ポスト量子暗号化に対する量子鍵配布の利点

ラティスベースの暗号化のようなポスト量子暗号化は、量子コンピューターが利用可能であっても安全であるように設計されています。現在使用されている暗号化に似ていますが、量子コンピューターでは効率的に解決できない可能性が高い問題に基づいています。

明らかに、量子鍵配布（QKD）に関する研究は継続しています。しかし、量子暗号化後の暗号化よりも量子鍵配布の利点は何ですか？

QKDのような新技術の開発は大きな副作用をもたらす可能性があり、QKDの方が長期的には費用効率が向上するか、より高速になる可能性がありますが、これが主な理由だとは思いません。

与えられた非対称暗号化プロトコルが、量子コンピューターでも効率的に解決できない問題に依存していることが証明された場合、量子暗号はほとんど無関係になります。

ポイントは、今日の時点で、誰もこれを行うことができなかったということです。実際、量子コンピューターでは効率的に解決できない問題の存在を証明するため、このような結果は重大な突破口となります（これは一般的に考えられていますが、NPに問題があるかどうかはまだ不明です）$\text{NP}$）。$\text{NP}\!\setminus\!\text{BQP}$

一般的に、すべての古典的な非対称暗号化プロトコルは、特定の問題を解決するのが難しいという仮定の下では安全ですが、私の知る限り、その問題は実際には指数関数的に難しいことが証明されています（計算の複雑さの意味で）量子コンピューターで解決します（多くの人にとって、問題が古典的なコンピューターでは効率的に解決できないことさえありません）。

これは、バーンスタインによるポスト量子暗号のレビュー（Link）でうまく説明されていると思います。上記の最初のセクションから引用したところ、彼はいくつかの古典的な暗号化プロトコルについて話したばかりです。

これらのシステムに対するより良い攻撃はありますか？おそらく。これは暗号化でよく知られたリスクです。これが、コミュニティが暗号解読に膨大な時間とエネルギーを投資する理由です。時々、暗号解読者は壊滅的な攻撃を見つけ、システムが暗号化に役に立たないことを示します。たとえば、Merkle–Hellmanナップザック公開鍵暗号化システムの使用可能なパラメータの選択肢はすべて簡単に解読できます。暗号解読者は、それほど破壊的ではないが、より大きなキーサイズを強制する攻撃を見つけることがあります。時々、暗号解読者は改善された攻撃を見つけることなく何年もシステムを研究し、暗号コミュニティは可能な限り最高の攻撃が発見されたという信頼を構築し始めます-または少なくとも実際の攻撃者はより良いものを思い付かないでしょう。

一方、QKDのセキュリティは、理想的には推測に依存しません（または、多くの場合、QKDプロトコルは原則として情報理論的なセキュリティを提供します）。両者が安全な鍵を共有している場合、通信チャネルは無条件に安全であり、QKDはそのような鍵を交換するための無条件の安全な方法を提供します（もちろん、量子力学が正しいという仮定のもとで）。上記のレビューのセクション4で、著者はQKD暗号化とポスト量子暗号化の直接（おそらく多少偏りがある場合）比較を提示します。もちろん、「無条件のセキュリティ」は情報理論的な意味を意味するものであり、現実の世界ではより重要なセキュリティの側面を考慮する必要があることに注意することが重要です。。また、QKDの実世界のセキュリティと実用性は、一部の人によって事実とは考えられていないことにも注意してください（たとえば、Bernsteinのここおよび暗号関連のQKDに関する議論を参照してください。SE）、およびQKD の情報理論的セキュリティプロトコルは、それらが適切に守られている場合にのみ当てはまります。これは特に、共有キーをワンタイムパッドとして使用する必要があることを意味します。

最後に、実際には、多くのQKDプロトコルも壊れている可能性があります。その理由は、特定の実装の実験的欠陥が悪用されてプロトコルが破られる可能性があるためです（例：1505.05303およびnpjqi201625のpag.6を参照）。Bellの不等式違反に依存し、実装の詳細に依存しないことが証明できるデバイスに依存しないQKDプロトコルを使用して、このような攻撃に対するセキュリティを確保することは依然として可能です。キャッチは、これらのプロトコルは通常のQKDよりも実装がさらに難しいことです。

量子鍵配布では、5ユーロのイーサネットケーブルと0.50ユーロのCPUで構築された通信インフラストラクチャ全体を、数百万ユーロの専用ファイバーリンクと、とにかく古典的な秘密鍵暗号化を実際に行う専用コンピューターで大規模に置き換える必要があります。

さらに、量子鍵配布でネゴシエートする共有秘密鍵を認証する必要があります。手首に手錠をかけられた宅配便業者に十分な余裕がない限り、おそらく古典的な公開鍵暗号を使用するでしょう。

crypto.seのFrançoisGrieuによる、量子暗号の安全性についての詳細。

コストと展開可能性、および政治とクラス分割を除いた技術的な違いの核心は、QKDシステムの物理プロトコルが、将来の数学的ブレークスルーによって遡及的に回復できる物理的な痕跡を残す必要がないように設計されることです。これらの専用ファイバリンクを介してネゴシエートされる共有秘密。対照的に、古典的な暗号化では、盗聴者がすべてのビットを回線上で記録するインターネット上の公開鍵鍵合意は、原則として将来の数学的ブレークスルーによって破られる可能性があります。

次に、どちらの場合でも、ピアは、量子鍵配布または古典的な公開鍵鍵合意のいずれかで、ネゴシエートした共有秘密鍵を、古典的な秘密鍵暗号化の秘密鍵として使用します。 。（しかし、非常に優秀な資金のある人々は、何十年も試した後、それらのブレークスルーをしていません。）そして、これは、QKDの実用的な実装が物理的な痕跡を残さないことを意味しません。

とは言っても、QKDは量子であるため、QKDのような役に立たないおもちゃのために数百万ユーロの裁量基金を持っている裕福な政府や銀行に売れ行きがよくセクシーです。また、物理学は、オタクが遊ぶのにかなりクールです。

M.スターンは、QKDの別の利点を気にして呼び出します。それが動作するリンク層ファイバリンク-1、正当なユーザと不正とそのファイバリンクにスプライスMITMかもしれないの2つのエンドポイントによって共有秘密鍵を交渉し、 QKDデバイス。量子覇権の時代に、私たちは、場合置き換え QKDにより、すべての世界の古典公開鍵鍵合意を、そしてアプリケーションは現在、彼らの持つ秘密鍵交渉どこピアのためにインターネット上でエンド・ツー・エンドの上に認証された暗号化任意のルーティング可能なメディア、彼ら代わりに、ISPと秘密鍵をネゴシエートする必要があります。ISPは、ホップごとに、アップストリームISPなどと秘密をネゴシエートします認証された暗号化。これは、ISPが必然的にひっくり返す秘密の鍵を持っているため、テロリスト、活動家、ジャーナリスト、その他の不便な要素を根絶するために、ユーザーの通信を（遡及的に）監視しようとする主要な世界政府の善良な人々にとっては恩恵になります警察に。