( XMI | 2023. 01. 18., sze – 16:46 )

azt nehezíti meg, hogy oké, te megszerzed a küldő fél kulcsait, attól még meg kell törnöd az egyes üzenetkulcsokat egyesével.

Igen, pont ezért releváns a kérdés. Tudtommal az AES közvetlen törésére nincs hatékony kvantum algoritmus (egyelőre), azt hiszem a legjobb amit elmélteileg, papíron tudnak Grover algoritmusával, hogy a komplexitást négyzetgyökére csökkentik. Ezzel egy AES-256 redukálódna egy AES-128 szintjére, ami még mindig nagyon sok brute-force támadáshoz.

Viszont az RSA-ra van a Shor módszer, így nem kéne brute force-olni az AES kulcsát.

A kérdés, hogy lehetséges-e kvantum-támadás a Galois Counter Mode algoritmus ellen. A TLS1.2 és 1.3-ban a GCM-es ciphersuite-ok adnak perfect forward secrecy-t az RSA kulccseréhez.

Vagyis elméletben ha az AES és a GCM is ellenáll a kvantum támadásoknak, akkor az RSA-t hiába tudják feltörni, a passzívan rögzített sessionök nem lesznek megfejthetőek. Man in the middle támadás persze lehetséges lesz, de "capture now, crack later" szempontból nem releváns.