Selv i 2016 skabte artikler om kvantecomputere usikkerhed omkring datasikkerhed, i tilfælde af at tilstrækkeligt kraftige kvantecomputere kunne bygges. Denne artikel vil forsøge at kaste lys over situationen.
Hvad er Quantum Computing?
Kvanteberegning er anvendelsen af kvantemekaniske principper til at udføre beregninger. Specifikt udnytter kvanteberegning kvantetilstande af subatomære partikler som superposition og sammenfiltring for at skabe kvantecomputere. Når de anvendes på kvantecomputere med tilstrækkelig kraft, kan specifikke algoritmer udføre beregninger meget hurtigere end klassiske computere og endda løse problemer uden for rækkevidde af den nuværende computerteknologi. Som følge heraf er der en øget interesse fra regeringer og industrier verden over for at udvikle kvantecomputere. Nylige fremskridt inden for kvantecomputere, som IBMs Quantum Heron-processor, har forbedret fejlreduktionen markant, hvilket viser hurtige fremskridt på området. Introduktionen af IBM Quantum System Two, udstyret med disse avancerede processorer, markerer et spring i retning af praktisk kvantecentreret supercomputing.
Klassisk vs. Quantum Computing
Klassisk databehandling er afhængig af bits, der repræsenterer etaller og nuller gennem elektriske strømme i kredsløb, for at løse komplekse problemer. Quantum computing, der bruger qubits som dem i IBM Quantum Heron, overgår klassisk computing i regnekraft gennem forbedret fejlkorrektion og qubit-stabilitet. Qubits, i modsætning til bits, kan eksistere i superposition, der omfatter både en og nul samtidigt. Denne evne tillader en enkelt qubit at repræsentere to tilstande på én gang, og med hver yderligere qubit fordobles de repræsentative tilstande eksponentielt (`2^n` for n qubits). For eksempel kan en kvantecomputer med ti qubits repræsentere 1024 tilstande, i modsætning til 10 bit i klassisk databehandling. Kvantesammenfiltring, et komplekst og ikke fuldt forstået fænomen, gør det muligt at sammenkoble qubits, hvilket øger beregningseffektiviteten. Ved at udnytte både superposition og sammenfiltring opererer kvantecomputere i multidimensionelle rum og udfører parallelle beregninger i modsætning til den sekventielle tilgang i klassisk databehandling. Denne avancerede computerkapacitet gør det muligt for kvantecomputere at tackle problemer ud over klassiske computeres rækkevidde, såsom nøjagtig simulering af molekylære interaktioner i kemiske reaktioner. Dette har vidtrækkende konsekvenser for videnskab og teknologi, herunder potentialet til at løse problemer meget hurtigere end klassiske computere, hvilket påvirker områder som kryptografi.Hvordan kan kvanteberegning påvirke kryptografi?
Som diskuteret ovenfor er kryptografi baseret på eksistensen af uoverskuelige matematiske problemer, hvilket ikke betyder, at de er uløselige, men at den tid og de ressourcer, der kræves for at vende dem, gør dem praktisk talt sikre.
Quantum computing ændrer dette økosystem ved at minimere den tid, det tager at løse sådanne problemer ved at anvende specifikke algoritmer.
For eksempel algoritmen opdaget af , sammen med implikationerne af algoritmer som Shor's i forbindelse med avancerede kvanteprocessorer som IBM's Quantum Heron, understreger det overhængende behov for kvanteresistente kryptografiske systemer.
"I 1994 viste Peter Shor fra Bell Laboratories, at kvantecomputere, en ny teknologi, der udnytter de fysiske egenskaber af stof og energi til at udføre beregninger, effektivt kan løse hvert af disse problemer og derved gøre alle offentlige nøglekryptosystemer baseret på sådanne antagelser impotente. En tilstrækkeligt kraftfuld kvantecomputer vil således bringe mange former for moderne kommunikation – fra nøgleudveksling til kryptering til digital autentificering – i fare.”
Kort sagt kan en kvantecomputer med tilstrækkelig strøm ligefrem krasje den offentlige nøgleinfrastruktur, hvilket skaber behov for et redesign af hele cybersikkerhedsøkosystemet.
Nylige anvendelser af post-kvantekryptografi ses i forbrugerrum, som Chromes understøttelse af en PQC-algoritme, der indikerer de praktiske virkninger af kvanteberegning på nuværende kryptografiske systemer.
Men det er ikke alt. En anden algoritme, denne af ” kan udgøre en trussel mod symmetrisk kryptografi, selvom den ikke er så alvorlig som Shors. Når den anvendes på en tilstrækkeligt kraftfuld kvantecomputer, tillader Grovers algoritme at knække symmetriske taster med firedobbelt hastighed sammenlignet med klassisk databehandling. En væsentlig forbedring, der imødegås ved at bruge større nøgler og opretholde det nuværende sikkerhedsniveau.
Kommer kvanteberegning snart?
Fysik har bevist, at kvanteberegning er mulig. Nu er det et teknikproblem, omend det er meget svært. Konstruktionen af kvantecomputere involverer implementering af state-of-the-art teknologi som blandt andet superfluider og superledere. Udfordringen med at skabe et stabilt og skalerbart kvantemekanisk system er enorm, og det får teams over hele verden til at forfølge forskellige veje. Der er flere typer kvantecomputere, herunder kvantekredsløbsmodellen, kvante-Turing-maskine, adiabatisk kvantecomputer, envejskvantecomputer og forskellige kvantecelleautomater. Den mest anvendte er kvantekredsløbet.
Et væsentligt problem med enhver model af kvantecomputere er, at qubits i sagens natur mister deres superpositionsstatus, når de først er målt, og derfor er meget følsomme over for interferens udefra. Derfor er det udfordrende for qubits at bevare deres kvantetilstande. Nogle løsninger omfatter brug af ionfælder, men total eliminering af ekstern interferens er sandsynligvis ikke mulig. Som et resultat heraf er et af de mest afgørende spørgsmål for oprettelse af kvantecomputere en robust fejlkorrektionsmekanisme.
Med de seneste gennembrud, såsom IBMs fremskridt inden for kvanteberegning, har feltet bevæget sig ud over teoretiske modeller til mere praktiske og kraftfulde kvantesystemer, hvilket bringer kvanteæraen tættere på end tidligere forventet.
Det store billede er, at der kan ske et gennembrud lige nu, eller det kan tage et par år, før der er skabt en fungerende prototype af tilstrækkelig beregningskraft. Der er allerede et par prototyper, hvor IBM Q System One er den mest berømte, men deres beregningsevne er stadig for lille til at være et problem for kryptografiske systemer. Naturligvis må cybersikkerhedsfællesskabet naturligvis ikke slappe af. Selvom vi havde en effektiv post-kvante sikkerhedsordning, er det en kæmpe opgave at migrere hele økosystemet til denne nye standard. Følgelig er der flere bestræbelser på at blive klar til den post-kvante æra.
Lovende teknologier til postkvante-æraen
Efterhånden som vi rykker tættere på den udbredte anvendelse af kvanteteknologi, bevist af fremskridt som IBM's Quantum System Two, er behovet for en kvanteresistent PKI bliver mere presserende, efterhånden som udbredt kvantecomputerteknologi ankommer. Nedenfor vil vi forsøge at opsummere de mest lovende teknologier og give en kort gennemgang af de kollektive projekter, der er i gang med at etablere post-kvantekryptografi, sammen med de udfordringer, der ligger forude.
Familier med post-kvante algoritmer
Forskning i de sidste 15-20 år har bevist eksistensen af algoritmer, der er resistente over for kvanteangreb. Nedenfor giver vi en kort beskrivelse af de mest lovende algoritmefamilier, der kunne give en løsning til sikkerhed i en post-kvante verden.
Kodebaseret kryptografi
Den seneste udvikling inden for dette felt kodebaseret kryptografi bruger fejlkorrigerende koder til at bygge offentlig nøglekryptering. Det blev først foreslået af Robert McEliece i 1978 og er en af de ældste og mest undersøgte asymmetriske krypteringsalgoritmer. Et signaturskema kan konstrueres baseret på Niederreiter-ordningen, den dobbelte variant af McEliece-ordningen. McEliece-kryptosystemet har hidtil modstået kryptoanalyse. Hovedproblemet med det originale system er den store private og offentlige nøglestørrelse.
Hash-baseret kryptografi
Med den voksende implementering i praktiske applikationer repræsenterer Hash-baseret kryptografi en lovende post-kvantekryptografisk tilgang til digitale signaturer. Hash-funktioner er funktioner, der kortlægger strenge af vilkårlig længde til strenge med fast længde. De er en af de ældre kryptografiordninger med offentlig nøgle, og deres sikkerhedsvurderinger mod klassiske og kvantebaserede angreb er velkendte. Hash-funktioner er allerede et af de mest udbredte kryptografiske værktøjer. Det var kendt, at de kunne bruges som det eneste værktøj til at bygge offentlig nøglekryptografi i lang tid. Derudover er hash-baseret kryptografi fleksibel og kan opfylde forskellige præstationsforventninger. På den negative side er hash-baserede signaturskemaer hovedsageligt stateful, hvilket betyder, at den private nøgle skal opdateres efter hver brug; ellers er sikkerheden ikke garanteret. Der er hash-baserede ordninger, der er statsløse, men de kommer på bekostning af længere signaturer, mere betydelige behandlingstider og underskriverens behov for at holde styr på nogle oplysninger, såsom hvor mange gange en nøgle blev brugt til at oprette en signatur.
Gitterbaseret kryptografi
Gitter-baseret kryptografi, der nu overvejes til mere avancerede kryptografiske løsninger, er et særligt tilfælde af sub-set sum problem-based kryptografi og blev først introduceret i 1996 af Ajtai. Det er den generiske betegnelse for kryptografiske primitiver konstrueret med brug af gitter. Nogle af disse konstruktioner ser ud til at være modstandsdygtige over for både kvante- og klassiske computerangreb. Derudover har de andre attraktive egenskaber, såsom værste tilfælde hårdhedssværhed. De præsenterer også enkelhed og parallelitet og er alsidige nok til at konstruere robuste kryptografiske skemaer. Endelig er de den eneste familie af algoritmer, der indeholder alle tre slags primitiver, der kræves for at bygge en post-kvante Public Key Infrastruktur: offentlig nøglekryptering, nøgleudveksling og digital signatur.
Multivariat kryptografi
Multivariat kryptografi refererer til offentlig nøgle-kryptografi, hvis offentlige nøgler repræsenterer et multivariat og ikke-lineært (normalt kvadratisk) polynomisk kort. At løse disse systemer har vist sig at være NP-komplet, hvilket gør denne familie af algoritmer til gode kandidater til post-kvantekryptografi. I øjeblikket har krydsningsordninger med flere varianter vist sig mindre effektive end andre ordninger, da de kræver betydelige offentlige nøgler og lange dekrypteringstider. På den anden side viste de sig at være mere egnede til at bygge signaturordninger, da de giver de korteste signaturstørrelser blandt post-kvante algoritmer, selvom de pådrager sig temmelig store offentlige nøgler.
Isogenibaseret kryptografi
Isogenibaseret kryptografi bruger kort mellem elliptiske kurver til at opbygge public-key kryptografi. Algoritmen, der er en kandidat til post-kvantekryptografi, er Supersingular isogeny Diffie-Hellman key exchange (SIDH), der blev introduceret i 2011, hvilket gør denne ordning til den nyeste blandt kandidaterne. SIDH kræver en af de mindste nøgler blandt de foreslåede nøgleudvekslingsordninger og understøtter perfekt fremadrettet hemmeligholdelse. Den relativt unge alder betyder imidlertid, at der ikke er mange ordninger baseret på dette koncept, og der har ikke været meget til at inspicere deres mulige sårbarheder.
Projekter til post-kvantekryptografi
Der er forskellige arbejdsgrupper for post-kvantekryptografiske ordninger, såsom Open Quantum Safe (OQS)-projektet og ENISA. Alligevel er det mest sammenhængende initiativ NIST Post-Quantum Cryptography Standardization Project, som har gjort betydelige fremskridt siden 2021, hvor nye algoritmer dukker op som frontløbere for industristandardisering i post-kvante-æraen. Processen begyndte med 69 kandidatalgoritmer, hvoraf 26 gik videre til anden evalueringsrunde. I juli 2020 blev runde 3-kandidater annonceret, som vist i tabellen nedenfor. Der er syv finalister og otte alternative kandidater i alt. På bordet er noteret, om de overvejes til kryptering eller signaturordninger, algoritmefamilien og det svære problem, som de er baseret på.
| Scheme | Enc/SIg | Familie | Hårdt problem |
|---|---|---|---|
| Klassisk McEliece | Inc | Kodebaseret | Afkodning af tilfældige binære Goppa -koder |
| Krystaller-Kyber | Inc | Gitterbaseret | Cyklotomisk modul-LWE |
| NTRU | Inc | Gitterbaseret | Cyklotomisk NTRU -problem |
| Saber | Inc | Gitterbaseret | Cyklotomisk modul-LWR |
| Krystaller-Dilithium | Sig | Gitterbaseret | Cyklotomisk modul-LWE og modul-SIS |
| Falcon | Sig | Gitterbaseret | Cyklotomisk ring-SIS |
| Rainbow | Sig | Multivariatbaseret | Olie-og-eddike Trapdoor |
3. runde Supplerende kandidater
| Scheme | Enc/Sig | Familie |
|---|---|---|
| BIKE | Inc | Kodebaseret |
| HQC | Inc | Kodebaseret |
| Frodo-KEM | Inc | Gitterbaseret |
| NTRU-Prime | Inc | Gitterbaseret |
| SIKE | Inc | Isogenbaseret |
| GeMSS | Sig | Multivariatbaseret |
| Picnic | Sig | Symmetrisk krypto |
| SPHINCS+ | Sig | Hash-baseret |
Algoritmeevalueringen var baseret på de tre kriterier, der er vist nedenfor.
-
Sikkerhed: Dette er det mest afgørende kriterium. NIST har etableret flere faktorer, der skal tages i betragtning ved evaluering af den sikkerhed, som hver kandidatalgoritme giver. Bortset fra algoritmernes kvantemodstand har NIST også defineret yderligere sikkerhedsparametre, som ikke er en del af det nuværende cybersikkerhedsøkosystem. Disse er perfekt fremadrettet hemmeligholdelse,
-
Omkostninger og ydeevne: Algoritmerne evalueres baseret på deres ydeevnemålinger som nøglestørrelser, beregningseffektiviteten af offentlige og private nøgleoperationer og -generering og dekrypteringsfejl.
-
Algoritme og implementeringsegenskaber: Forudsat at algoritmerne giver en god overordnet sikkerhed og ydeevne, evalueres de ud fra deres fleksibilitet, enkelhed og nem vedtagelse (som eksistensen eller ej af intellektuel ejendom, der dækker algoritmen).
Kryptografisk smidighed
Et vigtigt paradigme i design af informationssikkerhedsprotokoller er kryptografisk agilitet. Det dikterer, at protokoller skal understøtte flere kryptografiske primitiver, hvilket gør det muligt for systemerne, der implementerer en bestemt standard, at vælge, hvilke kombinationer af primitiver der er egnede. Det primære mål med kryptografisk agilitet er at tillade hurtige tilpasninger af sårbare kryptografiske primitiver og algoritmer med robuste uden at foretage forstyrrende ændringer i systemets infrastruktur. Dette paradigme viser sig at være afgørende i post-kvantekryptografidesignet og kræver i det mindste delvis automatisering. For eksempel har en gennemsnitlig virksomhed op til hundredtusindvis af certifikater og nøgler - og det antal fortsætter med at vokse. Med så mange certifikater skal organisationer implementere automatiserede metoder til hurtigt at erstatte disse certifikater, hvis den kryptografi, de er afhængig af, bliver usikker.
Et glimrende første mål for organisationer er at begynde at implementere hybridkryptografi, hvor kvantesikre public-key-algoritmer bruges sammen med traditionelle public-key-algoritmer (som RSA eller elliptiske kurver), så løsningen i det mindste ikke er mindre sikker end eksisterende traditionelle kryptografi.
Looking Ahead
Kvanteberegning er ved at gå fra en teoretisk mulighed til en praktisk virkelighed, eksemplificeret ved den seneste udvikling inden for kvanteprocessorer og -systemer. Derfor skal cybersikkerhedsområdet hurtigt tilpasse sig disse ændringer.
