Các thuật toán và giao thức / Phương pháp ứng dụng / Phương pháp tiếp cận ứng dụng cổ điển và an toàn lượng tử

Nhiều đề xuất khác nhau đang được khám phá cho chứng chỉ X509 V3 trong thế giới Mã hóa lượng tử sau (PQC).

Cách hiểu này có đúng không?

Theo quan điểm của tôi, về cơ bản có hai cách để có cả chứng chỉ cổ điển và hậu lượng tử:

• Có chứng chỉ 'lai' (hoặc hỗn hợp hoặc bất kỳ thuật ngữ nào bạn cảm thấy thoải mái) bằng cách nào đó chứa cả chữ ký cổ điển và hậu lượng tử và khóa công khai. Có một số cách được đề xuất để thực hiện việc này, có sự khác biệt về kỹ thuật nhưng không thực sự quan trọng ở cấp độ cao này. Đối với tranh cãi VÀ/HOẶC, ý kiến ​​​​của tôi là: bạn luôn kiểm tra tất cả các chữ ký mà bạn biết cách kiểm tra và từ chối nó nếu có bất kỳ lỗi nào (nghĩa là VÀ) - câu hỏi duy nhất xuất hiện là liệu bạn có gặp phải công khai hay không. chìa khóa có loại bạn không hiểu ...

• Ngoài ra, chúng ta có thể có hai chứng chỉ riêng biệt, một chứng chỉ hoàn toàn cổ điển và một chứng chỉ hoàn toàn hậu lượng tử; chúng tôi sẽ sửa đổi giao thức bằng cách sử dụng chứng chỉ để yêu cầu cả hai chứng chỉ và sử dụng cả hai khóa chung. Ưu điểm của điều này là các chứng chỉ hậu lượng tử có thể dài hơn đáng kể; chúng tôi sẽ không tính thêm chi phí cho những người chưa hỗ trợ hậu lượng tử.

Tôi chưa thấy bất kỳ sự đồng thuận nào về việc lựa chọn nào trong số hai lựa chọn này có ý nghĩa hơn; Tôi sẽ không ngạc nhiên nếu các cách sử dụng chứng chỉ khác nhau có thể có các cách tiếp cận khác nhau.

Câu hỏi tôi có là khi bạn đạt đến cấp độ giao thức. Tính linh hoạt của tiền điện tử được định nghĩa là khả năng của một hệ thống bảo mật có thể chuyển đổi nhanh chóng giữa các thuật toán, nguyên hàm mật mã và các cơ chế mã hóa khác mà phần còn lại của cơ sở hạ tầng hệ thống không bị ảnh hưởng đáng kể bởi những thay đổi này.

Chẳng hạn, ngành đang xem xét TLS như thế nào?

Tôi sẽ cho rằng phần này đang nói về khía cạnh quyền riêng tư, thay vì xác thực.

Đối với TLS 1.3 (và hiện tại dường như có rất ít lý do để sửa đổi các phiên bản TLS trước đó), nó hầu như đã hoạt động tốt: chúng tôi sẽ thêm 'các nhóm được đặt tên' [1] bổ sung, là thuật toán trao đổi khóa được sử dụng. Ngoài cái hiện có (chẳng hạn như X25519), chúng tôi sẽ thêm một cái gọi là 'NTRU' (sẽ liệt kê bộ tham số NTRU), cũng như 'X25519+NTRU'. Cái sau sẽ làm là triển khai song song cả X25519 và NTRU; khóa chia sẻ sẽ là X25519 và khóa chia sẻ NTRU được nối và bí mật được chia sẻ là X25519 và khóa chia sẻ NTRU được nối (TLS 1.3 có KDF mạnh nên quá trình nối hoạt động tốt). Điều này được trình bày chi tiết trong dự thảo IETF này

Điều này làm cho quá trình nâng cấp trở nên dễ dàng; khách hàng sẽ đề xuất các nhóm tên X25519+NTRU và X25519; máy chủ hiểu hậu lượng tử sẽ chấp nhận cái đầu tiên; máy chủ không thể quay trở lại máy chủ thứ hai. Sau đó, khi đến lúc loại bỏ cổ điển, khách hàng sẽ bắt đầu đề xuất NTRU (chỉ); đường dẫn nâng cấp tương tự cũng hoạt động ở đó.

Tôi tin rằng OpenSSH đang đi theo con đường tương tự (chỉ với NTRUprime); tuy nhiên tôi đã không xem xét các chi tiết để chắc chắn.

[1]: 'các nhóm được đặt tên' hiện là một cách gọi sai, vì các thuật toán hậu lượng tử không dựa trên các nhóm...