1. PRIMENA KVANTNE MEHANIKE U
KRIPTOGRAFIJI, KVANTNO
RAČUNARSTVO I POST-KVANTNI
ŠIFARSKI SISTEMI
Slaven Ijačić

2. Ciljevi istraživanja
 Istraživanje prostora kvantne mehanike i mogućih
primena u domenu kriptografije
 Principi kvantnog računarstva i potencijalni napadi na
moderne šifarske sisteme sa javnim ključem
primenom Šorovog algoritma na kvantnim
računarima
 Tehnologije i protokoli za kvantno generisanje i
distribuciju šifarskih ključeva
 Analiza klase tzv. post-kvantnih asimetričnih šifarskih
sistema u kontekstu napada Šorovim algoritmom

3. Hipoteze
 Sigurne internet komunikacije su osnovna
pretpostavka za poslovanje putem interneta i zaštitu
privatnosti pojedinaca
 Postoji teoretska opasnost da moderni šifarski sistemi
sa javnim ključem (RSA/DH) budu kompromitovani u
realnom vremenu primenom kvantnih računara –
tehnologija i vreme
 Postoje protokoli za kvantnu distribuciju šifarskih
ključeva (QKD) koji su bezuslovno sigurni i ne
zasnivaju se na „teškim“ matematičkim problemima –
uz određena ograničenja
 Postoje tzv. post-kvantni šifarski sistemi sa javnim

4. Asimetrični šifarski sistemi
 Problem sigurnog generisanja, upravljanja i razmene
šifarskih ključeva je bazični problem u kriptografiji
 Pojava šifarskih sistema sa javnim ključem (1970)-
RSA/DH
 Primena u SSL/TLS protokolima – uz odgovarajuću
public-key infrastrukturu (CA - X.509) generiše se
sesijski ključ za neki od simetričnih šifarskih sistema
(AES/3DES/IDEA...)
 Mogućnost digitalnog potpisivanja poruke (RSA/DSA)–
integritet, autentičnost, neporecivost (SHA-1/2)
 Matematička osnova RSA/DH je težak matematički
problem: faktorizacija proizvoda velikih prostih brojeva

5. Osnovne ideje kvantne
mehanike
 Kvantno-mehanički opisi kvantnih sistema, poput elektrona
i fotona, su neophodni da bi se razumela njihova suština
 Ervin Šredinger 1926 predstavlja talasnu funkciju 𝜳 (𝒕,𝒓)
koja u sebi nosi informacije o kvantnom sistemu, nema
fizičke analogije
 Kvantni sistem se nalazi u superpoziciji svojih dozvoljenih
stanja, opisan vektorom stanja|𝜓⟩ =Σ𝑎𝑖|𝑖⟩ u Hilbertovom
prostoru
 Merenje stanja čestice izaziva kolaps talasne funkcije u
neko od dozvoljenih stanja zavisno od kompleksne
amplitude verovatnoće 𝑎𝑖 datog stanja |𝑖⟩ ; 𝑎𝑖
2
je
verovatnoća kolapsa u stanje |𝑖⟩
 Linearni operatori deluju na ket vektore (stanja) u H.

6. Kvantno računarstvo
 Problemi simulacije određenih fizičkih sistema
(turbulencija, simulacija sistema sa više tela) – početci
razmišljanja o kvantnim računarima, prednosti
eksponencijalne dimenzionalnosti (1982)
 Kvantni bit – kubit, kvantni sistem čije stanje leži u 2-dim
Hilbertovom prostoru: |𝜓⟩= α|0⟩ + β|1⟩, gde su α , β
kompleksne amplitude verovatnoće na koje utiču
kvantne operacija, oba stanja sa verovatnoćom od 50%
 Kubit se dovede u stanje superpozicije, tj. u isto vreme
se nalazi u oba stanja, merenjem odlazi u jedno od
stanja, |0⟩ ili |1⟩
 Kvantne operacije isključivo unitarne (reverzibilne)
 Blohova sfera je geometrijska reprezentacija kubita,
severni i južni pol sfere predstavljaju bazis vektore |0⟩ i

7. Blohova sfera – reprezentacija
kubita
 Relativne faze među koeficijentima α , β se menjaju
operacijama
 Parametri 𝜃 i 𝜙 određuju tačku na jediničnoj sferi u 𝑅3

8. Kvantni registar
 Po definiciji predstavljeni tenzorskim proizvodom
vektora stanja pojedinih kubita u registru
 Kvantni registar od n kubita u superpoziciji sadrži sve
brojeve od 0 do 2 𝑛 − 1, masovni paralelizma
 Dodatni korak je kvantno korelisanje regist(a)ra
 Očitavanjem registra u osnovnom stanju dobija se
neka vrednost u datom opsegu, sa jednakom
verovatnoćom za sve
 Kvantni računar se modelira nizom unitarnih operacija
nad registrima - operacije ne troše energiju
(reverzibilne)
 Kvantna logičkih kola: Hadamard, Cnot, Paulijevo
X/Y/Z kolo, S, T, Rx/y/y, Tofoli, Fredkin, QFT

9. Rezultati kvantnih operacija
 Kvantni računari vrše kalkulacije nad velikim brojem
ulaza u isto vreme, i to je tzv. ‘masovno-paralelno
procesiranje’
 Verovatnoća ishoda se „podešava“ operacijama ka
nekom rezultatu - konstruktivna interferencija putem
sabiranja i oduzimanja amplituda verovatnoća- analogija
je „podešavanje“ kockica u igrama na sreću da bi se
uticalo na rezultat bacanja
 Izvršavanje kvantnog programa N puta daje više različitih
rešenja, potrebno izabrati rezultat i verifikovati na
klasičan način, u polinomijalnom vremenu
 Nemoguće kopiranje stanja sistema, očitavanje kolabira
registar u neku vrednost, nema međurezultata - treba
klasična simulacija

10. Šorov algoritam
 Diskretni algoritmi i faktorizacija prirodnih brojeva teški
problemi, na klasičnom računaru T(n) =
2[𝑐 log 𝑛
1
3∗ log(𝑙𝑜𝑔𝑛)2/3 ]
 Šorov algoritam (1994) se sastoji iz klasičnog i kvantnog
dela, deo algoritma gde se koristi kvantni računar je
nalaženje perioda P funkcije 𝑓 u ℕ, koja je periodična kod
sabiranja, i gde je 𝑓(𝑥) = 𝑓(𝑦) za različito 𝑥, 𝑦. U ovom
slučaju 𝑥, 𝑦 se razlikuju za množilac P, odnosno 𝑓(𝑥+𝑃) = 𝑓
(𝑥)
 Kompleksnost algoritma T(n) = O[(l𝑜𝑔 𝑛)]3, sa O(log n)
kola
 Algoritam rešava i problem diskretnog logaritma u
polinomijalnom vremenu – sistemi sa javnim ključem su

11. Kvantni računari - izazovi i
mogućnosti
 Problem brze dekoherencije (raspada superpozicije
sistema) reda veličine ms, registar reaguje sa okolinom,
najviše 7 kubita u registru, cena implementacije visoka
(EM izolacija, hlađenje)
 Postoje razne tehnologije za implementaciju kubita -
quantum dot, NMR, ion trap, josephson’s junction -
problemi tehničke prirode, najverovatnije pitanje
vremena
 Mali broj algoritama, ne postoji univerzalni kvantni
računar, algoritmi: Dojč-joža, Grover, Šor, simulacija
fizičkih sistema
 Gartner: za 10-15 godina realistični kvantni računari
 K.R. mogu da znače revolucionarne promene i van

12. QKD – Kvantno generisanje i
distribucija šifarskih ključeva
 1984 Benet i Brasar predlažu QKD protokol BB84, koji
koristi polarizaciju fotona za enkodiranje informacije
 1991 Artur Ekart definiše protokol EPR/E91 koji koristi
kvantno korelisane fotone, za dodatnu zaštitu od
prisluškivanja
 QKD tehnologije koriste neklasične fenomene kvantne
mehanike za sigurno generisanje i razmenu ključeva, bez
prethodnog znanja, između dva čvora optičke mreže
(kvantnog kanala)
 Prisluškivanje kvantnog kanala samo smanjuje efektivnu
stopu generisanja ključeva i lako se detektuje
 Bezuslovno siguran sistem, point-to-point konekcija
optičkim kablom, nemoguće repliciranje signala, stopa
generisanja ~1 Mbps, udaljenosti do 200 km

13. Princip rada BB84 1/2
 Kubit je predstavljen polarizacijom fotona: ‘0’ odgovara vertikalnoj
polarizaciji pod uglom od 𝜋/2 i 𝜋/4, a ‘1’ polarizaciji pod uglom 0 i 3𝜋/4
 U prvom koraku Alisa šalje pojedinačne fotone sa potpuno slučajno
polarizacijom u jednom od 4 moguća stanja, Bob detektuje foton potpuno
slučajno odabranim dijagonalnim ili vertikalnim detektorom, i vodi
evidenciju o svom izboru.
 Ukoliko se ne slažu polarizacija i mod detektora, foton se arbitrarno odbija
na levo ili desnu sa podjednakom šansom. Bob javlja Alisi javnim kanalom
da je foton odbačen, bez dodatnih detalja, oboje vode evidenciju o
svakom događaju

14. Princip rada BB84 2/2
 Ako Alisa i Bob koriste isti bazis (diagonalna ili vertikalna
polarizacija) oni uvek dobiju perfektono korelisan
rezultatl. U suprotnom bit je odbačen u evidenciji kod
Alise i Boba
 Nakon detekcije niza fotona, Alisa i Bob poseduju oboje
isti tzv. prosejani ključ koji se dodatno transformiše kroz
niz klasičnih koraka kako bi se povećala sigurnost
 Ako Eva presretne foton i utvrdi polarizaciju, ona ne može
da klonira foton i vrati ga u sistem jer je to nemoguće (no-
cloning teorema); To je jedan od glavnih principa kvantne
mehanike i to predstavlja ključni kvalitet kod ovog QKD
sistema
 Eva može samo da smanji efektivnu stopu generisanja

15. EPR/E91 protokol
 E91 protokol je varijacija BB84
 Koristi kvantno korelisanje fotona (entanglement),
fenomen tipičan za kvantnu mehaniku
 Korelisane čestice ostaju povezane čak i ako su
razdvojene hiljadama kilometara, tako da merenje jedne
čestice nedvosmisleno određuje stanje druge bez obzira
na udaljenost, a promena stanja „propagira brže od
svetlosti“
 Za razliku od BB84 protokola, E91 protokol ne odbacuje
bitove kod kojih se Alisin i Bobov izbor bazisa merenja ne
slažu- koriste se za detekciju Evinog prisustva.

16. SARG04 protokol
 SARG04 protokol je modifikacija BB84 protokola i koristi
ista 4 ortogonalna kvantna stanja kao i BB84, uz
izmenjenu proceduru za izdvajanje prosejanog ključa
 Koristi isti hardver kao BB84 uz izmenjeno kodiranje
 Nastao je 2004 godine i verovatno je najznačajniji
protokol koji se pojavio u poslednje vreme
 SARG04 protokol funkcioniše bolje nego BB84 protokol
kad je u pitanju stvarna efikasnost distribucije tajnog
ključa

17. Implementacije i ograničenja
QKD
 Brzine generisanja ključeva opada u zavisnosti od udaljenosti,
nije moguće ubaciti repetitor - uređaj (Eva) bi izazvao
korupciju ključa
 Postoje eksperimenti sa komunikacijama kroz vazduh (sateliti
i dronovi) ali su evidentni problemi vezani za atmosferske
uslove
 ID Quantique, Švajcarska; MagiQ Technologies, SAD;
Quintessence Labs, Australija
 DARPA QKD mreža (2004), SECOQC , Beč; SwissQuantum,
Ženeva

18. Post-kvantna kriptografija
 Podrazumeva kriptografske algoritme odnosno šifarske
sisteme koji se ne mogu kompromitovati primenom
kvantnih računara
 Dodatni uslovi koje navedeni sistemi moraju da ispune
su efikasnost algoritama, poverenje u valjanost, i
primenjivost algoritama – na nivou današnjih
asimetričnih algortama
 Postoji veliki broj šema koje se zasnivaju na različitim
matematičkim primitivama; dve poznatije klase post-
kvantnih šifarskih sistema su:
 Sistemi na bazi rešetke (lattice-based cryptography)
 Sistemi na bazi kodova (code-based cryptography)

19. Šifarski sistemi na bazi rešetke
 Rešetka je skup tačaka u n-dim Euklidskom prostoru koji
pokazuje jaku periodičnost; generisana kao linearna kombinacija
bazis vektora
 Šifarski sistemi na bazi rešetke se zasnivaju na dva NP-teška
problema: Najkraćeg vektora (SVP) i Najbližeg vektora (CVP)
 Za većinu matematičkih problema sa rešetkama se pretpostavlja
ili je već dokazano da su teški u prosečnom slučaju, i zbog toga
su pogodni kandidati za korišćenje u šifarskim sistemima
 Do danas nije pronađen način način kako da se ovi problemi
reše primenom Šorovog ili nekog drugog kvantnog algoritma
 Za rešavanje navedenih problema koristi se LLL, algoritam
zasnovan na redukciji bazisa rešetke, u polinomijalnom vremenu
- ipak ovim načinom dokazano se mogu rešavati samo
aproksimacije navedenih problema
 U zadnje vreme metod redukcije bazisa rešetke je veoma često
korišćen u rešavanju mnogih problema u kriptoanalizi

20. Primer mogućih tipova rešetki u
𝑅2

21. NTRU
 Prva verzija nastala 1996. godine, NTRU
Cryptosystems Inc, patentiran sistem, NTRUEncrypt
standard IEEE 1363.1
 Uz jednak nivo kripto-zaštite NTRUEncrypt izvršava
složene operacije šifrovanja i dešifrovanja značajno
brže nego RSA-pogodan za mobilne uređaje, manji
footprint
 Zasniva se na problemu najkraćeg vektora u rešetci
(SVP), smatra se da je otporan na napade kvantnim
računarima
 NTRUSign (2001), NTRU algoritam za potpisivanje,
u osnovi je GGH šema za digitalno potpisivanje

22. Šifarski sistemi na bazi kodova
 Koriste neke od kodova za korigovanje grešaka (engl.
error correcting code) kao algoritamske primitive
 Mekelis sistem je nastao 1978., dokazano otpornan na
napade primenom Šorovog algoritma, do danas nije
kompromitovan ali nikad nije bio široko prihvaćen
 Zasniva na težini dekodiranja generalnog (slučajnog)
linearnog koda, problema koji je NP-težak, koristi binarne
Gopa kodove sa brzim algoritmom za dekodiranje
 Tajna funkcija primenjena u Mekelis sistemu svodi se na
poznavanje efikasnih algoritama za korigovanje greške za
izabranu klasu kodova zajedno sa permutacijom
 Praktičan javni ključ se sastoji od 512Kb, šifrovana poruka
su mnogo duže nego tekst, dugo se smatralo da se ne
može koristiti za potpisivanje, do pojave Niderajterove
šeme - varijacije Mekelisa

23. Ostali post-kvantni sistemi
 Merkle šema za potpis (1970) koristi Lampartovu šemu
za jednokratni potpis i heš drvo, predstavlja alrternativu
za DSA i RSA šeme za potpisivanje
 Šifarski sistemi na bazi multivarijabilnih kvadratnih
polinoma (MQ) koriste rešavanje sistema jednačina sa
više promenjljivih koje je NP-težak problem – do sada
ne postoje praktične šifarske šeme ovog tipa koje bi se
koristile u praksi, dok postoje rešenja za potpisivanje
((un)balanced oil and vinegar)

24. Zaključak
 Postojeći šifarski sistemi kao što su RSA/DH su osnova
sigurnih komunikacia na interenetu, iako su bez
bezuslovne sigurnosti i podložni kompromitovanju putem
kvantnih računara, tehnologije koja je u razvoju
 Uspešan napad na ove sisteme, u realnom vremenu, bi
diskvalifikovao današnje sigurnosne internet protokole i
izazvao ogromne gubitke u privredi, zastoj u poslovanju,
neautorizovano prebacivanje novca sa bankarskih
računa, gubitak poverenja u finansijski sistem, kao i
mnoge druge nepredvidive negativne efekte u društvu
 Jedno od mogućih rešenja je primena QKD tehnologija,
uz bezuslovnu sigurnost - tehnološka ograničenja i cena
implementacije sistema su značajni ograničavajući
faktori

25. Zaključak
 Neophodno je stoga investirati u nove post-kvantne
šifarske sisteme koji lako i jeftino mogu proširiti postojeći
SSL/TLS protokol bez ograničenja – klijent/server biraju
opcije komunikacione sesije tokom faze hendšejka
 Na osnovu dosadašnje analize predlaže se proširenje
sigurnih protokola na postojeći post-kvantni šifarski
sistem NTRUEncrypt i NTRUSign usled dokazane
praktičnosti i efikasnosti
 Potrebno na nivou organizacija u domenu interneta
pristupiti ubrzanom prihvatanju, testiranju i
standardizaciji ovog sistema u okviru navedenih
SSL/TLS protokola kao rešenje koje može da spreči i
preovlada navedene izazove u bliskoj budućnosti