Каждый дополнительный кубит в два раза увеличивает площадь поиска данных, следовательно, значительно повышается и скорость их вычисления. Исходя из вышесказанного, квантовые компьютеры вероятно смогут разрушить большую часть, если не абсолютно все традиционные криптосистемы, которые широко используются в практике. Конкретно, системы, основанные на задаче факторизации целых чисел (например, RSA). Некоторые криптосистемы, как система RSA с четырех тысячными битными ключами, считаются полезными для защиты классических больших компьютеров от атак, но вероятно являются абсолютно бесполезными против атак на большие квантовые компьютеры.

Криптосистема RSA  используется в разных продуктах, на разных платформах и в различных сферах. На сегодняшний день данная криптосистема интегрируется во многие коммерческие продукты, количество которых растет с каждым днем. Также система RSA активно используется в операционных системах от Microsoft, Apple, Sun и Novell. В аппаратном исполнении RSA алгоритм используется в защищенных телефонах, Ethernet, сетевых платах, смарт картах, а также широко используется в криптографическом аппаратном обеспечении. Вместе с этим, данный алгоритм является частью основных протоколов защищенных коммуникаций Internet, в том числе S/MIME, SSL и S/WAN, и также используется во многих организациях, например, в правительственных, в банках, в большинстве корпораций, в государственных лабораториях и университетах.

Технология шифрации RSA BSAFE используется приблизительно 500 миллионами пользователей во всем мире. Так как в основном, в технологиях шифрования используется RSA алгоритм, то его можно считать одной из самых распространённых криптосистем открытого (public) ключа с тенденцией развития вместе с развитием Internet.

Исходя из этого, разрушение RSA повлечет за собой легкий взлом большинства продуктов, что может перерасти в полный хаос.

Разработаны различные “устойчивые к квантовым атакам” альтернативы системы RSA. Но на сегодняшний день на данные системы зафиксирован целый ряд успешно проведенных атак.

Одной из альтернатив являются схемы цифровой подписи, основанные на хешировании (Hash-based Digital Signature Schemes). Безопасность этих системы зависит от безопасности криптографической хеш-функции. Была предложена одноразовая схема подписи Лэмфорта “Lamport One-Time Signature Scheme “[1].

В данной схеме, чтобы подписать сообщение M = (0,1)ⁿ , нужно выбрать 2n случайных чисел X_ij, где 1≤i≤n, а j = {0, 1}. Для всех  i и j высчитывается Y_ij = h(X_ij), где  h – это хеш-функция: h:{0,1}^* ->{0,1}^s   Y_ij – это открытый ключ, X_ij – закрытый ключ.  Для сообщения M = m₁,m₂, …,m_n, где m_i ∈ {0, 1}, если m_i =  0 , то sig_i = X_i0, в другом случае sig_i = X_i1. Подпись sig – это объединение все sig_i; sig = (sig₁||sig₂||…||sig_n), в случае верификации подписи, если h(m_i) = 0, то h(sig_i) должно быть равно Y_i0, в другом случае h(sig_i) должно быть равно Y_i1.

Основной и серезный недостаток этой схемы – это большой размер ключей. Для того, чтобы достичь безопасность O(2⁸⁰), общий размер открытого и закрытого ключей должен быть 160∗2∗160 bits = 51200 bits, что в 51200/1024=50 раз больше, чем в случае RSA. Также стоит отметить, что размер подписи в данной схеме также намного больше, чем в случае RSA.

Для уменьшения размера подписи была предложена одноразовая схема подписи Винтерница ( Winternitz One-time Signature Scheme). В данной схеме мы выбираем параметр w ∈ N, и вычисляется r = [s/w]+[([log2 [s/w]] + 1 + w)/w]. Выбираем r случайных чисел X_1, X_{2, …} X_r ∈{0,1}^s, объединение которых X является закрытым ключом. Высчитываются Y_i = h^2w−1(X_i), открытым ключом является Y = h(Y₁||…||Y_r). Сообщение M разделено на s/w блоков b₁, …, b_s/w длиной w, если нужно, слева добавляются нули.

Бинарное представление C разбивается на [([log2 [s/w]] + 1 + w)/w] блоков, b_s/w+1, …, b_r длины w. Вычисляется  sig_i= h^bi(X_i) для i = 1, …, r, подпись письма – это sig = (sig₁||…||sig_r). Для верификации подписи высчитываются: b₁, …, b_r. Для i = 1, …, r вычисляется signew_i= h^2w−1−bi(sig_i) = h^2w−1−bi(h^bi (X_i)) = h^2w−1(Xi) = Y_i, если h(signew_{1, …,} signew_r)=Y, то подпись верна.

Самая большая проблема одноразовых схем подписей — это передача открытого ключа. Необходимо удостовериться в том, что открытый ключ не был изменен, поэтому нужно использовать как можно меньше открытых ключей и сделать их покороче. Меркл предложил криптосистему, где один открытый ключ можно использовать для множества сообщений. В данной криптосистеме открытый ключ K используется для подписи конкретного числа сообщений. Число сообщений должно быть степенью двойки, т.е. N=2ⁿ. В первую очередь, нужно сгенерировать ключи X_i и Y_iдля N записей и вычислить h_i=h(Y_i), с помощью этих данных строится дерево- Merkle Tree, рисунок 2.

a_{ij –} это узел дерева.h_i– это листья  дерева. Узлы дерева являются объединением своих детей: a_1,0 = h(a_0,0|| a_0,1);  мы строим дерево с 2ⁿ листами и  2ⁿ⁺¹-1 узлами. Корень дерева a_n,0 является открытым ключом – public.

Сообщение M подписывается одноразовой системой подписи, используя пару ключей X_i и Y_i, в результате мы получаем signew. a_0,i= H(Y_i) – лист хеш-дерева.  Путь от a_0,i до корня назовем P, состоящий из n+1 узлов, P₀= a_0,i, а P_n= a_n,0 = public. Для вычисления этого пути нам нужны все дети узлов P₀, …, P_n.  P_{n+1 =} h(P_i||auth_i), где auth_{i  -} братский узел Pi. Подпись письма будет: sig = (signew ||auth₀||auth₁||…||auth_n−1). При верификации записи проверяется signew сообщения M, если она верна, вычисляются P₀, …, P_n, если  P_n равен открытому ключу  public, то подпись верна.

Последние годы ученые работают над улучшением схемы Меркле (Merkle Signature Scheme), достигнуты хорошие результаты по времени подписи и верификации сообщения [2,3], но несмотря на это, размер подписи является очень большим по сравнению с схемами подписи DSA и RSA.

Также одной из решений проблем, связанных с пост-квантовой криптографией, представляют McEliece – систему с открытыми ключами, которая в свою очередь основана на теории алгебраического кодирования. Разработана данная система в 1978 году Робертом Мак-Элисом. Данная система является первой системой шифрования с использованием процесса рандомизации. Несмотря на то, что алгоритм не получил широкого признания в класической криптографии, он является кандидатом для использования в постквантовой криптографии.

В данной системе открытый ключ – (G_new, t), а закрытый ключ– (S, G, P), где G- это k x n порождающая матрица (generator matrix) для кода C. C – это случайный двоичный (n, k)-линейный код, способный исправить t ошибок. N- это количество  кодовых слов, k – размерность C. S – случайная k x k двоичная невырожденная матрица.  P – случайная n x n двоичная матрица перестановок. G_{new  =} S * G * P; k x n матрица. Для шифрования сообщения нужно сообщение m зашифровать как двоичную строку длины k; cyp = m x G_new;  генерируется случайный n-битовый вектор ошибки v весом t. Шифр вычисляется как: c= cyp+v. Для расшифровки вычисляется cyp = c*P^-1 ; С помощью алгоритма расшифровки C вычисляется m_new= m*S => m= m_new*S^-1

На сегодняшний день уже выявлены успешные атаки на данную криптоситему.

Докторант Дублинского университета (DCU) Неил Костиган (Neill Costigan) при поддержке Irish Research Council for Science, Engineering and Technology (IRCSET), а также профессора Майкла Скотта (Michael Scott), члена Science Foundation Ireland (SFI) успешно смогли провести атаку на данный алгоритм. Для этого им понадобилось 8000 часов процессорного времени. В атаке принимали участие представители еще четырех стран. Ученые выяснили, что начальная длинна ключа в данном алгоритме недостаточна, и должна быть увеличена.

Также эту систему нельзя использовать для шифровки одного и того же сообщения два раза и для шифровки сообщения, когда известна его связь с другим сообщением [4].

Из вышесказанного видно, что на сегодняшний день мы не готовы для перевода криптосистем в пост-квантовую эпоху. В ближайшем будущем мы не можем быть уверены в надежности представленных систем.

Необходимо отметить важность спектра эффективности. На сегодняшний день эксперты достигли довольно хороших результатов в скорости выполнения алгоритма. По результатам исследования становится ясно, что предложенные пост-квантовые криптосистемы сравнительно мало эффективны, алгоритмы реализации требуют намного больше времени для их выполнения и верификации.

Неэффективная криптография наверное может быть приемлемой для обычного пользователя, но она не может быть таковой для интернета серверов, которые обрабатывают тысячи клиентов в секунду. У Google на сегодняшний день существуют проблемы с текущей криптографией. Несложно представить, что будет, когда на реализацию крипто алгоритмов будет уходить больше времени.

На развитие и улучшение современных криптосистем уйдут годы. К тому же, на них все время фиксируются успешные атаки. Когда определяется функция шифрования, и она становится стандартом, ей нужна реализация соответствующего программного, а в большинстве случаев, и аппаратного обеспечения.

Во время реализации необходимо обеспечить не только корректную работу функции и скорость ее эффективности, но также и избежание любого вида утечек. Недавно зафиксированы успешные «cache-timing» атаки на системы RSA и AES, вследствие чего компания Intel добавила AES инструкции в свои процессоры.

Система McEliece является уязвимой к атакам, связанным с утечками (side channel attacks). Была показана удачная атака по времени (timing attack) на алгоритм Паттерсона [5]. Данная атака не выявляет ключ, но выявляет вектор ошибки, что позволяет успешно расшифровать шифр сообщения.

Как мы видим, для создания и реализации безопасных и эффективных пост-квантовых криптосистем необходимо провести довольно большую работу.

РАБОТА ВЫПОЛНЕНА В РАМКАХ НАУЧНОГО ГРАНТА «НАЦИОНАЛЬНОГО НАУЧНОГО ФОНДА  ШОТА РУСТАВЕЛИ» [№ YS15_2.1.2_9].