Si se sabe que los esquemas de firma digital existentes como crypto de curva elíptica o RSA son vulnerables a las computadoras cuánticas, ¿por qué no hemos cambiado ya a las firmas de Lamport o algo así? ¿Hay algo que impida que las personas implementen este tipo de firma en este momento?
Comprendo que todavía creemos / sabemos que nadie tiene una computadora cuántica que funcione bien, pero ¿por qué no hacer el cambio de todos modos?
Si se sabe que los esquemas de firma digital existentes como crypto de curva elíptica o RSA son vulnerables a las computadoras cuánticas, ¿por qué no hemos cambiado ya a las firmas de Lamport o algo así?
Las computadoras Quantum no eran una amenaza realista cuando estos algoritmos se estandarizaron y se implementaron ampliamente. Como se indica en comentarios por @Steffen Ullrich , las firmas basadas en hash tienen algunas desventajas. El tamaño de las claves públicas / privadas y el tamaño de las firmas pueden ser un inconveniente no despreciable si las computadoras cuánticas no son relevantes.
Además, algunos esquemas de firmas basados en hash son con estado. Los esquemas sin estado tienen una gran ventaja sobre los esquemas con estado en lo que respecta a la simplicidad de la implementación.
¿Hay algo que impida que las personas implementen este tipo de firma en este momento?
Comprendo que todavía creemos / sabemos que nadie tiene una computadora cuántica que funcione bien, pero ¿por qué no hacer el cambio de todos modos?
Para que un algoritmo criptográfico se adopte para su uso en el mundo real, debe estar estandarizado.
La firma basada en hash se ha enviado a llamada de NIST para algoritmos de post-quantum. . Es totalmente posible que las firmas basadas en hash se estandaricen y se recomienden para su uso, suponiendo que sobrevivan al análisis. La fecha límite para las presentaciones se cerró (30 de noviembre de 2017) y probablemente pasarán algunos años antes de que se estandarice algo.
Este verano asistí a una agradable escuela de verano sobre criptografía y privacidad del mundo real. Pasaron los días y las presentaciones y vimos unas magníficas investigaciones. Muchos doctores e investigadores presentaron algoritmos más nuevos, más rápidos y más seguros. Entonces, en algún momento, solo hice la misma pregunta: "¿Por qué seguimos usando 3DES en lugar de estos para cifrar las transacciones de tarjetas de crédito?". La respuesta que recibí y le doy es esta: no quiere arriesgarse a cambiar algo que está probado, es compatible con muchas otras tecnologías y se ha demostrado que funciona. Imagina un banco utilizando una tecnología tan nueva ...
Tienen que contratar a personas que saben cómo implementar este nuevo algoritmo para cifrar los datos, y pagarles, por supuesto.
Vuelva a procesar todos sus datos antiguos para que sean compatibles con la última tecnología que ellos quieran implementar (ya es un problema en el culo, ya que de alguna manera ya estarán hasheados, así que agrega un paso, no lo reemplaza )
Todos los demás servicios que comparten u obtienen información de usted también deben ser compatibles con su nueva tecnología (los bancos tienen DMZ para clientes o servicios gubernamentales)
¿Estarán más seguros? PROBABLEMENTE.
¿Serán completamente funcionales y operativos? DEFINITIVAMENTE NO.
Eso es lo que me dijeron y sabes qué? Estaba en una posición incómoda como investigador de seguridad para decirles "ohh, uhhmm, tienes razón ..."
Lea otras preguntas en las etiquetas digital-signature