Upload
slaven-ijacic
View
167
Download
8
Embed Size (px)
Citation preview
PRIMENA KVANTNE MEHANIKE U KRIPTOGRAFIJI, KVANTNO RAČUNARSTVO I POST-KVANTNI ŠIFARSKI SISTEMI
Slaven Ijačić
Ciljevi istraživanja Istraživanje prostora kvantne mehanike i
mogućih primena u domenu kriptografije Principi kvantnog računarstva i potencijalni
napadi na moderne šifarske sisteme sa javnim ključem primenom Šorovog algoritma na kvantnim računarima
Tehnologije i protokoli za kvantno generisanje i distribuciju šifarskih ključeva
Analiza klase tzv. post-kvantnih asimetričnih šifarskih sistema u kontekstu napada Šorovim algoritmom
Hipoteze Sigurne internet komunikacije su osnovna pretpostavka za
poslovanje putem interneta i zaštitu privatnosti pojedinaca Postoji teoretska opasnost da moderni šifarski sistemi sa
javnim ključem (RSA/DH) budu kompromitovani u realnom vremenu primenom kvantnih računara – tehnologija i vreme
Postoje protokoli za kvantnu distribuciju šifarskih ključeva (QKD) koji su bezuslovno sigurni i ne zasnivaju se na „teškim“ matematičkim problemima – uz određena ograničenja
Postoje tzv. post-kvantni šifarski sistemi sa javnim ključem koji se smatraju otpornim na napade kvantnim računarima
Asimetrični šifarski sistemi Problem sigurnog generisanja, upravljanja i
razmene šifarskih ključeva je bazični problem u kriptografiji
Pojava šifarskih sistema sa javnim ključem (1970)- RSA/DH
Primena u SSL/TLS protokolima – uz odgovarajuću public-key infrastrukturu (CA - X.509) generiše se sesijski ključ za neki od simetričnih šifarskih sistema (AES/3DES/IDEA...)
Mogućnost digitalnog potpisivanja poruke (RSA/DSA)– integritet, autentičnost, neporecivost (SHA-1/2)
Matematička osnova RSA/DH je težak matematički problem: faktorizacija proizvoda velikih prostih brojeva odnosno rešavanje problema diskretnog logaritma
Osnovne ideje kvantne mehanike
Kvantno-mehanički opisi kvantnih sistema, poput elektrona i fotona, su neophodni da bi se razumela njihova suština
Ervin Šredinger 1926 predstavlja talasnu funkciju ( ,𝜳 𝒕 𝒓) koja u sebi nosi informacije o kvantnom sistemu, nema fizičke analogije
Kvantni sistem se nalazi u superpoziciji svojih dozvoljenih stanja, opisan vektorom stanja| ⟩ =𝜓 Σ𝑎𝑖| ⟩𝑖 u Hilbertovom prostoru
Merenje stanja čestice izaziva kolaps talasne funkcije u neko od dozvoljenih stanja zavisno od kompleksne amplitude verovatnoće 𝑎𝑖 datog stanja | ⟩ ; je verovatno𝑖 ća kolapsa u stanje | ⟩ 𝑖
Linearni operatori deluju na ket vektore (stanja) u H. prostoru Hajzenbergov princip neodređenosti – merenje pozicije i brzine No cloning teorema, nemoguće kopirati stanje kvantnog sistema
Kvantno računarstvo Problemi simulacije određenih fizičkih sistema (turbulencija,
simulacija sistema sa više tela) – početci razmišljanja o kvantnim računarima, prednosti eksponencijalne dimenzionalnosti (1982)
Kvantni bit – kubit, kvantni sistem čije stanje leži u 2-dim Hilbertovom prostoru: | ⟩= 𝜓 α|0⟩ + β|1⟩, gde su α , β kompleksne amplitude verovatnoće na koje utiču kvantne operacija, oba stanja sa verovatnoćom od 50%
Kubit se dovede u stanje superpozicije, tj. u isto vreme se nalazi u oba stanja, merenjem odlazi u jedno od stanja, |0⟩ ili |1⟩
Kvantne operacije isključivo unitarne (reverzibilne) Blohova sfera je geometrijska reprezentacija kubita, severni i
južni pol sfere predstavljaju bazis vektore |0⟩ i |1⟩ Dva stanja mogu fizički biti putanje elektrona oko jezgra,
polarizacija fotona, spin elektrona, itd.
Blohova sfera – reprezentacija kubita
Relativne faze među koeficijentima α , β se menjaju operacijama
Parametri i određuju tačku na jediničnoj sferi u 𝜃 𝜙
Kvantni registar Po definiciji predstavljeni tenzorskim proizvodom vektora
stanja pojedinih kubita u registru Kvantni registar od n kubita u superpoziciji sadrži sve
brojeve od 0 do , masovni paralelizma Dodatni korak je kvantno korelisanje regist(a)ra Očitavanjem registra u osnovnom stanju dobija se neka
vrednost u datom opsegu, sa jednakom verovatnoćom za sve
Kvantni računar se modelira nizom unitarnih operacija nad registrima - operacije ne troše energiju (reverzibilne)
Kvantna logičkih kola: Hadamard, Cnot, Paulijevo X/Y/Z kolo, S, T, Rx/y/y, Tofoli, Fredkin, QFT
Rezultati kvantnih operacija Kvantni računari vrše kalkulacije nad velikim brojem ulaza u
isto vreme, i to je tzv. ‘masovno-paralelno procesiranje’ Verovatnoća ishoda se „podešava“ operacijama ka nekom
rezultatu - konstruktivna interferencija putem sabiranja i oduzimanja amplituda verovatnoća- analogija je „podešavanje“ kockica u igrama na sreću da bi se uticalo na rezultat bacanja
Izvršavanje kvantnog programa N puta daje više različitih rešenja, potrebno izabrati rezultat i verifikovati na klasičan način, u polinomijalnom vremenu
Nemoguće kopiranje stanja sistema, očitavanje kolabira registar u neku vrednost, nema međurezultata - treba klasična simulacija
„Ulaz“ i „izlaz“ iz kvantnog računara je „klasičan“; Jedna faza algoritma je kvantna, ostale se izvršavaju na klasičnom računaru
Šorov algoritam Diskretni algoritmi i faktorizacija prirodnih brojeva
teški problemi, na klasičnom računaru T(n) = Šorov algoritam (1994) se sastoji iz klasičnog i
kvantnog dela, deo algoritma gde se koristi kvantni računar je nalaženje perioda P funkcije u 𝑓 ℕ, koja je periodična kod sabiranja, i gde je ( ) = ( ) za 𝑓 𝑥 𝑓 𝑦različito ,𝑥 . U ovom slučaju ,𝑦 𝑥 se razlikuju za 𝑦množilac P, odnosno ( + ) = ( )𝑓 𝑥 𝑃 𝑓 𝑥
Kompleksnost algoritma T(n) = O, sa O(log n) kola Algoritam rešava i problem diskretnog logaritma u
polinomijalnom vremenu – sistemi sa javnim ključem su teoretski komporomitovani, izazov je na nivou tehnologije implementacije
Kvantni računari - izazovi i mogućnosti
Problem brze dekoherencije (raspada superpozicije sistema) reda veličine ms, registar reaguje sa okolinom, najviše 7 kubita u registru, cena implementacije visoka (EM izolacija, hlađenje)
Postoje razne tehnologije za implementaciju kubita - quantum dot, NMR, ion trap, josephson’s junction - problemi tehničke prirode, najverovatnije pitanje vremena
Mali broj algoritama, ne postoji univerzalni kvantni računar, algoritmi: Dojč-joža, Grover, Šor, simulacija fizičkih sistema
Gartner: za 10-15 godina realistični kvantni računari K.R. mogu da znače revolucionarne promene i van
kriptografije, primene u simulaciji fizičkih i hemijskih procesa, novi lekovi, materijali, optimizacije raznih procesa u realnom vremenu
QKD – Kvantno generisanje i distribucija šifarskih ključeva
1984 Benet i Brasar predlažu QKD protokol BB84, koji koristi polarizaciju fotona za enkodiranje informacije
1991 Artur Ekart definiše protokol EPR/E91 koji koristi kvantno korelisane fotone, za dodatnu zaštitu od prisluškivanja
QKD tehnologije koriste neklasične fenomene kvantne mehanike za sigurno generisanje i razmenu ključeva, bez prethodnog znanja, između dva čvora optičke mreže (kvantnog kanala)
Prisluškivanje kvantnog kanala samo smanjuje efektivnu stopu generisanja ključeva i lako se detektuje
Bezuslovno siguran sistem, point-to-point konekcija optičkim kablom, nemoguće repliciranje signala, stopa generisanja ~1 Mbps, udaljenosti do 200 km
AES ključ se može praktično obnavljati svakih 1-2 minuta...
Princip rada BB84 1/2 Kubit je predstavljen polarizacijom fotona: ‘0’ odgovara vertikalnoj polarizaciji
pod uglom od i , a ‘1’ polarizaciji pod uglom 0 i U prvom koraku Alisa šalje pojedinačne fotone sa potpuno slučajno
polarizacijom u jednom od 4 moguća stanja, Bob detektuje foton potpuno slučajno odabranim dijagonalnim ili vertikalnim detektorom, i vodi evidenciju o svom izboru.
Ukoliko se ne slažu polarizacija i mod detektora, foton se arbitrarno odbija na levo ili desnu sa podjednakom šansom. Bob javlja Alisi javnim kanalom da je foton odbačen, bez dodatnih detalja, oboje vode evidenciju o svakom događaju
Princip rada BB84 2/2 Ako Alisa i Bob koriste isti bazis (diagonalna ili vertikalna
polarizacija) oni uvek dobiju perfektono korelisan rezultatl. U suprotnom bit je odbačen u evidenciji kod Alise i Boba
Nakon detekcije niza fotona, Alisa i Bob poseduju oboje isti tzv. prosejani ključ koji se dodatno transformiše kroz niz klasičnih koraka kako bi se povećala sigurnost
Ako Eva presretne foton i utvrdi polarizaciju, ona ne može da klonira foton i vrati ga u sistem jer je to nemoguće (no-cloning teorema); To je jedan od glavnih principa kvantne mehanike i to predstavlja ključni kvalitet kod ovog QKD sistema
Eva može samo da smanji efektivnu stopu generisanja ključa
EPR/E91 protokol E91 protokol je varijacija BB84 Koristi kvantno korelisanje fotona (entanglement),
fenomen tipičan za kvantnu mehaniku Korelisane čestice ostaju povezane čak i ako su
razdvojene hiljadama kilometara, tako da merenje jedne čestice nedvosmisleno određuje stanje druge bez obzira na udaljenost, a promena stanja „propagira brže od svetlosti“
Za razliku od BB84 protokola, E91 protokol ne odbacuje bitove kod kojih se Alisin i Bobov izbor bazisa merenja ne slažu- koriste se za detekciju Evinog prisustva.
SARG04 protokol SARG04 protokol je modifikacija BB84 protokola i
koristi ista 4 ortogonalna kvantna stanja kao i BB84, uz izmenjenu proceduru za izdvajanje prosejanog ključa
Koristi isti hardver kao BB84 uz izmenjeno kodiranje
Nastao je 2004 godine i verovatno je najznačajniji protokol koji se pojavio u poslednje vreme
SARG04 protokol funkcioniše bolje nego BB84 protokol kad je u pitanju stvarna efikasnost distribucije tajnog ključa
Implementacije i ograničenja QKD Brzine generisanja ključeva opada u zavisnosti od
udaljenosti, nije moguće ubaciti repetitor - uređaj (Eva) bi izazvao korupciju ključa
Postoje eksperimenti sa komunikacijama kroz vazduh (sateliti i dronovi) ali su evidentni problemi vezani za atmosferske uslove
ID Quantique, Švajcarska; MagiQ Technologies, SAD; Quintessence Labs, Australija
DARPA QKD mreža (2004), SECOQC , Beč; SwissQuantum, Ženeva
Post-kvantna kriptografija Podrazumeva kriptografske algoritme odnosno
šifarske sisteme koji se ne mogu kompromitovati primenom kvantnih računara
Dodatni uslovi koje navedeni sistemi moraju da ispune su efikasnost algoritama, poverenje u valjanost, i primenjivost algoritama – na nivou današnjih asimetričnih algortama
Postoji veliki broj šema koje se zasnivaju na različitim matematičkim primitivama; dve poznatije klase post-kvantnih šifarskih sistema su: Sistemi na bazi rešetke (lattice-based cryptography) Sistemi na bazi kodova (code-based cryptography)
Šifarski sistemi na bazi rešetke
Rešetka je skup tačaka u n-dim Euklidskom prostoru koji pokazuje jaku periodičnost; generisana kao linearna kombinacija bazis vektora
Šifarski sistemi na bazi rešetke se zasnivaju na dva NP-teška problema: Najkraćeg vektora (SVP) i Najbližeg vektora (CVP)
Za većinu matematičkih problema sa rešetkama se pretpostavlja ili je već dokazano da su teški u prosečnom slučaju, i zbog toga su pogodni kandidati za korišćenje u šifarskim sistemima
Do danas nije pronađen način način kako da se ovi problemi reše primenom Šorovog ili nekog drugog kvantnog algoritma
Za rešavanje navedenih problema koristi se LLL, algoritam zasnovan na redukciji bazisa rešetke, u polinomijalnom vremenu - ipak ovim načinom dokazano se mogu rešavati samo aproksimacije navedenih problema
U zadnje vreme metod redukcije bazisa rešetke je veoma često korišćen u rešavanju mnogih problema u kriptoanalizi
Primer mogućih tipova rešetki u
NTRU Prva verzija nastala 1996. godine, NTRU
Cryptosystems Inc, patentiran sistem, NTRUEncrypt standard IEEE 1363.1
Uz jednak nivo kripto-zaštite NTRUEncrypt izvršava složene operacije šifrovanja i dešifrovanja značajno brže nego RSA-pogodan za mobilne uređaje, manji footprint
Zasniva se na problemu najkraćeg vektora u rešetci (SVP), smatra se da je otporan na napade kvantnim računarima
NTRUSign (2001), NTRU algoritam za potpisivanje, u osnovi je GGH šema za digitalno potpisivanje
Šifarski sistemi na bazi kodova
Koriste neke od kodova za korigovanje grešaka (engl. error correcting code) kao algoritamske primitive
Mekelis sistem je nastao 1978., dokazano otpornan na napade primenom Šorovog algoritma, do danas nije kompromitovan ali nikad nije bio široko prihvaćen
Zasniva na težini dekodiranja generalnog (slučajnog) linearnog koda, problema koji je NP-težak, koristi binarne Gopa kodove sa brzim algoritmom za dekodiranje
Tajna funkcija primenjena u Mekelis sistemu svodi se na poznavanje efikasnih algoritama za korigovanje greške za izabranu klasu kodova zajedno sa permutacijom
Praktičan javni ključ se sastoji od 512Kb, šifrovana poruka su mnogo duže nego tekst, dugo se smatralo da se ne može koristiti za potpisivanje, do pojave Niderajterove šeme - varijacije Mekelisa
Ostali post-kvantni sistemi Merkle šema za potpis (1970) koristi Lampartovu
šemu za jednokratni potpis i heš drvo, predstavlja alrternativu za DSA i RSA šeme za potpisivanje
Šifarski sistemi na bazi multivarijabilnih kvadratnih polinoma (MQ) koriste rešavanje sistema jednačina sa više promenjljivih koje je NP-težak problem – do sada ne postoje praktične šifarske šeme ovog tipa koje bi se koristile u praksi, dok postoje rešenja za potpisivanje ((un)balanced oil and vinegar)
Zaključak Postojeći šifarski sistemi kao što su RSA/DH su osnova
sigurnih komunikacia na interenetu, iako su bez bezuslovne sigurnosti i podložni kompromitovanju putem kvantnih računara, tehnologije koja je u razvoju
Uspešan napad na ove sisteme, u realnom vremenu, bi diskvalifikovao današnje sigurnosne internet protokole i izazvao ogromne gubitke u privredi, zastoj u poslovanju, neautorizovano prebacivanje novca sa bankarskih računa, gubitak poverenja u finansijski sistem, kao i mnoge druge nepredvidive negativne efekte u društvu
Jedno od mogućih rešenja je primena QKD tehnologija, uz bezuslovnu sigurnost - tehnološka ograničenja i cena implementacije sistema su značajni ograničavajući faktori
Zaključak Neophodno je stoga investirati u nove post-kvantne
šifarske sisteme koji lako i jeftino mogu proširiti postojeći SSL/TLS protokol bez ograničenja – klijent/server biraju opcije komunikacione sesije tokom faze hendšejka
Na osnovu dosadašnje analize predlaže se proširenje sigurnih protokola na postojeći post-kvantni šifarski sistem NTRUEncrypt i NTRUSign usled dokazane praktičnosti i efikasnosti
Potrebno na nivou organizacija u domenu interneta pristupiti ubrzanom prihvatanju, testiranju i standardizaciji ovog sistema u okviru navedenih SSL/TLS protokola kao rešenje koje može da spreči i preovlada navedene izazove u bliskoj budućnosti