web-dev-qa-db-ja.com

量子化後の世界では、ECCがRSAよりも脆弱であるのはなぜですか?

これが暗号サブにあるべきかどうか私を許してください、しかし時々そこの答えは非常に数学的であり、そして私はむしろ数学について少し軽い答えを持っているでしょう。

私はRSA 2013の暗号化パネルを見ていたところ、約 で、ポスト量子化の世界では、ECCはRSAよりも脆弱であると述べていました。量子化後の世界で、ECCがRSAに対してより脆弱である理由を誰かが説明できますか?

14
JZeolla

量子コンピューター を構築する際の現在の課題は、十分な長さの量子レベルで絡み合った、十分な「量子ビット」を集約することです。 1024ビットのRSA係数を壊すには、1024キュービットの量子コンピューターが必要です。 (古典的なコンピュータに関して)「類似した強さ」を持つ160ビットの楕円曲線を破るには、320キュービットのようなものが必要です。楕円曲線が本質的に弱いということではありません。それどころか、同じ「サイズ」の場合、RSAよりもやや強いように見えます。むしろ、古典的なコンピューターと量子コンピューターを比較すると、与えられたサイズの強度比は同じではありません。

16
Thomas Pornin

攻撃者が 量子コンピューター を使用する場合の制限要因は、計算を実行するのに十分長く絡み続けることができるキュービットの数です。 RSAキーをクラックするために必要なキュービット 推定 2ビットであるが、ECCはおおよそ6ビットですが、RSAキーは一般にはるかに長いため、より多くのキュービットを取得することになります。ローエンドで約3倍(2048対224)、ハイエンドで約10倍(4096対384)を参照してください。

これは、共通のキーの長さをクラックするために必要なroughキュービットの数を比較した非常に簡略化された表です。

|           RSA       |           ECC       |
| Key Length | qubits | Key Length | qubits |
|------------|--------|------------|--------|
| 1024       | 2048   | 163        | 1000   |
| 2048       | 4096   | 224        | 1300   |
| 3072       | 6144   | 256        | 1500   |
| 4096       | 8192   | 383        | 2300   |
| 15360      | 30720  | 512        | 3000   |

過去20年間、私たちは完全な量子コンピューターを、少数の量子ビット以上で構築する方法を理解していません。したがって、「同等の」ECCキーと比較して、量子コンピュータがRSAキーをクラックするのにどれだけ長い時間がかかるかを比較するには、基本的に、製造業者がスケールアップ可能な方法でデコヒーレンスを理解すると想定する必要があります。次に、スケーリングがどれだけ速く発生するかという問題になります。

線形成長率(2048 RSA対224 ECCが低い、4096 RS対上限が384 ECCの場合)を想定すると、RSAは500キュービット/年で5〜10年のボーナス、1,000キュービットで3〜5年のボーナスを受け取ります。 /年、および2Kキュービット/年で約1.5〜3年。

指数関数的な成長率を想定すると、224ビットのECCキー(最も弱い共通のECCキー)をクラックできるようになると、4096ビットのRSAキー(最も強い共通のRSAキー)をクラックすることから1世代離れます。ムーアの法則(約2年)のペースで、RSAは約2年のボーナスを受け取ります。 DWAVEの断熱量子コンピューターはこれらのタイプの問題には役に立ちませんが、 4ビットごとにおよそ2倍のキュービット数 でした。

そのため、実際にはその差は比較的小さく、2〜5年+製造突破までの時間です。

4096ビットのRSAと383 ECCは、対称鍵の強度に関して直接比較できません。 4096ビットのRSA鍵は、142ビットの対称鍵とほぼ同等ですが、383ビットのECC鍵は、192対称鍵と同等です。一般的にサポートされている最大のキーサイズであるため、直接上で比較しています。

15
Indolering