Criptografía poscuántica

La criptografía poscuántica (a veces denominada a prueba de cuánticos , cuántica segura o cuántica resistente ) se refiere a algoritmos criptográficos (generalmente algoritmos de clave pública) que se cree que son seguros contra un ataque criptoanalítico de una computadora cuántica . A partir de 2021 ^[update], esto no es cierto para los algoritmos de clave pública más populares, que pueden romperse de manera eficiente con una computadora cuántica lo suficientemente fuerte. ^{[ cita requerida ]} El problema con los algoritmos actualmente populares es que su seguridad se basa en uno de tres problemas matemáticos difíciles: el problema de factorización de enteros, el problema del logaritmo discreto o el problema del logaritmo discreto de curva elíptica . Todos estos problemas pueden resolverse fácilmente en una computadora cuántica lo suficientemente potente que ejecute el algoritmo de Shor . ^{[1] [2]} A pesar de que las computadoras cuánticas experimentales actuales, conocidas públicamente, carecen de poder de procesamiento para romper cualquier algoritmo criptográfico real, ^[3] muchos criptógrafos están diseñando nuevos algoritmos para prepararse para un momento en que la computación cuántica se convierta en una amenaza. Este trabajo ha ganado una mayor atención de los académicos y la industria a través de la serie de conferencias PQCrypto desde 2006 y, más recientemente, a través de varios talleres sobre criptografía cuántica segura organizados por elInstituto Europeo de Normas de Telecomunicaciones (ETSI) y el Instituto de Computación Cuántica . ^{[4] [5] [6]}

En contraste con la amenaza que representa la computación cuántica para los algoritmos de clave pública actuales, la mayoría de los algoritmos criptográficos simétricos y las funciones hash actuales se consideran relativamente seguros contra los ataques de las computadoras cuánticas. ^{[2] [7]} Si bien el algoritmo cuántico de Grover acelera los ataques contra cifrados simétricos, duplicar el tamaño de la clave puede bloquear eficazmente estos ataques. ^[8] Por lo tanto, la criptografía simétrica post-cuántica no necesita diferir significativamente de la criptografía simétrica actual. Consulte la sección sobre el enfoque de clave simétrica a continuación.

Algoritmos [ editar ]

Actualmente, la investigación de la criptografía post-cuántica se centra principalmente en seis enfoques diferentes: ^{[2] [5]}

Criptografía basada en celosía [ editar ]

Este enfoque incluye sistemas criptográficos, tales como el aprendizaje con errores , aprendizaje anillo con errores ( ring-LWE ), ^{[9] [10] [11]} el aprendizaje anillo con errores de intercambio de claves y el aprendizaje anillo con errores firma , la mayor NTRU o GGH esquemas de cifrado y la firma NTRU más reciente y las firmas BLISS . ^[12] Algunos de estos esquemas, como el cifrado NTRU, se han estudiado durante muchos años sin que nadie haya encontrado un ataque factible. Otros, como los algoritmos ring-LWE, tienen pruebas de que su seguridad se reduce al peor de los casos.^[13] El Grupo de Estudio de Criptografía Post Quantum patrocinado por la Comisión Europea sugirió que la variante Stehle-Steinfeld de NTRU sea estudiada para estandarización en lugar del algoritmo NTRU. ^{[14] [15]} En ese momento, NTRU todavía estaba patentado. Los estudios han indicado que NTRU puede tener propiedades más seguras que otros algoritmos basados ​​en celosía. ^[dieciséis]

Criptografía multivariante [ editar ]

Esto incluye sistemas criptográficos como el esquema Rainbow ( Unbalanced Oil and Vinegar ) que se basa en la dificultad de resolver sistemas de ecuaciones multivariadas. Varios intentos de construir esquemas seguros de cifrado de ecuaciones multivariantes han fracasado. Sin embargo, los esquemas de firma multivariante como Rainbow podrían proporcionar la base para una firma digital cuántica segura. ^[17] Existe una patente sobre el Rainbow Signature Scheme.

Criptografía basada en hash [ editar ]

Esto incluye sistemas criptográficos como las firmas Lamport y el esquema de firma Merkle y los esquemas más nuevos XMSS ^[18] y SPHINCS ^[19] . Las firmas digitales basadas en hash fueron inventadas a fines de la década de 1970 por Ralph Merkley se han estudiado desde entonces como una alternativa interesante a las firmas digitales teóricas de números como RSA y DSA. Su principal inconveniente es que para cualquier clave pública basada en hash, existe un límite en la cantidad de firmas que se pueden firmar utilizando el conjunto correspondiente de claves privadas. Este hecho había reducido el interés en estas firmas hasta que se reavivó el interés debido al deseo de una criptografía resistente al ataque de las computadoras cuánticas. No parece haber patentes sobre el esquema de firma de Merkle ^{[ cita requerida ]} y existen muchas funciones hash no patentadas que podrían usarse con estos esquemas. El esquema de firma basado en hash con estado XMSS desarrollado por un equipo de investigadores bajo la dirección de Johannes Buchmannse describe en RFC 8391. ^[20] Tenga en cuenta que todos los esquemas anteriores son firmas únicas o de tiempo limitado, Moni Naor y Moti Yung inventaron el hash UOWHF en 1989 y diseñaron una firma basada en hash (el esquema Naor-Yung) ^{[ 21]} que puede tener un uso ilimitado (la primera firma de este tipo que no requiere propiedades de trampilla).

Criptografía basada en código [ editar ]

Esto incluye sistemas criptográficos que se basan en códigos de corrección de errores , como los algoritmos de encriptación McEliece y Niederreiter y el esquema relacionado Courtois, Finiasz y Sendrier Signature . La firma original de McEliece utilizando códigos Goppa aleatorios ha resistido el escrutinio durante más de 30 años. Sin embargo, se ha demostrado que muchas variantes del esquema de McEliece, que buscan introducir más estructura en el código utilizado para reducir el tamaño de las claves, son inseguras. ^[22] El Grupo de Estudio de Criptografía Post Quantum patrocinado por la Comisión Europea ha recomendado el sistema de cifrado de clave pública McEliece como candidato para la protección a largo plazo contra ataques de computadoras cuánticas. ^[14]

Criptografía de isogenia de curva elíptica supersingular [ editar ]

Este sistema criptográfico se basa en las propiedades de las curvas elípticas supersingulares y los gráficos de isogenia supersingular para crear un reemplazo Diffie-Hellman con sigilo directo . ^[23] Este sistema criptográfico utiliza las matemáticas bien estudiadas de curvas elípticas supersingulares para crear un intercambio de claves tipo Diffie-Hellman que puede servir como un sencillo reemplazo resistente a la computación cuántica para los métodos de intercambio de claves Diffie-Hellman y curva elíptica Diffie-Hellman que son de uso generalizado en la actualidad. Debido a que funciona de manera muy similar a las implementaciones existentes de Diffie-Hellman, ofrece un secreto avanzado que se considera importante tanto para evitar la vigilancia masivapor los gobiernos, sino también para proteger contra el compromiso de claves a largo plazo debido a fallas. ^[24] En 2012, los investigadores Sun, Tian y Wang del Laboratorio de Claves Estatales de China para Redes de Servicios Integrados y la Universidad de Xidian, ampliaron el trabajo de De Feo, Jao y Plut para crear firmas digitales cuánticas seguras basadas en isogenias de curvas elípticas supersingulares. ^[25] No existen patentes que cubran este sistema criptográfico.

Resistencia cuántica de clave simétrica [ editar ]

Siempre que se utilicen tamaños de clave suficientemente grandes, los sistemas criptográficos de clave simétrica como AES y SNOW 3G ya son resistentes al ataque de una computadora cuántica. ^[26] Además, los sistemas y protocolos de gestión de claves que utilizan criptografía de clave simétrica en lugar de criptografía de clave pública como Kerberos y la estructura de autenticación de red móvil 3GPP también son intrínsecamente seguros contra el ataque de una computadora cuántica. Dado su despliegue generalizado en el mundo, algunos investigadores recomiendan un uso ampliado de la gestión de claves simétricas similar a Kerberos como una forma eficiente de obtener criptografía postcuántica en la actualidad. ^[27]

Reducciones de seguridad [ editar ]

En la investigación de la criptografía, es deseable probar la equivalencia de un algoritmo criptográfico y un problema matemático difícil conocido. Estas pruebas a menudo se denominan "reducciones de seguridad" y se utilizan para demostrar la dificultad de descifrar el algoritmo de cifrado. En otras palabras, la seguridad de un algoritmo criptográfico dado se reduce a la seguridad de un problema difícil conocido. Los investigadores están buscando activamente reducciones de seguridad en las perspectivas de la criptografía postcuántica. Los resultados actuales se dan aquí:

Criptografía basada en celosía - Firma Ring-LWE [ editar ]

En algunas versiones de Ring-LWE hay una reducción de seguridad al problema del vector más corto (SVP) en una celosía como límite inferior de la seguridad. Se sabe que el SVP es NP-hard . ^[28] Los sistemas de anillo-LWE específicos que tienen reducciones de seguridad demostrables incluyen una variante de las firmas de anillo-LWE de Lyubashevsky definidas en un artículo de Güneysu, Lyubashevsky y Pöppelmann. ^[10] El esquema de firma GLYPH es una variante de la firma Güneysu, Lyubashevsky y Pöppelmann (GLP) que tiene en cuenta los resultados de la investigación que se han obtenido después de la publicación de la firma GLP en 2012. Otra firma Ring-LWE es Ring-TESLA . ^[29] There also exists a "derandomized variant" of LWE, called Learning with Rounding (LWR), which yields " improved speedup (by eliminating sampling small errors from a Gaussian-like distribution with deterministic errors) and bandwidth."^[30] While LWE utilizes the addition of a small error to conceal the lower bits, LWR utilizes rounding for the same purpose.

Lattice-based cryptography – NTRU, BLISS[edit]

The security of the NTRU encryption scheme and the BLISS^[12] signature is believed to be related to, but not provably reducible to, the Closest Vector Problem (CVP) in a Lattice. The CVP is known to be NP-hard. The Post Quantum Cryptography Study Group sponsored by the European Commission suggested that the Stehle–Steinfeld variant of NTRU which does have a security reduction be studied for long term use instead of the original NTRU algorithm.^[14]

Multivariate cryptography – Unbalanced Oil and Vinegar[edit]

Unbalanced Oil and Vinegar signature schemes are asymmetric cryptographic primitives based on multivariate polynomials over a finite field ${\displaystyle \mathbb {F} }$. Bulygin, Petzoldt and Buchmann have shown a reduction of generic multivariate quadratic UOV systems to the NP-Hard Multivariate Quadratic Equation Solving problem.^[31]

Hash-based cryptography – Merkle signature scheme[edit]

In 2005, Luis Garcia proved that there was a security reduction of Merkle Hash Tree signatures to the security of the underlying hash function. Garcia showed in his paper that if computationally one-way hash functions exist then the Merkle Hash Tree signature is provably secure.^[32]

Therefore, if one used a hash function with a provable reduction of security to a known hard problem one would have a provable security reduction of the Merkle tree signature to that known hard problem.^[33]

The Post Quantum Cryptography Study Group sponsored by the European Commission has recommended use of Merkle signature scheme for long term security protection against quantum computers.^[14]

Code-based cryptography – McEliece[edit]

The McEliece Encryption System has a security reduction to the Syndrome Decoding Problem (SDP). The SDP is known to be NP-hard^[34] The Post Quantum Cryptography Study Group sponsored by the European Commission has recommended the use of this cryptography for long term protection against attack by a quantum computer.^[14]

Code-based cryptography – RLCE[edit]

In 2016, Wang proposed a random linear code encryption scheme RLCE^[35] which is based on McEliece schemes. RLCE scheme can be constructed using any linear code such as Reed-Solomon code by inserting random columns in the underlying linear code generator matrix.

Supersingular elliptic curve isogeny cryptography[edit]

Security is related to the problem of constructing an isogeny between two supersingular curves with the same number of points. The most recent investigation of the difficulty of this problem is by Delfs and Galbraith indicates that this problem is as hard as the inventors of the key exchange suggest that it is.^[36] There is no security reduction to a known NP-hard problem.

Comparison[edit]

One common characteristic of many post-quantum cryptography algorithms is that they require larger key sizes than commonly used "pre-quantum" public key algorithms. There are often tradeoffs to be made in key size, computational efficiency and ciphertext or signature size. The table lists some values for different schemes at a 128 bit post-quantum security level.

A practical consideration on a choice among post-quantum cryptographic algorithms is the effort required to send public keys over the internet. From this point of view, the Ring-LWE, NTRU, and SIDH algorithms provide key sizes conveniently under 1KB, hash-signature public keys come in under 5KB, and MDPC-based McEliece takes about 1KB. On the other hand, Rainbow schemes require about 125KB and Goppa-based McEliece requires a nearly 1MB key.

Lattice-based cryptography – LWE key exchange and Ring-LWE key exchange[edit]

The fundamental idea of using LWE and Ring LWE for key exchange was proposed and filed at the University of Cincinnati in 2011 by Jintai Ding. The basic idea comes from the associativity of matrix multiplications, and the errors are used to provide the security. The paper^[46] appeared in 2012 after a provisional patent application was filed in 2012.

In 2014, Peikert^[47] presented a key transport scheme following the same basic idea of Ding's, where the new idea of sending additional 1 bit signal for rounding in Ding's construction is also utilized. For somewhat greater than 128 bits of security, Singh presents a set of parameters which have 6956-bit public keys for the Peikert's scheme.^[48] The corresponding private key would be roughly 14,000 bits.

In 2015, an authenticated key exchange with provable forward security following the same basic idea of Ding's was presented at Eurocrypt 2015,^[49] which is an extension of the HMQV^[50] construction in Crypto2005. The parameters for different security levels from 80 bits to 350 bits, along with the corresponding key sizes are provided in the paper.^[49]

Lattice-based cryptography – NTRU encryption[edit]

For 128 bits of security in NTRU, Hirschhorn, Hoffstein, Howgrave-Graham and Whyte, recommend using a public key represented as a degree 613 polynomial with coefficients ${\displaystyle {\bmod {\left(2^{10}\right)}}}$. This results in a public key of 6130 bits. The corresponding private key would be 6743 bits.^[37]

Multivariate cryptography – Rainbow signature[edit]

For 128 bits of security and the smallest signature size in a Rainbow multivariate quadratic equation signature scheme, Petzoldt, Bulygin and Buchmann, recommend using equations in ${\displaystyle \mathbb {F} _{31}}$ with a public key size of just over 991,000 bits, a private key of just over 740,000 bits and digital signatures which are 424 bits in length.^[38]

Hash-based cryptography – Merkle signature scheme[edit]

In order to get 128 bits of security for hash based signatures to sign 1 million messages using the fractal Merkle tree method of Naor Shenhav and Wool the public and private key sizes are roughly 36,000 bits in length.^[51]

Code-based cryptography – McEliece[edit]

For 128 bits of security in a McEliece scheme, The European Commissions Post Quantum Cryptography Study group recommends using a binary Goppa code of length at least ${\displaystyle n=6960}$ and dimension at least ${\displaystyle k=5413}$, and capable of correcting ${\displaystyle t=119}$ errors. With these parameters the public key for the McEliece system will be a systematic generator matrix whose non-identity part takes ${\displaystyle k\times (n-k)=8373911}$ bits. The corresponding private key, which consists of the code support with ${\displaystyle n=6960}$ elements from ${\displaystyle GF(2^{13})}$ and a generator polynomial of with ${\displaystyle t=119}$ coefficients from ${\displaystyle GF(2^{13})}$, will be 92,027 bits in length^[14]

The group is also investigating the use of Quasi-cyclic MDPC codes of length at least ${\displaystyle n=2^{16}+6=65542}$ and dimension at least ${\displaystyle k=2^{15}+3=32771}$, and capable of correcting ${\displaystyle t=264}$ errors. With these parameters the public key for the McEliece system will be the first row of a systematic generator matrix whose non-identity part takes ${\displaystyle k=32771}$ bits. The private key, a quasi-cyclic parity-check matrix with ${\displaystyle d=274}$ nonzero entries on a column (or twice as much on a row), takes no more than ${\displaystyle d\times 16=4384}$ bits when represented as the coordinates of the nonzero entries on the first row.

Barreto et al. recommend using a binary Goppa code of length at least ${\displaystyle n=3307}$ and dimension at least ${\displaystyle k=2515}$, and capable of correcting ${\displaystyle t=66}$ errors. With these parameters the public key for the McEliece system will be a systematic generator matrix whose non-identity part takes ${\displaystyle k\times (n-k)=1991880}$ bits.^[52] The corresponding private key, which consists of the code support with ${\displaystyle n=3307}$ elements from ${\displaystyle GF(2^{12})}$ and a generator polynomial of with ${\displaystyle t=66}$ coefficients from ${\displaystyle GF(2^{12})}$, will be 40,476 bits in length.

Supersingular elliptic curve isogeny cryptography[edit]

For 128 bits of security in the supersingular isogeny Diffie-Hellman (SIDH) method, De Feo, Jao and Plut recommend using a supersingular curve modulo a 768-bit prime. If one uses elliptic curve point compression the public key will need to be no more than 8x768 or 6144 bits in length.^[53] A March 2016 paper by authors Azarderakhsh, Jao, Kalach, Koziel, and Leonardi showed how to cut the number of bits transmitted in half, which was further improved by authors Costello, Jao, Longa, Naehrig, Renes and Urbanik resulting in a compressed-key version of the SIDH protocol with public keys only 2640 bits in size.^[45] This makes the number of bits transmitted roughly equivalent to the non-quantum secure RSA and Diffie-Hellman at the same classical security level.^[54]

Symmetric–key-based cryptography[edit]

As a general rule, for 128 bits of security in a symmetric-key-based system, one can safely use key sizes of 256 bits. The best quantum attack against generic symmetric-key systems is an application of Grover's algorithm, which requires work proportional to the square root of the size of the key space. To transmit an encrypted key to a device that possesses the symmetric key necessary to decrypt that key requires roughly 256 bits as well. It is clear that symmetric-key systems offer the smallest key sizes for post-quantum cryptography.

Forward secrecy[edit]

A public-key system demonstrates a property referred to as perfect forward secrecy when it generates random public keys per session for the purposes of key agreement. This means that the compromise of one message cannot lead to the compromise of others, and also that there is not a single secret value which can lead to the compromise of multiple messages. Security experts recommend using cryptographic algorithms that support forward secrecy over those that do not.^[55] The reason for this is that forward secrecy can protect against the compromise of long term private keys associated with public/private key pairs. This is viewed as a means of preventing mass surveillance by intelligence agencies.

Both the Ring-LWE key exchange and supersingular isogeny Diffie-Hellman (SIDH) key exchange can support forward secrecy in one exchange with the other party. Both the Ring-LWE and SIDH can also be used without forward secrecy by creating a variant of the classic ElGamal encryption variant of Diffie-Hellman.

The other algorithms in this article, such as NTRU, do not support forward secrecy as is.

Any authenticated public key encryption system can be used to build a key exchange with forward secrecy.^[56]

Open Quantum Safe project[edit]

Open Quantum Safe^[57][58] (OQS) project was started in late 2016 and has the goal of developing and prototyping quantum-resistant cryptography. It aims to integrate current post-quantum schemes in one library: liboqs.^[59] liboqs is an open source C library for quantum-resistant cryptographic algorithms. liboqs initially focuses on key exchange algorithms. liboqs provides a common API suitable for post-quantum key exchange algorithms, and will collect together various implementations. liboqs will also include a test harness and benchmarking routines to compare performance of post-quantum implementations. Furthermore, OQS also provides integration of liboqs into OpenSSL.^[60]

As of April 2017, the following key exchange algorithms are supported:^[57]

Implementation[edit]

One of the main challenges in post-quantum cryptography is considered to be the implementation of potentially quantum safe algorithms into existing systems. There are tests done, for example by Microsoft Research implementing PICNIC in a PKI using Hardware security modules.^[68] Test implementations for Google's NewHope algorithm have also been done by HSM vendors.

See also[edit]

• Ideal lattice cryptography – ring-learning with errors is one example of ideal lattice cryptography
• Post-Quantum Cryptography Standardization – by NIST
• Quantum cryptography – for cryptography based on quantum mechanics

References[edit]

Further reading[edit]

• Post-Quantum Cryptography. Springer. 2008. p. 245. ISBN 978-3-540-88701-0.
• Isogenies in a Quantum World
• On Ideal Lattices and Learning With Errors Over Rings
• Kerberos Revisited: Quantum-Safe Authentication
• The picnic signature scheme

External links[edit]

• PQCrypto, the post-quantum cryptography conference
• ETSI Quantum Secure Standards Effort
• NIST's Post-Quantum crypto Project
• PQCrypto Usage & Deployment