O que há de errado com a criptografia quântica que as maiores agências de inteligência do mundo desaconselham seu uso

A criptografia quântica não existe. O que todos entendem quando o termo «criptografia quântica» é mencionado é, na verdade, a distribuição de chave quântica (Quantum Key Distributrion, QKD). E quero falar com vocês sobre esta questão hoje: em que consiste e por que algumas das maiores agências de inteligência do mundo indicaram que está longe de resolver nossos problemas de confidencialidade.

A chave para a segurança perfeita está escondida na mecânica quântica

Os distribuição de chaves quânticas objetivos para resolver todos os problemas de criptografia Vernam: criar chaves aleatórias enquanto a mensagem a ser criptografada sem qualquer atacante pode interceptar-los. Vamos ver como.

Você se lembrará das aulas de física da escola que a luz é uma radiação eletromagnética composta por um fluxo de fótons. Esses fótons viajam vibrando com uma certa intensidade, comprimento de onda e uma ou várias direções de polarização. Se você gosta de fotografia, já ouviu falar de filtros polarizadores. Sua função é eliminar todas as direções de oscilação da luz, exceto uma, conforme explicado na figura a seguir.

Agora você vai para o laboratório de física e envia fótons um por um que podem ser polarizados em uma das quatro direções diferentes: vertical (|), horizontal (-), diagonal à esquerda (\) ou diagonal à direita (/). Essas quatro polarizações formam duas bases ortogonais: por um lado, | e -, que chamaremos de base (+); e, por outro lado, / y \, que chamaremos de (×).

O receptor de seus fótons usa um filtro, por exemplo, vertical (|). É claro que os fótons polarizados verticalmente passarão como estão, enquanto os fótons polarizados horizontalmente e, portanto, perpendiculares ao filtro, não passarão.

Surpreendentemente, metade do polarizado diagonalmente passará pelo filtro vertical e será reorientado verticalmente! Portanto, se um fóton é enviado e passa pelo filtro, não se pode saber se ele teve polarização vertical ou diagonal. Da mesma forma, se não passar, não se pode dizer que foi polarizado horizontalmente ou diagonalmente. Em ambos os casos, um fóton com polarização diagonal pode ou não passar com a mesma probabilidade.

Já temos os recursos necessários para montar um sistema quântico de distribuição de chaves, sim, sem computadores ou algoritmos quânticos. Lembre-se: a criptografia quântica não existe.

Distribuição quântica de chaves usando fótons polarizados

Suponha que Alice e Bob queiram chegar a um acordo sobre uma chave de criptografia aleatória tão longa quanto a mensagem, de comprimento n bits. Primeiro, eles precisam concordar com uma convenção para representar os uns e zeros da chave usando as direções de polarização dos fótons, por exemplo:

Estado/Base	+	x
0	–	\
1	|	/

Em 1984, Charles Bennet e Gilles Brassard desenvolveram o seguinte método para obter a chave n- bit completamente aleatória para o destinatário, sem recorrer a outros canais de distribuição:

1. Alice envia a Bob uma sequência aleatória de 1’s e 0’s, usando uma escolha aleatória entre as bases + e ×.
2. Bob mede a polarização desses fótons aleatoriamente usando as bases + e ×. Claro, como você não tem ideia de quais bases Alice usou, na metade do tempo você estará escolhendo a base errada. Além disso, alguns fótons não terão alcançado você devido a erros na linha.
3. Alice usa qualquer canal de comunicação inseguro e diz a você qual base de polarização ela usou para cada fóton enviado, + ou ×, embora ela não diga a você qual polarização. Em resposta, Bob diz a Alice em quais casos ele atingiu a polarização correta e, portanto, recebeu 1 ou 0 sem erro. Ambos eliminam os bits que Bob recebeu com as bases erradas, deixando uma sequência média 50% menor que a original, o que constitui a chave para uma fita aleatória 100% segura.

E como detectar se um intruso está fazendo suas coisas? Alice e Bob selecionam aleatoriamente metade dos bits da chave obtida e os comparam publicamente. Se forem iguais, saberão que não houve erro. Eles descartam esses bits e o resto dos bits obtidos são considerados válidos, o que significa que uma chave final de n/4 bits de comprimento terá sido acordada. Se uma parte considerável não corresponder, então houve muitos erros de transmissão aleatória ou um invasor interceptou os fótons e os mediu por conta própria. Em qualquer um dos casos, a sequência inteira é descartada e um recomeço. Como já foi observado, se a mensagem tiver n bits, em média 4 n fótons emaranhados deverão ser gerados e enviados.

E um invasor não poderia medir um fóton e enviá-lo de volta sem ser notado? Impossível! Pelo teorema de não clonagem, uma cópia idêntica de um estado quântico desconhecido arbitrário não pode ser criada. Se o invasor medir o estado de um fóton, ele não será mais um objeto quântico, mas um objeto clássico com um estado definido. Se você reenviá-lo depois de ter sido medido, o receptor medirá corretamente o valor daquele estado apenas 50% do tempo. Graças ao mecanismo de reconciliação de chave que acabamos de descrever, a presença de um invasor no canal pode ser detectada. No mundo quântico, não pode ser observado sem deixar rastros .

Tudo parece muito bom no papel, mas não convence os órgãos de inteligência

Você já viu de uma maneira muito simplificada como funciona a criptografia quântica (nomeada erroneamente). Infelizmente, muitas vezes é anunciado como a panacéia da criptografia: «a criptografia segura que as leis da física tornam inquebrável» ou «a criptografia que os hackers nunca serão capazes de quebrar».

Sim, sim, com as equações em mãos, tudo parece muito bom. O problema é que essas equações precisam pular do tabuleiro para o Real World ™. E aqui, senhoras e senhores, é onde começa o problema. Recentemente, algumas das maiores Agências de Inteligência do mundo expressaram suas dúvidas sobre o QKD e desaconselharam seu uso. Vamos ver por quê.

Por exemplo, nos EUA, a NSA identificou as seguintes desvantagens práticas :

• A distribuição de chaves quânticas é apenas uma solução parcial para nossos problemas de criptografia. Não se esqueça que o QKD gera material chave para usar como cifra com cifra Vernam ou como chave para algoritmos de cifra clássicos, como AES. Como você bem sabe, uma coisa é confidencialidade e outra é autenticação. Como você sabe que o material-chave que está chegando até você vem de uma fonte legítima e não de um impostor? O QKD não fornece um meio de autenticar a origem da transmissão do QKD, portanto, não há escolha a não ser recorrer à criptografia assimétrica ou a chaves pré-carregadas para fornecer essa autenticação. Ou seja, a criptografia quântica requer a criptografia assimétrica que a computação quântica supostamente esmagaria.
• A distribuição de chaves quânticas requer equipamentos para fins especiais. Para implantá-lo, é necessário equipamento óptico especial para comunicações por fibra óptica ou por meio de espaço livre. Na pilha de protocolos, QKD é um serviço de camada de enlace, o que significa que não pode ser implementado em software ou como um serviço em uma rede. E não pode ser facilmente integrado ao equipamento de rede existente. Como o QKD é baseado em hardware, ele também carece de flexibilidade para atualizações ou patches de segurança.
• A distribuição de chaves Quantum aumenta os custos de infraestrutura e os riscos de ameaças internas. As redes QKD geralmente requerem o uso de repetidores confiáveis, o que é um custo adicional para instalações seguras e um risco adicional de segurança de ameaças internas. Essas limitações eliminam muitos casos de uso de uma só vez.
• Proteger e validar a distribuição de chaves quânticas representa um desafio significativo. Ao contrário do hype proclamado pelo marketing, a segurança real que um sistema QKD oferece não é de longe a segurança teórica incondicional das leis da física, mas sim a segurança mais limitada que pode ser alcançada por meio de projetos de engenharia e hardware. No entanto, a tolerância para erros na segurança criptográfica é muitas ordens de magnitude menor do que na maioria dos cenários de engenharia física, tornando muito difícil de validar. O hardware específico usado para executar o QKD pode apresentar vulnerabilidades, levando a vários ataques bem divulgados contra sistemas QKD comerciais. Eu recomendo fortemente a leitura do Artigo negro sobre criptografia quântica, curto e bastante acessível, para entender seus reais problemas de implementação.
• A distribuição de chaves quânticas aumenta o risco de negação de serviço. Você se lembra de como foi possível detectar a presença de um intruso porque o número de erros na senha aumentou e ela acabou sendo descartada? A sensibilidade à escuta como base teórica para as alegações de segurança do QKD pode acabar sendo sua própria ruína- a negação de serviço é um risco significativo para o QKD.

E se você acha que a NSA ficou paranóica, leia o que eles pensam no Reino Unido:

• Uma vez que os protocolos QKD não fornecem autenticação, eles são vulneráveis ​​a ataques man-in-the-middle nos quais um adversário pode concordar com chaves secretas individuais compartilhadas com duas partes que acreditam estar se comunicando.
• O QKD requer hardware especializado e extremamente caro. Mais que caro. Muito caro!
• As distâncias em que o QKD pode transmitir chaves são atualmente modestas, da ordem de alguns milhares de km com protótipos experimentais muito delicados, longe da viabilidade comercial.
• QKD é usado para concordar chaves, mas não para assinar informações digitalmente. A criptografia vai muito além da criptografia simétrica.

Se não usarmos a criptografia quântica, como nos protegeremos dos computadores quânticos?

Para a maioria dos sistemas de comunicação Real World ™, a criptografia pós-quântica (PQC) oferecerá um antídoto mais eficaz e eficiente para a computação quântica do que o QKD. Embora ainda seja muito cedo para a maioria das organizações implementar o PQC, há uma coisa que todos devem fazer: facilitar a transição de sua infraestrutura de criptografia para uma que seja ágil, ou seja, que permita mudanças relativas. facilitar algoritmos, comprimentos de chave, etc. Quando o algoritmo e os comprimentos são integrados ao código, o custo e a complexidade da alteração no caso de um incidente podem ser enormes.

Resumindo, se você quer investir em criptografia, esqueça o quantum e comece a ser criptoágil. Independentemente de chegarem os computadores ou não, se você for criptoágil, estará preparado para problemas quânticos clássicos e aqueles que o expulsam.