Все же шоу было очень увлекательным. Phil Zimmerman, автор PGP, заметил, что очень доволен тем, что исследователи интересуются, как обстоят дела в этих проблемах, так как это увеличивает степень доверия к такого рода системам.
Закон Мура (Moore) является оценкой развития вычислительной техники во времени. В базовом варианте он гласит, что для заданной стоимости (в широком смысле, включая энергопотребление, производство оборудования, износ, стоимость хранения, и т.д.) вычислительная мощность увеличивается в 8 раз каждые 3 года. Говоря более точно, можно сказать, что через каждые три года, технологические достижения позволяют разместить в 4 раза больше логических элементов в микросхеме заданной стоимости, одновременно ускоряя ее быстродействие в 2 раза.
Этот закон замечательно подтверждался в течение последних 15 лет. Следует отметить, что центральные микропроцессоры компьютеров общего назначения не полностью следуют этому закону, потому что они не могут так же быстро увеличить размер шины данных (по соображениям обратной совместимости кода, а также потому, что вычисления, которые эти процессоры обычно производят, имеют дополнительные ограничения, делающие бесполезным использование слишком больших регистров).
Это касается, таким образом, систем, описываемых в терминах логических элементов, специализированных на конкретном алгоритме. Таким образом, это по сути ASIC (Application Specific Integrated Circuit - специализированные микросхемы) и FPGA (Field Programmable Gate Arrays - программируемые логические интегральные схемы); то есть перепрограммируемые цепи, выполняющие те же задачи, что и ASIC, но вдвое более дорогие при заданной мощности, однако являющиеся многоцелевыми).
Если закон Мура будет продолжать выполняться (и не имеется веских оснований для обратного, так как он учитывает качественные достижения, а не только увеличение точности обработки кремния), можно достичь машины EFF (четверть миллиона долларов, для 56 бит за 3 дня) и добавлять 3 бита каждые 3 года (3 бита = 2^3 = 8; что дает в 8 раз больше возможных вариантов ключей).
Заметим, что для сохранения закон Мура, качественные достижения должны происходить достаточно быстро, так как имеются пределы в увеличении плотности элементов на кристалле кремния (замедление вследствие туннельного эффекта). В ряде разрабатываемых методов предполагается осуществить замену кремния на арсенид галлия, что позволит достичь более высокой плотности элементов, замену алюминия медью, которая позволяет работать гораздо более быстро, построение оптической логики (оптический элемент переключается приблизительно в 100 раз быстрее электронного, но его стоимость выше более чем в 100 раз).
Таким образом, можно считать, подобрать полным перебором 128-битный ключ так же "легко", как сейчас 56-битный, станет возможным через 72 года. Эта оценка является "наилучшей", в то время как многие исследователи этой тематики полагают, что закон Мура будет выполняться в лучшем случае еще несколько лет (действительно, все качественные изменения, привнесенные за последних 15 лет, были просто нереализованными, известными с 1975 года, и их запас почти исчерпан в настоящее время).
Квантовые компьютеры, реализуемые через суперпозицию состояний одной частицы, являются более мощной вычислительной моделью, чем машина Тьюринга и позволяют осуществить многие операции (среди которых полный перебор ключей такого "безграничного" алгоритма, как DES) за субэкспоненциальное время.
Квантовые компьютеры очень соблазнительны, но они не существуют. Был построен двухбитовый квантовый регистр, но имеются достаточно мощные препятствия для построения машины, способной сломать DES (главным образом, инициализация этого монстра, которая не может быть распараллелена, и занимает, таким образом, 2^n операций для ключа n битов).
Это не имеет большого значения для другого типа квантовой криптографии, который служит для "неперехватываемой" передачи данных по оптоволокну (используя принцип неопределенности Гейзенберга).
Имеются очень сильные возражения против такого рода высказываний. Среди классических можно выделить одно, предполагающее наличие процессора с энергопотреблением в 10 раз меньше, чем у классических (таким могли бы располагать секретные службы, имеющие преимущество). Энергетические затраты на полный перебор 128-битного ключа, если их перевести в тепловую форму, заставили бы исчезнуть под водой Нидерланды в результате таяния полярных льдов.
Что касается 256-битных ключей, то если предположить, что затраты на анализ одного ключа равны энергии перехода электрона с одной орбиты атома на другую, то количества великодушно предоставляемой Солнцем энергии недостаточно для осуществления такого перебора за разумное время.
Некоторые легко манипулируют количеством битов, легко относя 20 бит на использование сверхпроводников или оптических элементов, 20 других на применение суперэффективных алгоритмов, и 30 последних потому что "это уже немного" (да, просто помножим на 1 миллиард, это действительно "немного").
Напомню, что число битов экспоненциально. Это означает, что затраты на перебор каждых n битов пропорциональны 2^n. Чтобы это было легче представить, напомним, что:
Очень маловероятно. Если это правда, то технологические достижения опережают всех как минимум лет на 10. Другими словами, они располагали бы тогда такой продвинутой технологией, что сама идея дальнейшей борьбы была бы абсурдом.
Некоторые упоминают возможность получения внеземной технологии, либо через Людей в Черном, либо непосредственно через Phil Zimmerman, их посла на этой планете. Как считают другие источники, квантовым компьютером располагала цивилизация Атлантов (конечно, Атлантида была затоплена именно в результате перебора ключа "классическими" методами, см. выше).
Сталкиваясь с проявлениями абсурда и дилетантства в этой области, хочется посоветовать держаться подальше от подобного рода спекуляций, чтобы не выглядеть клоуном. Если хочется оценить что в состоянии сделать NSA, надо дать ему 3 года времени в соответствии с законом Мура и хороший бюджет. Это позволит сделать задачу с 64 битами решаемой. 80 бит останутся недостижимыми.
NSA (в лице Don Coppersmith) объявил в 1987 году, что знали уже в 1977 о дифференциальном криптоанализе, обнародованном Бихамом и Шамиром (E. Biham, A. Shamir) именно в этом 1987 году. Алгоритм DES, разработанный в 1977, специально защищен от такой атаки.
Тем не менее, уточним, что такая атака требует огромного количества пар открытый/зашифрованный текст, и, в любом случае, нереальна. Кроме того, DES не был защищен против линейного криптоанализа, открытого в 1993 Matsui, что ограничивает научное превосходство NSA 15 годами. Наконец, этот последний способ криптоанализа также нереален, т.к. требует 64 ТБ известного открытого текста, что в несколько десятков миллионов раз превышает объем Библии.
Подобные слухи ходили также про факторизацию, дискретное логарифмирование и средства от прыщей. Легко можно встретить такие слухи в упоминаниях о международных заговорах злодеев, которые хотят знать все обо всех в этом мире.
В любом случае, с определенного момента, гораздо дешевле установить видеокамеру в вашем офисе, чем заставлять "молотить" квантовый компьютер. Знаете ли Вы, что восстановление изображения Вашего монитора возможно с дистанции 100 метров? То же самое касается и сигналов клавиатуры, когда Вы печатаете. Необходимо иметь хорошо спроектированную сетку Фарадея, чтобы защищаться от этого. Шифрование позволяет установить защищенный канал между двумя точками, но не защищает сами точки.
Niark niark niark. Я обманщик, не так ли?
© Автор: Thomas Pornin (thomas.pornin@ens.fr); оригинал: http://www.dmi.ens.fr/~pornin/faq-cle.html
©Владислав Мяснянкин, перевод на русский язык.