Les ordinateurs quantiques rendront-ils AES obsolète?

L'informatique quantique va changer le jeu de cryptage, mais il n'est pas encore clair combien cela va changer. Ce n'est pas clair parce que nous ne savons pas encore quels types de problèmes les ordinateurs quantiques peuvent résoudre. Comme mentionné, RSA est considérablement affaibli par l'informatique quantique car la factorisation des nombres premiers peut être effectuée en temps polynomial en utilisant l'algorithme de Shor. Cependant, toutes les routines cryptographiques ne sont pas connues pour être aussi faibles que l'informatique quantique.

Vous avez peut-être entendu parler de P (temps polynomial), NP (temps polynomial non déterministe - les problèmes qui donnent la bonne réponse peuvent être vérifiés en temps polynomial), et NP-Complete (le plus dur NP problèmes). La factorisation principale de grands nombres composites est connue pour être un problème NP et est considérée par beaucoup comme n'étant pas un problème P. Cela signifie qu'un ordinateur conventionnel aurait très probablement¹ besoin de super-polynôme temps (au mieux un temps sous-exponentiel comme GNFS ) pour faire le la factorisation et le chiffrement RSA en dépendent. NP-complete est une classe de problèmes légèrement plus exigeante. Toute instance d'un problème NP peut être réduite à une instance d'un problème NP-complet. (Cela est vrai même si le problème NP est un autre problème NP-complet.) Cela signifie que si vous avez déjà trouvé une solution temporelle polynomiale pour un problème NP-complet, vous auriez une solution temporelle polynomiale pour tout NP problème. Si vous l'aviez fait en utilisant un ordinateur classique, vous auriez prouvé P = NP.

Les ordinateurs quantiques ont leur propre classe de complexité. Le BQP est la classe de problèmes qui peuvent être [statistiquement] résolus par un ordinateur quantique en temps polynomial. On sait que la factorisation est en BQP, car nous avons l'algorithme de Shor. Ce qui est encore inconnu est de savoir si BQP contient NP-complet ou non. Il est actuellement théorisé que ce n'est pas le cas, ce qui signifie qu'il existe des problèmes NP-complets qui prennent encore du temps exponentiel, même avec un ordinateur quantique, mais les mathématiciens sont toujours en train de repousser cette théorie.

La factorisation entière se situe dans une position intermédiaire intéressante. Nous savons que cela fait partie de BQP (parce que nous avons trouvé l'algorithme de Shor). Nous savons également que c'est un problème dans NP (c'est NP parce que la factorisation peut être prouvée en temps polynomial simplement en multipliant les nombres ensemble). Ce que nous ne savons pas encore, c'est s'il est P, NP mais pas P ou NP complet. Personne n'a pu le prouver d'une manière ou d'une autre. Il pourrait en fait s'agir d'un problème P, résoluble avec un ordinateur classique en temps polynomial, le rendant très faible à des fins de chiffrement. Ce pourrait être un problème NP-complet, qui, étant donné que nous savons qu'il est en BQP, impliquerait que les ordinateurs quantiques peuvent résoudre tout NP problème en temps polynomial, ce qui serait un coup dur pour la cryptographie en général.

De nombreux algorithmes de chiffrement à venir commencent à utiliser d'autres problèmes que la factorisation principale comme racine. En particulier, un ensemble de problèmes basés sur des réseaux est considéré comme particulièrement difficile à résoudre en utilisant des ordinateurs quantiques. Si tous les problèmes de NP font partie de BQP, cela n'aidera pas du tout, mais nous essayons toujours de comprendre ce détail à ce jour.

En fait, AES n'est pas affecté par l'algorithme de Shor. L'algorithme de Grover permet de forcer brutalement une clé de n bits dans O (2^n/2) le temps au lieu du O (2ⁿ) temps requis par les ordinateurs classiques. Par conséquent, une clé AES de 128 bits peut être forcée brutalement dans O (2⁶⁴) temps par un ordinateur quantique suffisamment puissant qui peut faire l'algorithme de Grover avec 128+ qubits pour 2 ^ 64 fois.

¹ Les commentateurs sages et stimulants ci-dessous repoussent l'imprécision de ma formulation. Techniquement, on ne sait pas si les problèmes de NP nécessitent un temps exponentiel ou non. Il est possible que la classe de problèmes NP et la classe de problèmes P soient identiques. Cependant, la plupart des mathématiciens pensent qu'il est beaucoup plus probable que P! = NP, tout simplement parce que jusqu'à présent, il ne lui ressemble pas. Si nous voulons parler en termes de paris, regardez simplement combien vous pourriez gagner en répondant à la question. si vous prouvez que P et NP sont distincts, vous pouvez gagner le prix Clay d'un million de dollars, et peut-être obtenir une offre d'emploi confortable pour être si intelligent. Si vous prouvez qu'ils sont les mêmes, je m'attendrais à ce que le NSA soit disposé à payer beaucoup plus pour que vous restiez silencieux sur votre découverte, et que vous remettiez plutôt vos papiers à leurs mathématiciens.

Si vous êtes très intéressé par le sujet de l'informatique quantique et du chiffrement, je vous recommande fortement de lire les différentes classes de complexité telles que P et NP. Ils valent votre temps.