Ještě v roce 2016 články o kvantových počítačích vytvářely nejistoty kolem bezpečnosti dat v případě, že by bylo možné postavit dostatečně výkonné kvantové počítače. Tento článek se pokusí vnést trochu světla do situace.
Co je to kvantové počítání?
Kvantové počítání je aplikace principů kvantové mechaniky k provádění výpočtů. Konkrétně kvantové výpočty využívají kvantové stavy subatomárních částic, jako je superpozice a zapletení, k vytvoření kvantových počítačů. Při aplikaci na kvantové počítače s dostatečným výkonem mohou specifické algoritmy provádět výpočty mnohem rychleji než klasické počítače a dokonce řešit problémy mimo dosah současné výpočetní techniky. V důsledku toho existuje zvýšený zájem vlád a průmyslových odvětví po celém světě o vývoj kvantových počítačů. Nedávné pokroky v kvantových výpočtech, jako je procesor IBM Quantum Heron, výrazně zlepšily redukci chyb a ukázaly rychlý pokrok v této oblasti. Uvedení IBM Quantum System Two, vybaveného těmito pokročilými procesory, znamená skok směrem k praktickému kvantově-centrickému superpočítačům.
Klasické vs. kvantové výpočty
Klasické výpočty se při řešení složitých problémů spoléhají na bity, které představují jedničky a nuly prostřednictvím elektrických proudů v obvodech. Kvantové výpočty využívající qubity jako v IBM Quantum Heron předčí klasické výpočty ve výpočetním výkonu díky vylepšené korekci chyb a stabilitě qubitů. Qubity, na rozdíl od bitů, mohou existovat v superpozici a ztělesňovat současně jedničku i nulu. Tato schopnost umožňuje, aby jeden qubit reprezentoval dva stavy najednou a s každým dalším qubitem se reprezentovatelné stavy exponenciálně zdvojnásobí (`2^n` pro n qubitů). Například kvantový počítač s deseti qubity může reprezentovat 1024 stavů, na rozdíl od 10 bitů v klasickém počítání. Kvantové zapletení, komplexní a ne zcela pochopený jev, umožňuje vzájemné propojení qubitů, čímž se zvyšuje výpočetní efektivita. Díky využití jak superpozice, tak provázání pracují kvantové počítače ve vícerozměrných prostorech a provádějí paralelní výpočty, na rozdíl od sekvenčního přístupu v klasickém počítání. Tato pokročilá výpočetní kapacita umožňuje kvantovým počítačům řešit problémy nad rámec klasických počítačů, jako je přesné simulování molekulárních interakcí v chemických reakcích. To má dalekosáhlé důsledky pro vědu a techniku, včetně potenciálu řešit problémy mnohem rychleji než klasické počítače, což ovlivňuje oblasti, jako je kryptografie.Jak může kvantová výpočetní technika ovlivnit kryptografii?
Jak bylo uvedeno výše, kryptografie je založena na existenci neřešitelných matematických problémů, což neznamená, že jsou neřešitelné, ale že čas a prostředky potřebné k jejich zvrácení je činí prakticky bezpečnými.
Kvantová výpočetní technika mění tento ekosystém tím, že minimalizuje čas potřebný k řešení takových problémů aplikací konkrétních algoritmů.
Například algoritmus objevený , spolu s implikacemi algoritmů, jako je Shorův, v kontextu pokročilých kvantových procesorů, jako je Quantum Heron od IBM, podtrhují bezprostřední potřebu kvantově odolných kryptografických systémů.
„V roce 1994 Peter Shor z Bell Laboratories ukázal, že kvantové počítače, nová technologie využívající fyzikální vlastnosti hmoty a energie k provádění výpočtů, mohou efektivně vyřešit každý z těchto problémů, čímž se všechny kryptosystémy s veřejným klíčem založené na takových předpokladech stanou impotentními. Dostatečně výkonný kvantový počítač tedy ohrozí mnoho forem moderní komunikace – od výměny klíčů přes šifrování až po digitální ověřování.
Stručně řečeno, kvantový počítač s dostatečným výkonem by mohl zcela zničit infrastrukturu veřejného klíče a vyvolat potřebu přepracování celého ekosystému kybernetické bezpečnosti.
Nedávné aplikace postkvantové kryptografie jsou vidět ve spotřebitelských prostorech, jako je podpora Chromu pro algoritmus PQC, což naznačuje praktické dopady kvantového počítání na současné kryptografické systémy.
Ale to není vše. Další algoritmus, tento ” může představovat hrozbu pro symetrickou kryptografii, i když ne tak závažnou jako Shorova. Při aplikaci na dostatečně výkonný kvantový počítač umožňuje Groverův algoritmus prolomit symetrické klíče čtyřnásobnou rychlostí ve srovnání s klasickým počítáním. Významné zlepšení, kterému se brání používáním větších klíčů a zachováním aktuální úrovně zabezpečení.
Přijdou kvantové počítače brzy?
Fyzika prokázala, že kvantové výpočty jsou proveditelné. Nyní je to problém inženýrství, i když velmi obtížný. Konstrukce kvantových počítačů zahrnuje implementaci nejmodernějších technologií, jako jsou mimo jiné superfluidy a supravodiče. Úkol vytvořit stabilní a škálovatelný kvantově mechanický systém je obrovský a vede týmy po celém světě k hledání různých cest. Existuje několik typů kvantových počítačů, včetně modelu kvantových obvodů, kvantového Turingova stroje, adiabatického kvantového počítače, jednosměrného kvantového počítače a různých kvantových buněčných automatů. Nejpoužívanější je kvantový obvod.
Významným problémem jakéhokoli modelu kvantových počítačů je to, že qubity svou povahou po měření ztrácejí svůj stav superpozice a v důsledku toho jsou velmi citlivé na vnější interference. Pro qubity je proto náročné udržet si kvantové stavy. Některá řešení zahrnují použití iontových pastí, ale úplné odstranění vnější interference je pravděpodobně nedosažitelné. V důsledku toho je jedním z nejdůležitějších problémů při vytváření kvantových počítačů robustní mechanismus opravy chyb.
S nedávnými průlomy, jako jsou pokroky IBM v kvantových výpočtech, se pole posunulo od teoretických modelů k praktičtějším a výkonnějším kvantovým systémům, čímž se kvantová éra přiblížila, než se dříve očekávalo.
Celkový obrázek je, že k průlomu může dojít právě teď, nebo může trvat několik let, než se vytvoří funkční prototyp dostatečného výpočetního výkonu. Existuje již několik prototypů, přičemž nejznámější je IBM Q System One, ale jejich výpočetní výkon je stále příliš malý na to, aby představoval problém pro kryptografické systémy. Komunita kybernetické bezpečnosti samozřejmě v žádném případě nesmí relaxovat. I kdybychom měli účinný postkvantový bezpečnostní plán, migrace celého ekosystému na tento nový standard je obrovský úkol. V důsledku toho prochází několik úsilí, aby byli připraveni na postkvantovou éru.
Slibné technologie pro postkvantovou éru
Jak se přibližujeme k rozšířené aplikaci kvantové technologie, o čemž svědčí pokroky, jako je Quantum System Two od IBM, potřeba kvantově odolného PKI s příchodem rozšířené kvantové výpočetní techniky se stává naléhavější. Níže se pokusíme shrnout nejslibnější technologie a poskytneme stručný přehled kolektivních projektů probíhajících na zavedení postkvantové kryptografie spolu s výzvami, které před námi stojí.
Rodiny postkvantových algoritmů
Výzkum za posledních 15–20 let prokázal existenci algoritmů odolných vůči kvantovým útokům. Níže uvádíme stručný popis nejslibnějších rodin algoritmů, které by mohly poskytnout řešení pro zabezpečení v postkvantovém světě.
Kryptografie založená na kódu
Nedávný vývoj v této oblasti šifrování založené na kódu využívá kódy opravující chyby k vytváření kryptografie s veřejným klíčem. Poprvé byl navržen Robertem McEliecem v roce 1978 a je jedním z nejstarších a nejvíce prozkoumaných asymetrických šifrovacích algoritmů. Podpisové schéma lze sestavit na základě Niederreiterova schématu, duální varianty McElieceova schématu. Kryptosystém McEliece zatím kryptoanalýze odolával. Hlavním problémem původního systému je velká velikost soukromého a veřejného klíče.
Kryptografie založená na hash
S rostoucí implementací v praktických aplikacích představuje kryptografie na bázi hash slibný postkvantový kryptografický přístup k digitálním podpisům. Hashovací funkce jsou funkce, které mapují řetězce libovolné délky na řetězce pevné délky. Jsou jedním ze starších kryptografických schémat s veřejným klíčem a jejich hodnocení bezpečnosti proti klasickým a kvantovým útokům je dobře známé. Hashovací funkce jsou již jedním z nejpoužívanějších kryptografických nástrojů. Bylo známo, že je lze dlouhou dobu používat jako jediný nástroj pro vytváření kryptografie s veřejným klíčem. Kromě toho je kryptografie založená na hash flexibilní a může splnit různá očekávání výkonu. Na druhou stranu jsou podpisová schémata založená na hash převážně stavová, což znamená, že soukromý klíč musí být aktualizován po každém použití; jinak není bezpečnost zaručena. Existují schémata založená na hash, která jsou bezstavová, ale přicházejí za cenu delších podpisů, delší doby zpracování a potřeby podepisujícího sledovat některé informace, například kolikrát byl klíč použit k vytvoření podpisu.
Kryptografie založená na mřížce
Nyní zvažovaná pro pokročilejší kryptografická řešení Kryptografie založená na mřížce je zvláštním případem kryptografie založené na problémech podmnožiny a byla poprvé představena v roce 1996 Ajtaiem. Je to obecný termín pro kryptografická primitiva konstruovaná pomocí mřížek. Některé z těchto konstrukcí se zdají být odolné vůči útokům kvantových i klasických počítačů. Kromě toho mají další atraktivní vlastnosti, jako je obtížnost v nejhorším případě. Představují také jednoduchost a paralelismus a jsou dostatečně univerzální pro vytvoření robustních kryptografických schémat. Konečně jsou jedinou rodinou algoritmů obsahujících všechny tři druhy primitiv potřebných k vybudování postkvantové infrastruktury veřejného klíče: šifrování veřejného klíče, výměnu klíčů a digitální podpis.
Vícerozměrná kryptografie
Vícerozměrná kryptografie označuje kryptografii s veřejným klíčem, jejíž veřejné klíče představují vícerozměrnou a nelineární (obvykle kvadratickou) polynomickou mapu. Ukázalo se, že řešení těchto systémů je úplné NP, což z této rodiny algoritmů činí dobré kandidáty pro postkvantovou kryptografii. V současné době se šifrovací schémata s více variacemi ukázaly jako méně účinná než jiná schémata, protože vyžadují značné veřejné klíče a dlouhé časy dešifrování. Na druhé straně se ukázalo, že jsou vhodnější pro vytváření schémat podpisů, protože poskytují nejkratší velikosti podpisů mezi postkvantovými algoritmy, přestože obsahují poměrně velké veřejné klíče.
Kryptografie na bázi isogeneze
Kryptografie založená na izogeny využívá mapy mezi eliptickými křivkami k vytváření kryptografie veřejného klíče. Algoritmus, který je kandidátem pro postkvantovou kryptografii, je výměna klíčů Supersingular isogeny Diffie-Hellman (SIDH) zavedená v roce 2011, díky čemuž je toto schéma mezi kandidáty nejnovější. SIDH vyžaduje jeden z nejmenších klíčů mezi navrhovanými schématy výměny klíčů a podporuje dokonalé dopředné utajení. Jeho relativně mladý věk však znamená, že neexistuje mnoho schémat založených na tomto konceptu a nebylo mnoho pro kontrolu jejich možných zranitelností.
Projekty pro postkvantovou kryptografii
Existují různé pracovní skupiny pro schémata postkvantové kryptografie, jako je projekt Open Quantum Safe (OQS) a ENISA. Stále nejkoherentnější iniciativou je projekt NIST Post-Quantum Cryptography Standardization Project, který od roku 2021 dosáhl významného pokroku a nové algoritmy se objevily jako průkopníci průmyslové standardizace v postkvantové éře. Proces začal s 69 kandidátskými algoritmy, z nichž 26 postoupilo do druhého kola hodnocení. V červenci 2020 byli vyhlášeni kandidáti 3. kola, jak je uvedeno v tabulce níže. Celkem je sedm finalistů a osm alternativních kandidátů. V tabulce je uvedeno, zda jsou uvažovány pro šifrovací nebo podpisová schémata, rodina algoritmů a těžký problém, na kterém jsou založeny.
| Systém | Enc/SIg | Rodina | Těžký problém |
|---|---|---|---|
| Klasický McEliece | Inc | Na základě kódu | Dekódování náhodných binárních Goppa kódů |
| Crytals-Kyber | Inc | Na základě mříže | Cyklotomický modul-LWE |
| NTRU | Inc | Na základě mříže | Cyklotomický problém NTRU |
| Šavle | Inc | Na základě mříže | Cyklotomický modul LWR |
| Krystaly-Dilithium | Sig | Na základě mříže | Cyklotomický modul-LWE a modul-SIS |
| sokol | Sig | Na základě mříže | Cyklotomický prsten-SIS |
| Duha | Sig | Na více proměnných | Poklop s olejem a octem |
3. kolo Alternativní kandidáti
| Systém | Enc/Sig | Rodina |
|---|---|---|
| KOLO | Inc | Na základě kódu |
| HQC | Inc | Na základě kódu |
| Frodo-KEM | Inc | Na základě mříže |
| NTRU-Prime | Inc | Na základě mříže |
| RÁDI | Inc | Izogeneze |
| GeMSS | Sig | Na více proměnných |
| Piknik | Sig | Symetrické krypto |
| SPHINCS+ | Sig | Na základě hash |
Vyhodnocení algoritmu bylo založeno na třech níže uvedených kritériích.
-
Bezpečnost: Toto je nejdůležitější kritérium. NIST stanovil několik faktorů, které je třeba vzít v úvahu při hodnocení bezpečnosti poskytované každým kandidátským algoritmem. Kromě kvantové odolnosti algoritmů definoval NIST také další bezpečnostní parametry, které nejsou součástí současného ekosystému kybernetické bezpečnosti. To jsou dokonalé dopředné tajemství,
-
Cena a výkon: Algoritmy jsou hodnoceny na základě jejich výkonnostních metrik, jako jsou velikosti klíčů, výpočetní efektivita operací a generování veřejných a soukromých klíčů a selhání dešifrování.
-
Algoritmus a implementační charakteristiky: Za předpokladu, že algoritmy poskytují dobré celkové zabezpečení a výkon, jsou hodnoceny na základě jejich flexibility, jednoduchosti a snadnosti přijetí (jako je existence nebo neexistence duševního vlastnictví pokrývajícího algoritmus).
Kryptografická agilita
Důležitým paradigmatem při navrhování protokolů zabezpečení informací je kryptografická agilita. Nařizuje, že protokoly by měly podporovat více kryptografických primitiv, což umožňuje systémům implementujícím konkrétní standard vybrat, které kombinace primitiv jsou vhodné. Primárním cílem kryptografické agility je umožnit rychlé přizpůsobení zranitelných kryptografických primitiv a algoritmů pomocí robustních algoritmů, aniž by došlo k rušivým změnám v infrastruktuře systému. Toto paradigma se ukazuje jako klíčové v návrhu postkvantové kryptografie a vyžaduje alespoň částečnou automatizaci. Například průměrný podnik vlastní stovky tisíc certifikátů a klíčů – a toto číslo stále roste. S tolika certifikáty musí organizace nasadit automatizované metody k rychlé výměně těchto certifikátů, pokud se kryptografie, na kterou spoléhají, stane nezabezpečenou.
Prvním vynikajícím opatřením pro organizace je zahájení implementace hybridní kryptografie, ve které se vedle tradičních algoritmů veřejného klíče (jako RSA nebo eliptické křivky) používají kvantově bezpečné algoritmy veřejného klíče, takže řešení není přinejmenším o nic méně bezpečné než stávající tradiční kryptografie.
Pohled do budoucna
Kvantové výpočty přecházejí od teoretické možnosti k praktické realitě, což dokládá nedávný vývoj v oblasti kvantových procesorů a systémů. V důsledku toho se oblast kybernetické bezpečnosti bude muset těmto změnám rychle přizpůsobit.
