Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Два криптографа поспорили на $5000: что сломается первым — старая защита интернета или новая. Ставки сделаны, выиграет лишь один

ECDLP-256 квантовые компьютеры вычисления будущее
Два криптографа поспорили на $5000: что сломается первым — старая защита интернета или новая. Ставки сделаны, выиграет лишь один
ECDLP-256 квантовые компьютеры вычисления будущее

Квантовая эра рассудит.

image

Квантовые компьютеры по-прежнему не вскрывают интернет в реальном времени, но для криптографии вопрос уже давно не сводится к абстрактной теории. Спор теперь идет о другом: сколько еще проживут нынешние алгоритмы и где появится первая серьезная брешь. На этой неделе два известных криптографа, Филиппо Вальсорда и Мэттью Грин, решили зафиксировать разногласие пари на 5000 долларов. Вопрос у них вполне конкретный: что окажется уязвимее, новая постквантовая схема или привычная эллиптическая криптография, на которой до сих пор держится огромная часть защищенной связи?

Тревоги в обсуждение добавила Google. В конце марта исследователи компании пересчитали ресурсы, которые понадобятся квантовой машине для решения задачи дискретного логарифмирования на эллиптических кривых, то есть для атаки на ECDLP-256. По новой оценке, нужное число физических кубитов оказалось примерно в 20 раз ниже прежних расчетов. В работе говорится, что при стандартных допущениях для сверхпроводниковой архитектуры такую атаку можно было бы провести за несколько минут на машине менее чем с 500 тысячами физических кубитов. До подобного компьютера еще далеко, но сам ориентир заметно сдвинулся.

Здесь и начинается расхождение. Одни смотрят на такие пересчеты и говорят, что опасный для реальной криптографии квантовый компьютер может появиться раньше, чем казалось еще недавно. Другие отвечают, что оценки на бумаге ничего не меняют, пока никто не умеет строить машины нужного масштаба и с рабочей коррекцией ошибок. На этом фоне NIST уже не первый год подталкивает отрасль к переходу на постквантовую криптографию. В действующем плане перехода институт пишет, что уязвимые для квантовых атак алгоритмы должны уйти из стандартов к 2035 году, а для систем с повышенным риском переход нужен раньше. Параллельно NIST уже выпустил первые финальные стандарты PQC, включая ML-KEM.

Вальсорда исходит из простой логики: даже если нынешние тревожные оценки потом окажутся завышенными, цена ошибки слишком велика, чтобы тянуть с переходом. После публикации Google он написал, что через 10 лет эти прогнозы могут выглядеть неверными, но риск уже сейчас слишком велик, чтобы от него отмахиваться. Грин смотрит на ситуацию спокойнее. В своем тексте он прямо пишет, что поставил бы большие деньги против появления криптографически значимого квантового компьютера к 2029 году и даже к 2035-му.

Стороны не просто спорят о сроках. Они выбрали две конкретные криптосистемы и договорились смотреть, какая даст сбой раньше. Вальсорда проиграет, если кто-то сумеет восстановить общий секрет из ML-KEM-768 по открытому ключу и шифртексту, неважно, классической атакой или квантовой. Грин проиграет, если получится восстановить общий секрет из X25519 по паре открытых точек на кривой, тоже без разницы, каким способом. Поэтому спор здесь шире вопроса о квантовых машинах. Он еще и о том, насколько вообще можно доверять новым постквантовым схемам на раннем этапе их внедрения.

X25519 давно и очень широко используют в защищенных соединениях. Это хорошо изученная технология, которую в будущем должен сломать достаточно мощный квантовый компьютер. ML-KEM-768, наоборот, создавали именно как замену для такой эпохи. Но Грин фактически говорит: не так важно, что обещает новая схема в теории, если криптоанализ или ошибки внедрения найдут в ней слабое место раньше. Вальсорда отвечает иначе: да, новые стандарты не идеальны, но держаться за старые алгоритмы уже опаснее.