Názory k článku Konec roku 2001 přinesl i konec současné kryptografie!

Treti odstavec "Tajný klíč je určen k zašifrování a veřejný klíč k odšifrování." -> nejni to nahodou obracene???

Diky! Uz jsem trochu "zblbly" z elektronickeho podpisu, kde porad dokola vykladam - jak funguje podpisove schema. Zde se samozrejme nejprve provadi operace tajnym klicem a verejnym se overuje podpis - tedy provadi inverzni operace. U "klasickeho" pouziti pro sifrovani se pouzije nejprve verejny klic prijemce(zpravidla se sifruji klice pro symetrickou sifru). Prijemce pak, co by majitel tajneho klice se k zaslanym datum dostane...
Nicmene - plati, ze princip asymetricke kryptologie je v tom, ze jedna operace se provadi jednim klicem a inverzni druhym (parovym). Celkem je jedno, jak je nazyvame...
Dekuji za opravu "chibycki".
Pavel V.

aha, o minutu dyl :))

Jo, je to tam trochu zmateny. Kdyz pouziju tajnej klic, tak k digitalnimu podpisu, kterym samozrejme zpravu nesifruju. Verejnym se pak overuje pravost. U sifrovani je to tak jak pisete - naopak.

U digitalniho podpisu "sifrujete" otisk zpravy pomoci tajneho klice. U "sifrovani" take zpravidla nesifrujete zpravu, ale jen klice pro nejakou symetrickou (nejcasteji blokovou) sifru a teprve pak se zprava sifruje pomoci prislusneho symetrickeho algoritmu :-).

Dobry clanek, skvely postreh. Ale ten nadpis je zbytecne bombasticky...

Souhlas...Clanky prodavaji nadpisy - nikoliv obsah. Na prednaskach jsem zpravidla trochu "strizlivejsi". Obecne se vsak stale soudi, ze do roku 2010 - 2015 - 2020 (jak kdo...) by mohlo byt vse ve starych kolejich... Nicmene - tento pokus prokazal to - co se zdalo pred peti lety pouhou fantazii! Osobne citim, ze to je opravdovy zlom - toto jiz neni jen teoreticka studie...

Pokud je vse pravda, tak ten nadpis nepovazuji za bombasticky. A pokud se dnes opravdu jevi realne zacit lamat asymetricke sifry jako nic - tak to urcite kruhy zainvestuji... Je zrejme, ze na asymetricke sifrovani a elektronicky podpis jak ho zname dnes muzeme zapomenout. Jestli vse pojede ve starych kolejich, tak jedine diky tomu, ze na technologii kvantovych pocitacu se uvali embargo a k dispozici ji budou mit jen ty urcite kruhy. Bude to neco jako jaderne zbrane - ovsem ti co to mit nebudou na tom budou mozna jeste vice blede.

Pekny preklep :) A nebo (probuh) ne?

Nene, diskretni logaritmus neni preklep. Pouziva se napriklad v DSA. Jsou to logaritmy v konecnych telesech (predstavte si treba N mod 5) - narozdil od "normalnich" logaritmu, ktere jsou v prirozenych ci realnych cislech, tedy nekonecnych telesech. Vyhledejte si to nekde na internetu (napr. "discrete logarithm")

Poznamka byla zrejme (doufam ;-) myslena tak, ze v clanku je na jednom miste preklep 'diskretni algoritmus' namisto 'diskretni logaritmus'.

Velmi mě překvapuje vyznění celého článku. Vzhledem k tomu, že autora znám jako zkušeného kryptologa, tak to snad bude tím, že chtěl ve vánočním čase téma poněkud odlehčit a probudit zájem o tuto oblast.

Tušil jsem, že celý objev vyvolá rozporné reakce a je to zde. Na jedné straně vynikající práce fyziků, na druhé straně zatím stále banální výsledek v kryptologii. Na čí stranu se přiklonit? Na to se nedá odpovědět. Ta otázka totiž v současnosti nemá smysl!

Musím napsat, že všem vědcům, kteří se byť nepřímo na této věci podíleli, gratuluji! Ukázali, že kvantový počítač ve spojení se Shorovým algoritmem není jen teorií, ale že se dá skutečně prakticky realizovat a že funguje. Z pohledu kryptologie je však třeba připomenout, že než takový počítač ohrozí současné systémy, bude muset překonat HODNĚ překážek. Rozhodně zde nelze aplikovat uvažování, na které jsme zvyklí z "běžných" počítačů, kde se přidání "pár bitů navíc" dá do jisté míry skutečně vyvážit penězi a prostou dělnou prací. V případě kvantových počítačů jde však o mnohem víc - zde se musí posunout věda (možná ne moc, ale přeci). A věda je potvora, ta se penězi moc dobře postrkovat nedá. Finance jsou nutná podmínka, nikoliv postačující! Lze si dokonce představit, že než kvantové počítače dozrají do patřičných rozměrů (místo 7 qubitů jich budou potřeba alespoň tisíce a doba koherentního - možno zjednodušeně říci bezchybného - výpočtu bude muset být MNOHEM delší), dojde k nalezení ryze matematických postupů, které pohřbí současné kryptografické mechanizmy. Ano, to vše se může stát stejně tak dobře, jako může přijít převratná teorie umožňující konstrukci velkých kvantových počítačů. Ještě jednou připomínám, že v kvantové fyzice rozhodně nelze uvažovat tím způsobem, že pokud mám dvě molekuly realizující 7 qubitový registr, potom mám automaticky 14 qubitový registr, atd. Cesta k vyššímu počtu qubitů, které po stanovenou dobu koherentně pracují na výpočtu, je zde zcela nesrovnatelná s tím, co známe ze světa klasických počítačů. Ostatně je velmi dobře známo, že soudit chování mikrosvěta podle zkušeností z naší reality jednoduše nelze.

Je také třeba říci, že kvantové počítače neohrožují jen asymetrickou kryptografii. Kromě Shorova algoritmu existuje například i Groverův algoritmus, který ohrožuje i symetrické systémy. Navíc lze předpokládat, že takových algoritmů vznikne ještě celá řada a že budou zaměřeny přímo na konkrétní kryptografické systémy. Tím se snažím dát najevo, že ať už se PKI nasazuje méně, než bylo očekáváno, z jakéhokoliv důvodu, určitě to nebude tím, že by "velké firmy" uvedeného druhu věděly své o kvantové fyzice (osobně bych pochyboval jestli vybraní jedinci vůbec ví, proč se dělá led a vaří voda). Jsem toho názoru, že v konečném případě je "kvantovka" také dobrý hromosvod, na který se dá svést řada obchodních neúspěchů: "Vždyť my jsme vlastně takové projekty nechtěli dělat. Kdepak! Vždyť ono to je vlastně nebezpečné. No ano, správně, nebezpečné! Fuj a hanba všem ostatním!". Zkrátka a dobře k tomuto náhledu jsem extrémně pesimistický (snad jako by patřil do zcela jiného periodika).

Závěrem této reakce děkuji autorovi komentovaného příspěvku za to, že jej zpracoval a umožnil tak rozproudit diskusi nad daným tématem. To je jistě ku prospěchu fyziky i kryptologie.

Tomáš Rosa

No, par clanecku o kvantovych popcitacich a kvantove kryptografii jsem si precetl, ale mysli ze to je stejne jako se ziskavanim energie z fuze vodiku. Vedci teoreticky vi jak na to, provedli uz i nejake prakticke pokusy, ale za kolik let to bude pouzitelne? (t.j. aby se z toho dostalo alespon vice energie, nez se spotrebuje na vyrobeni a spusteni reaktoru)

A s kvantovymi pocitaci to bude stejne.

P.S. Nekde (uz nevim jestli na nekterem z ceskych serveru nebo v nejakem serioznim clanku) jsem cetl ze slozitost sestaveni pocitace roste exponencialne s poctem qubitu. Jestli je to pravda, tak to mozna ani kryptografii neohrozi ... nebo apson ne do te doby, nez se tohle omezeni obejde.

Je tu nekdo kdo vi jak to ve skutecnosti je?

Na adrese: http://cryptome.org/shor-nature.pdf je (zatím) k dispozici vědecký článek přímo od autorů experimentu. Lze si z něj udělat dobrou představu o tom, co se vlastně povedlo, jak se to povedlo a co to znamená.

Složitost stavby kvantových počítačů se odvíjí mimo jiné od problémů s dekoherencí. Je známo, že měření způsobuje kolaps vlnové funkce, což je při vektorovém popisu vnímáno jako rozpad superpozice stavů. Výsledkem měření qubitu je "zakotvení" stavu nula nebo jedna. Podle současné úrovně poznání kvantové mechaniky se tohoto fenoménu nelze zbavit. "Měření, které neovlivňuje stav" je zde v obecném pohledu nesmyslné slovní spojení. Je to jeden ze základních postulátů, že měření stav ovlivňuje. To je právě ten problém při přechodu od "našeho" světa do světa mikročástic. Člověk by si myslel, že toto ovlivňování je jaksi jen technologický nedostatek našich přístrojů. Ale ouha! Ono to tak je BEZ OHLEDU NA TECHNOLOGICKOU VYSPĚLOST. Tyto a jiné věci je třeba si uvědomit před ukvapenými závěry.

Proč se tolik zabývám fenoménem měření? Jednoduše proto, že tento pojem je velmi obecný a prakticky za něj lze považovat libovolnou interakci kvantového registru s okolím. A zde právě vyvstává problém s dekoherencí - musíme totiž být schopni zaručit VELMI dokonalou izolaci kvantového počítače od okolí. Jinak se nám budou superpozice stavů neustále rozpadat a výpočet se nepohne z místa. Když zde píši velmi dokonalou, tak myslím s ohledem na ty nejzákladnější interakce mezi částicemi. To může být pro velké registry velký problém.

Díky obrovské chybovosti kvantových počítačů se jeden čas dokonce myslelo, že nebude možné je nikdy kloudně sestavit. Novou naději přinesly až kvantové opravné kódy, díky nimž je možné se z drobných dekoherencí během výpočtu zotavit. Je to nicméně postupný vývoj, který si žádá nejen zdokonalování technologie, ale i teorie samé. O vztahu mezi posuny v teorii a penězi jsem se již vyjádřil.

Na závěr podotýkám, že kvantovou mechaniku vnímám čistě přes její matematický popis (jsem tak ušetřen některých problémů s interpretací ;-)). Rád zde uvítám názor kvantového fyzika, který by zde měl určitě zaznít.

Tomáš Rosa

Ta bývá často zmiňována v souvislosti se simulací kvantového počítače na "normálním" počítači (z pohledu kvantové fyziky můžeme s jistou nadsázkou a humorem tvrdit, že "normální" počítač je vlastně zkolabovaný kvantový počítač - on se tak někdy i chová;-)).

Je asi dobré připomenout, že jádrem kvantového počítače není procesor, ale kvantový registr, který udržuje momentální stav výpočtu a jehož vývojem (popsáno jako lineární operace na příslušném stavovém prostoru) se provádí výpočet.

Vezměme si kvantový registr o 2 qubitech. Ten lze popsat Hilbertovým prostorem dimenze 2^2 = 4. Jeho bázové vektory můžeme označit jako |00>, |01>, |10> a |11> (symboly "|x> a <y|" patří do Diracovy ket-bra notace, která fyzikům umožňuje přehledný zápis určitých matematických operací a je tudíž v oblibě; zde je můžeme ignorovat jako zvláštní syntaktické značky). Libovolný stav, ve kterém se může náš registr během výpočtu nacházet, pak můžeme popsat jako lineární kombinaci bázových vektorů: R = a1|00> + a2|01> + a3|10> + a4|11>, kde ai jsou komplexní čísla. Dále platí, že pro každé ai, 1 <= i <= 4, odpovídá hodnota |ai|^2 pravděpodobnosti, že následující měření bude mít výsledek odpovídající i-tému bázovému vektoru. Například ve stavu R = sqrt(0.7)|00> + sqrt(0.1)(|01> + |10> + |11>) můžeme jako nejpravděpodobnější výsledek měření očekávat stav |00> (zde jsme se omezili na čistě reálné koeficienty v superpozici). Hodnoty |ai| se vůbec chovají podle míry pravděpodobnosti, čili například |a1|^2 + |a2|^2 + |a3|^2 + |a4|^2 = 1. Matematici proto někdy žertem nazývají kvantovou mechaniku jako "druhou odmocninu z teorie pravděpodobnosti".

Pokud chceme chování takového registru simulovat normálním počítačem, potom potřebujeme pro jeden přechod registru ze stavu Rj do R(j+1) upravit celkem 4 koeficienty v superpozici stavu. Přidáme-li další qubit, zjistíme, že těchto koeficientů je 2^3 = 8. Toto můžeme zobecnit do tvrzení, že n-qubitový registr lze popsat Hilbertovým prostorem dimenze 2^n. S rostoucím počtem qubitů nám tak exponenciálně stoupá složitost simulace.

Tuším, že to byl právě Richard P. Feynman, který si jako první blíže povšiml této zákonitosti a s intuicí jemu vlastní ho napadlo ji využít obráceně: Pokud na normálním počítači roste exponenciálně složitost simulace kvantového počítače, potom by mohly existovat exponenciálně složité úlohy, které jsou na kvantovém počítači řešitelné v polynomiálním čase. Čas dal tomuto vynikajícímu vědci za pravdu.

Tomáš Rosa

Domnivam se, ze slozitost sestaveni kvantoveho pocitace skutecne roste exponencialne s poctem quibitu. Neni to zkratka tak jednoduche jako u klasickych bitu, kde jsem-li schopen zkonstruovat pocitac s n bity jsem schopen okamzite zkonstruovat pocitac s 2n bity, protoze ty qubity (resp. jejich stavy) musi byt navzajem provazane.Takze i pridat jeden quibit je technologicky problem, zatimco u normalnich pocitacu byva technologicky problem jen zvysit kapacitu radove.

Odzvonit asymetrickým šifrám a elektronickému podpisu takovým bulvárním způsobem je nezodpovědné. Této problematice v ČR rozumí do hloubky velmi málo lidí. Ostatní musí dát na odborníky. Protože Mgr. Pavel Vondruška je státní úředník, který je placen za to, aby pomáhal do života elektronickému podpisu, co z toho vyplývá pro občana? ...Kvantová kryptografie možná brzo pohřbí asymetrické šifry a je možná důvodem stagnace reálně nasazovaných systémů, které je využívají, potíže mají i firmy, které dělají certifikační autority... Takže občan si udělá závěr, že nebude používat elektronický podpis mj. jiné i proto, že se to "možná" celé brzo "rozbije". Šťastný nový rok s elektronickým podpisem! Pevné nervy i těm, kdo budou tyto věci trpělivě a dlouho uvádět na pravou míru!

pane klima, zavedeme u nas cenzuru a radsi nebudeme o tech ruznych divnych objevech informovat vubec, co rikate? a ostnatej drat sme taky nemeli sklizet tak hluboko do sklepa, zejo ...

Řekl bych, že kolega Klíma nechtěl zavést cenzuru, ale upozornit, že pan Vondruška je vysoko postavený člen důležitého státního orgánu na to, aby zacházel v jistých pasážích až do příliš spekulativních úvah. Byla zde zmíněna kauza PGP, kde také došlo k určité dezinformaci z důvěryhodných zdrojů. Bylo nám to tenkrát (a vlastně je i dnes) vyčítáno jako chyba a já to jako chybu (i když jsem to nemohl nijak ovlivnit) přijímám. Toto byla svým způsobem obdobná chyba a je čestné to připustit.

Nemyslím, že se někdo snaží zapudit hrozbu kvantových počítačů. Je to ale třeba vnímat jako jednoho ze řady podobných strašáků a podle toho situaci komentovat. Mimochodem v zahraničí se v diskusních skupinách strhávaly kruté bouře na základě mnohem slabších tvrzení, než je to, že "velké firmy" stagnují, protože mají ve sklepích kvantové počítače. Zrovna tak by šlo na základě publikovaných odhadů spekulovat, že tyto firmy mají k dispozici neznámou matematickou teorii umožňující faktorizovat běžné moduly RSA. Například podle kontroverzní zprávy http://www.cryptosavvy.com/table.htm (která je v původním článku zmíněna, avšak je interpretována shovívavějším způsobem, než autoři naznačují na uvedené stránce) se letos již nemají používat RSA moduly délky 1024 bitů. Vidíte a nikdo se s tím nestraší (a právem). Připojuji ještě střízlivé hodnocení na adrese http://www.rsasecurity.com/rsalabs/bulletins/bulletin13.html. Kolega Klíma publikoval o těchto problémech články, které jsou k dispozici na http://www.decros.cz/bezpecnost/_kryptografie.html.

Je obecně známo, že za moc a vliv se v jistém smyslu bohužel platí svobodou. Něco jiného může na veřejnosti říkat Ludva von Lopata a něco jiného prezident republiky. Oba to mohou myslet dobře, od obou to bude znít jinak. To je ale asi pochopitelné, takže bych to snad už více nepitval. Myslím, že vše podstatné již bylo řečeno. Konečně hlavní asi bylo (a to se snad shodneme) na kvantové počítače upozornit. Necháme-li stranou drobné přehmaty a přešlapy, tak můžeme říci, že cíl je splněn. To je asi dostatečná pocta autorům původního experimentu.

Tomáš Rosa

Zajimalo by me, jestli existuje technologie, ktera by byla v dohledne dobe alternativni k asymetricke kryptografii a kterou by bylo mozne realizovat elektronicky podpis.

O moznosti kvantove kryptografie vim, ale nepusobi to na me jako aktualni alternativa.

Kvantová kryptografie je určitě reálnější než kvantová kryptoanalýza. To lze heuristicky vysvětlit tím, že zatímco kvantová kryptografie vychází přímo z kvantové mechaniky, kvantová kryptoanalýza potřebuje mezičlánek nazývaný jako kvantový počítač. Kryptografie se tak může rozvíjet dříve a nezávisle a to samozřejmě činí.

V současnosti jsou odzkoušeny kvantové dohody na klíči (skoro tak, že by se to dalo opravdu nasadit) a existuje teoretický návrh konstrukce podpisového schématu.

Jak dál v kryptografii s ohledem na kvantovou mechaniku, to je složitější otázka, i když hlavní směr se zdá být jednoduchý: V klasické kryptografii se opíráme o teorii informace a teorii složitosti. Teorie složitosti zase vychází zejména z modelu označovaného jako Turingův stroj (v klasické matematické informatice rozeznáváme ještě deterministický a pravděpodobnostní TS). Jak teorie informace, tak Turingův stroj mají své "kvantové" ekvivalenty: Existuje kvantová teorie informace a kvantový Turingův stroj (ten už pochopitelně nemá se svým původním autorem mnoho společného, ale jméno se vzhledem k tradici zachovává). Dá se říci, že tyto elementy nám z matematického úhlu pohledu určují, co je nevypočitatelné, co je vypočitatelné ale složité a co je vypočitatelné a jednoduché. Lze proto očekávat, že budoucí kryptografie "jednoduše" při úvahách o bezpečnosti vymění zmíněné artefakty za jejich kvantové ekvivalenty a vše bude pokračovat dál. To je samozřejmě spousta práce, se kterou se na této úrovni ještě ani pořádně nezačalo. Troufám si však odhadnout, že než první kvantový počítač položí algoritmus RSA, bude již lidstvo dávno disponovat jiným bezpečným systémem.

Ještě jednou připomínám, že kvantové počítače nejsou hrozbou jen pro asymetrické systémy.

Tomáš Rosa

Nevim nevim, teoretický výsledek to sice je a je nutné s tím do budoucna počítat, ale jestli mě paměť neklame tak projektů podobně silného rázu bylo již více. Pamatujete si, kolik se toho napovídalo ohledně supravodivosti, internetu přez elektrický rozvod apod...? A co máme nyní? Ticho po pěšině...

Nevim presne, co vsechno nevite, ale z clanku jste se mel dozvedet, ze se podrailo realizovat Shoruv algoritmus na kvantovem pocitaci. Toto je obrovsky uspech a pokud se podari v budoucnu prekonat radu slozitych problemu, podari se faktorizovat velka cisla. Nic vice a nic mene. Zda se, ze v soucasne dobe je jisty optimismus v teto oblasti a ma smysl investovat penize do vyzkumu ... S pozdravem Pavel Vondruska

Jeste jedna odpoved ke stejnemu prispevku. Ta predchozi byla moc ukvapena. Byla psana jeste pod dojmem dikce odpovedi adresovane polemice s panem Klimou. Takze nyni s chladnou hlavou jsem zjistil, ze jsme vlastne ve shode... Ja jen tvrdim, ze se zde v teto oblasti neco deje a ze je zde rada dilcich uspechu a rada ocekavani, vy pouze vyjadrujete svuj pesimisticky nazor. Budeme muset tech 20 let pockat a pak se uvidi... Jiank rozvod po internetu by se jiste dal jiz technicky realizovat - musi se vsak udelat nekolik legislativnich uprav v prislusnych zakonech. Faktem je, ze to v nekterych zemich resi elegantneji : ... staci vyrknout trikrat za sebou: ZAPUZUJI TE, ZAPUZUJI TE, ZAPUZUJI TE! Dokonce to tedy jde bez podpisu (dokonce elektronickeho).
Jinak doporucuji vsem ctenarum navstevu vaseho webu.
S pozdravem Pavel V.

Obratem "internetu přez elektrický rozvod" obavam se autor nemyslel na rozvod pres internet, ale na moznost vest po stejnem kabelu internet a napajeni (220V). Co ja vim tak tato moznost existuje, ale CEZ se do ni nejak nehrne ... narozdil od kvantovych pocitacu tam nevidim zadny technologicky problem, jde jen o penize.<BR>
Na co narazi se supravodivosti nevim, ale mam pocit ze supravodice na pokojove teplote sice existuji, ale jsou prilis drahe, a pouzivat supravodice v PC pri teplote 70 stupnu C ... velke (salove) pocitace pochopitelne casto jsou chlazene dostatecne, jestli ale az na supravodivost nevim ...

Nejsem zadnej velkej odbornik na tyto dve veci...nicmene jak rikam : byl to velkej boom, vsude se psalo ze to do x let bude, jenze z nakejch duvodu neni.

BTW, v tehle diskuzich je problem, ze se tu strasne rychle a lehce reknou veci, ktery v normalnim rozhovoru slusny chovani a trocha ucty odfiltruje.

K te supravodivosti. V soucasne dobe jsou v behu projekty zasobovani celych mest (prinejmensim v USA) pomoci supravodivych rozvodu. Pouzity je duty vodic, kterym proudi chladici kapalina (kapalny dusik ci tak neco). Myslim, ze supravodivosti po letech bombastickych prohlaseni a prazdnych slibu prichazi doba ticheho nasazeni v praxi.

Mate niekde odkaz na blizsie informacie? to vase tvrdenie znie tak neuveritelne, ze ja osobne neverim, ze je to pravda. Pokial viem, tak zatial sa podarilo vyrobit supravodic Hg0.8Tl0.2Ba2Ca2Cu3O8.33 s Tc=138 K (t.j. -135 °C), co je podla mojej mienky zatial nedostatocne na rozvod elektrickej energie. Naklady na vybudovanie rozvodnej siete a jej udrziavanie by boli urcite vyssie ako tie 15-20% straty vo vedeni. Neurazte sa, ale vase tvrdenie mi vyznieva ako novinarska kacica.
skuste napr. http://www.superconductors.org</a> pre blizsie informacie. S pozdravom.

Dobry den. Vstupuji opět do diskuse. Především velice dekuji panu Rosovi, který místo mne velice perfektne vedl celou diskusi a zasvecene a odborne odpovidal na dulezite otazky. Clanek byl skutecne pouze odlehcenim vanocniho shonu (mimochodem nedostatek casu se podepsal i na jeho obsahu viz. diskuse chybicky - diskretni logaritmus-algoritmus apod.) Psal jsem jej přes noc a rano jej odeslal na root.
K panu Klimovi. Predpokladam, ze i jeho prispevek byl laden vanocnim shonem, neboť formulace meho byvaleho kolegy z matematicke olympiady, spoluzaka a pozdeji kolegy (tehdy také tehdy urednika) se mi zda ponekud neadekvatni. Starost o nasledky, ze bude nutne (cituji) ... trpělivě a dlouho uvádět na pravou míru!... znam velice dobře. Na svých cca 35 prednaskach v roce 2001 na tema elektronicky podpis, jsem musel neustale vysvetlovat, za panove Klima a Rosa nerozbili elektronicky podpis, ale jejich utok se tyka pouze ulozeni klicu pro PGP. Titulky v novinach byly zcela zavadejici a skutecne dalo praci vysvetlit, o co skutecne slo (vždy jsem však dodaval a vyuzivam i této prilezitosti, ze blahopreji k dosazenemu vynikajicimu kryptologickemu vysledku!). Co se tyka kvantoveho pocitace, slo mi opravdu jen o popularizaci pojmu : kvantovy pocitac a Shoruv algoritmus. Pravdou však zustava, ze v pripade realizace je RSA (apod.) v haji. Proc to tedy nerici nahlas? Kolik lidi v CR znalo Shoruv algoritmus (mimo naší kryptologickou komunitu)? Ted si o nem precetlo několik tisíc lidi. Pravdou také je, ze rada odborniku se domniva, ze realizace bude mozna a to nejpozdeji do roku 2020. Opravdu se ocekava, ze statni urednik bude pouze s usmevem ukazovat cipovou kartou (jeste lepe elektronickou obcanku) se slovy : kupte si elektronicky podpis a slibovat bezvadnou komunikaci obcan stat? Proc nerici v cem vsem muze byt potencialne problem?
Mimochodem - skutecne si myslim, ze jsem jeden z tech, kdo udelal pro popularizaci elektronickeho podpisu v CR docela dost...Takze prosim o shovivavost, kdyz si dovolim napsat, ze mohou byt i problemy s jeho realizaci....
Ještě k penezum a kvantove kryptologii. Nerikam, ze peníze vyresi vse, ale bez penez proste nelze dany nakladny vyzkum provadet. To, ze je nyní doba, kdy se do této oblasti lejou obrovske castky, znamena, ze se prece jen nejaky ten vysledecek ocekava. Neodpustim si také jednu prihodu z CR. V ramci grantoveho ukolu byl v roce 1996 otevren dlouhodoby úkol v této oblasti. Mimo jiné se podarilo sestavit kvantovy generator nahodnych cisel, realizovat protokol dohody na klici apod. Nicmene na konci roku 1999 byl vyzkum zastaven na jednani prislusne komise zaznela tato slova : ..jedna se o utopii je to jako zkoumat počasí na Marsu...
Napadl mne jeste jeden vhodny zaver:
Aby nahodou někdo nepsal o potencialnich problemech (nejen statni urednik) s pouzivanim sifrovych systemu a vubec o informacni bezpecnosti, co takhle vsechny tyto clanky zakazat? Koneckoncu pouzivat slabou kryptografii muze mit sve vyhody :-)!

Ten experimentální výzkum naštěstí úplně zastaven nebyl, byť peníze se na něj shánějí pořád těžko. Naše skupinka na UP Olomouc a ve FZÚ AV se snaží v experimentální kvantové kryptografii pořád pokračovat i po konci onoho projektu. Generátor náhodných čísel se zmenšil z laboratorního stolu na krabici o formátu A4 která se připojí k PC přes paralelní port a generuje a šla by určitě celkem snadno dotáhnout do úplně komerční podoby, kdyby na to ovšem byly peníze a lidi. Kvantová kryptografie nám v laborce stála do konce roku 1999 a chodil na ní protokol pro přenos zpráv i vzájemnou identifikaci na vzdálenost půl kilometru a teď se k experimetům znova vracíme z trochu jiné strany.
Obecněji bych ale poznamenal, že byť je kvantová kryptografie experimentálně dneska zvládnutá velmi dobře, k jejímu masovému nasazení je pořád hodně daleko a problémů zbývá víc než dost. Je fakt, že kvantový počítač by mohl dost popohnat potenciální investory :-).
Pokud jde o tu čerstvou zprávu o KP, je to další krůček, jestli mezník, je myslím ještě brzo hodnotit. Každopádně k nasazení KP na tisícibitové klíče je pořád hodně daleko, ale prošlapávaných cest je víc než jen ta molekulární. Vzhledem k tomu, že ještě tak před pěti lety vypadalo i těch sedm bitů jako naprostá utopie, nejsem zcela bez naděje, že se toho dožiju.

Dekuji za pripspevek. Doufal jsem, ze se ozve nekdo ze zasvecenych. S pozdravem Pavel Vondruska

Inu není nad to, když fyzici píší o fyzice a úředníci kolem šoupou nohama... Vědom si dobře sledu dalších událostí se tímto rovnou všem dotčeným úředníkům hluboce omlouvám.

Dekuji, za reakci odbornika. Alespon jeden zasveceny kvantovy fyzik cte roota a vyjadri se k prispevku. Co takhle nejaky podobny clanek o kvantove kryptografii? Urcite by to moc prospelo. I kdyz i tak maji nekteri odbornici na bezpecnost, kteri neholduji kvantovce, uz ted spatne spani.
Take se tesim, ze se toho doziju. A ze jeste treba vyuziju to, ze jsem tu kvantovku studovala, i kdyz ji ted nedelam.

Mgr. Vondruška udělal přesně to, co někteří senzacechtiví novináři z kauzy "prolomení PGP" v březnu. Na důkaz cituji z jeho příspěvku: "Toto není jen obyčejná zpráva o zdařeném vědeckém pokusu. Toto je ve skutečnosti ohlášení výsledku zásadního významu. Pravděpodobně by to mohlo znamenat i konec klasické asymetrické kryptografie a vše co s tím souvisí - šifrování, elektronického podepisování atd."

Lituji bulvární jsou tvrzení typu - rozbití elektronického podpisu českýmy kryptology nebo - všechny bankovní převody jsou díky českám kryptologům nebezpečné apod.
Váš výsledek byl, to co byl a neohrozil ty aktivity, které byly v nadpisech dle tebe bulvárních novin (Lidových novin, televize NOVA apod.). Proto to byl bulvár - s tím souhlasím. Možná, že mohla také vaše firma více vysvětlit na tiskové konferenci kam novináře sezvala, možná ...
V tomto případě je to však trochu jiné. Přece sám dobře víš, že realizace Shorova algoritmu je užasným vědeckým pokrokem. Je přece také pravdou, že realizace kvantového počítače znamená konec současných šifrových algoritmů. Proč to neříci nahlas? Můžeme se pouze dohadovat kdy (a zda vůbec) to bude. To nevyřeší naše diskuse na rootu. Mohou to však vyřešit pouze vědecké týmy, které dostávají obrovské peníze na svůj výzkum. Z těchto výsledků se dozvíme jak to dopadne. Počkejme si na konečné rozhodnutí. Navrhuji o této věci nehlasovat ...

Pan Mgr. Vondruška mi vkládá do úst, co jsem neřekl "...dle tebe bulvárních novin...". Zato se jasně vysvětlilo, že jeho titulek "Konec roku 2001 přinesl i konec současné kryptografie!" včetně dalších dřívě citovaných vět je hrubým zkreslením skutečnosti, které nazývám bulvárním. Myslím, že to tady všichni pochopili. Není na místě drobná omluva pane Mgr. Vondruško?

Pan RNDr. Vlastimil Klíma nenapsal, že Lidové noviny a televize NOVA jsou bulvární.
Pouze napsal ... někteří senzacechtiví novináři z kauzy "prolomení PGP" v březnu...
a já doplnil, kdo takto o PGP psal (např. Lidové noviny a televize NOVA).
Z tohoto důvodu jsem si odvodil a domníval se, že pan Klíma do bulváru zahrnuje i tato média. Pokud tomu tak není, pak se mu omlouvám.
Co se týká nadpisu článku... již jsem se dříve vyjádřil, že měl upoutat a přilákat čtenáře (viz předchozí diskuse).
Trvám však na tvrzení ( Pravděpodobně by to mohlo znamenat i konec klasické asymetrické kryptografie a vše co s tím souvisí - šifrování, elektronického
podepisování atd.), a protože je pravdivé, nepovažuji je za bulvární.
S pozdravem Pavel Vondruška

Panové, nebuďte ve-při :o)

4 roky pote: Pan Klima mel pravdu, titulek "Konec roku 2001 přinesl i konec současné kryptografie!" byl skutecne ponekud zkreslujici.

"Co se týká nadpisu článku... již jsem se dříve vyjádřil, že měl upoutat a přilákat čtenáře (viz předchozí diskuse)." - hm, a co je na tomhle principu nebulvarniho?

Me pripada, ze co se fakticke stranky veci tyce, ve skutecnosti se vsichni celkem shodujete. Vysledek, o kterem se v clanku pise, je vyznamny uspech. Faktorizace 15 na 3 a 5 sama o sobe uzasna neni a nic neohrozuje. Pokud by se realizovaly "dlouhe" kvantove pocitace radu tisicu qubitu, znamenalo by to konec vetsiny soucasnych schemat nejn asymetricke kryptografie. Zda ma titulek nejakou pravdu se ukaze casem - a i kdybych mel kvantovy pocitac za deset let na stole, o onom vysledku by se asi hovorilo spis jako o "zacatku konce". Jak je konstrukce dlouhych pocitacu obtizna nikdo presne nevi, ale urcite hodne. Ze QC je ted velmi popularni a do jeho rozvoje jdou znacne penize je fakt. Ze QC nejak negativne ovlivnuje PKI je IMHO spekulace autora, ale zajimava.

Z urciteho hlediska by byla podstatna odpoved na na otazku "Jaka je pravdepodobnost, ze roku X budou existovat kvantove pocitace, schopne za dobu radove mesicu prekonat napriklad RSA s modulem delky Y (jako "meritko" je to myslim pouzitelne dobre)" - docela by me odhady pritomnych spickovych odborniku zajimaly.

Spor o to, zda clanek uskodi elektronickemu podpisu (?), je myslim celkem zbytecny. Ctenari ROOTa maji myslim takovy prehled, ze clanek berou rozumne a udelaji si vlastni predstavu (tedy, neodnesou si jen titulek). Problem by asi byl, kdyby clanek vysel na titulni strane Lidovek.

IMHO tu elektronicky podpis zatim neni z uplne jinych duvodu, nez ze by se _odborna verejnost_ bala jeho prolomeni. Ostatne urcita pravdepodobnost "blesku z cisteho nebe" ve forme neocekavaneho pokroku v teorii tu byla vzdycky a je porad. Cele je to to tom, ze s dostatecnou pravdepodobnosti je to na par let bezpecne.

Btw, nejpozoruhodnejsi vlastnosti kvantovych pocitacu mi prijde, ze ac se s ti lide umi velmi dobre pocitat, velmi dobre rici "jak to funguje" nemuze nikdo. Podle me oblibene interpretace kvantove mechaniky se kvantovy pocitac "proste" rozdeli na 2^(pocet qubitu) kopii.

No tak, panove (p. Vondrusko a p. Klimo), snad se ze seriozniho tematu nestane podnet k flame-war ?!? Ty uz tradicne probihaji (nejen) na tomto serveru, kdyz se do sebe pusti skalni fandove Linuxu a Win. Jak Dr. Klima, tak Mgr. Vondruska jsou pro mne respektovanymi odborniky na nesmirne slozitou a narocnou problematiku kryptologie a vyvadeji kvuli hloupostem jak mali kluci :-)
Jinak mnohokrat dekuji za clanky tohoto typu (vynaseji Root.cz vysoko nad konkurenci :-) a vsem preju pohodovy rok 2002 (pekne cislo, ze, panove matematikove :-))

Kritiku beru a omlouvam se vsem ctenarum za vedeni zbytecne diskuse.
V novem roce 2002 preji pohodu, klid na praci a hlavne zdravi a stesti. Pavel Vondruska

Mimochodem, vsimli jste si data/casu prispevku HolyGrail?
Skoda, ze to nestihl o sedm vterin drive :-))

...nebo v únoru:))