量子计算和密码学

量子计算是一种新的计算方法,它可以让人类使用当今的计算技术进行根本不可能的计算。它允许快速搜索,这会破坏我们今天使用的一些加密算法。它使我们能够很容易地将大量的数据任何密钥长度都会破坏RSA密码系统。

这就是密码学家努力设计和分析“抗量子”的原因公钥算法。目前,量子计算还处于初级阶段,密码学家无法确定什么是安全的,什么不是。但即使假设外星人已经充分开发了这项技术,量子计算并不意味着密码学的末日。对称密码学很容易使量子抵抗,我们正在研究抗量子公钥算法。如果基于我们的数学知识和计算能力,公钥密码学最终成为一种暂时的异常,我们仍然生存。如果一些无法想象的外星技术能破解所有的密码术,我们仍然可以根据信息理论进行保密——尽管有很大的能力损失。

在其核心,密码学依赖于数学上的怪癖,有些事情做起来比撤销容易。就像打碎一个盘子比把所有的碎片粘在一起容易,把两个素数相乘得到一个大的数要比把这个大的数乘以两个素数容易得多。这种不对称——单向函数和陷阱门单向函数——构成了所有密码学的基础。

要加密消息,我们把它和密钥结合起来形成密文。没有钥匙,逆转这一过程更加困难。不仅仅是有点困难,但是天文上要困难得多。现代加密算法速度如此之快,它们可以确保您的整个硬盘安全,而不会出现任何明显的减速,但在宇宙热死之前,这种加密是不能被打破的。

使用对称加密——用于加密消息的那种,文件,驱动——这种不平衡是指数级的,并且随着键的增大而放大。添加一位密钥会使加密的复杂性增加不到百分之一(我在这里手舞足蹈),但会使破坏成本增加一倍。所以一个256位的键可能看起来只有128位键的两倍复杂,但是(根据我们目前的数学知识),它是340282366920938463463374607431768211456倍更难打破。

公钥加密(主要用于密钥交换)和数字签名更加复杂。因为它们依赖于复杂的数学问题,如因子分解,有更多的潜在技巧来逆转它们。所以您将看到rsa的密钥长度为2048位,以及基于椭圆曲线的384位算法。再来一次,不过,用这些关键长度反转算法的成本已经超出了人类目前的范围。

这种单向性是基于我们的数学知识。当你听说密码破译的时候一个算法,他们发现了一种新的技巧,使倒车更容易。密码学者总是发现新的技巧,这就是为什么我们倾向于使用比严格必要更长的密钥长度。对称和公钥算法都是如此;我们正在努力使他们不受未来的影响。

量子计算机承诺会推翻许多这一点。因为他们的工作方式,它们擅长于逆转这些单向函数所需的各种计算。对于对称密码术,这还不错。格罗弗的算法表明,量子计算机可以加速这些攻击,有效地将密钥长度减半。这意味着256位密钥对量子计算机的攻击强度与128位密钥对传统计算机的攻击强度相当;在可预见的未来,两者都是安全的。

对于公钥密码,结果更糟。Shor算法可以很容易地打破所有常用的基于因子分解和离散对数问题的公钥算法。将键的长度增加一倍,将断开键的难度提高到原来的8倍。可持续发展的优势还不够。

这两段有很多需要注意的地方,其中最大的一个原因是目前还不存在能够做到这一点的量子计算机,没有人知道什么时候——或者即使是——我们能够建造一个。我们也不知道,当我们试图实现Grover's或Shor's算法时,除了玩具键大小之外,还会出现什么实际困难。(量子计算机上的错误修正很容易是一个无法克服的问题。)另一方面,一旦人们开始使用实际的量子计算机,我们不知道还会发现什么其他技术。我打赌我们会克服工程上的挑战,而且将会有许多新的技术和进步,但它们需要时间来发现和发明。就像我们花了几十年才把超级计算机放进口袋里一样,建造足够大的量子计算机所需的所有工程问题都需要几十年才能解决。

在短期内,密码学家正投入大量精力来设计和分析抗量子算法,而且这些措施可能会在数十年内保持安全。这是一个缓慢的过程,因为这两种好的密码分析转换标准都需要时间。幸运的是,我们有时间。实际的量子计算似乎总是“未来十年”。也就是说没人知道。

之后,不过,这些算法总是有可能落入拥有更好量子技术的外星人手中。我不太担心对称密码术,格罗弗算法基本上是量子改进的上限,而不是基于数论的公钥算法,感觉更脆弱。量子计算机有可能在某一天将它们全部破解,即使是今天的量子电阻。

如果出现这种情况,我们将面临一个没有强大的公钥密码技术的世界。这将是对安全的巨大打击,会破坏我们目前所做的很多事情,但我们可以适应。在1980年代,Kerberos是一个全对称的身份验证和加密系统。最近,GSM蜂窝标准只使用对称密码进行身份验证和密钥分发(按比例)。是的,这些系统有集中的信任点和故障点,但有可能设计其他同时使用秘密拆分和秘密共享的系统,以将这种风险降到最低。(想象一下,两个通信者从五个不同的密钥服务器中的每一个获得一个会话密钥。)如今,通信的普及也使事情变得更容易了。我们可以使用带外协议,例如,您的手机可以帮助您为计算机创建密钥。我们可以使用现场登记来增加安全性,也许在你购买智能手机或初始化互联网服务的商店。硬件的进步也可能有助于在这个世界上保护密钥。我不想在这里设计任何东西,只是要指出有很多设计的可能性。我们知道密码学是关于信任的,我们有更多的技术来管理信任比我们在互联网的早期所做的。一些重要的属性,比如前向保密性将会被削弱,变得更加复杂,但只要对称密码术仍然有效,我们还有保安。

这是一个奇怪的未来。也许是基于数论加密的整个思想,这就是我们现代的公共密钥系统,是基于我们不完整的计算模型的一个暂时的迂回。既然我们的模型已经扩展到包括量子计算,我们可能会回到20世纪70年代末和80年代初的时候:对称密码术,基于代码加密,Merkle哈希签名。这既有趣又讽刺。

是的,我知道量子密钥分发是公钥加密的潜在替代品。但是,拜托——有人期望一个需要专门的通信硬件和电缆的系统对除利基应用以外的任何东西都有用吗?未来是流动的,永远在,嵌入式计算设备。任何针对这些的安全措施都必须只针对软件。

还有一个未来的场景需要考虑,它不需要量子计算机。虽然有几个数学理论支持我们在密码学中使用的单向性,证明这些理论的有效性实际上是计算机科学中一个重大的开放性问题。就像一个聪明的密码学家有可能找到一个新的诀窍,使破解一个特定的算法变得更容易一样,我们可以想象外星人有足够的数学理论来破解所有的加密算法。对我们来说,今天,这是荒谬的。公钥密码学是全数字理论,而且很容易受到更倾向于数学的外星人的攻击。对称密码学是如此的非线性混乱,很容易让事情变得更复杂,很容易增加键长,这是不可想象的未来。考虑一个带有512位块和密钥大小的AES变量,128回合。除非数学与我们目前的理解有根本的不同,这将是安全的,直到计算机是由物质以外的东西构成,并占据空间以外的东西。

但如果无法想象的事情发生了,这将使我们只剩下基于信息理论的密码术:一次性密码本及其变体。这将是对安全的巨大打击。一次性护垫理论上是安全的,但在实际应用中,除了专门的利基应用之外,它们是不可用的。今天,只有疯子才会试图建立基于一次性垫子的通用系统——而密码学家们嘲笑他们,因为它们用密钥管理和物理安全问题(很多,更加困难)。在我们的外星科幻未来,我们可能没有别的了。

对付这些上帝般的外星人,密码技术将是我们唯一能确定的技术。我们的核武器可能会拒绝引爆,我们的战斗机可能会从天而降,但是我们仍然能够使用一次性的垫子安全地通信。这是乐观的。

本文最初出现在里面IEEE安全与隐私.

9月14日发布,2018年6月15日上午•39评论

评论

·9月14日,2018点8:12

胡言乱语
外星人LMAO

如果我没记错的话,Philip Zimmermann的zrtp (linux加密语音呼叫)是量子抵抗的。

克莱夫鲁滨孙·9月14日,2018上午11时56分

@布鲁斯和通常的嫌疑犯,

你看向别处眨了眨眼,有人拉着你的大衣尾说,

    嘿,先生,你想要一个128qbit的量子计算机芯片吗?我们很快就有了一些。

是的,你在芯片上读到了正确的128Q位,

https://medium.com/rigetti/the-rigetti-128-qubit-chip-and-what-it-means-for-quantum-df757d1b71ea

尽管由于种种原因,你能做什么还远远不清楚。@Bruce提到了上面的其中一个,

    量子计算机上的误差修正很容易是一个不可克服的问题。

但也说,

    我打赌我们会克服工程上的挑战,而且将会有许多新的技术和进步,但它们需要时间来发现和发明。

在误差方面,有一种叫做“噪音”的东西。我们可以拥有128位传统计算机的原因之一是每一位要么是1,要么是0,因此,设计每一位来拒绝噪声,而不是琐碎的是比较容易的。这与“量子比特”不同或“QBIT”由于各种原因,每个Qbit可以保存多个值,因此,它们对噪音的感知能力要大得多。这个问题也成倍增加的方式qbits相互作用不仅让噪音问题实际上是一个更困难的问题比把更多qbits芯片上的一个上升exponentialy在各种情况下的比特数。其中之一就是温度。因此,我们可以看到,未来的量子计算也将涉及某种形式的低温学。这在科学和技术领域也是一个尴尬的利基市场。

但是一个可能有一个基于一百五十年前的“思想实验”的解决方案作者:James Clark Maxwell, 1867年,[1]。简单地说,他想象两个容器有一个共同的屏障。在这个共同的障碍中,他放了一个“恶魔”谁的工作是操作活板门。如果一个快速移动的分子或原子从左室向陷阱靠近,它就会从右室进入。同样地,如果右室中的一个缓慢移动的分子或原子向陷阱靠近,它就会通过左室。由于每个腔室的温度取决于分子或原子的平均速度,因此可以看出,与热力学第二定律所暗示的相反,左边腔室变冷,而右边腔室变热。

几年前它被证明是"麦克斯韦妖"思维实验有缺陷,热力学第二定律没有按照最初的思维方式应用。所以人们开始做实验来模拟麦克斯韦妖,没有特别令人鼓舞的结果…

直到去年,教授。宾夕法尼亚州立大学的大卫·威斯似乎已经把它打开了,

https://www.nature.com/articles/s41586-018-0458-7

http://science.psu.edu/news-and-events/2018-news/Weiss9-2018

这对教授和他的团队来说是个好消息,这对我们其他人来说不一定是好消息。

正如我在过去提到的,“技术是不可知论者使用的”这是“指导思想决定如何使用它”。此外,关于“使用是好是坏”的决定很大程度上取决于“观察者的观点”。

大多数技术人员都清楚,宾州州立大学的研究结果将适用于降低qbit中的噪声,但它能带来多少改进将完全取决于实际实验。

但是量子计算机还有另一个问题,如果没有很多并发症,你就无法得到结果。这些不仅影响“错误”它还需要使用专门的传统计算硬件。

简单地说,量子计算机需要传统的计算机才能得到结果,这会使事情慢下来很多。

我们已经知道各种减少“随机噪声”的方法。通过各种DSP技术从特定类型的信号中提取。其中一种方法是在可调匹配滤波器中将合成信号与噪声信号对齐。我不打算详细讲数学,但是现在很多人的家里都用它来调制解调器。

另一种方法是多次得到相同的信号并将它们平均起来。如果它们正确对齐,则信号会线性增加,而噪声会按样本数的平方下降。

这就给了量子计算机一个有趣的特性,量子计算机需要重复很多次搜索才能得到超出一定精确度的结果,哪种方式使它回到了局限于经典计算所能做的…

这最终可能是量子计算的命运,这将把它归为“只是那些在实践中没有成功的理论中的另一个”。

我们现在应该在密码学中习惯的东西。我们的算法“理论上很好”但在实践中,实际系统不能支持这一理论,因为这个理论是不实际的,或者是建立在无效的或者是无法解释的假设之上的。

〔1〕https://en.m.wikipedia.org/wiki/maxwell's_恶魔

TheInformedOne·9月14日,2018下午12点01分

为了用量子计算机立即破解256位密钥,他们不需要首先生成并保持256个稳定(可用)的量子比特吗?据我所知,他们还差几年呢。我相信,无论谁先到达那里(可能是中国人),在未来几年都不会告诉任何人。有点像发生在谜一样的布莱切利公园。

弗雷德·P·9月14日,2018年十二11点

本文:https://cr.yp.to/papers/pqrsa-20170419.pdf文件似乎声称可以创建1tb的RSA密钥,这些密钥对Shor的算法非常有抵抗力。“RSA参数的初始实现结果大到足以推动所有已知的量子攻击超过2^100量子位操作。“

不太实际,但我不确定"它能让我们很容易分解大的数,任何密钥长度都会破坏RSA密码系统。”是准确的。

劳伦斯D 'Oliveiro·9月14日,2018下午4点11分

迄今为止,量子计算机已被证明对数字理论问题毫无用处。他们唯一能解决的问题就是那些涉及物理模拟的问题,它们比数字计算机更快,但不太准确。

换言之,“量子”计算机只是旧的模拟计算机的重生。回到过去,他们,同样,能比新型数字机器更快地计算物理模拟问题,但精确度有限。随着数字机器变得更快、更便宜,模拟机器逐渐消失在黑暗中。

随着摩尔定律的消亡,这一次可能不会发生。但他们不会以任何方式接管计算领域。

不可思议的愚蠢·9月14日,2018下午4点37分

今天,只有疯子才会试图建立基于一次性垫子的通用系统——而密码学家们嘲笑他们,因为它们用密钥管理和物理安全问题(很多,更加困难)。在我们的外星科幻未来,我们可能没有别的了。

好,那就叫我疯子吧。我认为早点采取行动而不是迟点采取行动来更好地解决OTP使用的问题是一个好主意,这样我们就可以更好地缓解与量子计算相关的风险。应该我们确实需要这样的安全级别。我们不要回避解决难题。

rustyal·9月14日,2018晚上8点33分

量子密钥分发是公钥加密的一个潜在替代品。但是,拜托——有人期望一个需要专门的通信硬件和电缆的系统对除利基应用以外的任何东西都有用吗?

“专门的通信硬件”就像一组微小的波束形成天线,一种比较来自空间的5个时钟信号的芯片,还是每个手机都有的其他魔力?无线QKD超过25公里已经证明了。我不是期待这是无处不在的,但正如我所说,这是一个奇怪的未来,我也不会这么快就把它驳回。

Gweihir·9月14日,2018下午10点53分

随着量子计算持续数十年的失败,在一个可以用于小型玩具演示的产品上取得了任何有意义的进展,我的观点是那些研究"量子抗性"的密码更有可能只是用完了实际上有用的工作,而现在正搭乘着炒作快车。在获得研究资助方面有些道理(但在道德上有问题,因为钱不是从树上长出来的,但除此之外,这似乎只是一个相当持久的共同错觉。

回声·9月15日,2018年12:58我

@Gweihir

最近我发现大多数关于量子计算的讨论都很无聊。讨论更多的是“男孩玩具”经常解释得不好,忽视了可能进行的各种讨论。

我觉得大多数安全讨论也是这样的。我以前在其他行业见过。

John Doe·9月15日,2018点23分

@Clive Robinson说:“需要重复搜索很多次,才能得到超出小精确度的结果,哪种方式使它回到了局限于经典计算所能做的事情上…”

我不确定谁认为无限精确会在现实世界中奏效……如果是“QBIT”存储在物理的东西里,它不可能有(输入/输出)无限精度而不占用至少一个无限维的空间、时间或其他东西…只有在理论中无限才能存在(也就是说,只有在那里才能“测量”可以这么说,因为你可以把它说成是一个完成的概念/想法,然后像是真的一样继续前进)。

关注心理健康变化·9月15日,2018点30分

@回声

讨论更多的是“男孩玩具”经常解释得不好,忽视了可能进行的各种讨论。

我觉得大多数安全讨论也是这样的。我以前在其他行业见过。”

这不是反女性的,也没有理由把无关的问题扯进来。
抓紧,没有冒犯。

回声·9月15日,前者是2018

@关注心理健康变化

谢谢煤气灯。组织和个人都有自己的偏见、习惯和刻板的思维。我的观察总体上是相当水平的,而且一般都有很好的记录,甚至在某些方面得到了承认。我发现不熟悉或不专业的人往往会拒绝并变得咄咄逼人,在某些情况下,正如你的笔名所暗示的那样,这恰恰证明了这一点。

我知道季节在变化,交配季节即将到来,但你能把你的精力引向别处,让它更有成效吗?

回声·9月15日,2018凌晨4点49分

@关注心理健康变化

我在适当的主题中明智地解决了行业问题。我觉得没有必要继续和你讨论任何事情,因为从你的回答来看,你根本不是你的目标听众。

安德斯·9月15日,2018上午9时27分

精彩的文章!

我曾经有一台几乎是量子计算机的硬盘
量子盘-量子火球。
它充满了量子位——未知状态的扇区,正常情况下
计算机可以理解为“坏扇区”。所以不,我不是
量子计算的狂热者:)

好奇的·9月15日,下午2018点06分

我想知道科学家们对“量子纠缠”有多了解,也许它包含的东西比我们今天通常认为的量子纠缠要多(我个人不能够列出这些东西)。大概,任何“量子力学”与量子计算机的任何构造及其q位和相关硬件有关。

不知何故,当然,我对量子技术还不是很了解,所以以我所写的著名的盐粒为例,我至少可以想象,如果量子纠缠推断出某种有保证的后门结构,如果量子纠缠也可以作为由于时间反转而捕获的能量势能,无论多么微小的影响,允许微小的但可能是锁的关键部分,以及可以充当后门的开关/门,如果在硬件中某个地方依赖一个微小的开关,我想可能依赖于较小的物质簇,而这个物质簇在时间反转物理中隐藏了一些量子自旋值,那么这就不可能被现实地发现。潜伏着直到出现,可以这么说,通过对某些Q位系统的精确操作,真的很小,或者更大的系统。

克莱夫鲁滨孙·9月15日,2018年的11点

@ Gweihir,

在量子计算持续数十年的失败中,量子计算在一个可以用于小型玩具演示的产品上取得了任何有意义的进展。

虽然如此,这更有可能是一个资源和政治上的问题。

量子密码作为量子密钥分发(QKD)的成本较低,不仅具有商业用途,而且还具有军事用途。

正如@Bruce在[1]上面观察到的我在光纤中重复了一遍又一遍QKD并不是很有前景因为它是“点对点”的只有。也就是说,单轨铁路也面临同样的问题,开关是一个机械问题,由于可靠性等原因,这是最不切实际的。它也被认为受到了经典的范围速率限制。

但是现在我们有了最先进的计时技术,而真正的单光子发射器的射程已经大大提高,因此从卫星传输的窄束宽信号已经超过了目前“固定位置”的P2P光纤障碍。以及一些“移动平台”比如飞机和轮船。自2005年以来,Quintique和BBN还在进行其他工作,将其推向无线领域。其他的发展是一些技术,例如突破经典qkd限制[2],也有"cross over"量子计算(qc)。

关键是,QKD拥有可用的资源,因此政治意愿正在取得进展。

但还有其他事情需要考虑。如果不是因为第二次世界大战的政治需要,使原本不可用的资源得到利用,那么核武器和液体燃料火箭都不会取得成果。同样,如果不是美国导弹发展的重大失败导致严重的政治尴尬,人类几乎肯定不会登月,因此,设定一个超越简单载人航天飞行的目标,以及可观的资源,使航空在政治上能够实现这一目标。

因此,问题出现了,“什么可能导致将资源转移给质量控制的政治命令?”.而不是其他军事或情报机构的项目或其他“大预算”行项目。

〔1〕

    但是,拜托——有人期望一个需要专门的通信硬件和电缆的系统对除利基应用以外的任何东西都有用吗?

〔2〕网址:https://arxiv.org/pdf/1705.02174

克莱夫鲁滨孙·9月15日,2018下午6:43

@又一个布鲁斯,

其次,有人知道memcomputing吗?

不是用那个名字。

但是有“神经网络”对共享内容可寻址内存的影响进行了一段时间的研究,最初用于解释生物网络如何学习(霍普金模型)以及最近的数字神经网络。

这些图表和文本非常暗示着“具有共享内容可寻址存储器的模拟神经网络”。这将是生物神经网络和数字神经网络之间的一个折中方案。

RonK·9月16日,2018点58分

有趣的帖子,但我个人发现很难相信一个对手,他足够先进,能够打破所有可能的对称加密算法,但却无法访问我们的一次性PAD(例如,通过远程入侵一切或者用自主的微型无人机监控一切,或者很多我无法想象的事情,正如我无法想象能够打破所有可能的对称加密算法)。

克莱夫鲁滨孙·9月16日,2018早上7:10

@ RonK,

我个人觉得很难相信一个对手,他足够先进,能够打破所有可能的对称加密算法,但却无法访问我们的一次性PAD。

哦,信,因为当你考虑到"秘密大规模监控"的区别时以及“秘密目标监视”。

隐蔽的活动最好在远处进行,因为它会降低你的视觉效果。理想情况下,你希望尽可能地远离你感兴趣的目标。

大规模监控或“收集一切”最好是在“星型配置交换通信网络”的中心完成。不在叶节点处。目标监视最好在单独的叶节点上完成,如“近距离和个人”。因为剩下的秘密会消失。

如果你作为一个潜在的目标,对你的安全和通讯终端采取适度的预防措施,大规模监视对攻击者来说是失败的。这意味着目标要么拥有他们想要的隐私/保密,要么在法律上应该拥有,或者他们强迫“近距离和私人”有针对性的监视行动。

这样的“近距离和个人”是非常资源密集型的[1]在最好的时候,单是它就可以限制任何攻击机构的权力。其次,人脑非常擅长模式识别,一旦你看到一个可能是秘密行动的人,你就可以感觉到周围的任何人,这使得攻击者在很长一段时间内很难保持隐蔽。

另一个问题是人们爱说话。虽然攻击者很容易对单独的目标保持隐蔽,他们实际上是“躲在眼皮底下”从目标方以外的任何地方看到的秘密行为在许多方面看起来都很可疑,因此人们会看到它和福音。不止一次秘密行动失败,因为目标定期友好地与门卫或维修人员交谈,或住在马路对面的老太太等等。

对于攻击者来说,另一个问题是“你看不到你要进入的领域”问题。对于一个准备好的目标来说,“检测他们的环境”相对容易。只有在它们被记录下来之后,攻击者才能看到它们。同样也有很多随机的"告诉"一个目标可以设置一个攻击者不能全部捕获它们。从本质上讲,这些天袭击者不仅在与洛克德的交换原则作斗争,而且还在与“全眼界”作斗争。原则。

攻击者必须做的工作,以发现/避免目标可以放在适当的地方,是如此的大坝怀疑自己的权利,攻击者将是幸运的,没有警察呼吁他们和邻居交谈,或者更糟的是避开目标,对于警觉的目标来说,没有什么比周围人的面色或行为变化更难闻的了。

技术不是攻击者的朋友,很多人错误地认为是,因为即使在最好的时候,它也不是被动的,攻击者必须让它进出目标区域。为了理解为什么这是个问题,首先,它会消耗能源,而且效率不足以阻止热量进入环境。其次需要沟通,在大多数情况下,也可以通过发射或“红眼”探测到。原则。第三,它不是由相同的材料制成的,因为它的直接环境不同,这意味着它可以通过多种方式检测到。但对于一个目标来说,这是一个可以“不看”解决的问题。简单地说,隐藏的东西越好,它就越是静态的,这意味着单独地它对敏捷目标没有什么用处。简单概率对攻击者有效,而不仅仅是在“看不见”中。也在“被人看见”中。

在主要的目标监视中,失败的次数比成功的次数要多,尤其是对警戒或准备更差的目标。只有在电影中,大反派们才会在麦克风旁谈论他们的邪恶计划,而攻击者会在5分钟前把一个经过精心设计的物体放在麦克风前。这就是为什么像"spike mics"或者更可能使用等效声波导引(可通过差分时域反射仪D-TDR检测)。

即使是相当等级的am也可以在多年的密集目标监视下存活下来,不仅是LEO的监视,还有SigInt机构的密切合作。找一个英国人肯尼思·诺伊,他参与了处理布林克斯垫金,为此,他目前被列为“热门人物”。

你可以从头开始,

https://en.m.wikipedia.org/wiki/Kenneth_Noye

你可以想象,在谋杀了一名警官之后,即使在被逮捕之后,他仍然是警方高度关注的重点。他第二次被谋杀后在西班牙的经历也相当明显,法庭上也掩盖了他在船台上实际发生的事情以及为什么现在已经相当普遍了(毒品交易恶化)。

我怀疑很多人都希望黑社会“抛弃他”现在他在监狱里。

[1]即使在最好的情况下,有针对性的监视也是代价极高的。为了得到一个想法,看看泄漏的数字,相当低调的厄瓜多尔“运营酒店”监视非常静态的目标朱利安•阿桑奇(Julian Assange),这只是英国承认的仅为狮子座的成本的一小部分。英国和美国SIGINT的成本是多少,目前还不为人所知,但它的规模将比“运营酒店”大几个数量级成本。

苏雷什·彭努萨米·9月16日,2018日上午

写得好,没有技术细节。没有人能比这更好。最后的希望是OTP,但如果没有适当的密钥交换和协议,会很困难的,不是吗?

·9月16日,2018年下午7:40分

写得好的部分附议,它在广泛的话题上占据了很大的地位。

有很多事情需要思考和抵制,做毫无根据的全面的预测声明。

天气·9月16日,2018点10分18分

我只是想从你们身上弹出一个密码

假设你从加密数据开始
AAAA级
第一把钥匙可能是
门AAAA=什么东西
说第一个键等于
然后可以使用第二个键
门DHFD(HTRE)=
冲洗并重复使用尽可能多的钥匙,以找到明文(门),您使用的钥匙数量,可能是什么,对不起,写一个C程序很容易,但不能解释它

艾伯特·9月16日,2018晚上10:30

@又一个布鲁斯·克莱夫·罗宾逊

关于memcomputing,我还发现作者最近成立了一家公司(http://memcpu.com/)。

此外,他们发表了许多论文来解释这项技术,然而,它们主要使用物理框架,因此不容易阅读。

据我所知,他们开始形成一些抽象的非图灵机,原则上可以有效地解决NP完全问题。他们声称这可以通过某种自组织电路来实现。它看起来更像是一个硬件解决方案,但是他们说他们有效地模拟了它。我不明白,因为如果你模拟它,你用的是图灵机……我需要多读些。关于这一点,还有没有进一步的消息?

尽管如此,我对此持怀疑态度,在我看来,这太好了,不可能是真的,很难理解。然而,因为看起来他们想把它商业化,我一定会研究它并跟随它的发展。你永远不会知道,也许他们真的发现了什么严重的问题。

克里斯莫布里·9月17日,2018点4:15

优秀文章,一如既往。

利基应用-像工业控制系统在关键的国家基础设施?它们只与极少数可控制设备通话,它们由*受信任的*个人安装和调试,他们独自工作了10年……不需要使用pki对称密码术——使用ppk(otp)是一个合理的答案。它们可以通过高质量的密钥管理和内置的物理安全性来构建。参见布鲁斯关于物理上不可分解的函数的文章。


我能想到的利基应用有很多,其中有一对一或几个预定的通信信道需要保护。对称加密和使用OTP的PPK是一个完全合理的解决方案。


天气·9月17日,2018下午4点17分

这解释得更好

加密数据JFXH

1)
输入jfxh
密钥LLL
输出平面门
Outputchain wkyt

2)
输入wkyt
关键wvxd
输出平面门
输出链nnxz

3)
输入nnxz
关键民意测验
输出平面门
Outputchain tyhj

纯文本门,以及其他信息,具体取决于您询问的钥匙持有人。

Gweihir·9月17日,2018点8:14

好奇的:

量子纠缠实际上根本没有被很好地理解。它很好地描述了简单的设置和低数量的纠缠粒子,低距离和简单,短的操作链。然而,完全有可能的是,当按比例放大时,这整个东西的行为会比在实践中已经观察到的更糟糕(我的观点是,在这个时候,它肯定是按次线性伸缩的),而且它可能也有一个严格的限制,纠缠不能越过某一点,不是很高,纠缠粒子的数量,或者与宇宙中物理上可能存在的粒子的数量有关。

问题是,在这个时候,物理理论仍然是非常不完整的(没有直觉),我们所拥有的是不一致的,即。众所周知,无论是量子理论还是引力理论,或者两者都是错误的(为了大大简化事情)。因为正如今天的模型所示,它们并不同时存在。然而,这两种方法都得到了测量数据的有力支持。这仅仅意味着有一些还不为人知的效应在起作用,它们很可能完全摧毁量子计算,因为在我们目前不知道的情况下,他们必须变得相当强大。

对已知不完整的理论作出大的预测是不科学的,但经典的“炒作”的行为。当人们把“技术”搞混时,我们经常会看到这种情况“魔法”量子计算的宣传也没有什么不同。现在,我们不能排除量子计算,强大的人工智能,飞车,等。最终会以一种有意义的方式显现出来,但这似乎不大可能,而且肯定不会很快发生。


@克莱夫·罗宾逊:

好,我当然同意政治上的观点,炒作使得专家很难置身事外,因为这意味着他们的知名度更低,更少的机会和拨款。“人工智能”也正在发生类似的事情。(这显然是>在未来50年的实际意义“强大的人工智能”而且很可能永远不会实现)。但是如果你想要一个研究补助金或是出售你的产品,你最好写"AI"在描述上,不是“模糊逻辑”或“统计分类器”或“自动化”。

因此,我并不是在责怪布鲁斯写了这篇文章,我注意到他并没有预测这篇文章何时或是否会成为真正的威胁。

天气·9月17日,2018晚上11点17分

格威尔
数字不受限制,只是距离。
想象一个平面,上面你有运动之类的东西,重力,电磁波,例如,所有这些东西都会在表面上留下一个洞,它们会从地表下沉,然后向左右衰减,衰减范围内的任何地方都能得到信息,距离仅限于某一点的强度,具有多个位于接收器中的Qbit可以以足够强的值传输下面的信息以到达第二层,从而可以进一步传输信息,更多的量子比特将在远距离产生更强的信号,但距离是有限的,所以你失去了注意力或细节,但这更清楚了,因为关于量子比特态的信息掩盖了引力,嗯,运动类的东西,但很酷的东西,你可以说,增加外部Qbits或任何其他值的温度,使其成为射频发射器,等等。

克莱夫鲁滨孙·9月18日,2018年26点

@Suresh Ponnusamy先生,

最后的希望是OTP,但如果没有适当的密钥交换和协议,会很困难的,不是吗?

我还不确定最后的希望是OTP。

实际上,OTP是一个带有密钥流生成器的流密码,它“对观察者来说是不可预测的”。将密钥流或密钥流和明文混合在一起作为密文流(经过身份验证和同步后带有带内信令)的。

它的全部力量在于这种“不可预测性”任何观察员,但重要的是,任何第三方注意到第一方和第二方通信。它实际上是一个随机的预言家,只有双方可以选择直接访问。第三方只能访问第一方和第二方允许他们访问的内容,如果第一和第二方遵守这些规则,则会使第三方无法获得足够的信息来访问明文。

有趣的是,在军事和外交系统中,除了极少数情况,OTP只用于“超级加密”也就是说,在通过OTP系统之前,明文首先用高强度密码加密。原因有很多,我之前也提到过。

此外,OTP系统通常只在一个出站和一个中心枢纽主站之间使用,所有的OTP交通都经过主站,而不是从一个出站到另一个出站。也就是说,它通常只用于星型配置通信系统。这有几个原因,尤其是因为它可以将keygen和keyman问题最小化,从而实现复杂的审计。但更重要的是,它把信息控制权放在了常驻地。这对于mil/dip流量是可取的。

重要的是,这使得家庭电台成为单一的故障点,在互联网的情况下,它成为包括政府机构在内的各种犯罪实体的单一攻击点。

因此,OTP系统的通用使用模型非常不适合Internet。

因此,要把它用于互联网,必须解决三个基本问题,

1,对彼此不认识的各方的认证。

2,只允许第一方和第二方访问密钥流生成器/随机Oracle的随机过程。

3.消除中央集线器的问题。

从第一个是目前可接受的量子计算机,需要某种中央枢纽(CA等)的Appart。另外两个是目前互联网模式下的开放问题,几乎所有的通信都是“一次性”的。双方互不相识,没有“信任”他们之间。

我不是说OTP在互联网上不可行,但在当前的互联网模式下,情况确实如此。

但在目前的互联网模式下,对称密码术的使用也是如此,因为你还有第一个和第三个问题。

我的真实感受是,我们需要寻找方法来取代目前的互联网模式,用一个有两个主要变化的,

1,不需要集中式或层次化的安全性。

2,没有量子计算机敏感的方法。

如果双方在通过互联网进行第一次通信之前拥有一个安全的侧通道,这两个问题都不是问题。

这是我们首先要解决的问题,但对大多数人来说,这就像是“一路向下的乌龟”或“小跳蚤”问题。但没有人证明这是一个综合考虑的情况…

阿兰·9月20日,上午2018点04分

“[…]但是我们仍然能够使用一次性的PAD安全地通信。这是乐观的。”

是的,乐观主义,因为没有办法证明任何一个一次性的PAD是真正随机的。有很多种可能产生明显随机的白噪声来排除它们,即使是量子计算机也不行。换言之,自然可能不会产生真正的随机数据,但是由未知的新物理形成的数据——外星人可能很清楚地知道这一点……;)

博士。一。阿托邦·9月20日,2018年8:18我

“因此,256位密钥的复杂度可能是128位密钥的两倍,但是(以我们目前的数学知识)它是340,282,366,920,938,463,463,374,607,431,768,211,456倍难打破。”

这是不正确的。它是340,282,366,920,938,463,463,374,607,431,768,211,456倍,但只有17014118346046923173187303715884105728更难打破。

克莱夫鲁滨孙·9月20日,2018年下午12:08

@阿兰,

是的,乐观主义,因为没有办法证明任何一个一次性的PAD 真随机.

正如我所指出的,对“随机”没有有用的定义。更不用说“真随机”许多论点实际上是循环的。

所以实际上,这个词的意思就是你想要它的意思。

作为所谓“随机生成器”输出的观察者有三件事你可以说“在界限之内”你的观察结果,

1,似乎determanistic。
2,它具有去污性。
3.这似乎不是决定性的。

换句话说,你所能期望的最好的结果就是你能在你所能测量的范围内,以某种方式证明它是决定性的,如果你的测量假设是正确的。

我很容易设计和建造两台发电机,每台都使用一个长序列的去垢过程和一个热噪声发生器,通过模拟开关混合在一起。

开关有两个输入和一个输出。一个输入是信号输入,另一个是控制输入。Countrol输入打开或关闭开关,因此输入信号将在输出处显示(关闭)或不显示(打开)。因此,它充当一个调制器或半混频器(或与数字信号门)。

这意味着我有两个基本的选择,在一台发电机中,长序列驱动控制输入,在另一台发电机中,热噪声发生器驱动控制输入。

然而,你在输出端看到的也取决于两个输入信号的频率范围。如果控制输入的切换速度快于输入信号,则输出将反映控制输入的短期(高频分量)而信号输入的长期(低频分量)。

从这一点,你应该能够看到你如何衡量你对发电机的看法的影响。

取决于你如何“乐队”你的发电机分成N个频率段你需要考虑N^2的输出组合。有界测量涵盖了所有三个可观测结论。

看看“黄金代码”以及“JPL测距码”为了了解即使是非常短的威慑发电机如何耦合在一起,从而使产生的输出序列在人类生活时间内的测量时间过长,在人类可能进行的测量期间不会显示出任何真正的自相关。但如果你知道要用哪一种测试会失败,所以你的判断不仅基于测量时间,还基于测量的类型。

您可以继续并展示您使用的每种度量类型如何只检测非常非常有限的决定因素序列子集。这就是为什么我们有这么多测试,那么多通过所有测试的算法…

通过cantor对角线论证,可以得出这样一个结论:除非你知道确切的算法和状态,否则总会有一个不存在测试的确定序列。

所以事实上我对“外星人”一点也不过分担心,因为他们不太可能有时间找到正在使用的算法或检测算法,除了“运气不好”概率的

正如我们的主持人@bruce从他对随机发生器的研究中应该知道的,你可以将许多发生器混合在一起,这样外星人就永远不会有时间……

当然,除非他们拥有的不是量子计算机,而是超光速子计算机。因为在我们的宇宙中没有实体能看到结果……所以我们永远无法与他们互动,所以他们与我们无关……

如果你想让我再认真点,我可以。

但是…它将达到一个点,就像一个关于猫和小穆的笑话一样,它对任何人来说都不是有趣的,除了物理学家,因此会产生摩擦。

金鸡纳图·10月17日,2018年9:56)点

@布鲁斯施耐尔

好极了!这是你对“模因”最积极的评价对于一次性的pad,就像你曾经说的那样。

对我们这些被真正随机数发生器吸收并珍视斯塔西·塔皮尔的疯子来说,我们将把你的意见当作好消息。我们知道你会回来的!

正如Whitfield Diffie所说,如果你能产生真正的随机数,然后你就可以进行私人交流了。是的,这是正确的。但是,问题是,这在将来也许是不允许的,正如我们今天没有看到一个完全强大的形式的PGP公开提供。



卢多维奇伦伯特·5月6日2019凌晨3点10分

多有趣的阅读啊。:)

“一次性护垫理论上是安全的,但实际上,它们只能用于特定的利基应用程序。”

让人想起4年前我第一次在马尼拉演讲时读《密码经济学》。从那以后我的时代变了!

“除非数学与我们目前的理解有根本不同,这将是安全的,直到计算机由物质以外的东西构成,占据空间以外的东西。”

一个有趣的思维实验:首先会改变,数学(即我们对它的理解)或是制造哪台计算机的实质?我想是后者,但这完全是猜测。在那之前,我们假设AES将保持安全。

亲爱的布鲁斯,请多发一些这样的帖子。

谢谢你的好意,
l

1和1=UMM·5月6日2019下午6点58分

@ Ludovic F.这:

“在此之前,我们假设AES将保持安全。”

理论上还是实践上?

虽然“aes-the-algorithm”被许多人认为是安全的,即使是国家安全局也只对“机密”和“数据静止”进行评级。

因为在实践中,在AES算法的实际实现中,已经有了基于时间的侧通道,通过这些侧通道有足够的信息泄漏,可以很容易地找到密钥。

正如这个博客过去多次提到的,如果你想要适度的隐私,那么AES应该在气隙PC机上“离线”使用,并且只能在气隙中移动或等效的密文文件,以便在连接到通信通道的完全独立的“在线”条带式PC机上进行传输或接收。

除了AES实现基于时间的侧通道之外,运行两台气隙计算机还有其他原因,在这个博客上也提到过好几次。这就是“终端运行攻击”,攻击者利用通信通道和操作系统软件中的弱点,在操作系统内核以下的设备驱动程序中安装“I/O垫片”。这些垫片从HCI的“纯文本接口”上“开启”数据,并通过通信信道进行中继。

你可能想升级你的医生,在过去,Shim绕过攻击一直被用来对付所谓安全的Babbking应用程序。在这类漏洞方面,加密程序/应用程序与银行应用程序并无不同。哦,还有那些人们在“移动设备”上拥有的“安全消息应用程序”,它们同样容易受到终端攻击。

留下评论

允许的HTML:····

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM弹性.