Pilne przejście na kryptografię postkwantową: nowe zagrożenia ze strony CRQC
Specjaliści od kryptografii obserwują przyspieszony postęp w obliczeniach kwantowych, zdolnych do złamania 256-bitowych krzywych eliptycznych, takich jak NIST P-256 i secp256k1. Najnowsze opracowania Google i Oratomic zmniejszają wymagania zasobowe ataku do tysięcy kubitów, co sprawia, że staje się on realny w najbliższych latach. Ostateczny termin migracji na algorytmy postkwantowe jest przesuwany na 2029 rok.
Postęp w atakach kwantowych
Artykuł Google pokazuje, że w architekturach z wysokimi częstotliwościami taktującymi, takich jak nadprzewodzące kubity, złamanie 256-bitowych krzywych jest możliwe w ciągu minut. Autorzy skupiają się na kryptowalutach, ale realne ryzyko dotyczy ataków MitM na WebPKI.
Oratomic przedstawia możliwość złamania przy użyciu 10 000 fizycznych kubitów z wykorzystaniem nie lokalnych połączeń w neutralnych atomach. Atak jest wolniejszy, ale nawet jedno złamanie klucza miesięcznie może prowadzić do katastrofy. Trend potwierdzany jest przez wykresy spadku kosztów kubitów: sprzęt ulega poprawie, algorytmy są optymalizowane, a korekcja błędów staje się prostsza.
Eksperci tacy jak Heather Edkins i Sophie Schmieg przewidują CRQC do 2029 roku. Scott Aaronson nalega na natychmiastową migrację na schematy postkwantowe, porównując to z Projektem Manhattan.
Zalecenia dotyczące migracji
Należy wdrażać dostępne algorytmy postkwantowe:
- ML-DSA z długimi podpisami w X.509, zaprojektowane pod krótkie ECDSA.
- ML-KEM do wymiany kluczy, z informacją o niepostkwantowych schematach jako potencjalnym kompromitującym.
Należy zrezygnować z:
- Nieinteraktywnej wymiany kluczy (NIKE) — tylko KEM.
- Nowych niepostkwantowych schematów.
- Hybrydowej klasycznej + postkwantowej autentykacji — bezpośrednie przejście do ML-DSA-446 oszczędza czas.
Szyfrowanie symetryczne z 128-bitowymi kluczami jest odporne: algorytm Grovera nie daje praktycznego przyspieszenia ze względu na obwody z 2¹⁰⁶ bramek.
Konsekwencje dla ekosystemów
W standardowych bibliotekach, takich jak Go, połowa pakietów może stać się podatna. Konieczne jest znalezienie równowagi między modernizacją a zachowaniem kompatybilności.
TEE (Intel SGX, AMD SEV-SNP) z niepostkwantowymi kluczami są niewiarygodne — ich rola spada do dodatkowej ochrony.
Ekosystemy z kryptoidentyfikacją (atproto, kryptowaluty) migrują natychmiast, aby uniknąć kompromitacji.
Szyfrowanie plików jest podatne na "zbiór teraz, odszyfruj później": należy ostrzegać użytkowników, odrzucać niepostkwantowe typy age.
W nauczaniu RSA, ECDSA, ECDH są traktowane jako przestarzałe.
Co jest ważne:
- Złamanie 256-bitowych krzywych jest możliwe z 10000 kubitów do 2029 roku.
- Bezpośrednie przejście na ML-DSA/ML-KEM bez hybryd.
- Symetria 128-bitowa jest bezpieczna przed Groverem.
- Migracja ekosystemów jest krytycznie pilna.
- TEE i biblioteki wymagają przeglądu.
— Editorial Team
Brak komentarzy.