Между настоящим и квантовым (рекомендации по криптографии)

Агентство национальной безопасности четко заявило, что, по их мнению, пришло время начать переход к квантово-устойчивому шифрованию. Даже самые оптимистичные энтузиасты квантовых вычислений считают, что до практических квантовых компьютеров уйдут годы, как и стандартизация методов постквантового шифрования.

АНБ также внесло несколько предложений о том, что делать в то же время [1]. В прошлом году агентство заменило свои рекомендации по криптографии Suite B на CNSA: Commercial National Security Algorithm Suite.

Вкратце: пока используйте хорошо зарекомендовавшие себя методы, но с более длинными ключами.

Вкратце, рекомендации следующие:

SHA-384 для безопасного хеширования
AES-256 для симметричного шифрования
RSA с 3072-битными ключами для цифровых подписей и обмена ключами
Diffie Hellman (DH) с 3072-битными ключами для обмена ключами
Эллиптическая кривая P-384, как для обмена ключами (ECDH), так и для цифровых подписей (ECDSA)
Каждый из них представляет собой увеличение длины ключа на 50% или 100%:

от 128 до 256 для AES
от 256 до 384 для хеширования и ECC
с 2048 до 3072 для RSA и DH.
Если это всего лишь временные меры, почему бы не сразу перейти к квантово-устойчивым методам? Существуют квантово-устойчивые методы шифрования, но большинство из них так долго не изучались. Как выразились Коблиц и Менезес,

… Большинство предложенных квантово-устойчивых систем сложны, имеют не совсем ясные критерии выбора параметров и в некоторых случаях (например, NTRU) имеют историю успешных атак на более ранние версии.

Некоторые методы имеют долгую историю, но имеют и другие недостатки. Например, метод шифрования Роберта МакЭлиса появился в 1978 году и хорошо зарекомендовал себя, но для достижения 128-битной защиты требуется мегабайтный ключ. Есть вариант метода Мак-Элиса, в котором ключи значительно меньше, но он существует всего шесть лет. Короче говоря, в отношении постквантовых методов шифрования пыль еще не осела.