Come al solito, il giornalismo che parla di argomenti tecnici tende a essere confuso sui dettagli ...
Supponendo che sia possibile costruire un vero computer quantistico , quindi:
- RSA e altri algoritmi che si basano sulla durezza della fattorizzazione di interi (ad esempio Rabin), sono toast. L'algoritmo di Shor influenza i grandi numeri interi in modo molto efficiente.
- DSA, Diffie-Hellman ElGamal e altri algoritmi che si basano sulla durezza del logaritmo discreto , sono ugualmente spezzati. Si applica anche una variante dell'algoritmo di Shor. Nota che questo è vero per ogni gruppo, quindi le varianti della curva ellittica di questi algoritmi non sono migliori.
-
La crittografia simmetrica è indebolita ; cioè, un computer quantico può cercare attraverso uno spazio di dimensioni 2 n nel tempo 2 n / 2 . Ciò significa che una chiave AES a 128 bit potrebbe essere retrocessa alla forza di una chiave a 64 bit, tuttavia, si noti che si tratta di operazioni 2 64 _quantum-computing_ ; non è possibile applicare cifre provenienti da studi con FPGA e GPU e presupporre ciecamente che se un computer quantistico può essere del tutto , può essere costruito e gestito economicamente .
-
Allo stesso modo, la resistenza alle funzioni hash a vari tipi di attacchi sarebbe ridotta in modo simile. In parole povere, una funzione di hash con un output di n bit resisterebbe alle pre-immagini con forza 2 n / 2 e collisioni fino a 2 n / 3 (figure con computer classici 2 n e 2 n / 2 , rispettivamente). SHA-256 sarebbe ancora strong contro le collisioni come una funzione di hash a 170 bit al giorno d'oggi, cioè meglio di un "perfetto SHA-1".
Quindi la crittografia simmetrica non sarebbe gravemente danneggiata se un computer quantistico risultasse costruito. Anche se potesse essere costruito molto a buon mercato l'algoritmo di crittografia simmetrica e gli algoritmi di funzione hash offrirebbero comunque un bel po 'di resistenza. Per la crittografia asimmetrica, tuttavia, ciò significherebbe un problema. Tuttavia, conosciamo diversi algoritmi asimmetrici per i quali non si conosce un attacco efficiente basato su QC, in particolare algoritmi basati su riduzione del reticolo (ad esempio NTRU) e la venerabile crittografia McEliece . Al giorno d'oggi questi algoritmi non sono molto popolari, per una serie di motivi (le prime versioni di NTRU si sono rivelate deboli, ci sono brevetti, le chiavi pubbliche di McEliece sono enormi e così via), ma alcuni sarebbero ancora essere accettabile.
Lo studio della crittografia sotto l'ipotesi che possano essere costruiti efficienti computer quantistici è chiamato crittografia post-quantistica .
Personalmente non credo che un magro budget di 80 milioni di dollari porterebbe la NSA lontano. IBM ha lavorato su questo argomento per decenni e ha speso molto di più, ei loro migliori prototipi non sono eccezionali. È altamente plausibile che la NSA abbia speso qualche dollaro nell'idea di calcolo quantico; dopotutto, questo è il loro lavoro, e sarebbe uno scandalo se i soldi dei contribuenti non facessero non andare in quel tipo di ricerca. Ma c'è una differenza tra cercare e trovare ...