Symmetrisk Asymmetrisk Kvanteresistent kryptogra Digitale...
Transcript of Symmetrisk Asymmetrisk Kvanteresistent kryptogra Digitale...
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Kvanteresistent kryptografi
Thomas Gregersen
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Kvantedatamaskiner kan bli et problem for fundamentetbak dagens protokoller.
I Selv om vi ikke kjenner de nøyaktige forholdene ma viforberede oss.
I For mange parter ma informasjon beskyttes lenge.I Introduksjonen av nye algoritmer tar vanligvis lang tid.I Med et langsiktig perspektiv ma vi altsa starte tidlig for
a kunne klare omstillingen i tide.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Utgangspunktet for a etablere konfidensialitet:
I Dette krever en felles nøkkel som ma etableres paforhand.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I For a slippe a møtes, kan de to partene etablere enfelles nøkkel ved hjelp av asymmetriske algoritmer:
I Det er vanlig a kombinere dette i en hybridisert løsning:Den symmetriske algoritmen tar seg av bulktransportsiden den er mye raskere.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Det finnes flere varianter vi kan benytte tilnøkkeletablering:
I RSAI DHI ECDH
I I hver av dem antar vi at vi kan redusere det a finnenøkler eller klartekst til et beregningstungt problem(faktorisering, finne logaritmer).
I Kvantealgoritmer angriper disse underliggendeproblemene og utgjør en alvorlig trussel.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Det finnes igjen flere varianter vi kan benytte:I RSAI DSAI ECDSA
I De underliggende problemene blir igjen angrepet avkvantealgoritmer.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Algoritmen finner i elementer som avbilder til et oppgittelement gjennom en funksjon f .
I Kryptografisk relevant fordi vi f.eks. kan la f være etchiffer eller en kryptografisk hash-funksjon hvor viønsker a finne nøkler eller kollisjoner.
I Kompleksiteten for denne beregningen er en forbedringsammenlignet med klassiske varianter:
O(√N) versus O(N), (N = |dom(f )|).
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Shors algoritme tar et naturlig tall N som input ogfinner en ikke-triviell divisor a.
I I RSA kan vi dermed faktorisere den offentligemodulusen vi bygger pa og finne den private nøkkelen.
I Algoritmens kjerne finner perioden til en funksjon, ogdette bruker Fourier-transformen som kanimplementeres effektivt i en kvantekrets. Oppsettet kanmodifiseres til a finne logaritmer i enkelte typer grupperog dermed utfordre DH/ECDH.
I Med andre ord kan en ikke forlate en enkelt algoritmefor a unnga dette angrepet.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Tar vi et pessimistisk utgangspunkt blir vi nødt til adoble antall bits i symmetriske nøkler, men dette ermest sannsynlig ikke det endelige estimatet.
I For de asymmetriske algoritmene vi vanligvis bruker serdet verre ut: Det kan bli nødvendig a utvide tilstørrelser det er helt urealistisk a implementere.
I For a finne kandidater vi kan bytte til er det satt oppflere løp som organiserer veien fremover:
I National Institute of Standards and Technology (NIST)er allerede i gang med runde 2 for a komme til muligeerstattere1.
I PQCRYPTO (EU) er et annet inititiativ som skal leverekandidater og praksis2.
1https://csrc.nist.gov/Projects/Post-Quantum-Cryptography2https://pqcrypto.eu.org/
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Dagens meny
Introduksjon
Kryptografi i dagSymmetrisk kryptografiAsymmetrisk nøkkeletableringDigitale signaturer
KvantetrusselenGrovers algoritmeShors algoritmeKryptografiske konsekvenser
Veien mot kvanteresistent kryptografiKvanteresistent kryptografi
Kodebaserte kryptosystemerLattice-baserte kryptosystemerHash-baserte signaturer
Kvanteberegninger kommer, eller?
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Hva ønsker vi oss av nye algoritmer?I Nøkler/signaturer/chiffertekst som ikke tar for mye
plass.I Kryptering/dekryptering/signering/autentisering som
ikke tar for lang tid.I Sikkerhet basert pa reduksjon til beregningsproblemer
som vi vet er vanskelige.
I Det er pa ingen mate lett a kombinere alt dettesamtidig, men det finnes kandidater.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I NIST startet med 69 algoritmer for nøkkeletablering ogsignaturer som na har blitt til 17 og 9.
I Til nøkkeletablering er kandidatene basert pakodebasert, lattice-basert eller isogeni-basertkryptografi:
I BIKE/Classic McEliece/HQC/LedaCrypt/NTS-KEM/ROLLO/RQC.
I CRYSTALS-KYBER/FrodoKEM/LAC/NewHope/NTRU/NTRU Prime/Round5/SABER/Three Bears.
I SIKE.
I Signaturalgoritmene er basert pa lattice, multivariatepolynomsystemer, Zero Knowledge Proof-system oghash-baserte signaturer:
I CRYSTALS-DILITHIUM/FALCON/qTesla.I GeMSS/LUOV/MQDSS/Rainbow.I Picnic.I SPHINCS+.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I McEliece/Niederreiter-system (1978/1986) basert pafeilkorrigerende koder.
I En feilkorrigerende kode C er en metode for a legge tilredundans til informasjon slik at feil kan rettes ettersending.
I Tilhørende finnes en dekodingsalgoritme DC som retterde ev. feil som har oppstatt.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I En lineær feilkorrigerende kode gjør dette ved abehandle informasjon som vektorer i et omkringliggendevektorrom.
I Dermed kan C en [n, k]-kode spesifiseres ved:
I Rekkerommet til en generatormatrise G ∈ F k×n2
C = {mG |m ∈ F k2 }
I Nullrommet til en paritetsjekkmatrise H ∈ F(n−k)×n2
C = {c |Hcᵀ = 0, c ∈ F n2 }
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Systemparametre: n, t ∈ N, t � n.I Nøkkelgenerering:
I G : k × n generatormatrise for en lineær kode (binær,irredusibel Goppa) C som kan korrigere opp til t feil.
I S : k × k tilfeldig binær invertibel matrise.I P : n × n tilfeldig permutasjonsmatrise.
Beregn sa G ′ = SGP.
I Public Key: (G ′, t).
I Private Key: (S ,P,DC).
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Kryptering: m ∈ F k2 sendes til
c = mG ′ + e
hvor e ∈ F n2 ,wt(e) = t.
I Dekryptering:
I BeregncP−1 = (mS)G ′ + eP−1
og far kodeordet
mS = DC(cP−1).
I Beregn til sluttm = mSS−1.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I A dekode en generell lineær kode er et NP-hardtproblem. Derfor er den private nøkkelen forkledd vedmatrisene S og P, og den er vanskelig a skille fra engenerell lineær kode.
I De raskeste angrepsalgoritmene viser seg a væreinformasjonssettdekoding(ISD)-angrep som dekodermeldinger fra en generell kode, men for binæreGoppa-koder er dette fortsatt langt fra effektivt.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Skolebokvariantene av McEliece/Niederreiter blir fortynne i seg selv: Det er muligheter for a brukestrukturen i kryptosystemet for a gjøre analysen lettere:
I Delvis kjent klartekst:Dette medfører at vi kan redusere raskestedekodingsangrep (ISD-varianter) til de komplementærebitene.
I Kjente relasjoner mellom meldinger:Disse forplanter seg til chifferteksten og kan brukes til aredusere antall feilvektorer vi trenger a teste iISD-analysen.
I Dette løser man ved a bruke en CCA2-sikret variantsom medfører overhead: Ekstra bits for en valgtsikkerhetstoleranse som avhenger av input tilhashfunksjonen som involveres.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Matrisene vi trenger er store og kan gi problemer nardet er lite plass.
I Vi kan velge mellom flere mulige koder, men mangeviser seg for svake til kryptografisk anvendelse.
De klassiske binære Goppa-kodene holder enda, menkanskje er det flere (LDPC/MDPC/Rank-Metric codes).
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Kan baseres pa flere strukturer som hviler palattice-teori: LWE, RLWE, MLWE, NTRU.
I Raske fakta:I Kryptering/dekryptering innebærer a kode informasjon
som heltallskombinasjoner av vektorer (et lattice).
I Sikkerhet ved reduksjon til geometriske problem i latticesom er velkjente, men ikke sa godt studert somMcEliece/Niederreiter.
I Mer effektive enn McEliece/Niederreiter og det erforeslatt varianter hvor vektorene tar form av polynomersom kompaktifiserer. Dette kan likevel ga utoversikkerheten hvis vi innfører for mye struktur.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Merkle signaturer3:
I Raske fakta:I Tar engangssignaturer som utgangspunkt (Lamport,
Winternitz,..).I Kan i utgangspunktet signere et endelig antall ganger
for en gitt offentlig nøkkel, noe som kan løses meddynamiske trær.
I Store signaturer hvis treet er stort.I Sikkerhet hviler pa styrken til den interne
hash-funksjonen H.
3https://postscryptum.lip6.fr/slides aline.pdf
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Noen observasjoner:I Nøkler/signaturer/chiffertekst er i noen tilfeller veldig
store (tall i bytes for Classic McEliece4 og SPHINCS+5):
I Regnetid man som regel kan leve med.I Sikkerhet er i noen tilfeller godt fundert, andre ganger
er det mindre kryptoanalyse a hvile pa.
4https://classic.mceliece.org/nist/mceliece-20190331.pdf5https://sphincs.org/data/sphincs+-round2-specification.pdf
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I I denne tidlige fasen er vi usikre pa hvor inngripendekvantealgoritmer faktisk blir. Det er foreslatt a brukehybridløsninger:
I Protokollene vi bruker kan i sa fall fa størrekompleksitet og vi blir nødt til a analysere hvordandette pavirker sikkerhet og effektivitet.
I Det kan bli standardisert mange muligheter avhengig avbrukercase, altsa ikke en variant til alle formal.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Masser av forskning peker mot det a realiserekvantekretser, men pa hvilket niva?
I Et lite modent eksempel6:
6https://www.dwavesys.com
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Med sa mange veier til mal for a realisere dem, virkerdet dumt a satse pa at ingen forsøk pa a realisere demvil lykkes.
I Det gjenstar en god del arbeid før vi har en stor ogstabil nok kvantekrets hvor en vilkarlig kvantealgoritmekan kjøres (logiske versus fysiske qubits).
I Det er satt av store ressurser til forskning og utvikling,og mange aktører vil bidra (Google, IBM, LockheedMartin..).
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
I Det er ikke lett a avgjøre nar vi ma være klare for ahandtere en kvantedatamaskin/kvantekrets.
I I denne fasen er det tatt utgangspunkt i at dette kanvære realistisk rundt 2030.
I For oss blir det viktigste a kunne handtere nyeprimitiver/algoritmer, altsa ha plass nok til a kunneintegrere dem.
Kvanteresistentkryptografi
Thomas Gregersen
Introduksjon
Kryptografi i dag
Symmetriskkryptografi
Asymmetrisknøkkeletablering
Digitale signaturer
Kvantetrusselen
Grovers algoritme
Shors algoritme
Kryptografiskekonsekvenser
Veien motkvanteresistentkryptografi
Kvanteresistentkryptografi
Kodebasertekryptosystemer
Lattice-basertekryptosystemer
Hash-basertesignaturer
Kvanteberegningerkommer, eller?
Oppsummering
Oppsummering
I Kvantealgoritmer tvinger oss til a finne nye byggesteineri kryptografien.
I Vi vet fortsatt ikke nar vi ma ha dem pa plass, men sasnart som mulig.
I For oss som jobber med planlegging er det en god ide afølge standardprosessen tett og sørge for at det blirplass til de nye primitivene der hvor vi ma bruke dem.