16. November 2015 4. No-Spy-Konferenz, 13.-15. November 1 Niels Mache, struktur AG

Post-Quantum CryptographyRelevanz, Funktion, Empfehlung

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 2 Niels Mache, struktur AG

Inhalt

1.Relevanz2.Was ist ein Quantencomputer?3.Qbits4.Experiment 1: Zweite harmonische Generierung5.Experiment 2: Polarisationsmessung an Quanten6.Quantengatter7.Qbit Kontrolle8.Geschichte9.Diffie-Hellman Schlüsselaustausch10.Shor's Verfahren11.Empfehlungen12.Forschung in Stuttgart13.Mitmachen!14.Referenzen/Literatur

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 3 Niels Mache, struktur AG

Relevanz

Digitale SignaturArchivierung,Revisionssicherheit

Datenübertragung

Primär von Interesse:Langzeitperspektive für dieInformationssicherheit

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 4 Niels Mache, struktur AG

Relevanz

Relevanz für die europäische Industrie in Bezug auf(verschlüsselten) Long-Term Storage in the Cloud.

Zitat: "for example, news reports in April 2014 indicated thatMicrosoft inserts tracking information into documents storedon OneDrive. Data from hundreds of millions of users is thuscentralized on a few sites, giving those sites incredible power.Today this data is sold en masse to advertisers, exposed enmasse to attackers, and subjected to increasinglysophisticated systems of censorship. "

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 5 Niels Mache, struktur AG

Was ist ein Quantencomputer?

Im Vergleich zur Turing Maschine mit ihren 2Zuständen 0 und 1 kodiert einQuantencomputer Information als Quantenbits,oder Qbits, die in Superposition existierenkönnen.Qubits werden durch Atome, Ionen, Photonenoder Elektronen repräsentiert.

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 6 Niels Mache, struktur AG

QuantencomputerDie Quantenzustände (qbits) befinden sich anfänglich inSuperposition (verschränkte Zustände). Zu Beginn einerBerechnung hat jedes qbit nicht zwei Zuständesondern beide Zustände.

Beispiel mit 2-qbits : |0|0>, |0|1>,|1|0>,|1|1>

Zustand eines N-qbit Registers angegeben durch2N-dimensionalen Vektorraum.Ein 1000-qbit Register hätte verschränkt gleichzeitig 21000 =10301 Zustände.Vergleich: im uns bekannten, sichtbaren Universum gibt eshöchstens 2.5 *1079 Atome.

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 7 Niels Mache, struktur AG

Quantencomputer - Qbits

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 8 Niels Mache, struktur AG

Quantencomputer

Inherent parallele InformationsverarbeitungDie Geschwindigkeit eines 30-QbitQuantencomputers entspräche möglicherweiseder Geschwindigkeit von 10 Teraflop/s eineskonventionellen, sequenziellen Binärcomputers[David Deutsch]Jedoch: Koherenz vieler Quantenbits großetechnische Herausforderung

Vergleich: 33 Petaflop/s schnellster Computer (Juni 2015)

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 9 Niels Mache, struktur AG

Experiment 1

DPSS Laser (DPSSFD): Im nichtlinearen optischen Prozess (NLO) können jeweils2 Quanten absorbiert und ein Quant doppelter Energie (halbe Wellenlänge)emitiert werden (2-te harmonische Frequenz). Zufällige Entdeckung 1961 als“Second Harmonic Generation” durch Peter Franken et al. at Univ. of Michigan,nach Konstruktion des ersten Lasers (Theodore Harold Maiman).

AlGaAsLaserdiode@ 808 nm

Nd:YVO4Nd:YAGNd:YLF

Kaliumtitanylphosphat (KTP)Lithiumborat (BFO)

532 nm 1064 nm 808 nm

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 10 Niels Mache, struktur AG

Experiment 1, cont

Entanglement, Verschränkung

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 11 Niels Mache, struktur AG

Experiment 2

Polarisationsfilter (linear)

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 12 Niels Mache, struktur AG

Experiment 2

Polarisationsfilter (linear)

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 13 Niels Mache, struktur AG

Quantum Entanglement

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 14 Niels Mache, struktur AG

Quantengatter mit einem Eingang

Quelle: Wikipedia

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 15 Niels Mache, struktur AG

Quantengatter mit 2 Eingängen

Quelle: Wikipedia

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 16 Niels Mache, struktur AG

Quantengatter mit 3 Eingängen

Quelle: Wikipedia

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 17 Niels Mache, struktur AG

QUBIT Kontrolle

Optische Kavitäten (optical traps)Lichtwellen für Einschluß und Kontrolle vonAtomen, Stickstoff-Fehlstellen-Zentren (NV-Zentren) in Diamant, KernspinsQuantenpunkte (Quantum dots)Kavitäten in Halbleitermaterialien zumEinschluß und Kontrolle von ElektronenIonenfallen (Ion traps) Ioneneinschluss durch optische odermagnetische Felder oder Kombination beiderEinzelatome (Impurities)Verunreinigungen (Dotierung) inHalbleitermaterialien mit einzelne Atomen(Elektronen , Spins)Supraleiter (Superconductors, Josephsoncircuits)Supraleitende Gatter/Schaltkreise , Kontrollevon Cooper-Paaren

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 18 Niels Mache, struktur AG

Anfänge

1968 erstmals Formulierung einesQuantumcomputers mit Elektronenspins alsQuantenbits1980-1985 Quantumcomputing Formulierungdurch Paul Beniof, Yuri Manin, RichardFeynman und David Deutsch

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 19 Niels Mache, struktur AG

Fortschritte

2001 IBM Almaden Research CenterKernspinresonanz System mit 7-qubits (Shor'sAlgorithmus2007 D-Wave (Kanada) demonstriert 16-qubitQuantencomputer2011 Rainer Blatt, Institut für ExperimentalphysikUniv. Innsbruck Ionenfalle mit 14 Calciumatomen2013 Google Quantum Artificial Intelligence Lab,kündigt einen 512-qubit D-WaveQuantencomputer an

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 20 Niels Mache, struktur AG

Fortschritte, cont.

Oktober 2015 Die UNSW University ofSydney New South Wales ein Qbit Logikgatterdemonstriert. Das Bauelement mit zweiEingängen ist implementiert in Silizium, d.h.auf Basis von Standard Fertigungstechniken.Die Entwicklung eines Qbit Logikgatters stellteinen bedeutenden Meilenstein auf dem Wegzum Quantencomputer dar.

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 21 Niels Mache, struktur AG

NSA Forschung

Anfang 2014 wird durch Dokumente des NSAcontractors Edward Snowden enthüllt, dassthat die U.S. National Security Agency (NSA)ein 79.7 Millionen US$ Forschungsprogrammmit dem Titel "Penetrating Hard Targets"etablierte um Quantencomputer für dasKnacken von Verschlüsselungsverfahren zuentwickeln.

* NSA seeks to build quantum computer that could crack mosttypes of encryption". Washington Post. 2. Januar 2014.

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 22 Niels Mache, struktur AG

Diffie-Hellman Key Exchange

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 23 Niels Mache, struktur AG

Shor's Algorithmus

Polynomielle Laufzeit

Quelle: Wikipedia

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 24 Niels Mache, struktur AG

PQCRYPTO: Empfehlung fürPublic-key encryption

For public-key encryption the currently used algorithms based onRSA and ECC are easily broken by quantum computers. Code-basedcryptography has been studied since 1978 and has withstoodattacks very well, including attacks using quantum computers.PQCRYPTO recommends the following parameters as included inMcBits [4] to achieve 2128 post-quantum security:McEliece with binary Goppa codes using length n = 6960,dimension k = 5413 and adding t = 119 errors.

Examples of other choices under evaluation: (1) Quasi-cyclic MDPCcodes [14] for McEliece with parameters at least n = 216 +6,k = 215 +3,d = 274 and adding t = 264 errors. (2) The Stehl e–Steinfeldversion [17] of the NTRU [10] lattice-based cryptosystem.

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 25 Niels Mache, struktur AG

Empfehlung Autoren ImperfectForward Secrecy

Our findings indicate that one of the key recommendations from security experts in responseto the threat of mass surveillance promotion of DHE-based TLS ciphersuites offering “perfectforward secrecy” over RSA-based cipher suite may have actually reduced security for manyhosts. In this section, we present concrete recommendations to recover the expected securityof Diffie-Hellman as it is used in mainstream Internet protocols.Transition to elliptic curves. Transitioning to elliptic curve Diffie-Hellman (ECDH) key exchangewith appropriate parameters avoids all known feasible cryptanalytic attacks. Current ellipticcurve discrete log algorithms for strong curves do not gain as much of an advantage fromprecomputation. In addition, ECDH keys are shorter than in “mod p” Diffie-Hellman, andshared-secret computations are faster. Unfortunately, the most widely supported ECDHparameters, those specified by NIST, are now viewed with suspicion due to NSA influence ontheir design, despite no known or suspected weaknesses. These curves are undergoingscrutiny, and new curves, such as Curve25519, are being standardized by the IRTF for use inInternet protocols. We recommend transitioning to elliptic curves where possible; this isthe most effective long-term solution to the vulnerabilities described in this paper.Increase minimum key strengths. Server operators should disable DHE_EXPORT andconfigure DHE ciphersuites to use primes of 2048 bits or larger. Browsers and clientsshould raise the minimum accepted size for Diffie-Hellman groups to at least 1024 bits in orderto avoid downgrade attacks when communicating with servers that still use smaller groups.Primes of less than 1024 bits should not be considered secure, even against an attackerwith moderate resources.

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 26 Niels Mache, struktur AG

Unsere Empfehlung

In TLS gibt es derzeit keinen Weg "abhörsicher"DHE zu “verhandeln”. Möglicherweise wirdTLSv1.3 keine DHE Ciphers enthalten.DHE nicht mehr verwenden, sobald das IETFeine Empfehlung zu ChaCha20-Poly1305,Curve25519 und Ed25519 herausgegeben hat.In der Zwischenzeit DHE mit 2048-Bit +Parameter. Die aktuell kleinste Schlüssellängeim Chrome-Browser mit 1024-Bit definitivnicht sicher.

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 27 Niels Mache, struktur AG

Forschung in Stuttgart

In Stuttgart forschtProf. Jörg Wrachtrupan Solid StateQuantum Nitrogen-Vacancy (NV) Kavitätenin Diamantkristallen.Wird derzeit jedochprimär für Sensorenbenutzt.

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 28 Niels Mache, struktur AG

Mitmachen

Bei der struktur AG, Stuttgart

Softwareingenieure (C/C++,D,Go)PhysikerE-Techniker/SchaltungsdesignerVerilog, VHDL, Eagle

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 29 Niels Mache, struktur AG

Referenzen

Crucial hurdle overcome in quantum computing, October 5, 2015 http://phys.org/news/2015-10-crucial-hurdle-quantum.htmlEU Horizon 2020 ICT-645622 PQCRYPTO Post-QuantumCryptography for Long-Term Securityhttp://cordis.europa.eu/project/rcn/194347_en.htmlInitial recommendations of long-term secure post-quantumsystems http://pqcrypto.eu.org/docs/initial-recommendations.pdfGolem: http://www.golem.de/news/quantencomputer-erste-empfehlungen-fuer-post-quanten-kryptographie-1509-116166.htmlImperfect Forward Secrecy: How Diffie-Hellman Fails in Practice https://weakdh.org/imperfect-forward-secrecy-ccs15.pdfRSA Numbers - https://en.wikipedia.org/wiki/RSA_numbers

16. November 2015 4. No-Spy-Konferenz, 13.-15. November 30 Niels Mache, struktur AG

Referenzen

Violation of Heisenberg’s Measurement-Disturbance Relationship by WeakMeasurements arXiv:1208.0034v2 [quant-ph]15 Aug 2012The quantum state cannot be interpretedstatistically arXiv:1111.3328v1 [quant-ph] 14Nov 2011