Насколько безопасно современное шифрование?

когда появятся первые достаточно надёжные квантовые компы, то вся наша переписка в мессенджерах, записи https-трафика на серверах провайдера превратятся в тыкву?

Наоборот же — тыква в переписку.

Это я и имел в виду) Это сейчас логи наших переписок принципиально не взламываемые (за разумное время), но уже через несколько лет ситуация изменится и не станут ли все эти логи ярмом на шее каждого из нас?

Ведь когда мы используем тот же VPN мы верим, что провайдер ничего не сможет увидеть, а получается, что вполне сможет - не прямо сейчас, но когда-то в ближайшем будущем.

P. S. А еще банковская, тайна пойдет по пизде. Ведь в логах провайдеров будет куча личных данных.

когда появятся первые достаточно надёжные квантовые компы … Ведь спустя 3 - 7 лет … расшифровать их все.

Выдающийся ученый, Кокрафт, возглавлял исследования управляемого термоядерного синтеза, его однажды спросили: «Когда будет термояд коммерческий?», он ответил: «Через 20 лет». Прошло 20 лет. Его опять спросили: «Когда?», он повторил: «Через 20 лет». «Как же так, вы 20 лет назад говорили тоже самое!». Ответ: «Вот видите, я не меняю своих убеждений».

вот когда появится, тогда и приходите

Не совсем. Уже есть прототипы устойчивого к квантовой криптографии шифрования. Когда будет нужно, их доведут до ума.

а вдруг страшилка про квантовые компьютеры - это вброс от NSA, чтобы перевести всех на забэкдоренные якобы квантово-устойчивые алгоритмы :)

Мы тоже читали эту статью ) В комментах все же написано: сделают AES25600 вместо AES256.

Физики прикалываются, расслабься. Уже были аналоговые вычислительные машины, их выбросили.

все известные алгоритмы шифрования это защита от пионеров и пенсионеров.

Насколько безопасно современное шифрование?

1

Я слышал, что квантовым компьютерам все современные алгоритмы шифрования на один зуб.

Не все, но все распространенные.

Закон Яровой и другие похожие инициативные не с этой ли целью создаются?

Нет, они создаются чтоб было.

Нет, это лишено смысла.

Почему? Там пишут, что:

Ес­ли в течение десяти лет будет пос­тро­ен кван­товый компь­ютер с 2300+ кубита­ми, он, пред­положи­тель­но, смо­жет с помощью алго­рит­ма Шора взло­мать корот­кие клю­чи ECC, начиная с 256-битовых клю­чей, а с помощью алго­рит­ма Гро­вера (Grover), реша­юще­го задачу перебо­ра, осла­бить при­мер­но в два раза сим­метрич­ные клю­чи AES. То есть крип­тостой­кость AES-128 умень­шит­ся до 2@64 опе­раций, что в обоз­римом будущем может ока­зать­ся неп­рием­лемым. Крип­тостой­кость же AES-256, сни­зив­шись до 2@128 опе­раций, оста­нет­ся дос­таточ­ной, пос­коль­ку сегод­ня счи­тает­ся, что выпол­нение 2@128 опе­раций недос­тижимо.

Не знаю как здесь степени прописать.

Незачем наращивать длину ключа в сто раз квантонестойкому алгоритму, если можно взять квантостойкий.

https://pqcrypto.org/

Ясен-красен, новые забэкдоренные лучше старых забекдоренных.

лучше старых забекдоренных

Эх. Как теперь жить?

Почитай, как их выбирают, может порадуешься.

А зря

Да я тоже читал про разработку устойчивых к квантовой криптографии алгоритмов. Однако, даже если через пару лет эти алгоритмы заработают везде, это же не изменит весь тот трафик, что ходил по сетям раньше. А значит все что ты сейчас пишешь в любых защищенных чатах, через пару лет вполне себе будет легко доступно товарищу майору.

Кстати, еще интересно, что будет с биткоином и другими криптовалютами. Не случится ли такого, что с появлением первых достаточно мощных квантовых компьютеров их первом делом натравят на самые популярные криптовалюты? По моему это просто офигенный план - дождаться, когда пол мира вложится в крипту и искусственно лопнуть это пузырь, списав на него весь мировой долг, ну или хотя бы госдолг США) У меня ощущение, что квантовые компьютеры это нифига не новые игрушки в каждый дом, а оружие на уровне ядрерных бомб.

Гипотетически рано или поздно производительность квантовых компьютеров может взлететь до небес
И станет возможно вычисление существующих не очень длинных ключей на щелчок пальца
Но ведь никто не запрещает увеличить длину ключа сколь угодно далеко, математически это не запрещено
но в этом случае тогда сама процедура шифрования может увеличиться по времени соответственно сколь угодно далеко
Я думаю, что к тому времени само шифрование станет другим

Хорошая идея.

Но надо мыслить масштабнее. Необходимо создать машину которая знает все обо всем. У Лема было про это.

А значит все что ты сейчас пишешь в любых защищенных чатах, через пару лет вполне себе будет легко доступно товарищу майору.

Далеко не вся информация имеет какую-либо ценность через пару лет

Во первых не все. Одноразовый шифроблокнот ты не взломаешь даже на квантовом компьютере.

Ну, а для остального уже во всю допиливают post-quantuum cryptography. В частности с TLS 1.3 используется perfect forward secrecy. Это когда долгосрочно хранящиеся ключи и сертификаты используются только для установки канала связи и авторизации участников. А потом уже внутри установленного канала доверяющие друг другу участники вырабатывают временный ключ, который не зависит от долговременных ключей. И взломать такую сессию не получится даже если потом ты получить в своё распоряжение приватный ключ сервера.

В частности с TLS 1.3 используется perfect forward secrecy.

оно и в TLS 1.2 есть

Даже если есть полная запись сессии и машина для взлома? А в чем разница то?

Вот ты говоришь, что далеко не вся инфа будет иметь ценность через несколько лет, однако я не соглашусь. Например, моя банковская карта действительно до 28 года, а паспортные и многие иные конфиденциальные данные и того имеют в разы больший срок актуальности.

Это уж не говоря о возможности составить психопортрет человека по расшифровкам его чатов в автоматическом режиме и при этом делать это массово.

Начали ломать: https://3dnews.ru/1079798/kvantovie-kompyuteri-uge-gotovi-pohoronit-rsashifrovanie-zayavlyayut-kitayskie-uchyonie

А эти ваши квантово устойчивые алгоритмы… где они? Нет их еще.

Ты, кажется, немного не понимаешь, что хранится у провайдеров. Там не лежит весь твой трафик с чятиками, скачанными терабайтами порнухи и прочими данными, которые ждут удачного времени для расшифровки, чтобы товарищу майору было что посмотреть вечерком под пиво. Там лежат только логи того, куда и когда ты ходил. Т.е. там не лежит лог твоей переписки в телеграмме, там записано, что в такой-то день с трёх до пяти твой комп активно подключался к серверу телеграмма, переслал туда надцать мегабайт данных, скачал оттуда овер9000 гигов чего-то.

А эти ваши квантово устойчивые алгоритмы… где они? Нет их еще.

Есть, проходят отбор.

В работе рассказано о первом в истории взломе 48-битного ключа системой всего из 10 сверхпроводящих кубитов. Для взлома ключа RSA-2048 потребуется не более 400 кубитов, что уже находится в диапазоне современных возможностей.

Только что-то сломано 48, а не 2048, а так конечно, в пределе возможностей =D

Брюс Шнайер пессимистичен касательно очередного «прорыва»: https://www.schneier.com/blog/archives/2023/01/breaking-rsa-with-a-quantum-computer.html

Начали ломать

Не начали ломать, а начали говорить, что начали ломать. Это как в анекдоте.

А эти ваши квантово устойчивые алгоритмы… где они? Нет их еще.

Как были, так и остались. Плюс во всю уже используется post-quantum шифрование, вам выше написали.

И, подозрительно, чтот это вы так переживаете за свою историю браузинга? Вас без всяких квантовых компьютеров вычислят, по поведению.

и другие похожие инициативные не с этой ли целью создаются? Сохранить все до поры до времени, а когда технические возможности позволят - вскрыть все.

Сообщения в соцсетях и почте и так хранятся в plain text. Смысл хранить это ещё и у провайдера?

Что, волнуешься? Совесть не чиста?

Кристально чиста. Я даже в отличии от подавляющего большинства соотечественников плачу все налоги от всех доходов, даже мелких.

По поводу этой темы, просто хочу обсудить. Почему все так недооценивают квантовые компьютеры? Государство которое первым сделает 300 - 400 куббитный комп сможет поучить доступ к сетям вероятного противника по щелчку пальцев. В первую очередь речь о финансовом секторе, а на финансы завязано все. Во вторую очередь речь о документообороте между гос. учреждениями.

Ну это же фактически оружие на уровне ядерного! Разве нет?

Я пока что отношу эту теорию к байкам. Самому был интересен этот вопрос. Но потом я прочитал в интернете аргументированное чуть ли не научное разоблачение.

которое первым сделает 300 - 400 куббитный комп

Для расшифровки ключа 2048 надо не меньше 3000 кубит. Это прикидки. А то что китайцы говорят, ну пусть говорят и делают. Посмотрим.

В первую очередь речь о финансовом секторе

Выше написали несколько раз про постквантовую криптографию. А, ещё есть симметричное во все поля шифрование, которому до барабана сколько у вас кубит.

Разве нет?

Нет.

Почему все так недооценивают квантовые компьютеры?

а если провода от квантового компьютера настаивать на спирту, то этим настоем лечится язва. и кариес. а если квантовый компьютер приложить к пояснице, то он и радикулит излечит. а если к паху - от баб отбоя не будет.

но лучше всего прикладывать квантовый компьютер к голове. я бы закон издал, чтоб его к голове всем в обязательном порядке прикладывали.

Во-первых, чтобы расшифровывать информацию, надо сначала получить зашифрованную информацию. То есть вклинится на уровне провайдеров в трафик. Во-вторых, так можно получить только информацию переданную не ранее момента вклинивания. Но даже всякие СОРМ в России хранят ограниченное количество информации ограниченное время. Просто по соображениям цены хранилища. А в некоторых странах объёмы и сроки хранения местных аналогов СОРМ ещё меньше уже по соображениям приватности. В-третьих, одно дело легально установить систему слежки в своих сетях и совсем другое дело нелегально это сделать в сетях противника.

Вот, допустим, код от ядерного чемоданчика Путина 123456 (просто допустим). Что ты будешь делать с этой информацией? Ничего, потому что до чемоданчика ещё нужно добраться и код это один из десятков рубежей защиты.

Точно также любые секреты ФСБ и ФБР защищены множеством способов и шифрование только один из них. У них будет время перейти на новые алгоритмы или они уже в процессе. Какой-то небольшой процент информации может быть открыт, потому что утечки у всех бывают, но ничего тотального не случится.

Плюс надо понимать, что у информации есть время жизни. Вот сейчас, например, персональные компьютеры с лёгкостью взламывают шифрованные сообщения Второй Мировой. Но едва ли это несёт угрозу планам отправителей этих сообщений.

Точно так же взлом информации 2-3 летней давности будет иметь ограниченный эффект, потому что большая часть её уже будет неактуальна.

Государство которое первым сделает 300 - 400 куббитный комп сможет поучить доступ к сетям вероятного противника по щелчку пальцев.

Кроме кубитов в квантовых компьютерах ещё есть гейты, у кубитов есть такой параметр как время жизни, у гейтов - точность и скорость работы.

В общем, количество кубитов - это не всё. И на современных квантовых компьютерах их алгоритм будет выдавать шум. И это не говоря о том, что нет никаких доказательств того, что QAOA ускорит алгоритм Шнорра.

Ну хорошо, продолжим этот диалог через пару лет) Там как раз на подходе компы на 500 кубитов. Если Китайцы не соврали этого с гарантией хватит для взлома RSA.

Кстати, потенциально по удар попадают и все криптовалюты. Не сами алгоритмы блочкейна, а протоколы связи из-за возможности сделать атаку человек по середине.

Вы оптимист, потому что, наверное, не очень представляете, что такое квантовый компьютер - это совсем не «серебрянная» пуля.

Китайцы, в принципе, оптимисты (любят поговорить). Они даже перед НГ заявили о квантовых персоналках за приемлимые деньги.

Я больше ориентируюсь на заявления пессимистов, что для разложения 2048 ключа на простые множители потребуется КК реализующий модель из 3000+ настоящих кубитов. Вы представляете себе 3000 запутанных квантовых частиц, чтобы они хотя бы какое-то время существовали в виде стабильной системы? Я не представляю.

через пару лет

Для КК приблизительно нет чего-то похожего на закон Мура.

а протоколы связи из-за возможности сделать атаку человек по середине

Расскажите про это подробнее. Какие протоколы связи? Какое направление атаки?

Кстати, что сейчас уже работает и реализовано - это квантовое распределение ключей. Т.е. развитие квантовых технологий, наоборот, выводит из-под удара МИТМ.

емнип, там «как бы» вдвое уменьшается длина ключа. Т.е. для достижения той же криптостойкости при «квантовом взломе» нужен просто ключ в два раза длиннее. а там не знаю.

Ну это же фактически оружие на уровне ядерного! Разве нет?

Нет. Начиная от того, что создание КК с большим числом кубитов это вопрос отдаленного будущего, и заканчивая тем что не факт что такие машины смогут что то радикально изменить. С алгоритмами для них большие проблемы…

В качестве аналогии, в начале 20 века был большой ажиотаж вокруг дирижаблей. Немцы юзали дирижабли в военных целях и даже пытались на них летать через окиян. Но в итоге техника пошла совсем другим путем.

Начали ломать

Нет, начали пиздить, что готовы сломать. Мешков от них пока никто не видел.

Операторы связи признают реальность угроз со стороны КК https://3dnews.ru/1082541/operatori-svyazi-predupredili-o-gryadushchem-apokalipsise-kvantovih-ugroz-oni-dayut-na-ih-otragenie-ne-bolshe-desyati-let?utm_source=yxnews&utm_medium=desktop

В частности, в документе даётся оценка связанных с квантовыми киберугрозами бизнес-рисков для конкретных операторов связи, включая четыре типа атак, оказывающих наибольшее воздействие: накопление данных сейчас, расшифровка позже; подпись кода и цифровые подписи; а также изменение истории и атаки на менеджеры ключей. Например, злоумышленники могут уже сегодня накапливать информацию, защищённую до невозможности взлома за разумное время, с надеждой дешифровать её после появления квантовых платформ.

Можно вас попросить открыть Гугл и прочитать краткое содержание закона яровой в части срока хранения данных?

Забавно, но вышел обзор как раз на тему поста: https://www.youtube.com/watch?v=f5slLeCz7p8

симметричные шифры более стойкие к подбору на квантовом компутере.