Avantage de la distribution de clés quantiques par rapport à la cryptographie post-quantique

La cryptographie post-quantique comme la cryptographie sur réseau est conçue pour être sécurisée même si des ordinateurs quantiques sont disponibles. Il ressemble aux chiffrements actuellement utilisés, mais est basé sur des problèmes qui ne sont probablement pas résolus efficacement par un ordinateur quantique.

De toute évidence, les recherches sur la distribution des clés quantiques (QKD) se poursuivent. Mais quels sont exactement les avantages de la distribution de clés quantiques par rapport à la cryptographie post-quantique?

Le développement d'une nouvelle technologie comme QKD peut avoir de grands effets secondaires, et peut-être que QKD sera plus rentable ou plus rapide à très long terme, mais je doute que ce soit la principale raison.

S'il est prouvé qu'un protocole de chiffrement asymétrique donné repose sur un problème qui ne peut pas être résolu efficacement même par un ordinateur quantique, alors la cryptographie quantique devient largement hors de propos.

$\text{NP}$$\text{NP}\!\setminus\!\text{BQP}$).

De manière générale, tous les protocoles de chiffrement asymétriques classiques sont sûrs en supposant qu'un problème donné est difficile à résoudre, mais en aucun cas, à ma connaissance, il n'a été prouvé (au sens de la complexité informatique) que ce problème est en effet exponentiellement difficile à résoudre. résoudre avec un ordinateur quantique (et pour beaucoup même pas que le problème ne soit pas résolu efficacement avec un ordinateur classique ).

Je pense que cela est bien expliqué par Bernstein dans sa revue de la cryptographie post-quantique ( Link ). Citant la première section de ce qui précède, où il vient de parler d'un certain nombre de protocoles de chiffrement classiques:

Y a-t-il une meilleure attaque contre ces systèmes? Peut-être. Il s'agit d'un risque familier en cryptographie. C'est pourquoi la communauté investit énormément de temps et d'énergie dans la cryptanalyse. Parfois, les cryptanalystes trouvent une attaque dévastatrice, démontrant qu'un système est inutile pour la cryptographie; par exemple, chaque choix de paramètres utilisable pour le système de chiffrement à clé publique Merkle – Hellman est facilement cassable. Parfois, les cryptanalystes trouvent des attaques qui ne sont pas si dévastatrices mais qui forcent des tailles de clé plus grandes. Parfois, les cryptanalystes étudient les systèmes pendant des années sans trouver d'attaques améliorées, et la communauté cryptographique commence à avoir confiance que la meilleure attaque possible a été trouvée - ou du moins que les attaquants du monde réel ne pourront rien trouver de mieux.

D'un autre côté, la sécurité de QKD ne repose idéalement pas sur des conjectures (ou, comme on le dit souvent, les protocoles QKD fournissent en principe une sécurité théorique de l'information ). Si les deux parties partagent une clé sécurisée, alors le canal de communication est inconditionnellement sécurisé, et QKD leur fournit un moyen sécurisé inconditionnellement d'échanger une telle clé (bien sûr, toujours en supposant que la mécanique quantique a raison). Dans la section 4 de la revue susmentionnée, l'auteur présente une comparaison directe (si possible quelque peu biaisée) entre la cryptographie QKD et la cryptographie post-quantique. Il est important de noter que, bien entendu, la "sécurité inconditionnelle" doit ici être entendue au sens de la théorie de l'information, alors que dans le monde réel, il peut y avoir des aspects de sécurité plus importants à considérer.. Il convient également de noter que la sécurité et le caractère pratique de QKD dans le monde réel ne sont pas considérés comme factuels par certains (voir par exemple Bernstein ici et la discussion connexe sur QKD sur crypto.SE ), et que la sécurité théorique de l' information de QKD Les protocoles ne sont vrais que s'ils sont correctement suivis, ce qui signifie en particulier que la clé partagée doit être utilisée comme un bloc unique .

Enfin, en réalité, de nombreux protocoles QKD peuvent également être rompus. La raison en est que l'imperfection expérimentale d'implémentations spécifiques peut être exploitée pour casser le protocole (voir par exemple 1505.05303 , et pag.6 de npjqi201625 ). Il est toujours possible d'assurer la sécurité contre de telles attaques en utilisant des protocoles QKD indépendants de l'appareil, dont la sécurité repose sur les violations des inégalités de Bell et il peut être prouvé qu'elle ne dépend pas des détails de mise en œuvre. Le hic, c'est que ces protocoles sont encore plus difficiles à mettre en œuvre que QKD ordinaire.

La distribution de clés quantiques nécessite que vous remplaciez en gros l'intégralité de votre infrastructure de communication constituée de câbles Ethernet 5 EUR et de processeurs 0,50 EUR par des liaisons fibre dédiées de plusieurs millions d'euros et des ordinateurs spécialisés qui ne font en fait que de la cryptographie à clé secrète classique.

De plus, vous devez authentifier les clés secrètes partagées que vous négociez avec la distribution de clés quantiques, ce que vous ferez probablement en utilisant la cryptographie à clé publique classique, sauf si vous êtes assez riche pour vous permettre de recevoir des coursiers avec des valises menottées à leurs poignets.

Plus de détails de François Grieu sur crypto.se sur ce qui sécurise la cryptographie quantique.

Le nœud de la différence technique - coûts et déployabilité et politique et divisions de classe mis à part - est que le protocole physique d'un système QKD est destiné à être conçu de sorte qu'il n'a pas besoin de laisser une trace physique que de futures percées mathématiques pourraient permettre de récupérer rétroactivement le secret partagé négocié sur ces liaisons fibre dédiées. En revanche, avec la cryptographie classique, les accords de clés publiques sur Internet, où un espion enregistre chaque bit sur le fil, pourraient en principe être rompus par de futures percées mathématiques.

Ensuite, dans les deux cas, les pairs utilisent le secret partagé qu'ils ont négocié, que ce soit avec une distribution de clé quantique ou avec un accord de clé publique classique, comme clé secrète pour la cryptographie classique à clé secrète, qui pourrait en principe être rompue par de futures percées mathématiques. . (Mais des gens très intelligents et bien financés n'ont pas fait ces percées après avoir essayé pendant des décennies.) Et cela ne signifie pas que les implémentations pratiques de QKD ne laisseront pas non plus de traces physiques .

Cela dit, QKD est quantique, il est donc sexy et se vend bien aux gouvernements et aux banques riches, qui disposent de fonds discrétionnaires de plusieurs millions d'euros pour des jouets inutiles comme QKD. La physique est également assez cool pour les nerds avec qui jouer.

M. Stern rappelle un autre avantage de QKD: il fonctionne au niveau de la couche liaison , négociant une clé secrète partagée par les deux points d'extrémité d'une liaison fibre - qui pourrait être un utilisateur légitime et le MITM qui a épissé cette liaison fibre avec un voyou. Appareil QKD. Si, à l'époque de la suprématie quantique, nous remplaçons toutes les clés-clé publique classique du monde accord QKD, alors où les applications négocient actuellement les clés secrètes avec leurs pairs à travers l'Internet pour de bout en bout le cryptage authentifié sur tout support routable , ils devraient plutôt négocier des clés secrètes avec leur FAI , qui négocieraient des secrets avec leur FAI en amont, et ainsi de suite, pour le saut par sautcryptage authentifié. Ce serait une aubaine pour les bons gars des principaux gouvernements mondiaux qui tentent de surveiller (rétroactivement) les communications des utilisateurs pour éliminer les terroristes et les activistes et les journalistes et d'autres éléments de la société qui dérangent, car les FAI auraient alors nécessairement les clés secrètes prêtes à être remises à la police.