Let's Encrypt के लिए एक पोस्ट-क्वांटम भविष्य
पोस्ट-क्वांटम खतरे का मॉडल और क्षमताएँ
- कई टिप्पणियाँ बताती हैं कि क्वांटम क्षमताएँ सैद्धांतिक रूप से अच्छी तरह मॉडल की गई हैं (जटिलता वर्ग जैसे BQP, Shor और Grover-शैली की गति-प्राप्तियाँ), भले ही व्यावहारिक मशीनें अभी मौजूद न हों।
- शास्त्रीय और PQ दोनों योजनाओं की सुरक्षा अभी भी heuristic है: कोई भी उनकी कठिनता को सिद्ध नहीं कर सकता, लेकिन कई वर्षों के असफल हमले भरोसा देते हैं।
- कुछ लोगों का कहना है कि “store now, decrypt later” एन्क्रिप्शन माइग्रेशन को तुरंत जरूरी बनाता है; दूसरे जोर देते हैं कि signatures और लंबे समय तक जीवित रहने वाली keys कम से कम उतनी ही जरूरी हैं, क्योंकि quantum forgery शास्त्रीय compromise से अलग नहीं दिखेगी।
Hybrid crypto, KEMs, और “encrypt twice”
- “बस डेटा को दो अलग योजनाओं से दो बार encrypt कर दो” जैसे सरल विचार पर मजबूत आपत्ति है।
- अनुशंसित पैटर्न: hybrid key encapsulation (multiple KEMs, जैसे classical + PQ, जिनके shared secrets को सुरक्षित रूप से combine किया जाता है, और फिर एक single symmetric AEAD का उपयोग किया जाता है)।
- बार-बार इस बात पर जोर दिया गया कि KEMs “keys का सिर्फ encryption” नहीं हैं और सटीक terminology महत्वपूर्ण है ताकि असुरक्षित constructions से बचा जा सके।
- KEMs के लिए hybrids को व्यापक रूप से उचित माना जाता है; signatures के लिए hybrids अधिक विवादास्पद हैं क्योंकि वे कुछ वांछनीय सुरक्षा गुणों को कमजोर कर सकते हैं।
Algorithm विकल्प और lattice पर भरोसा
- चर्चा का केंद्र lattice-based schemes (ML-KEM, ML-DSA) हैं, जो वर्तमान PQ standards हैं, और जिनके parameter “security levels” को AES और hash strengths के विरुद्ध benchmark किया जाता है।
- LWE और संबंधित lattice समस्याओं को public-key crypto में सबसे अच्छी तरह समझी गई hardness assumptions में से कुछ बताया गया है, कुछ दृष्टियों से RSA से भी बेहतर समझी हुई।
- SIKE/SIDH जैसे past PQ failures को चेतावनी देने वाले उदाहरणों के रूप में लिया जाता है, लेकिन उन्हें lattices को समग्र रूप से कमजोर करने वाला नहीं माना जाता।
Merkle Tree Certificates (MTCs) और transparency
- MTCs छोटे handshakes का वादा करते हैं (सामान्य मामले में) और अंतर्निहित transparency: हर certificate को Merkle tree में होना चाहिए।
- उठाए गए मुख्य नुकसान:
- Clients को “landmarks” की लगातार out-of-band syncing करनी पड़ेगी; offline या unreliable environments में बहुत बड़े PQ signatures पर fallback करना पड़ सकता है।
- TLS servers और clients अधिक जटिल हो जाते हैं; non-browser tooling और embedded systems पीछे रह सकते हैं या landmark-relative certs से बच सकते हैं।
- MTCs आज की Certificate Transparency (SCTs, multi-log complexity) की कमजोरियों को ठीक करने का लक्ष्य रखते हैं; verifiable indexes को monitoring के लिए भविष्य के सुधार के रूप में उल्लेख किया गया है।
Trust, backdoors, और skepticism
- कुछ टिप्पणीकार NSA/EU की भागीदारी पर भरोसा नहीं करते और किसी तत्काल quantum threat को नहीं देखते, इसलिए RSA/Ed25519 को बनाए रखने की वकालत करते हैं।
- दूसरे जवाब देते हैं कि standardized PQ schemes में किसी concrete backdoor candidate का कोई प्रमाण नहीं है और कई jurisdictions (non-US सहित) समान lattice-based designs की ओर converging कर रही हैं।