В последнее время появляется все больше новостей о революционных достижениях в области квантовых вычислений, которые могут заметно повлиять на наши представления о стойкости криптографических алгоритмов. Это накладывает определенные ограничения на развитие технологий распределенных баз данных, состоящих из цепочек блоков, связанных хеш-суммой, так называемого блокчейна. 

Но представляют ли эти достижения реальную опасность для блокчейна будущего? Нужно ли бежать обналичивать свои биткоины и прятать их под бабушкин матрас при первой новости о создании рабочего квантового компьютера? Скорее всего нет и вот почему.

Оглавление

  • Введение

  • Часть 1. Настоящее

    • Почему постквантовая эпоха может и не наступить (как минимум в обозримом будущем)

    • Безопасность существующих криптографических алгоритмов

  • Часть 2. Будущее

    • Требования, накладываемые на постквантовый блокчейн

    • Алгоритмы обхода постквантовых атак

      • Постквантовые алгоритмы шифрования

      • Постквантовые алгоритмы подписи

  • Заключение 

Введение

Безопасность блокчейна основана на двух вычислительно сложных задачах: поиске коллизий хеша и взятии дискретного логарифма или же факторизации больших чисел. И если на классическом компьютере они могут быть решены не быстрее, чем за экспоненциальное или субэкспоненциальное время (т.е. выбор длинного ключа или криптографически стойкой хеш-функции делает задачу нерешаемой за адекватное время), то квантовый компьютер сможет их решать на порядки эффективнее за счет алгоритмов Шора (разложения числа на простые множители), Гровера (решение задачи перебора, быстрый поиск в неупорядоченной базе данных) и Дойча-Йожи (ответ на вопрос, постоянная или сбалансированная функция). Уязвимы станут самые популярные алгоритмы, включая RSA (основан на факторизации больших целых чисел), ECDSA (алгоритм цифровой подписи над группой точек эллиптической кривой), ECDH (алгоритм Диффи-Хеллмана на эллиптических кривых) или DSA (алгоритм создания цифровой подписи, основанный на дискретном логарифмировании).

WARNING: да, это лонгрид (и мне не стыдно)

Я старалась преподнести тему последовательно, хотя бы касаясь всех этапов рассмотрения этой темы, чтобы у читателя сложилось понимание того, почему, как и что с этим делать. Обрывочных сведений на просторах интернета и так полно)) Получилось или нет, судить уже вам.

ЧАСТЬ 1. Настоящее

Почему постквантовая эпоха может и не наступить (как минимум в обозримом будущем)

Как бы ни была заманчива идея изобретения вычислительной техники, заметно превосходящей нынешнюю в мощности и быстродействии, на пути создания квантового компьютера существует множество проблем. Осуществление квантовой операции состоит из нескольких логических глав: приведение кубитов (аналогов “нулей и единиц” в современных компьютерах) в определенные исходные состояния, объединение их в запутанные системы, изолирование этих систем от влияния внешних помех, считывание результатов квантового расчета. И каждая из них имеет свои сложности, связанные с преодолением естественных для такой системы препятствий для получения результата с требуемой точностью.

Одной из таких проблем является сложность производства однородных и стабильных кубитов. Квантовый компьютер работает на вероятностном принципе, результатом работы является распределение вероятностей возможных ответов, и наиболее вероятный ответ обычно является лучшим решением. А потому, для того, чтобы избежать случайной потери данных, необходимо полностью исключить возможность воздействия случайного постороннего шума и любого наблюдения за системой (it’s how quantum mechanics works). Поэтому для устойчивой работы системы кубитов необходимо поддерживать температуру окружающей среды около 20 мК, что сложно достижимо даже в лабораторных условиях. Ученые используют сверхтекучие жидкости, чтобы добиться такого охлаждения. На данный момент, ученые Университета Дьюка в США заявили, что смогли создать более устойчивые к помехам квантовые системы, чем существовали до сих пор. Разработчикам удалось успешно перевести кубит в начальное состояние в 99,4% случаев при ожидаемой цифре в 98,9%.

Также, несмотря на прогресс в этой сфере, остаются нерешенные проблемы в виде высоких затрат на создание, необходимости высококвалифицированных кадров и неприспособленности такого типа компьютеров к выполнению повседневных задач обычных пользователей.

Безопасность существующих криптографических алгоритмов

Теперь давайте посмотрим на то, насколько устойчивы к криптоаналитическим атакам существующие алгоритмы, обеспечивающие безопасность блокчейна, ведь для того чтобы продуктивнее говорить о будущем криптосистем, нужно внимательно изучить то, что имеем уже сейчас.  

Прежде всего следует отметить, что стойкость криптосистем с открытым ключом к классическим компьютерным атакам традиционно оценивается с помощью так называемого уровня безопасности битов (англ. bits-of-security level). Такой уровень определяется как усилие, необходимое классическому компьютеру для выполнения атаки методом грубой силы (англ. brute-force attack), по сути, методом перебора всех возможных комбинаций. Например, асимметричная криптосистема имеет 1024-битную защиту, когда усилия, необходимые для ее атаки с помощью классического компьютера, аналогичны усилиям, необходимым для проведения атаки грубой силы на 1024-битный криптографический ключ. Для справки в таблице 1 указан уровень безопасности некоторых из самых популярных симметричных и асимметричных криптосистем.

Таблица 1. Уровень безопасности криптосистем в зависимости от размера ключа
Таблица 1. Уровень безопасности криптосистем в зависимости от размера ключа

Стоимость взлома современных 80-битных криптосистем на классических компьютерах оценивается от десятков тысяч до сотен миллионов долларов. В случае 112-битных криптосистем они считаются безопасными для классических компьютерных атак в течение следующих 30-40 лет. Однако исследователи определили, что 160-битные эллиптические кривые можно взломать с помощью 1000-кубитного квантового компьютера, а для 1024-битного RSA потребуется примерно 2000 кубитов. Такая угроза затрагивает криптосистемы, которые полагаются на целочисленную факторизацию (например, RSA), эллиптические кривые (например, ECDSA, ECDH), и основанные, например, на задаче дискретного логарифмирования в поле вычетов по модулю простого числа, которые можно быстро решить с помощью квантового алгоритма Шора.

Говоря о безопасности хеш-функций, стоит отметить, что в отличие от криптосистем с открытым ключом, традиционные хеш-функции считаются способными противостоять квантовым атакам, поскольку нахождение прообраза хеша является NP-сложной задачей. Но квантовые атаки через алгоритм Шора также влияют и на них: если хеш-функция блокчейна нарушена, кто-то с достаточно мощным квантовым компьютером может использовать этот алгоритм для подделки цифровых подписей, отслеживания пользователей блокчейна и кражи их цифровых активов. Также, рассматривая атаки, основанные на алгоритме Гровера, можно использовать их для поиска коллизий хеша, а затем замены групп блоков в единой цепочке блоков, или для ускорения майнинга, позволяющего быстро воссоздавать цепочки блоков, тем самым нарушая целостность исходной цепочки.


ЧАСТЬ 2. Будущее

Требования, накладываемые на постквантовый блокчейн

На первый взгляд кажется, что нужно всего лишь увеличить размер ключей и хеша, чтобы система стала вновь безопасной, но это фатально скажется на ее быстродействии. Поэтому чтобы сохранить это самое быстродействие, но также сделать блокчейн невосприимчивым к новому типу атак, постквантовая криптосистема должна отвечать следующим требованиям:

Рассуждения о «маленькости» размеров ключей алгоритмов

Важно понимать, что «объяснение маленькости» у всех алгоритмов разное и зависит от того, как устроена логика его работы. Следующие два критерия говорят не о конкретных границах диапазона размеров, а о том, к чему нужно стремиться при разработке алгоритма, без ущерба его криптостойкости. Решение же о том, маленький или большой ключ/подпись/хеш выносится в каждом отдельном случае.

Например, существует теорема Винера, которая напрямую говорит о допустимом нижнем пороге длины ключа алгоритма RSA. Так, закрытый ключ не может быть короче, чем корень четвертой степени из модуля N. Поэтому минимально безопасным размером ключа в RSA сейчас считается 1024 бита (а рекомендуемый 2048 бит).

  1. Маленькие размеры ключей. Устройства, которые взаимодействуют с блокчейном, должны в идеале использовать небольшие открытые и закрытые ключи, чтобы уменьшить необходимое пространство для хранения. Кроме того, для управления маленькими ключами требуются менее сложные вычислительные операции. Это особенно важно для блокчейнов, которые требуют взаимодействия конечных устройств Интернета вещей (IoT), которые обычно ограничены в вычислительной мощности.

  2. Маленькая подпись и длина хеша. Блокчейн хранит транзакции данных, включая подписи пользователей и хеши данных / блоков. Следовательно, если длина подписи / хеша увеличивается, размер блокчейна также увеличивается.

  3. Быстрое исполнение. Постквантовые схемы должны оставаться как можно более быстрыми, чтобы блокчейн мог обрабатывать большое количество транзакций в секунду. Более того, быстрое выполнение обычно связано с низкой вычислительной сложностью, что необходимо для того, чтобы не исключать устройства с ограниченными ресурсами из транзакций блокчейна.

  4. Низкая вычислительная сложность. Этот пункт связан с требованием быстрого исполнения, но быстрое исполнение на определенном оборудовании не всегда связано с низкой вычислительной сложностью. 

  5. Низкое энергопотребление. Некоторые блокчейны, такие как Биткойн, считаются энергоемкими в основном из-за энергии, необходимой для выполнения его консенсусного протокола. Существуют и другие факторы, влияющие на энергопотребление, такие как используемое оборудование, количество выполненных коммуникационных транзакций и реализованные схемы безопасности.

Алгоритмы обхода постквантовых атак 

В этом разделе мы, наконец, рассмотрим, какие на данный момент придуманы решения для обеспечения функционирования криптосистем будущего.

Спойлер: идеального алгоритма, удовлетворяющего всем вышеперечисленным критериям пока не найдено... Но проводятся активные исследования!

Проанализируем отдельно, как можно обезопасить механизм шифрования/дешифрования и создания цифровой подписи с помощью различных алгоритмов, которые будут разделены на несколько типов. Методы усовершенствования хеш-функций не рассматриваются, потому что влияние квантовых вычислений на их уровень безопасности не так велико.

Также заранее отмечу, что в данной главе будут приведены лишь некоторые из существующих алгоритмов. Полное описание исследований в этой области заслуживает отдельной большой статьи.

Постквантовые алгоритмы шифрования

1) Code-Based криптосистемы

В таких системах создание закрытого ключа базируется на коде, исправляющим ошибки. К примеру, рассмотрим систему McEliece, безопасность которой основана на NP-сложности декодирования полных линейных кодов. Такая схема обеспечивает быстрое шифрование и относительно быстрое дешифрование, что является преимуществом при выполнении быстрых транзакций блокчейна. Однако криптосистема McEliece требует хранения и выполнения операций с большими матрицами, которые действуют как открытые и закрытые ключи. Такие матрицы обычно занимают от 100 килобайт до нескольких мегабайт, что накладывает ограничения на используемую технику. Для решения этой проблемы используются методы сжатия матриц, а также использование кодов, таких как LDPC (англ. Low Density Parity Check).

2) Multivariate-Based криптосистемы

Схемы на основе многих переменных (также известные как многомерная криптография) основаны на сложности решения систем квадратичных многочленов с несколькими переменными, которые, являются NP-сложными или NP-полными.

В настоящее время некоторые из наиболее многообещающих многомерных схем основаны на использовании квадратных матриц со случайными квадратичными многочленами: криптосистемы, полученные из алгоритма Мацумото-Имаи (англ. Matsumoto-Imai), и схемы, основанных на уравнениях скрытого поля (англ. Hidden Field Equations - HFE).

3) Lattice-Based криптосистемы

Этот вид криптографических схем основан на решетках, которые представляют собой наборы точек в N-мерных пространствах с периодической структурой. Схемы безопасности на основе решеток полагаются на предполагаемую сложность таких задач, как поиск самого короткого вектора (англ. Shortest Vector Problem - SVP), которая является NP-сложной задачей, ее цель - найти кратчайший ненулевой вектор в решетке. Существуют и другие подобные задачи, связанные с решеткой, такие как проблема поиска ближайшего вектора (англ. Closest Vector Problem - CVP) или проблема поиска кратчайших независимых векторов (англ. Shortest Independent Vectors Problem - SIVP), которые в настоящее время не могут быть эффективно решены с помощью квантовых компьютеров.

Схемы на основе решеток предоставляют реализации, которые позволяют ускорить транзакции пользователей блокчейна, поскольку они часто являются простыми в вычислительном плане. Однако, как это происходит с другими постквантовыми схемами, реализации на основе решеток должны хранить и использовать большие ключи, что ведет к большим накладным расходам зашифрованного текста. Например, схемы на основе решеток, такие как NTRU или NewHope, часто требуют управления ключами порядка нескольких тысяч бит.

4) Supersingular Elliptic Curve Isogeny криптосистемы 

Эти схемы основаны на протоколе суперсингулярных изогений для обычных эллиптических кривых. Примером является наиболее многообещающая схема шифрования для замены алгоритмов на самих эллиптических кривых: SIKE . SIKE основан на псевдослучайных блужданиях в суперсингулярных графах изогении. Хорошим эталоном размеров ключей SIKE является SIKEp434, который для 128-битного уровня классической безопасности использует 2640-битный открытый ключ и 2992-битный закрытый ключ.

Если вас (как и меня) ужасает словосочетание «суперсингулярные изогении», то вот тут бравый хабровчанин подробно описал что это и с чем его едят - советую прочесть!

5) Гибридные криптосистемы

Гибридные схемы кажутся следующим шагом на пути к постквантовой безопасности, поскольку они объединяют доквантовые и постквантовые криптосистемы с целью защиты передаваемых данных как от квантовых атак, так и от атак на используемые постквантовые схемы. Вторая версия гибридной схемы (англ. Combined Elliptic-Curve and Post-Quantum 2 - CECPQ2) предназначена для усиления криптографической защиты вокруг TLS-соединений. Благодаря этому алгоритму будет невозможным расшифровать HTTPS-трафик и получить доступ к прошлым безопасным коммуникациям.

Хотя эти схемы выглядят довольно многообещающими, они требуют значительных вычислительных ресурсов и большего энергопотребления, а значит придется искать компромисс между безопасностью, вычислительной сложностью и потреблением ресурсов.

Постквантовые алгоритмы подписи

1) Code-Based криптосистемы

В прошлом подразделе уже говорилось о code-based системах. Для решения проблем именно с постквантовыми подписями, используются усовершенствованные алгоритмы на основе рассмотренного McEliece, например Niederreiter и CFS (от фамилий Courtois, Finiasz, Sendrier). Подписи, созданные по таким схемам имеют небольшую длину и могут быть проверены очень быстро, но, как это и в классическом McEliece, использование ключей большого размера требует значительных вычислительных ресурсов, из-за чего генерация подписи может стать неэффективной.

2) Multivariate-Based криптосистемы

Рассмотренные выше схемы на основе алгоритма Мацумото-Имаи или на HFE помогают и в генерации подписей. Благодаря им можно создавать подписи с размером, сопоставимым с используемыми в настоящее время RSA. Тем не менее, такие криптосистемы нуждаются в дальнейшем улучшении, поскольку они требуют нескольких десятков тысяч байтов на ключ.

3) Lattice-Based криптосистемы

Схемы подписей на основе решеток примечательны тем, что требуют ключей, размер которых меньше размера, необходимого для схем на основе многих переменных, но при этом сгенерированные подписи получаются немного больше. Как пример данного типа алгоритмов, можно привести BLISS-B (Bimodal Lattice Signatures B), созданный на основе решения задачи кратного целочисленного решения (англ. Short Integer Solution - SIS). Однако BLISS-B подвержен атакам на кэш, которые могут восстановить секретный ключ подписи после 6000 генерации подписи. Намного более интересен для рассмотрения алгоритм FALCON, который тоже основан на проблеме SIS. Он использует самые маленькие размеры ключей среди решеточных алгоритмов и обладает высокой скоростью обработки операций.

4) Supersingular Elliptic Curve Isogeny криптосистемы

Теоретически, можно использовать суперсингулярные изогении эллиптических кривых для создания схем постквантовой цифровой подписи, но на данный момент все такие схемы обладают слишком низкой производительностью.

5) Hash-Based схемы

Безопасность таких схем зависит не от сложности математической задачи, а от безопасности лежащей в основе хеш-функции. Подобные схемы появились еще в конце 70-х годов, когда была предложена схема подписи, основанная на односторонней функции. В настоящее время варианты расширенной схемы подписи Меркла (англ. eXtended Merkle Signature Scheme - XMSS), основанные на схеме дерева Меркла, считаются наиболее многообещающими схемами подписи в этом классе.

Однако XMSS непрактична для приложений блокчейна из-за низкой производительности вследствие длительной генерации ключа, а потому были предложены улучшения и альтернативы. Например, XMSS был адаптирован к блокчейну за счет использования единоразовой аутентификации вместо дерева и использования одноразовых и ограниченных ключей, чтобы сохранить анонимность и минимизировать отслеживание пользователей.


Заключение

В данной статье я постаралась ответить на поставленный в начале вопрос о будущем блокчейна путем анализа последних достижений по обе стороны квантовых технологий. Мы рассмотрели как проблемы создания квантовых компьютеров, - так и основные алгоритмы, способные (хоть и с некоторыми оговорками) противостоять будущим атакам на блокчейн. 

Пусть на данный момент мы может говорить лишь о претендентах на роль “спасителя”, которые с той или иной вероятностью станут в будущем так же привычны, как и, например, RSA сейчас. Но лично я уверена, что внезависимости от скорости внедрения квантовых компьютеров, разработки в этой сфере являются хорошим подспорьем для самых разных достижений и открытий. Да и криптографы могут решить перестраховаться чуть заранее и обезопасить блокчейн пускай даже от только надвигающейся угрозы, “вдруг что”. Технология-то хорошая, перспективная… Так что можете с чистой совестью оставить свои крипто-накопления и бабулин матрас в покое (хотя бы на ближайшие лет 10). 

Благодарю за прочтение данного лонгрида, надеюсь, моя статья была полезна для вас!

Литература:

Комментарии (31)


  1. plus79501445397
    18.12.2021 19:28
    +2

    Безопасность блокчейна основана на двух вычислительно сложных задачах: поиске коллизий хеша и взятии дискретного логарифма или же факторизации больших чисел.… квантовый компьютер сможет их решать на порядки эффективнее за счет алгоритмов Шора (разложения числа на простые множители), Гровера (решение задачи перебора, быстрый поиск в неупорядоченной базе данных) и Дойча-Йожи (ответ на вопрос, постоянная или сбалансированная функция).
    Уточните плз, каким образом алгоритм Дойча-Йожи угрожает безопасности блокчейна?


    1. El1za Автор
      19.12.2021 17:21

      Мне, наверное, стоило это уточнить, но да, алгоритм Дойча-Йожи влияет не так напрямую, как намного более известные Шор и Гровер. Этот алгоритм является прекрасным примером квантового параллелизма, за счет которого как раз и достигается превосходство над классическим компьютером. Также, он послужил поводом начать более активные исследования в этой сфере. По этим причинам, я посчитала важным указать и его в моем посте.

      Было бы интересно послушать от более опытных и знающих людей, может я что-то упускаю и есть какие-то примеры, статьи по этой теме)


      1. qbertych
        20.12.2021 13:39

        Час от часу не легче. Чем же безопасности блокчейна угрожает алгоритм Гровера?


        1. LevPos
          20.12.2021 14:03

          Чем же безопасности блокчейна угрожает алгоритм Гровера?

          Я не автор, но нашёл вот это:

          Квантовая угроза блокчейнам: алгоритмы Шора и Гровера

          Потенциальному квантовому компьютеру намного сложнее взломать криптографическое хеширование, чем асимметричное шифрование. Тем не менее, существует квантовый алгоритм, который теоретически может значительно упростить взлом криптографического хеширования, хотя этот процесс всё же останется трудоёмким.


          1. qbertych
            20.12.2021 14:51

            Алгоритм Гровера, конечно, дает ускорение, но вообще-то только квадратичное. После него задача остается экспоненциально сложной.


  1. Scratch
    18.12.2021 20:51
    +7

    для обычных эллиптических кривых

    а вот и нет

    минимально безопасным размером ключа в RSA сейчас считается 1024 бита

    а вот и нет

    Ну и главный момент.
    Если убрать из статьи слово блокчейн, что поменяется? Ни че го, потому что все эти вещи не уникальны для блокчейна (в отличие от NIZKP, например).

    Но одногруппникам же пофиг, они не глядя лайкают )


    1. El1za Автор
      19.12.2021 16:56

      Буду вам очень признательна, если при наличии ошибок в моем посте, вы доказательно (!) на них укажите, тем самым улучшив его!

      И пожалуйста, выливайте свою токсичность где-то в другом месте) Хотелось бы впредь видеть уважительное общение под этим постом :3


      1. Scratch
        19.12.2021 19:27
        +2

        Хотелось бы видеть соответствующие духу хабра статьи, а не рефераты, которые ваши "мудрые" преподы вас сюда согнали писать. Уважение надо заслужить


        1. El1za Автор
          19.12.2021 20:05
          +5

          Грустно слышать от взрослого, опытного человека, что я не заслуживаю уважения только потому, что моя статья не смогла его удивить) Что ж, извините, наверное

          Но вот что я хочу сказать: я читаю Хабр уже несколько лет и нахожу в нем кучу полезных статей (иногда и в формате рефератов) которые помогали мне, человеку без опыта, узнать что-то новое и вникнуть в вещи, которые для вас, возможно, являются базовыми и скучными. Так что если моя статья поможет какому-то студенту или даже школьнику стать немножко разностороннее, я буду только рада. А если взрослому, работающему в IT человеку, то рада вдвойне)


        1. alextrof94
          20.12.2021 06:36

          Ты таки решил переходить на личности, вместо аргументации? Жалко что на Хабре есть такие как ты.


          1. Scratch
            20.12.2021 06:42
            +3

            Зато я не тыкаю всем подряд :р


            1. solarplexus
              20.12.2021 13:50

              Так он и не всем подряд тыкал, а только тем, кто, видимо, не смог заслужить уважение. Да и то, что вы не тыкали, вас до сих пор не представляет в лучшем свете.

              Хотя, собеседник вам и нагрубил, но, почему-то я на его сотороне.


              1. Scratch
                20.12.2021 14:05
                +2

                Аццкая соторона!


                1. solarplexus
                  20.12.2021 14:46

                  Нет, ну если здесь печеньки вкусней, я быстро переобуюсь.


  1. gameplayer55055
    18.12.2021 21:05
    +4

    Пусть майнеры купляют квантовые компьютеры, а нам оставят неквантовые видеокарты


    1. Tarakanator
      20.12.2021 11:25

      Т.е. когда все будут сидеть на квантовых видеокартах вы будете сидеть на обычной RTX7090 SUPER-PUPER?


  1. SergeKh
    18.12.2021 22:00
    +1

    Может быть удастся создать какие-то пригодные для использования в блокчейне алгоритмы в постквантовую эпоху (но это не точно), но вот практически все существующие блокчейны в поостквантовом мире будут дискредитированы. Начиная от биткойна и включая все что вы сможете припомнить.


    1. chernish2
      18.12.2021 23:33
      +1

      За исключением вот этого: https://tidecoin.org/


    1. uacrypto
      19.12.2021 16:45

      Может быть удастся создать какие-то пригодные для использования в блокчейне алгоритмы в постквантовую эпоху (но это не точно)

      Что не точного то?) Квантовые компьютеры дают экспоненциальное ускорение только для задач, что сводятся к HSP в абелевых группах (ну и брутфорс и околоподобные задачи можно немного ускорить, но это не сильно критично).

      Криптосистемы, что стойкие к атакам на квантовых компьютерах, известны ещё с 80х годов. NIST потихоньку всё стандартизирует. Базовые конструкции давно придуманы и доводятся напильником до рабочего состояния.

      Что касается блокчейна - медленно мигрируют на другие криптопримитивы, скорей всего в сторону криптографии на решётках. Если доживут до появления больших квантовых компьютеров конечно =)

      P.S. кто-то может подсказать, а сколько вообще сейчас кубит могут одновременно находиться в квантовой запутанности достаточно долго, чтобы над ними можно было более-менее нормальные вычисления проводить?


      1. SergeKh
        19.12.2021 17:07

        1. Не экспоненциальное. Для квантового компьютера решение таких задач превращается в сложность О(1)

        2. Не только HSP.

        3. Устойчивые криптосистемы существуют. Устойчивые и полностью пригодные при этом для блокчейна - пока нет. Они либо имеют непомерно большие ключи, либо устойчивы не ко всем видам атак, а только к самым простым.

        4. Пока что во всех квантовых компьютерах и квантовых алгоритмах используются (и рассматриваются теоретически) системы только из пар запутанных кубитов. Системы из одновременно запутанных трех и более кубитов используются только в физических опытах на тему квантового реализма.


        1. uacrypto
          19.12.2021 17:20

          Эм.

          1 Нет. загляните в любой источник. Никакой квантовый алгоритм не работает за константное время...

          2 HSP и все что к нему сводится. Это десятки различных алгоритмов. Имеется ввиду именно экспоненциальное ускорение.

          3 Нет, например NTRUEncrypt. Размер ключей несколько килобайт, стойкий к всем видам атак и местами стандартизирован (стандарт х9.98 и др). Так же см. NIST PQC.

          4 Нет. Пару лет назад 8 кубит точно можно было запутать.


      1. El1za Автор
        19.12.2021 17:10
        +1

        Самое большое число кубитов в рабочем квантовом компьютере, котором мне удалось найти - 256 кубитов. В остальном все сейчас топчутся на цифре в окрестности 100...


        1. uacrypto
          19.12.2021 17:26
          +1

          Спасибо за ответ)

          По ссылке речь идёт о адиабатическом квантовм компьютере, это немного не то, о чем я спрашивал ( хотя по вопросу было наверное не понятно, да). Такие машины интересные, но узкоспециализированные сильно.

          Что касается 100 - это же вроде общее количество кубитов, а не количество одновременно запутанных? Эти величины могут сильно отличаться.


          1. El1za Автор
            19.12.2021 17:32
            -1

            Как мне кажется, сейчас все такие машины являются более или менее узконаправленными. Сначала пытаются удержать в одной машине больше кубитов, а потом все остальное)

            "Что касается 100..." - Да, вы правы, невнимательно прочитала ваш комментарий.


  1. eimrine
    18.12.2021 22:06

    Требования, накладываемые на постквантовый блокчейн

    5. Низкое энергопотребление.

    Нет такого требования и никогда не было.

    Так же мне не понятно, почему это

    Методы усовершенствования хеш-функций не рассматриваются, потому что влияние квантовых вычислений на их уровень безопасности не так велико.

    Я не вижу где бы вы защищали это утверждение. Статья очень наукообразная, но не отвечает на вопрос указанный в заголовке, потому что начинать надо с простого, а самая простая тема в криптографии - это односторонний дайджест, в простонародье хэш-функция. Вы же простое и нужное заменили на сложное и ненужное.


  1. LevPos
    19.12.2021 03:13

    Поэтому для устойчивой работы системы кубитов необходимо поддерживать температуру окружающей среды около 20 мК, что сложно достижимо даже в лабораторных условиях.

    А может и не надо:

    Австралийцы создадут квантовый ускоритель для настольных ПК, который будет выглядеть как видеокарта

    Оригинал:

    Quantum computing hits the desktop, no cryo-cooling required


    1. El1za Автор
      19.12.2021 15:37

      Интересная новость, спасибо, что поделились)


  1. caballero
    19.12.2021 14:39

    несмотря на хайп вокруг этих терминов блокчейн и квантовые вычисления - узкоспециализарованые технологии. Проблема яйца выеденного не стоит.

    Не говоря уже о том что будущее не будет выглядеть так мы его прдеставляем и соответственно пробемы будущего не те которые ща пытаются обсуждать.

    Много ли 20 лет назад было дискусий о блокчейне и квантовых вычислениях как ближашем будущем


  1. uacrypto
    19.12.2021 18:14

    Среди различных алгоритмов подписи на основе решеток, выделяется BLISS-B (Bimodal Lattice Signatures B), созданный на основе решения задачи кратного целочисленного решения (англ. Short Integer Solution - SIS). Согласно проведенному анализу производительности, BLISS-B обеспечивает одну из лучших характеристик для криптосистем подписи на основе решеток

    Боюсь, данные , что вы использовали немного устарели (лет так на 4-5). В целом, развитием и приемником bliss является Falcon ( https://falcon-sign.info/). Он, кстати, вышел в финал конкурса нист по постквантовой криптографии и возможно даже будет стандартизирован в ближайшие годы.

    Мне лично больше нравится dilithium, который намного легче реализуется (https://pq-crystals.org/dilithium/).


    1. El1za Автор
      19.12.2021 18:28

      Да, вы действительно правы. Спасибо, в скором времени поправлю этот абзац


  1. MentalBlood
    20.12.2021 12:47
    +1

    Почему "постквантовую", если речь об эпохе квантовых компьютеров?