesen sich als schwach; es gibt Patente; McElieces öffentliche Schlüssel sind riesig ; usw.), aber einige würden es immer noch tun akzeptabel sein.

Das Studium der Kryptographie unter der Annahme, dass effiziente Quantencomputer gebaut werden können, wird als Post-Quanten-Kryptographie bezeichnet.

Persönlich I. Ich glaube nicht, dass ein knappes Budget von 80 Millionen Dollar die NSA weit bringen würde. IBM hat jahrzehntelang an diesem Thema gearbeitet und viel mehr ausgegeben, und ihre besten Prototypen sind nicht erstaunlich. Es ist sehr plausibel, dass die NSA einige Dollar für die Idee des Quantencomputers ausgegeben hat. Schließlich ist das ihre Aufgabe, und es wäre ein Skandal, wenn Steuergelder nicht in diese Art von Forschung fließen würden. Aber es gibt einen Unterschied zwischen Suchen und Finden ...

+1 und wünschte, ich könnte dir +10 nur für die letzten beiden Sätze geben. Bei all den Skandalen um ihre Missbräuche vergisst man manchmal leicht, dass es ihre * Aufgabe * ist, Menschen auszuspionieren, wenn alles gesagt und getan ist, und wir protestieren dagegen, dass sie dabei nicht zurückhaltend sind ...
+1 - Natürlich könnten Sie in Betracht ziehen, dass die NSA mit 80 Millionen Dollar nur [Schläger einstellen könnte, um private Schlüssel aus den meisten Zielen zu schlagen] (http://xkcd.com/538/) ... Andererseits könnten sie es haben zwang IBM und andere, sich "freiwillig" zu melden, um ihre bisher geheimsten Forschungsfortschritte zu liefern
@Thomas Pornin Ist die Komplexität der Suche in einem Raum aufgrund des Unsicherheitsprinzips geringer? Ich könnte weit weg sein .....
@Rell3oT: die Idee ist, dass ein Qubit eine Überlagerung mehrerer Zustände ist, und somit werden bis zu einem gewissen Grad mit einer Operation mehrere Berechnungen gleichzeitig durchgeführt. Das Unsicherheitsprinzip ist ein weiterer, eher nicht verwandter Ausdruck der Tatsache, dass sich das, was wir als "Materie" betrachten, auf Quantenebene tatsächlich wie eine Wahrscheinlichkeitsverteilung verhält.
Okay, danke @ThomasPornin. Was Sie beschrieben haben, ist das, was ich für das Unsicherheitsprinzip hielt. Anscheinend muss ich auffrischen ...
Bedeutet dies nicht, dass, wenn RSA unterbrochen werden kann, alle TLS-Sitzungen mit Zertifikaten im Wesentlichen unterbrochen werden, da RSA zu Beginn der Sitzung zum Aushandeln eines symmetrischen Schlüssels verwendet wird? Können wir noch PFS haben?
@Rell3oT Die Unsicherheit besteht darin, dass es nicht ausreicht, die Überlagerung von Zuständen auszunutzen, sondern dass Sie dies so tun müssen, dass Sie anschließend das gesamte Ergebnis messen können, ohne den bereits gemessenen Teil davon zu ändern - z. Wenn ein Bit in der x-Koordinate und ein anderes in dem Impuls dieser Richtung codiert wäre, könnten Sie immer noch geschraubt sein, da die Messung des Impulses (ausreichend genau) die gerade gemessene x-Koordinate (maximal mögliche Genauigkeit) rückwirkend ändert und umgekehrt. Übrigens, überprüfen Sie http://physics.stackexchange.com;)
@Matrix RSA (oder DSA) wird verwendet, damit sich der Server identifiziert. Bei der Schlüsselverhandlung wird [Diffie-Hellman] (https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange) verwendet. Da dies jedoch genauso wie DSA auf dem diskreten Logarithmus beruht, ist er für Quantum Computing wahrscheinlich genauso anfällig. Ich wäre jedoch überrascht, wenn es keine Möglichkeit gäbe, die weniger QC-anfälligen Methoden für PFS zu verwenden / zu ändern
Und was wäre, wenn die Verschlüsselung auch auf einem Quantencomputer durchgeführt würde?
@Jojo01: Ich denke, einige Verschlüsselungsalgorithmen, die für die Ausführung auf Quantencomputern entwickelt wurden, wurden definiert (ich erinnere mich derzeit nicht an die Details).Sie sollten Angreifern mit Quantencomputern widerstehen, aber sie benötigen auch einen Quantencomputer, und da Quantencomputer derzeit nicht verfügbar sind, können wir sie nicht testen.Nehmen wir an, sie sind eine interessante intellektuelle Konstruktion, die in einer zukünftigen Welt, in der jeder einzelne Computer und jedes Smartphone ein Quantencomputer ist, nützlich sein könnte.
@ThomasPornin Ja, ich denke, dass Quantencomputer die Kontosicherheit verbessern werden, da die großen Unternehmen höchstwahrscheinlich Quantencomputer verwenden werden, die ein typischer Hacker nicht hat.Wenn Quantencomputer zum Verbraucherhebel gelangen, geht dieser Vorteil natürlich verloren und die Situation geht auf Null zurück.
Was ist mit Serpent?Ich habe gelesen, dass es auch nicht betroffen ist.
@skan: Serpent ist ein symmetrischer Verschlüsselungsalgorithmus.Was ich über AES sage, gilt auch für Serpent.Tatsächlich bedeutet dies, dass die Schlangenverschlüsselung mit einem 128-Bit-Schlüssel mit etwa 2 ^ 64 Operationen auf einem Quantencomputer unterbrochen werden könnte (2 ^ 64 ist auf einem klassischen Computer bereits eine sehr erhebliche Menge).
Nachdem ich mich viel mit IBM beschäftigt habe, habe ich den Verdacht, dass sie vor Jahrzehnten einen Quantencomputer entwickelt haben, aber niemand kann den Link dafür auf ihrer Website finden.
"Beachten Sie, dass dies $ 2 ^ 64 $ Quantencomputeroperationen sind": Auch diese Operationen müssen sequentiell sein, was bedeutet, dass Ihr Quantencomputer sehr schnell sein muss ($ 2 ^ 64 $ Nanosekunden> 500 Jahre).Mit $ K $ parallelen Quantencomputern erhalten Sie eine kleine Beschleunigung, aber Sie benötigen immer noch Zeit $ \ frac {2 ^ 64} {\ sqrt {K}} $.Siehe https://quantumcomputing.stackexchange.com/a/4538/5047
mricon
2014-01-03 21:05:28 UTC
view on stackexchange narkive permalink

Quantum Computing wird die asymmetrische Verschlüsselung am dramatischsten beeinflussen, aber symmetrische Algorithmen gelten als sicher mit einer ausreichend großen Schlüsselgröße (256 Bit). Also, ja, wir müssen x509 / SSL neu erfinden, bis das Quantencomputing wirklich startet (was TODO groß genug ist), aber es wird große Bereiche der Kryptographie geben, die relativ sicher bleiben.

http://en.wikipedia.org/wiki/Post-quantum_cryptography http://www.pqcrypto.org/www.springer.com/cda/content/document/cda_downloaddocument/ 9783540887010-c1.pdf

0skar
2016-03-08 00:26:36 UTC
view on stackexchange narkive permalink

Wenn Kryptographen über Quantencomputer und Post-Quanten-Kryptographie sprechen, sprechen sie tatsächlich über die Leistungsfähigkeit des Shor-Algorithmus beim Faktorisieren von Zahlen, sodass schwierige Probleme, die auf dem Faktorisieren von Zahlen basieren, die zum Erstellen von Kryptosystemen verwendet werden, gebrochen werden Shors Algorithmus (Quantencomputer), so dass RSA, DSA, ELGamal, Diffie-Hellman-Schlüsselaustausch und ECC für Quantencomputer anfällig sind!

In der Kryptographie mit öffentlichen Schlüsseln sind drei Schemata quantensicher:

  • Gitterbasierte Kryptographie wie NTRUEncrypt; basierend auf Gittern
  • Code-basierte Kryptographie wie McEliece-Kryptosystem; basierend auf Informationstheorie
  • multivariate Kryptographie wie Hidden Fields Equations
    • ol>

    und bei symmetrischer Verschlüsselung wie AES sind Sie gegen Quantencomputer und NSA sicher, wenn Sie einen langen Schlüssel wählen !

    für zukünftige Lektüre: Link zum Quanta-Magazin und Post-Quanten-Kryptographie-Buch

    sean
    2015-03-14 21:08:01 UTC
    view on stackexchange narkive permalink

    1-Time-Pad bleibt die stärkste, nicht knackbare (bei ordnungsgemäßer Verwendung) Verschlüsselung. Natürlich müssen Sie das Pad von Angesicht zu Angesicht tauschen, aber ich gehe davon aus, dass 95% der Personen, die diese Sicherheitsstufe benötigen, sich treffen werden, bevor sie eine sichere Kommunikation einrichten.

    Geben Sie lediglich an, welcher 256-Bit-Schlüssel verwendet werden soll für eine bestimmte Nachricht funktioniert einwandfrei und wird von den Sicherheitsdiensten verwendet.

    Dies erklärt nicht, welche Arten der Verschlüsselung von Quantencomputern nicht gebrochen werden können, und beantwortet daher die Frage nicht wirklich.
    @Xander Diese Antwort besagt, dass die One-Time-Pad-Methode unzerbrechlich ist, was eine korrekte Aussage ist.
    Ich verstehe nicht, warum in dieser Antwort 256-Bit-Schlüssel erwähnt werden.Beim Verschlüsseln eines 1024-Bit-Klartextes mit einem 256-Bit-Schlüssel wird kein OTP verwendet.
    Bardeen
    2014-01-04 09:38:37 UTC
    view on stackexchange narkive permalink

    Um zusätzlichen Schutz gegen die NSA zu bieten, verschlüsseln Sie im AES-Kettenblock-Verschlüsselungsmodus, verschlüsseln Sie dann den Verschlüsselungstext (das Ergebnis der ersten Verschlüsselung) erneut und wiederholen Sie den Vorgang so oft, wie Sie es sich leisten können. Die NSA würde wahrscheinlich versuchen, mit Brute-Force-Suche durch den Suchraum zu gehen und herauszufinden, dass sie den Code geknackt haben, indem sie die Entropie des Ergebnisses für jeden der von ihnen getesteten Schlüssel ermittelt. Sie wissen, wann sie aufhören müssen, wenn sie als Ergebnis aussagekräftigen Text sehen. Durch mehrmaliges Verschlüsseln wird es für sie schwieriger festzustellen, wann sie einen Code geknackt haben, denn wenn sie den richtigen Schlüssel ausprobieren würden, würden sie als Ergebnis ein Durcheinander sehen, das von den Ergebnissen der falschen Schlüssel kaum zu unterscheiden ist. Wenn Sie die Anzahl der Neuverschlüsselungen erhöhen, wird die Schwierigkeit, verschlüsselte Inhalte zu knacken, schwieriger. Die NSA wird den Verstand verlieren, wenn sie versucht herauszufinden, wann sie den Code geknackt hat.

    Software wie TrueCrypt kann mehrere Verschlüsselungen für Sie durchführen. Achten Sie jedoch auf eine naive Verschlüsselung, die einfach im EZB-Modus (Electronic Code Book) ausgeführt wird. Sie benötigen eine Verschlüsselung, die in einem der komplexeren Modi wie "Chain Block Cipher" oder "Cipher Feedback" ausgeführt wird. Ja, ein Quantencomputer würde es der NSA erleichtern, die möglichen Schlüssel zum Ausprobieren durchzugehen. Durch mehrmaliges Verschlüsseln (natürlich mit einem VERSCHIEDENEN Schlüssel für jede Verschlüsselungswiederholung) wird der Suchraum jedoch um einen Faktor der Schlüssellänge erschwert. Hoffentlich hilft Ihnen dies dabei, Ihre Sachen außerhalb der Reichweite der NSA zu halten.

    Die Auswirkungen der Anwendung mehrerer Verschlüsselungsebenen können sehr komplex sein und im schlimmsten Fall die Sicherheit der einzelnen Ebenen verringern - zum Beispiel "XOR" für die gesamte Nachricht - zweimal - Sie erhalten die ursprüngliche Nachricht! Und selbst wenn Sie zwei verschiedene Schlüssel verwenden, entspricht dies immer noch dem XOR mit einem völlig anderen Schlüssel. Mit AES ist es natürlich komplexer, aber Sie würden sich wirklich einen Gefallen tun, indem Sie stattdessen die Schlüsselgröße erhöhen ...
    @TobiasKienzler Dies gilt nur für bestimmte Arten von Chiffren.Für Stream-Chiffren ist alles in Ordnung, solange die Nonce unterschiedlich ist.Bei (den meisten) Blockchiffren spielt es keine Rolle, ob der Schlüssel unterschiedlich ist oder nicht. Wenn der Schlüssel jedoch der gleiche ist, erhalten Sie keine zusätzliche Sicherheit.Für so etwas wie AES ist es absolut sicher, mehrere Verschlüsselungen durchzuführen. Normalerweise ist es nur ein bisschen albern und unnötig.
    @forest Etwas Dummes und Unnötiges zu tun ist unsicher, da Sie Rechenressourcen für etwas verschwenden, das die Sicherheit nicht wirklich erhöht, wenn eine angemessene Verwendung dieser Ressource möglich ist
    @TobiasKienzler Das stimmt.Die zunehmende Komplexität kann zu Fehlern führen.Ich meinte nur, dass es in den meisten Fällen nicht rein kryptografisch unsicher war.


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...