Five years, ten years, or even longer? A Timeline Assessment of the Quantum Computing Threat

ผู้เขียนต้นฉบับ: Justin Thaler (@SuccinctJT), หุ้นส่วนวิจัย a16z

ผู้แปลต้นฉบับ: AididiaoJP, Foresight News

คอมพิวเตอร์ควอนตัมจะสามารถทำลายรหัสผ่านได้เมื่อใด? เส้นเวลาของคำถามนี้มักถูกพูดเกินจริง ทำให้เกิดเสียงเรียกร้องให้ "เปลี่ยนไปใช้การเข้ารหัสหลังควอนตัมอย่างเร่งด่วนและครอบคลุม"

อย่างไรก็ตาม เสียงเรียกร้องเหล่านี้มักมองข้ามต้นทุนและความเสี่ยงของการย้ายถิ่นฐานก่อนเวลาอันควร และยังมองข้ามธรรมชาติของภัยคุกคามที่แตกต่างกันโดยสิ้นเชิงของเครื่องมือการเข้ารหัสต่างๆ:

• การเข้ารหัสหลังควอนตัมจำเป็นต้องได้รับการปรับใช้ทันที แม้ว่าจะมีต้นทุนสูงก็ตาม เนื่องจากมีการโจมตีแบบ "ขโมยตอนนี้ ถอดรหัสในอนาคต" อยู่แล้ว ข้อมูลที่ละเอียดอ่อนที่ถูกเข้ารหัสในวันนี้ จะยังคงมีค่ามหาศาลแม้ว่าคอมพิวเตอร์ควอนตัมจะปรากฏตัวในอีกหลายสิบปีข้างหน้า แม้ว่าการเข้ารหัสหลังควอนตัมจะมีต้นทุนประสิทธิภาพและความเสี่ยงในการนำไปใช้ แต่สำหรับข้อมูลที่ต้องการการรักษาความลับในระยะยาว เราไม่มีทางเลือกอื่น
• ลายเซ็นดิจิทัลหลังควอนตัมนั้นแตกต่างออกไป พวกมันไม่ไวต่อการโจมตีแบบ "ขโมยและเก็บไว้เพื่อถอดรหัส" ดังกล่าว และต้นทุนและความเสี่ยงของพวกมันเอง (ขนาดที่ใหญ่ขึ้น ต้นทุนประสิทธิภาพ โครงการที่ยังไม่บรรลุนิติภาวะ ช่องโหว่ที่อาจเกิดขึ้น) เรียกร้องให้มีการวางแผนอย่างรอบคอบ ไม่ใช่การดำเนินการทันที

การแยกแยะประเด็นนี้มีความสำคัญอย่างยิ่ง ความเข้าใจผิดจะบิดเบือนการวิเคราะห์ต้นทุนและผลประโยชน์ ทำให้ทีมมองข้ามความเสี่ยงด้านความปลอดภัยที่เร่งด่วนกว่า เช่น ช่องโหว่โปรโตคอล

ความท้าทายที่แท้จริงในการเปลี่ยนผ่านไปสู่การเข้ารหัสหลังควอนตัมอย่างประสบความสำเร็จ คือการทำให้ความเร่งด่วนในการดำเนินการสอดคล้องกับภัยคุกคามที่แท้จริง ต่อไปนี้จะชี้แจงความเข้าใจผิดทั่วไปเกี่ยวกับภัยคุกคามของคอมพิวเตอร์ควอนตัมต่อการเข้ารหัสลับ ครอบคลุมการเข้ารหัส ลายเซ็น และการพิสูจน์ความรู้เป็นศูนย์ โดยเน้นเป็นพิเศษถึงความหมายต่อบล็อกเชน

เส้นเวลา: เราห่างไกลจากคอมพิวเตอร์ควอนตัมที่สามารถทำลายเทคโนโลยีการเข้ารหัสมากแค่ไหน?

แม้จะมีการโฆษณาชวนเชื่อเกินจริง แต่ความเป็นไปได้ที่จะมี "คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสลับ" ในช่วงทศวรรษที่ 2020 นั้นต่ำมาก

สิ่งที่ฉันหมายถึงโดย "คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสลับ" คือคอมพิวเตอร์ควอนตัมที่ทนต่อข้อผิดพลาดและแก้ไขข้อผิดพลาดได้ ซึ่งสามารถรันอัลกอริทึมของ Shor ได้ ในขนาดที่เพียงพอที่จะทำลายการเข้ารหัสแบบเส้นโค้งวงรี (เช่น secp256k1) หรือ RSA (เช่น RSA-2048) ภายในเวลาที่สมเหตุสมผล (เช่น การคำนวณอย่างต่อเนื่องไม่เกินหนึ่งเดือน)

จากความก้าวหน้าทางเทคนิคและแหล่งข้อมูลที่เปิดเผยต่อสาธารณะ เรายังห่างไกลจากคอมพิวเตอร์ดังกล่าวมาก แม้ว่าบางบริษัทจะอ้างว่าสามารถบรรลุเป้าหมายนี้ได้ภายในปี 2030 หรือแม้แต่ปี 2035 แต่ความก้าวหน้าที่ทราบกันดีก็ไม่สนับสนุนข้อกล่าวอ้างเหล่านี้

ในปัจจุบัน ไม่มีแพลตฟอร์มการคำนวณควอนตัมใด ไม่ว่าจะเป็นระบบไอออนกักขัง คิวบิตตัวนำยิ่งยวด หรือระบบอะตอมที่เป็นกลาง ที่สามารถเข้าใกล้จำนวนคิวบิตทางกายภาพหลายแสนหรือหลายล้านตัวที่จำเป็นสำหรับการทำลาย RSA-2048 หรือ secp256k1 ได้ (จำนวนที่แน่นอนขึ้นอยู่กับอัตราข้อผิดพลาดและโครงการแก้ไขข้อผิดพลาด)

ข้อจำกัดไม่เพียงแต่เป็นจำนวนคิวบิตเท่านั้น แต่ยังรวมถึงความเที่ยงตรงของเกต การเชื่อมต่อระหว่างคิวบิต และความลึกของวงจรแก้ไขข้อผิดพลาดอย่างต่อเนื่องที่จำเป็นสำหรับการรันอัลกอริทึมควอนตัมลึก ระบบบางระบบในปัจจุบันมีจำนวนคิวบิตทางกายภาพมากกว่า 1,000 ตัว แต่ตัวเลขนี้เพียงอย่างเดียวทำให้เข้าใจผิด: พวกมันขาดการเชื่อมต่อและความเที่ยงตรงที่จำเป็นสำหรับการคำนวณการเข้ารหัสลับ

แม้ว่าระบบล่าสุดจะใกล้ถึงเกณฑ์อัตราข้อผิดพลาดทางกายภาพที่จำเป็นสำหรับการแก้ไขข้อผิดพลาดควอนตัม แต่จนถึงขณะนี้ยังไม่มีใครสามารถรันคิวบิตเชิงตรรกะได้มากกว่าสองสามตัวอย่างเสถียร นับประสาการรันคิวบิตเชิงตรรกะหลายพันตัวที่มีความเที่ยงตรงสูง วงจรลึก และทนต่อข้อผิดพลาด ซึ่งจำเป็นสำหรับการรันอัลกอริทึมของ Shor ช่องว่างจากการพิสูจน์แนวคิดไปสู่ขนาดที่จำเป็นสำหรับการวิเคราะห์รหัสยังคงมีอยู่มาก

กล่าวโดยย่อ: ก่อนที่จำนวนคิวบิตและความเที่ยงตรงจะเพิ่มขึ้นหลายลำดับความสำคัญ คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสลับยังคงอยู่ไกลเกินเอื้อม

อย่างไรก็ตาม ข่าวประชาสัมพันธ์ของบริษัทและรายงานข่าวมักสร้างความสับสน จุดที่ทำให้สับสนหลักๆ ได้แก่:

1. การสาธิต "ความได้เปรียบของควอนตัม": งานที่สาธิตในปัจจุบันส่วนใหญ่ได้รับการออกแบบมาอย่างพิถีพิถันและไม่เป็นประโยชน์ในทางปฏิบัติ เพียงเพราะสามารถรันบนฮาร์ดแวร์ที่มีอยู่และ "ดูเหมือน" เร็ว จุดนี้มักถูกทำให้เบาบางลงในการโฆษณา
2. การโฆษณา "คิวบิตทางกายภาพหลายพันตัว": โดยทั่วไปแล้วสิ่งนี้หมายถึงเครื่องทำลายพันธะควอนตัม ไม่ใช่คอมพิวเตอร์ควอนตัมแบบเกตโมเดลที่สามารถรันอัลกอริทึมของ Shor ได้ ซึ่งจำเป็นสำหรับการโจมตีการเข้ารหัสลับด้วยกุญแจสาธารณะ
3. การใช้ "คิวบิตเชิงตรรกะ" ในทางที่ผิด: คิวบิตทางกายภาพมีสัญญาณรบกวน อัลกอริทึมที่ใช้งานได้จริงต้องการ "คิวบิตเชิงตรรกะ" ที่ประกอบด้วยคิวบิตทางกายภาพจำนวนมากผ่านการแก้ไขข้อผิดพลาด การรันอัลกอริทึมของ Shor ต้องการคิวบิตเชิงตรรกะดังกล่าวหลายพันตัว ซึ่งแต่ละตัวมักต้องการคิวบิตทางกายภาพหลายร้อยถึงหลายพันตัว อย่างไรก็ตาม บางบริษัทพูดเกินจริง เช่น เมื่อเร็วๆ นี้มีการอ้างว่าใช้รหัสแก้ไขข้อผิดพลาด "ระยะทาง-2" (ซึ่งสามารถตรวจจับข้อผิดพลาดได้เท่านั้น ไม่สามารถแก้ไขได้) เพื่อให้ได้คิวบิตเชิงตรรกะ 48 ตัว โดยใช้คิวบิตทางกายภาพเพียง 2 ตัวต่อคิวบิตเชิงตรรกะ ซึ่งไม่มีความหมายใดๆ
4. แผนงานที่ทำให้เข้าใจผิด: "คิวบิตเชิงตรรกะ" ในแผนงานหลายแห่งรองรับเฉพาะ "การดำเนินการของ Clifford" เท่านั้น ซึ่งการดำเนินการเหล่านี้สามารถจำลองได้อย่างมีประสิทธิภาพโดยคอมพิวเตอร์คลาสสิก และไม่เพียงพอสำหรับการรันอัลกอริทึมของ Shor ที่ต้องการ "เกตที่ไม่ใช่ Clifford" จำนวนมาก (เช่น เกต T) ดังนั้น แม้ว่าแผนงานบางแผนจะอ้างว่า "บรรลุคิวบิตเชิงตรรกะหลายพันตัวในปี X" ก็ไม่ได้หมายความว่าบริษัทคาดว่าจะสามารถทำลายการเข้ารหัสลับคลาสสิกได้ในเวลานั้น

แนวทางปฏิบัติเหล่านี้บิดเบือนการรับรู้ของสาธารณชน (รวมถึงผู้สังเกตการณ์ที่มีประสบการณ์) เกี่ยวกับความก้าวหน้าของการคำนวณควอนตัมอย่างรุนแรง

แน่นอนว่าความก้าวหน้านั้นน่าตื่นเต้นจริงๆ ตัวอย่างเช่น Scott Aaronson เขียนไว้เมื่อไม่นานมานี้ว่า เนื่องจาก "ความก้าวหน้าของฮาร์ดแวร์เร็วอย่างน่าตกใจ" เขาคิดว่า "ก่อนการเลือกตั้งประธานาธิบดีสหรัฐฯ ครั้งต่อไป การที่เรามีคอมพิวเตอร์ควอนตัมที่ทนต่อข้อผิดพลาดซึ่งสามารถรันอัลกอริทึมของ Shor ได้ เป็นความเป็นไปได้ที่แท้จริง" อย่างไรก็ตาม เขาชี้แจงในภายหลังว่านี่ไม่ได้หมายถึงคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสลับ แม้แต่การแยกตัวประกอบ 15=3×5 อย่างทนต่อข้อผิดพลาด (ซึ่งคำนวณด้วยกระดาษและปากกาอย่างรวดเร็วกว่า) เขาก็นับว่าบรรลุสัญญาแล้ว นี่ยังเป็นการสาธิตขนาดเล็ก และการทดลองดังกล่าวมักกำหนดเป้าหมายที่ 15 เนื่องจากการคำนวณแบบโมดูโล 15 นั้นง่าย ตัวเลขที่ใหญ่กว่าเล็กน้อย (เช่น 21) นั้นยากกว่ามาก

ข้อสรุปสำคัญ: การคาดการณ์ว่าจะมีคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสลับซึ่งสามารถทำลาย RSA-2048 หรือ secp256k1 ได้ภายใน 5 ปีข้างหน้า ซึ่งมีความสำคัญอย่างยิ่งต่อการเข้ารหัสลับในทางปฏิบัติ ไม่ได้รับการสนับสนุนจากความก้าวหน้าที่ยังเปิดเผยต่อสาธารณะ แม้แต่ 10 ปีก็ยังมีความทะเยอทะยาน

ดังนั้น ความตื่นเต้นกับความก้าวหน้ากับการตัดสินเส้นเวลาที่ "ยังต้องใช้เวลาอีกหลายทศวรรษ" จึงไม่ขัดแย้งกัน

แล้วรัฐบาลสหรัฐฯ กำหนดปี 2035 เป็นเส้นตายสุดท้ายสำหรับการย้ายถิ่นฐานหลังควอนตัมอย่างครอบคลุมของระบบรัฐบาลล่ะ? ฉันคิดว่านี่เป็นการวางแผนเวลาที่สมเหตุสมผลสำหรับการเปลี่ยนแปลงขนาดใหญ่ แต่ไม่ได้คาดการณ์ว่าจะมีคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสลับในเวลานั้นอย่างแน่นอน

การโจมตีแบบ "ขโมยตอนนี้ ถอดรหัสในอนาคต": ใช้กับใคร? ไม่ใช้กับใคร?

การโจมตีแบบ "ขโมยตอนนี้ ถอดรหัสในอนาคต" หมายถึง: ผู้โจมตีจัดเก็บปริมาณการเข้ารหัสไว้ในตอนนี้ และถอดรหัสในภายหลังเมื่อมีคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสลับปรากฏขึ้น คู่ต่อสู้ระดับชาติมีแนวโน้มที่จะเก็บถาวรการสื่อสารที่เข้ารหัสจำนวนมากจากรัฐบาลสหรัฐฯ ไว้แล้ว เพื่อเตรียมพร้อมสำหรับการถอดรหัสในอนาคต

ดังนั้น การเข้ารหัสต้องได้รับการอัปเกรดทันที อย่างน้อยสำหรับข้อมูลที่ต้องการระยะเวลาการรักษาความลับ 10-50 ปีขึ้นไป

แต่ลายเซ็นดิจิทัล (รากฐานของบล็อกเชนทั้งหมด) นั้นแตกต่างจากการเข้ารหัส: มันไม่มีความลับที่ต้องโจมตีย้อนหลัง แม้ว่าคอมพิวเตอร์ควอนตัมจะปรากฏขึ้นในอนาคต ก็สามารถปลอมแปลงลายเซ็นได้ตั้งแต่เวลานั้นเป็นต้นไป แต่ไม่สามารถ "ถอดรหัส" ลายเซ็นในอดีตได้ ตราบใดที่คุณสามารถพิสูจน์ได้ว่าลายเซ็นถูกสร้างขึ้นก่อนที่คอมพิวเตอร์ควอนตัมจะปรากฏตัว มันก็ไม่สามารถปลอมแปลงได้

สิ่งนี้ทำให้การเปลี่ยนผ่านไปสู่ลายเซ็นดิจิทัลหลังควอนตัม ไม่เร่งด่วนเท่ากับการเปลี่ยนผ่านการเข้ารหัส

แพลตฟอร์มหลักกำลังทำเช่นนี้:

• Chrome และ Cloudflare ได้ปรับใช้โครงการผสม X25519+ML-KEM สำหรับการเข้ารหัส TLS ของเว็บแล้ว "แบบผสม" หมายถึงการใช้ทั้งโครงการที่ปลอดภัยหลังควอนตัม (ML-KEM) และโครงการที่มีอยู่ (X25519) พร้อมกัน ซึ่งรวมความปลอดภัยของทั้งสองอย่าง ป้องกันการโจมตี HNDL และรักษาความปลอดภัยแบบคลาสสิกไว้ในกรณีที่โครงการหลังควอนตัมมีปัญหา
• Apple's iMessage (โปรโตคอล PQ3) และ Signal (โปรโตคอล PQXDH และ SPQR) ก็ได้ปรับใช้การเข้ารหัสหลังควอนตัมแบบผสมที่คล้ายกัน

ในทางตรงกันข้าม การปรับใช้ลายเซ็นหลังควอนตัมในโครงสร้างพื้นฐานเครือข่ายที่สำคัญนั้นถูกเลื่อนออกไป จนกว่าคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัสลับจะใกล้เข้ามาอย่างแท้จริง เนื่องจากโครงการลายเซ็นหลังควอนตัมในปัจจุบันทำให้ประสิทธิภาพลดลง (จะกล่าวรายละเอียดด้านล่าง)

การพิสูจน์ความรู้เป็นศูนย์ (zkSNARKs) อยู่ในสถานการณ์ที่คล้ายกับลายเซ็น แม้แต่ zkSNARK ที่ไม่ปลอดภัยหลังควอนตัม (ซึ่งใช้การเข้ารหัสแบบเส้นโค้งวงรี) คุณสมบัติ "ความรู้เป็นศูนย์" ของพวกมันนั้นปลอดภัยหลังควอนตัมในตัวมันเอง คุณสมบัตินี้รับประกันว่าการพิสูจน์จะไม่เปิดเผยข้อมูลใดๆ เกี่ยวกับความลับ (คอมพิวเตอร์ควอนตัมก็ทำอะไรไม่ได้) ดังนั้นจึงไม่มีความลับที่สามารถ "ขโมยตอนนี้" ได้สำหรับการถอดรหัสในอนาคต ดังนั้น zkSNARKs จึงไม่ไวต่อการโจมตี HNDL การพิสูจน์ zkSNARK ใดๆ ที่สร้างขึ้นก่อนที่คอมพิวเตอร์ควอนตัมจะปรากฏตัวนั้นเชื่อถือได้ (แม้ว่าจะใช้การเข้ารหัสแบบเส้นโค้งวงรี) หลังจากที่คอมพิวเตอร์ควอนตัมปรากฏขึ้น ผู้โจมตีจึงสามารถปลอมแปลงการพิสูจน์เท็จได้

สิ่งนี้หมายความว่าอย่างไรสำหรับบล็อกเชน?

บล็อกเชนส่วนใหญ่ไม่ไวต่อการโจมตี HNDL

สำหรับบล็อกเชนที่ไม่เป็นความลับ เช่น Bitcoin และ Ethereum ในปัจจุบัน การเข้ารหัสลับที่ไม่ปลอดภัยหลังควอนตัมของพวกมันส่วนใหญ่ใช้สำหรับการอนุญาตธุรกรรม (เช่น ลายเซ็นดิจิทัล) ไม่ใช่สำหรับการเข้ารหัส ลายเซ็นเหล่านี้ไม่ก่อให้เกิดความเสี่ยง HNDL ตัวอย่างเช่น บล็อกเชน Bitcoin เป็นสาธารณะ ภัยคุกคามควอนตัมอยู่ที่การปลอมแปลงลายเซ็น (ขโมยเงิน) ไม่ใช่การถอดรหัสข้อมูลธุรกรรมที่เปิดเผยต่อสาธารณะแล้ว สิ่งนี้ขจัดความเร่งด่วนด้านการเข้ารหัสลับทันทีจาก HNDL

น่าเสียดายที่แม้แต่การวิเคราะห์จากหน่วยงานที่มีอำนาจ เช่น Federal Reserve ก็เคยอ้างอย่างผิดพลาดว่า Bitcoin ไวต่อการโจมตี HNDL ซึ่งพูดเกินจริงถึงความเร่งด่วนในการเปลี่ยนผ่าน

แน่นอนว่าความเร่งด่วนที่ลดลงไม่ได้หมายความว่า Bitcoin สามารถผ่อนคลายได้ มันเผชิญกับแรงกดดันด้านเวลาที่แตกต่างกันจากการทำงานประสานกันทางสังคมขนาดใหญ่ที่จำเป็นสำหรับการเปลี่ยนแปลงโปรโตคอล (จะกล่าวรายละเอียดด้านล่าง)

ข้อยกเว้นในปัจจุบันคือบล็อกเชนที่เป็นความลับ บล็อกเชนที่เป็นความลับจำนวนมากเข้ารหัสหรือซ่อนผู้รับและจำนวนเงิน ข้อมูลลับเหล่านี้สามารถถูกขโมยไปในตอนนี้ และถูกทำให้ไม่เป็นนิรนามย้อนหลังได้ในอนาคตเมื่อคอมพิวเตอร์ควอนตัมทำลายการเข้ารหัสแบบเส้นโค้งวงรี ความรุนแรงของการโจมตีแตกต่างกันไปตามการออกแบบ (ตัวอย่างเช่น ลายเซ็นวงแหวนและภาพสะท้อนคีย์ของ Monero อาจทำให้กราฟธุรกรรมถูกสร้างขึ้นใหม่ทั้งหมด) ดังนั้น หากผู้ใช้กัง