More than Just Lines on a Map: Best Practices for U.S Bike Routes
Kvantna Mehanika i kriptografija - SIT master rad - Slaven Ijacic FINALNI
1. PRIMENA KVANTNE MEHANIKE U
KRIPTOGRAFIJI, KVANTNO
RAČUNARSTVO I POST-KVANTNI
ŠIFARSKI SISTEMI
Slaven Ijačić
2. Ciljevi istraživanja
Istraživanje prostora kvantne mehanike i mogućih
primena u domenu kriptografije
Principi kvantnog računarstva i potencijalni napadi na
moderne šifarske sisteme sa javnim ključem
primenom Šorovog algoritma na kvantnim
računarima
Tehnologije i protokoli za kvantno generisanje i
distribuciju šifarskih ključeva
Analiza klase tzv. post-kvantnih asimetričnih šifarskih
sistema u kontekstu napada Šorovim algoritmom
3. Hipoteze
Sigurne internet komunikacije su osnovna
pretpostavka za poslovanje putem interneta i zaštitu
privatnosti pojedinaca
Postoji teoretska opasnost da moderni šifarski sistemi
sa javnim ključem (RSA/DH) budu kompromitovani u
realnom vremenu primenom kvantnih računara –
tehnologija i vreme
Postoje protokoli za kvantnu distribuciju šifarskih
ključeva (QKD) koji su bezuslovno sigurni i ne
zasnivaju se na „teškim“ matematičkim problemima –
uz određena ograničenja
Postoje tzv. post-kvantni šifarski sistemi sa javnim
4. Asimetrični šifarski sistemi
Problem sigurnog generisanja, upravljanja i razmene
šifarskih ključeva je bazični problem u kriptografiji
Pojava šifarskih sistema sa javnim ključem (1970)-
RSA/DH
Primena u SSL/TLS protokolima – uz odgovarajuću
public-key infrastrukturu (CA - X.509) generiše se
sesijski ključ za neki od simetričnih šifarskih sistema
(AES/3DES/IDEA...)
Mogućnost digitalnog potpisivanja poruke (RSA/DSA)–
integritet, autentičnost, neporecivost (SHA-1/2)
Matematička osnova RSA/DH je težak matematički
problem: faktorizacija proizvoda velikih prostih brojeva
5. Osnovne ideje kvantne
mehanike
Kvantno-mehanički opisi kvantnih sistema, poput elektrona
i fotona, su neophodni da bi se razumela njihova suština
Ervin Šredinger 1926 predstavlja talasnu funkciju 𝜳 (𝒕,𝒓)
koja u sebi nosi informacije o kvantnom sistemu, nema
fizičke analogije
Kvantni sistem se nalazi u superpoziciji svojih dozvoljenih
stanja, opisan vektorom stanja|𝜓⟩ =Σ𝑎𝑖|𝑖⟩ u Hilbertovom
prostoru
Merenje stanja čestice izaziva kolaps talasne funkcije u
neko od dozvoljenih stanja zavisno od kompleksne
amplitude verovatnoće 𝑎𝑖 datog stanja |𝑖⟩ ; 𝑎𝑖
2
je
verovatnoća kolapsa u stanje |𝑖⟩
Linearni operatori deluju na ket vektore (stanja) u H.
6. Kvantno računarstvo
Problemi simulacije određenih fizičkih sistema
(turbulencija, simulacija sistema sa više tela) – početci
razmišljanja o kvantnim računarima, prednosti
eksponencijalne dimenzionalnosti (1982)
Kvantni bit – kubit, kvantni sistem čije stanje leži u 2-dim
Hilbertovom prostoru: |𝜓⟩= α|0⟩ + β|1⟩, gde su α , β
kompleksne amplitude verovatnoće na koje utiču
kvantne operacija, oba stanja sa verovatnoćom od 50%
Kubit se dovede u stanje superpozicije, tj. u isto vreme
se nalazi u oba stanja, merenjem odlazi u jedno od
stanja, |0⟩ ili |1⟩
Kvantne operacije isključivo unitarne (reverzibilne)
Blohova sfera je geometrijska reprezentacija kubita,
severni i južni pol sfere predstavljaju bazis vektore |0⟩ i
7. Blohova sfera – reprezentacija
kubita
Relativne faze među koeficijentima α , β se menjaju
operacijama
Parametri 𝜃 i 𝜙 određuju tačku na jediničnoj sferi u 𝑅3
8. Kvantni registar
Po definiciji predstavljeni tenzorskim proizvodom
vektora stanja pojedinih kubita u registru
Kvantni registar od n kubita u superpoziciji sadrži sve
brojeve od 0 do 2 𝑛 − 1, masovni paralelizma
Dodatni korak je kvantno korelisanje regist(a)ra
Očitavanjem registra u osnovnom stanju dobija se
neka vrednost u datom opsegu, sa jednakom
verovatnoćom za sve
Kvantni računar se modelira nizom unitarnih operacija
nad registrima - operacije ne troše energiju
(reverzibilne)
Kvantna logičkih kola: Hadamard, Cnot, Paulijevo
X/Y/Z kolo, S, T, Rx/y/y, Tofoli, Fredkin, QFT
9. Rezultati kvantnih operacija
Kvantni računari vrše kalkulacije nad velikim brojem
ulaza u isto vreme, i to je tzv. ‘masovno-paralelno
procesiranje’
Verovatnoća ishoda se „podešava“ operacijama ka
nekom rezultatu - konstruktivna interferencija putem
sabiranja i oduzimanja amplituda verovatnoća- analogija
je „podešavanje“ kockica u igrama na sreću da bi se
uticalo na rezultat bacanja
Izvršavanje kvantnog programa N puta daje više različitih
rešenja, potrebno izabrati rezultat i verifikovati na
klasičan način, u polinomijalnom vremenu
Nemoguće kopiranje stanja sistema, očitavanje kolabira
registar u neku vrednost, nema međurezultata - treba
klasična simulacija
10. Šorov algoritam
Diskretni algoritmi i faktorizacija prirodnih brojeva teški
problemi, na klasičnom računaru T(n) =
2[𝑐 log 𝑛
1
3∗ log(𝑙𝑜𝑔𝑛)2/3 ]
Šorov algoritam (1994) se sastoji iz klasičnog i kvantnog
dela, deo algoritma gde se koristi kvantni računar je
nalaženje perioda P funkcije 𝑓 u ℕ, koja je periodična kod
sabiranja, i gde je 𝑓(𝑥) = 𝑓(𝑦) za različito 𝑥, 𝑦. U ovom
slučaju 𝑥, 𝑦 se razlikuju za množilac P, odnosno 𝑓(𝑥+𝑃) = 𝑓
(𝑥)
Kompleksnost algoritma T(n) = O[(l𝑜𝑔 𝑛)]3, sa O(log n)
kola
Algoritam rešava i problem diskretnog logaritma u
polinomijalnom vremenu – sistemi sa javnim ključem su
11. Kvantni računari - izazovi i
mogućnosti
Problem brze dekoherencije (raspada superpozicije
sistema) reda veličine ms, registar reaguje sa okolinom,
najviše 7 kubita u registru, cena implementacije visoka
(EM izolacija, hlađenje)
Postoje razne tehnologije za implementaciju kubita -
quantum dot, NMR, ion trap, josephson’s junction -
problemi tehničke prirode, najverovatnije pitanje
vremena
Mali broj algoritama, ne postoji univerzalni kvantni
računar, algoritmi: Dojč-joža, Grover, Šor, simulacija
fizičkih sistema
Gartner: za 10-15 godina realistični kvantni računari
K.R. mogu da znače revolucionarne promene i van
12. QKD – Kvantno generisanje i
distribucija šifarskih ključeva
1984 Benet i Brasar predlažu QKD protokol BB84, koji
koristi polarizaciju fotona za enkodiranje informacije
1991 Artur Ekart definiše protokol EPR/E91 koji koristi
kvantno korelisane fotone, za dodatnu zaštitu od
prisluškivanja
QKD tehnologije koriste neklasične fenomene kvantne
mehanike za sigurno generisanje i razmenu ključeva, bez
prethodnog znanja, između dva čvora optičke mreže
(kvantnog kanala)
Prisluškivanje kvantnog kanala samo smanjuje efektivnu
stopu generisanja ključeva i lako se detektuje
Bezuslovno siguran sistem, point-to-point konekcija
optičkim kablom, nemoguće repliciranje signala, stopa
generisanja ~1 Mbps, udaljenosti do 200 km
13. Princip rada BB84 1/2
Kubit je predstavljen polarizacijom fotona: ‘0’ odgovara vertikalnoj
polarizaciji pod uglom od 𝜋/2 i 𝜋/4, a ‘1’ polarizaciji pod uglom 0 i 3𝜋/4
U prvom koraku Alisa šalje pojedinačne fotone sa potpuno slučajno
polarizacijom u jednom od 4 moguća stanja, Bob detektuje foton potpuno
slučajno odabranim dijagonalnim ili vertikalnim detektorom, i vodi
evidenciju o svom izboru.
Ukoliko se ne slažu polarizacija i mod detektora, foton se arbitrarno odbija
na levo ili desnu sa podjednakom šansom. Bob javlja Alisi javnim kanalom
da je foton odbačen, bez dodatnih detalja, oboje vode evidenciju o
svakom događaju
14. Princip rada BB84 2/2
Ako Alisa i Bob koriste isti bazis (diagonalna ili vertikalna
polarizacija) oni uvek dobiju perfektono korelisan
rezultatl. U suprotnom bit je odbačen u evidenciji kod
Alise i Boba
Nakon detekcije niza fotona, Alisa i Bob poseduju oboje
isti tzv. prosejani ključ koji se dodatno transformiše kroz
niz klasičnih koraka kako bi se povećala sigurnost
Ako Eva presretne foton i utvrdi polarizaciju, ona ne može
da klonira foton i vrati ga u sistem jer je to nemoguće (no-
cloning teorema); To je jedan od glavnih principa kvantne
mehanike i to predstavlja ključni kvalitet kod ovog QKD
sistema
Eva može samo da smanji efektivnu stopu generisanja
15. EPR/E91 protokol
E91 protokol je varijacija BB84
Koristi kvantno korelisanje fotona (entanglement),
fenomen tipičan za kvantnu mehaniku
Korelisane čestice ostaju povezane čak i ako su
razdvojene hiljadama kilometara, tako da merenje jedne
čestice nedvosmisleno određuje stanje druge bez obzira
na udaljenost, a promena stanja „propagira brže od
svetlosti“
Za razliku od BB84 protokola, E91 protokol ne odbacuje
bitove kod kojih se Alisin i Bobov izbor bazisa merenja ne
slažu- koriste se za detekciju Evinog prisustva.
16. SARG04 protokol
SARG04 protokol je modifikacija BB84 protokola i koristi
ista 4 ortogonalna kvantna stanja kao i BB84, uz
izmenjenu proceduru za izdvajanje prosejanog ključa
Koristi isti hardver kao BB84 uz izmenjeno kodiranje
Nastao je 2004 godine i verovatno je najznačajniji
protokol koji se pojavio u poslednje vreme
SARG04 protokol funkcioniše bolje nego BB84 protokol
kad je u pitanju stvarna efikasnost distribucije tajnog
ključa
17. Implementacije i ograničenja
QKD
Brzine generisanja ključeva opada u zavisnosti od udaljenosti,
nije moguće ubaciti repetitor - uređaj (Eva) bi izazvao
korupciju ključa
Postoje eksperimenti sa komunikacijama kroz vazduh (sateliti
i dronovi) ali su evidentni problemi vezani za atmosferske
uslove
ID Quantique, Švajcarska; MagiQ Technologies, SAD;
Quintessence Labs, Australija
DARPA QKD mreža (2004), SECOQC , Beč; SwissQuantum,
Ženeva
18. Post-kvantna kriptografija
Podrazumeva kriptografske algoritme odnosno šifarske
sisteme koji se ne mogu kompromitovati primenom
kvantnih računara
Dodatni uslovi koje navedeni sistemi moraju da ispune
su efikasnost algoritama, poverenje u valjanost, i
primenjivost algoritama – na nivou današnjih
asimetričnih algortama
Postoji veliki broj šema koje se zasnivaju na različitim
matematičkim primitivama; dve poznatije klase post-
kvantnih šifarskih sistema su:
Sistemi na bazi rešetke (lattice-based cryptography)
Sistemi na bazi kodova (code-based cryptography)
19. Šifarski sistemi na bazi rešetke
Rešetka je skup tačaka u n-dim Euklidskom prostoru koji
pokazuje jaku periodičnost; generisana kao linearna kombinacija
bazis vektora
Šifarski sistemi na bazi rešetke se zasnivaju na dva NP-teška
problema: Najkraćeg vektora (SVP) i Najbližeg vektora (CVP)
Za većinu matematičkih problema sa rešetkama se pretpostavlja
ili je već dokazano da su teški u prosečnom slučaju, i zbog toga
su pogodni kandidati za korišćenje u šifarskim sistemima
Do danas nije pronađen način način kako da se ovi problemi
reše primenom Šorovog ili nekog drugog kvantnog algoritma
Za rešavanje navedenih problema koristi se LLL, algoritam
zasnovan na redukciji bazisa rešetke, u polinomijalnom vremenu
- ipak ovim načinom dokazano se mogu rešavati samo
aproksimacije navedenih problema
U zadnje vreme metod redukcije bazisa rešetke je veoma često
korišćen u rešavanju mnogih problema u kriptoanalizi
21. NTRU
Prva verzija nastala 1996. godine, NTRU
Cryptosystems Inc, patentiran sistem, NTRUEncrypt
standard IEEE 1363.1
Uz jednak nivo kripto-zaštite NTRUEncrypt izvršava
složene operacije šifrovanja i dešifrovanja značajno
brže nego RSA-pogodan za mobilne uređaje, manji
footprint
Zasniva se na problemu najkraćeg vektora u rešetci
(SVP), smatra se da je otporan na napade kvantnim
računarima
NTRUSign (2001), NTRU algoritam za potpisivanje,
u osnovi je GGH šema za digitalno potpisivanje
22. Šifarski sistemi na bazi kodova
Koriste neke od kodova za korigovanje grešaka (engl.
error correcting code) kao algoritamske primitive
Mekelis sistem je nastao 1978., dokazano otpornan na
napade primenom Šorovog algoritma, do danas nije
kompromitovan ali nikad nije bio široko prihvaćen
Zasniva na težini dekodiranja generalnog (slučajnog)
linearnog koda, problema koji je NP-težak, koristi binarne
Gopa kodove sa brzim algoritmom za dekodiranje
Tajna funkcija primenjena u Mekelis sistemu svodi se na
poznavanje efikasnih algoritama za korigovanje greške za
izabranu klasu kodova zajedno sa permutacijom
Praktičan javni ključ se sastoji od 512Kb, šifrovana poruka
su mnogo duže nego tekst, dugo se smatralo da se ne
može koristiti za potpisivanje, do pojave Niderajterove
šeme - varijacije Mekelisa
23. Ostali post-kvantni sistemi
Merkle šema za potpis (1970) koristi Lampartovu šemu
za jednokratni potpis i heš drvo, predstavlja alrternativu
za DSA i RSA šeme za potpisivanje
Šifarski sistemi na bazi multivarijabilnih kvadratnih
polinoma (MQ) koriste rešavanje sistema jednačina sa
više promenjljivih koje je NP-težak problem – do sada
ne postoje praktične šifarske šeme ovog tipa koje bi se
koristile u praksi, dok postoje rešenja za potpisivanje
((un)balanced oil and vinegar)
24. Zaključak
Postojeći šifarski sistemi kao što su RSA/DH su osnova
sigurnih komunikacia na interenetu, iako su bez
bezuslovne sigurnosti i podložni kompromitovanju putem
kvantnih računara, tehnologije koja je u razvoju
Uspešan napad na ove sisteme, u realnom vremenu, bi
diskvalifikovao današnje sigurnosne internet protokole i
izazvao ogromne gubitke u privredi, zastoj u poslovanju,
neautorizovano prebacivanje novca sa bankarskih
računa, gubitak poverenja u finansijski sistem, kao i
mnoge druge nepredvidive negativne efekte u društvu
Jedno od mogućih rešenja je primena QKD tehnologija,
uz bezuslovnu sigurnost - tehnološka ograničenja i cena
implementacije sistema su značajni ograničavajući
faktori
25. Zaključak
Neophodno je stoga investirati u nove post-kvantne
šifarske sisteme koji lako i jeftino mogu proširiti postojeći
SSL/TLS protokol bez ograničenja – klijent/server biraju
opcije komunikacione sesije tokom faze hendšejka
Na osnovu dosadašnje analize predlaže se proširenje
sigurnih protokola na postojeći post-kvantni šifarski
sistem NTRUEncrypt i NTRUSign usled dokazane
praktičnosti i efikasnosti
Potrebno na nivou organizacija u domenu interneta
pristupiti ubrzanom prihvatanju, testiranju i
standardizaciji ovog sistema u okviru navedenih
SSL/TLS protokola kao rešenje koje može da spreči i
preovlada navedene izazove u bliskoj budućnosti