Názory k článku Postkvantová kryptografie v protokolu TLS: jak nasadit vše potřebné už dnes

"Podle NÚKIB existuje reálná možnost (s pravděpodobností 40–50 %), že takové útoky již probíhají."

Tady jsem přestal číst. Klidně mi to někdo vyvraťte, ale já si myslím, že tohle jsou prostě jen kecy. Co to jako znamená, že na 40-50 procent to probíhá? Buď to probíhá, nebo ne a pokud ano, ta informace unikne, myslet si že ne, je konspirační teorie.

Nekdo nekde prokazatelne nejaky sitovy provoz z nejakeho duvodu zachytava. Jestli ho bude nebo nebude jednou desifrovat, az na to budou prostredky nemuzeme ted vedet. Muzeme maximalne odhadovat, jake by to napachalo skody...

Ale takovy provoz neni zdaleka jenom web. Mnohem citlivejsi jsou treba ruzne OTT tunely v cele s IPSECem, lide si vymenuji informace po mailu - a servery spolu take nejak komunikuji a muzeme prihazovat dalsi sluzby/aplikace - a klidne treba i administraci over SSH. Jen vetsinou se resi prave jen ten web... zatimco ostatni se casto opomiji.

Já nemůžu odpovídat za auta článku, ale přijde mi naprosto v pořádku, že "někdo" zvažuje rizika. A pokud dokáže (asi na základě nějaké metodiky) vypočítat nebo aspoň odhadnout pravděpodobnost existence nějakého jevu, je to naprosto v pořádku.
Jiná otázka je, proč někdo, kdo nezná podrobnosti, automaticky prohlásí nějaké tvrzení za kecy. Více to vypovídá o kritikovi než o kritizovaném.

Naopak, pokud jde o podobný, zcela zjevně divoký odhad, tak by metodiku měl zmínit odhadující. Jako základ pro Bayesiánskou inferenci dobré, jako součást oficiálního dokumentu už moc ne.

V dokumentu NUKIB https://nukib.gov.cz/download/publikace/analyzy/HNDL-FINAL.pdf se to vůbec procenty vycucanými z prstu jen hemží, je zajímavé, že v odkazovaných zdrojích ta čísla nejsou, a pokud se nepletu, NUKIB nedisponuje žádným odborníkem, který by mohl dávat alespoň kvalifikované odhady.

Třeba "Kvantové počítače totiž budou velmi pravděpodobně (75–85 %) schopny ohrozit většinu dnes dominantních forem asymetrické kryptografie
jako RSA, ECC, DH nebo DSA. 2"
Odkaz 2 je
https://developer.mastercard.com/blog/threats_posed_by_quantum_computing_to_public_key_encryption/ a tam je jediný odkaz https://sam-jaques.appspot.com/static/img/quantum-diagram-2025.png

Kdo mel nekdy moznost mit tu cest pracovat s NUKIB tak vi sve... kdyz vemu vratneho z Grandhotelu Pupp tak si bude cucat podobna cisla...

Aha, pokud se nepletete. OK, nemám další dotazy.

Ta procenta by mohl opsat slovně, jako méně než poloviční pravděpodobnost. Ovšem důvod k úplnému zavržení té zprávy to není, na to je nadstandardně relevantní.

Můžete napsat lepší!

To máme KEM, díky za pěkný článek.
Co však TLS certifikáty, tam přijde podpora do prohlížečů kdy? Zatím je to na bodu mrazu. MLDSA cert vystavit lze (zatím z privátní CA), ale žádný browser ho neumí použít.

Z pohledu utoku "harvest now, decrypt later" je nejrizikovejsim mistem key agreement (kdy se dve strany domlouvaji na konkretnim klici, ktery se pak pouzije u symetrickych sifer), proto se nejvetsi pozornost soustredi prave tam. Certifikat se resi az po vymene tech klicu, jen overuje identitu - uz v tom zabezpecenem tim klicem, ktery se domluvil. Takze tam dnes tradicni algoritmy certifikatu v zasade nicemu nevadi.

Tomu rozumím a souhlasím. Já to spíš myslel z pohledu plánů, jestli víme, že to Google tým (ne)chce implementovat.

Díky moc, konečně jednou článek o PQC, který má hlavu a patu, a není to totální blábol jako tohle.

Spočítal někdo reálně (ještě jsem se k tomu nedostal, ale stále to mám v todo), kolik je vlastně možné upočítat, vezme-li do úvahy energii na překlopení jednoho kvantového bitu a také nezapomínejme na rychlost světla. Nelokální kvantovku opravdu nemáme. Takže aby to nakonec nebylo těch mých vysněných, ale zcela reálně nasaditelných AES-1024 nebo RSA třeba 1MB. Procesory na to máme. Trochu mi přijde zbytečná honba za co nejmenšími klíči, nasadily se eliptické křivky a přitom dneska můžeme mít RSA třeba 8192 nebo kolik kdo chce. ECC klíč je sice malý, ale při dnešních velikostech pamětí je to úplně jedno.

A co ze konkretne je "spatne" na EC? 521b EC je co do sily ekvivalentni k 15360b RSA (coz je ekvivalentni k 256b AES). Neni to jen o velikosti klice, ale take o efektivite/rychlos­ti. I na webserveru to poznate - treba na dobe odezvy, coz zacina byt zajimave - treba i na vice navstevovanem webserveru. I co se te pameti tyce - muzete ji pak vice ponechat samotne aplikaci. Jasne, muzete nesmyslne pozirat systemove zdroje a chlacholit se tim, ze ten 192jadrovy EPYC to prece zvladne s prstem v nose... ale fakticky proto neni zadny duvod.