"Podle NÚKIB existuje reálná možnost (s pravděpodobností 40–50 %), že takové útoky již probíhají."
Tady jsem přestal číst. Klidně mi to někdo vyvraťte, ale já si myslím, že tohle jsou prostě jen kecy. Co to jako znamená, že na 40-50 procent to probíhá? Buď to probíhá, nebo ne a pokud ano, ta informace unikne, myslet si že ne, je konspirační teorie.
Ale takovy provoz neni zdaleka jenom web. Mnohem citlivejsi jsou treba ruzne OTT tunely v cele s IPSECem, lide si vymenuji informace po mailu - a servery spolu take nejak komunikuji a muzeme prihazovat dalsi sluzby/aplikace - a klidne treba i administraci over SSH. Jen vetsinou se resi prave jen ten web... zatimco ostatni se casto opomiji.
Já nemůžu odpovídat za auta článku, ale přijde mi naprosto v pořádku, že "někdo" zvažuje rizika. A pokud dokáže (asi na základě nějaké metodiky) vypočítat nebo aspoň odhadnout pravděpodobnost existence nějakého jevu, je to naprosto v pořádku.
Jiná otázka je, proč někdo, kdo nezná podrobnosti, automaticky prohlásí nějaké tvrzení za kecy. Více to vypovídá o kritikovi než o kritizovaném.
Naopak, pokud jde o podobný, zcela zjevně divoký odhad, tak by metodiku měl zmínit odhadující. Jako základ pro Bayesiánskou inferenci dobré, jako součást oficiálního dokumentu už moc ne.
V dokumentu NUKIB https://nukib.gov.cz/download/publikace/analyzy/HNDL-FINAL.pdf se to vůbec procenty vycucanými z prstu jen hemží, je zajímavé, že v odkazovaných zdrojích ta čísla nejsou, a pokud se nepletu, NUKIB nedisponuje žádným odborníkem, který by mohl dávat alespoň kvalifikované odhady.
Třeba "Kvantové počítače totiž budou velmi pravděpodobně (75–85 %) schopny ohrozit většinu dnes dominantních forem asymetrické kryptografie
jako RSA, ECC, DH nebo DSA. 2"
Odkaz 2 je
https://developer.mastercard.com/blog/threats_posed_by_quantum_computing_to_public_key_encryption/ a tam je jediný odkaz https://sam-jaques.appspot.com/static/img/quantum-diagram-2025.png
Z pohledu utoku "harvest now, decrypt later" je nejrizikovejsim mistem key agreement (kdy se dve strany domlouvaji na konkretnim klici, ktery se pak pouzije u symetrickych sifer), proto se nejvetsi pozornost soustredi prave tam. Certifikat se resi az po vymene tech klicu, jen overuje identitu - uz v tom zabezpecenem tim klicem, ktery se domluvil. Takze tam dnes tradicni algoritmy certifikatu v zasade nicemu nevadi.
Díky moc, konečně jednou článek o PQC, který má hlavu a patu, a není to totální blábol jako tohle.
Spočítal někdo reálně (ještě jsem se k tomu nedostal, ale stále to mám v todo), kolik je vlastně možné upočítat, vezme-li do úvahy energii na překlopení jednoho kvantového bitu a také nezapomínejme na rychlost světla. Nelokální kvantovku opravdu nemáme. Takže aby to nakonec nebylo těch mých vysněných, ale zcela reálně nasaditelných AES-1024 nebo RSA třeba 1MB. Procesory na to máme. Trochu mi přijde zbytečná honba za co nejmenšími klíči, nasadily se eliptické křivky a přitom dneska můžeme mít RSA třeba 8192 nebo kolik kdo chce. ECC klíč je sice malý, ale při dnešních velikostech pamětí je to úplně jedno.
A co ze konkretne je "spatne" na EC? 521b EC je co do sily ekvivalentni k 15360b RSA (coz je ekvivalentni k 256b AES). Neni to jen o velikosti klice, ale take o efektivite/rychlosti. I na webserveru to poznate - treba na dobe odezvy, coz zacina byt zajimave - treba i na vice navstevovanem webserveru. I co se te pameti tyce - muzete ji pak vice ponechat samotne aplikaci. Jasne, muzete nesmyslne pozirat systemove zdroje a chlacholit se tim, ze ten 192jadrovy EPYC to prece zvladne s prstem v nose... ale fakticky proto neni zadny duvod.