По мере роста внимания к существующей угрозе, которую квантовые вычисления представляют для некоторых из наиболее важных и широко используемых форм шифрования, инженер по криптографии Филиппо Вальсorda хочет сделать одно абсолютно ясным: вопреки популярному мифу, который отказывается умирать, ЭйЭсЭс 128 (AES 128) идеально подходит для постквантового мира.

Что такое ЭйЭсЭс 128?

ЭйЭсЭс 128 — это наиболее широко используемый вариант Стандарта расширенного шифрования (Advanced Encryption Standard), набора блоковых шифров, официально принятого Национальным институтом стандартов и технологий (НИСТ) в 2001 году. Хотя спецификация позволяет использовать размеры ключей 192 и 256 бит, ЭйЭсЭс 128 считался наиболее предпочтительным, поскольку он соответствует оптимальному балансу между вычислительными ресурсами, необходимыми для его использования, и уровнем безопасности, который он предлагает. За свою 30-летнюю историю не было обнаружено никаких уязвимостей, и единственным известным способом его взлома является метод брутфорс-атаки. С 2¹²⁸ или 3,4 х 10³⁸ возможными комбинациями ключей такая атака заняла бы примерно 9 миллиардов лет, используя все ресурсы майнинга Биткойна на 2026 год.

Все сводится к параллелизации

За последнее десятилетие произошло интересное явление, связанное с общей уверенностью в ЭйЭсЭс 128. Любители-шифровщики и математики извратили ряд уравнений, известных как алгоритм Гровера (Grover’s algorithm), чтобы объявить о смерти ЭйЭсЭс 128, когда появится квантовый компьютер с криптографическим значением (КРКЦ). Они заявили, что КРКЦ уменьшит эффективную прочность до 2⁶⁴, что является достаточно малым количеством, чтобы, если это правда, позволить тем же ресурсам майнинга Биткойна взломать его менее чем за секунду (сравнение используется исключительно для иллюстрации; КРКЦ, скорее всего, не сможет работать как кластеры Биткойн-ASIC и, что более важно, не сможет параллелизировать рабочую нагрузку, как это предполагают любители).

With growing focus on the existential threat quantum computing poses to some of the most crucial and widely used forms of encryption, cryptography engineer Filippo Valsorda wants to make one thing absolutely clear: Contrary to popular mythology that refuses to die, AES 128 is perfectly fine in a post-quantum world.

AES 128 is the most widely used variety of the Advanced Encryption Standard, a block cipher suite formally adopted by NIST in 2001. While the specification allows 192- and 256-bit key sizes, AES 128 was widely considered to be the preferred one because it meets the sweet spot between computational resources required to use it and the security it offers. With no known vulnerabilities in its 30-year history, a brute-force attack is the only known way to break it. With 2¹²⁸ or 3.4 x 10³⁸ possible key combinations, such an attack would take about 9 billion years using the entire Bitcoin mining resources as of 2026.

It boils down to parallelization

Over the past decade, something interesting happened to all that public confidence. Amateur cryptographers and mathematicians twisted a series of equations known as Grover’s algorithm to declare the death of AES 128 once a cryptographically relevant quantum computer (CRQC) came into being. They said a CRQC would halve the effective strength to just 2⁶⁴, a small enough supply that—if true—would allow the same Bitcoin mining resources to brute force it in less than a second (the comparison is purely for illustration purposes; a CRQC almost certainly couldn’t run like clusters of Bitcoin ASICs and more importantly couldn’t parallelize the workload as the amateurs assume).

Read full article

Comments