Keuntungan distribusi kunci kuantum daripada kriptografi pasca-kuantum

Kriptografi pasca-kuantum seperti kriptografi berbasis kisi dirancang untuk aman bahkan jika komputer kuantum tersedia. Ini menyerupai enkripsi yang saat ini digunakan, tetapi didasarkan pada masalah yang kemungkinan besar tidak dapat dipecahkan secara efisien oleh komputer kuantum.

Jelas penelitian tentang distribusi kunci kuantum (QKD) terus berlanjut. Tapi apa sebenarnya keuntungan dari distribusi kunci kuantum daripada kriptografi pasca-kuantum?

Pengembangan teknologi baru seperti QKD dapat memiliki efek samping yang hebat, dan mungkin QKD akan lebih hemat biaya atau lebih cepat dalam jangka waktu yang sangat lama, tetapi saya ragu bahwa ini adalah alasan utama.

Jika terbukti bahwa protokol enkripsi asimetris yang diberikan bergantung pada masalah yang tidak dapat diselesaikan secara efisien bahkan oleh komputer kuantum, maka kriptografi kuantum menjadi sangat tidak relevan.

$\text{NP}$$\text{NP}\!\setminus\!\text{BQP}$

Secara umum, semua protokol enkripsi asimetris klasik aman di bawah asumsi bahwa masalah yang diberikan sulit untuk dipecahkan, tetapi dalam kasus apa pun, sepengetahuan saya, telah dibuktikan (dalam pengertian kompleksitas komputasi) bahwa masalah itu memang sulit secara eksponensial untuk diselesaikan. selesaikan dengan komputer kuantum (dan bagi banyak orang bahkan masalahnya tidak dapat diselesaikan secara efisien dengan komputer klasik ).

Saya pikir ini dijelaskan dengan baik oleh Bernstein dalam ulasannya tentang kriptografi post-quantum ( Link ). Mengutip dari bagian pertama di atas, di mana ia baru saja berbicara tentang sejumlah protokol enkripsi klasik:

Apakah ada serangan yang lebih baik pada sistem ini? Mungkin. Ini adalah risiko yang umum dalam kriptografi. Inilah sebabnya mengapa masyarakat menginvestasikan sejumlah besar waktu dan energi dalam cryptanalysis. Terkadang cryptanalysts menemukan serangan yang menghancurkan, menunjukkan bahwa suatu sistem tidak berguna untuk kriptografi; misalnya, setiap pilihan parameter yang dapat digunakan untuk sistem enkripsi kunci-publik Merkle-Hellman mudah dipecahkan. Terkadang cryptanalysts menemukan serangan yang tidak begitu menghancurkan tetapi memaksa ukuran kunci yang lebih besar. Terkadang cryptanalyst mempelajari sistem selama bertahun-tahun tanpa menemukan serangan yang lebih baik, dan komunitas kriptografi mulai membangun kepercayaan bahwa serangan terbaik yang mungkin telah ditemukan — atau setidaknya bahwa penyerang dunia nyata tidak akan dapat menemukan sesuatu yang lebih baik.

Di sisi lain, keamanan QKD memang, idealnya , tidak bergantung pada dugaan (atau, seperti yang sering dikatakan, protokol QKD pada prinsipnya memberikan informasi-keamanan teoretis ). Jika kedua pihak berbagi kunci aman, maka saluran komunikasi aman tanpa syarat, dan QKD menyediakan cara aman tanpa syarat bagi mereka untuk bertukar kunci semacam itu (tentu saja, masih dengan asumsi mekanika kuantum benar). Dalam Bagian 4 dari tinjauan yang disebutkan di atas, penulis menyajikan perbandingan langsung (jika mungkin agak bias) dari QKD vs Post-Quantum cryptography. Penting untuk dicatat bahwa tentu saja "keamanan tanpa syarat" di sini dimaksudkan dalam arti informasi-teoretis, sementara di dunia nyata mungkin ada aspek keamanan yang lebih penting untuk dipertimbangkan.. Juga perlu dicatat bahwa keamanan dunia nyata dan kepraktisan QKD tidak diyakini faktual oleh beberapa orang (lihat misalnya Bernstein di sini dan diskusi terkait pada QKD pada crypto.SE ), dan bahwa keamanan informasi-teoretis QKD protokol hanya benar jika diikuti dengan benar, yang secara khusus berarti bahwa kunci bersama harus digunakan sebagai pad sekali pakai .

Akhirnya, pada kenyataannya, juga banyak protokol QKD mungkin rusak. Alasannya adalah bahwa ketidaksempurnaan eksperimental implementasi spesifik dapat dieksploitasi untuk melanggar protokol (lihat misalnya 1505.05303 , dan hal.6 dari npjqi201625 ). Masih mungkin untuk memastikan keamanan terhadap serangan tersebut menggunakan protokol QKD yang tidak tergantung pada perangkat, yang keamanannya bergantung pada pelanggaran ketidaksetaraan Bell dan dapat terbukti tidak bergantung pada detail implementasi. Yang menarik adalah bahwa protokol-protokol ini bahkan lebih sulit untuk diimplementasikan daripada QKD biasa.

Distribusi kunci kuantum mengharuskan Anda mengganti seluruh infrastruktur komunikasi Anda secara keseluruhan yang dibangun dari kabel ethernet 5 EUR dan CPU 0,50 EUR dengan jutaan link serat khusus dan komputer khusus yang sebenarnya hanya melakukan kriptografi kunci-kunci klasik.

Selain itu, Anda harus mengautentikasi kunci rahasia bersama yang Anda negosiasikan dengan distribusi kunci kuantum, yang mungkin akan Anda lakukan dengan menggunakan kriptografi kunci publik klasik kecuali Anda cukup kaya untuk membeli kurir dengan koper diborgol ke pergelangan tangan mereka.

Lebih detail dari François Grieu tentang crypto.se tentang apa yang membuat kriptografi kuantum aman.

Inti dari perbedaan teknis - biaya dan penyebaran dan samping kelas politik dan - adalah bahwa protokol fisik dari sistem QKD dimaksudkan untuk dirancang sehingga tidak perlu meninggalkan jejak fisik bahwa terobosan matematika masa depan dapat memungkinkan untuk memulihkan secara retroaktif rahasia bersama dinegosiasikan atas tautan serat khusus ini. Sebaliknya, dengan kriptografi klasik, perjanjian kunci kunci publik melalui internet, di mana eavesdropper mencatat setiap bit melalui kawat, pada prinsipnya bisa dipatahkan oleh terobosan matematika masa depan.

Kemudian, dalam kedua kasus tersebut, rekan-rekan menggunakan rahasia bersama yang mereka negosiasikan, baik dengan distribusi kunci kuantum atau dengan perjanjian kunci publik-kunci klasik, sebagai kunci rahasia untuk kriptografi kunci-kunci rahasia klasik, yang pada prinsipnya dapat dipatahkan oleh terobosan matematika masa depan. . (Tetapi orang-orang yang didanai dengan sangat cerdas tidak membuat terobosan setelah mencoba selama beberapa dekade.) Dan ini tidak berarti bahwa implementasi praktis QKD tidak akan meninggalkan jejak fisik juga .

Semua yang dikatakan, QKD adalah kuantum, jadi itu seksi dan membuat penjualan yang baik kepada pemerintah dan bank kaya, yang memiliki dana diskresioner jutaan euro untuk mainan tidak berguna seperti QKD. Fisika juga cukup keren untuk dimainkan.

M. Stern mengingatkan keuntungan lain dari QKD: Ini beroperasi pada lapisan tautan , menegosiasikan kunci rahasia yang dibagi oleh dua titik akhir dari tautan serat — yang mungkin merupakan satu pengguna yang sah dan MITM yang menyambung ke tautan serat tersebut dengan bajingan Perangkat QKD. Jika, di era supremasi kuantum, kami mengganti semua perjanjian kunci publik kunci klasik dunia dengan QKD, lalu di mana aplikasi saat ini menegosiasikan kunci rahasia dengan rekan mereka di internet untuk enkripsi terotentikasi ujung ke ujung melalui media yang dapat dialihkan , mereka sebagai gantinya harus bernegosiasi kunci rahasia dengan ISP mereka , yang akan menegosiasikan rahasia dengan ISP hulu mereka, dan sebagainya, untuk hop-by-hopenkripsi terotentikasi. Ini akan menjadi keuntungan bagi orang-orang baik di pemerintahan besar dunia yang mencoba (secara surut) memonitor komunikasi pengguna untuk membasmi teroris dan aktivis serta jurnalis dan elemen masyarakat yang tidak nyaman lainnya, karena ISP kemudian akan memiliki kunci rahasia yang siap untuk diserahkan ke polisi.