Jo vuonna 2016 kvanttitietokoneita käsittelevät artikkelit loivat tietoturvaan liittyviä epävarmuustekijöitä siltä varalta, että riittävän tehokkaita kvanttitietokoneita voitaisiin rakentaa. Tämä artikkeli yrittää valaista tilannetta.
Mikä on Quantum Computing?
Kvanttilaskenta on kvanttimekaniikan periaatteiden soveltamista laskelmien suorittamiseen. Tarkemmin sanottuna kvanttilaskenta hyödyntää aliatomien hiukkasten kvanttitiloja, kuten superpositiota ja takertumista kvanttitietokoneiden luomiseen. Riittävän tehon omaaviin kvanttitietokoneisiin käytettäessä tietyt algoritmit voivat suorittaa laskelmia paljon nopeammin kuin perinteiset tietokoneet ja jopa ratkaista ongelmia, jotka ovat nykyisen laskentatekniikan ulottumattomissa. Tämän seurauksena hallitukset ja teollisuus ovat maailmanlaajuisesti kiinnostuneita kvanttitietokoneiden kehittämisestä. Kvanttilaskennan viimeaikaiset edistysaskeleet, kuten IBM:n Quantum Heron -prosessori, ovat merkittävästi parantaneet virheiden vähentämistä, mikä osoittaa alan nopeaa edistymistä. Näillä edistyneillä prosessoreilla varustetun IBM Quantum System Twon käyttöönotto merkitsee harppausta kohti käytännöllistä kvanttikeskeistä superlaskentaa.
Klassinen vs. kvanttilaskenta
Klassinen laskenta perustuu bitteihin, jotka edustavat ykkösiä ja nollia piirien sähkövirtojen kautta, ratkaistakseen monimutkaisia ongelmia. Kvanttilaskenta, joka käyttää IBM Quantum Heronin kaltaisia kubitteja, ylittää laskentatehon klassisen laskennan tehostetun virheenkorjauksen ja kubitin vakauden ansiosta. Qubitit, toisin kuin bitit, voivat esiintyä superpositiossa, ilmentäen sekä ykköstä että nollaa samanaikaisesti. Tämä ominaisuus sallii yhden kubitin edustaa kahta tilaa kerralla, ja jokaisella lisäkubitilla esitettävät tilat kaksinkertaistuvat eksponentiaalisesti (`2^n` n kubitille). Esimerkiksi kymmenen kubitin kvanttitietokone voi edustaa 1024 tilaa, toisin kuin 10 bittiä klassisessa laskennassa. Kvanttikietoutuminen, monimutkainen ja täysin ymmärtämätön ilmiö, mahdollistaa kubittien yhdistämisen toisiinsa, mikä parantaa laskennan tehokkuutta. Hyödyntämällä sekä superpositiota että kietoutumista kvanttitietokoneet toimivat moniulotteisissa tiloissa ja suorittavat rinnakkaisia laskelmia, toisin kuin klassisen laskennan peräkkäinen lähestymistapa. Tämän edistyneen laskentakapasiteetin avulla kvanttitietokoneet voivat ratkaista ongelmia, jotka eivät kuulu klassisten tietokoneiden piiriin, kuten simuloida tarkasti molekyylien vuorovaikutuksia kemiallisissa reaktioissa. Tällä on kauaskantoisia seurauksia tieteelle ja teknologialle, mukaan lukien mahdollisuudet ratkaista ongelmia paljon nopeammin kuin perinteiset tietokoneet, mikä vaikuttaa esimerkiksi salaukseen.Miten kvanttilaskenta voi vaikuttaa salaukseen?
Kuten edellä keskusteltiin, salaus perustuu vaikeasti ratkaistavien matemaattisten ongelmien olemassaoloon, ei tarkoita, että ne olisivat ratkaisemattomia, mutta että niiden kääntämiseen tarvittava aika ja resurssit tekevät niistä käytännössä turvallisia.
Kvanttilaskenta muuttaa tätä ekosysteemiä minimoimalla tällaisten ongelmien ratkaisemiseen tarvittavan ajan käyttämällä erityisiä algoritmeja.
Esimerkiksi algoritmi, jonka löysi , sekä Shorin kaltaisten algoritmien vaikutukset kehittyneisiin kvanttiprosessoreihin, kuten IBM:n Quantum Heron, korostavat kvanttiresistenttien salausjärjestelmien välitöntä tarvetta.
"Vuonna 1994 Peter Shor Bell Laboratoriesista osoitti, että kvanttitietokoneet, uusi teknologia, joka hyödyntää aineen ja energian fyysisiä ominaisuuksia laskelmien suorittamiseen, voi tehokkaasti ratkaista kaikki nämä ongelmat, mikä tekee kaikista sellaisiin oletuksiin perustuvista julkisen avaimen salausjärjestelmistä tehottomia. Näin ollen riittävän tehokas kvanttitietokone asettaa monet nykyaikaisen viestinnän muodot – avainten vaihdosta salaukseen digitaaliseen todentamiseen – vaaraan.”
Lyhyesti sanottuna riittävän voimakas kvanttitietokone voi kaataa julkisen avaimen infrastruktuurin ja luoda tarpeen uudistaa koko kyberturvallisuuden ekosysteemi.
Viimeaikaisia jälkikvanttisalauksen sovelluksia on nähty kuluttajatiloissa, kuten Chromen tuki PQC-algoritmille, mikä osoittaa kvanttilaskennan käytännön vaikutukset nykyisiin salausjärjestelmiin.
Mutta tämä ei ole kaikki. Toinen algoritmi, tämä ” voi muodostaa uhan symmetriselle kryptografialle, vaikkakaan ei niin vakavaksi kuin Shorin. Riittävän tehokkaassa kvanttitietokoneessa käytettynä Groverin algoritmi mahdollistaa symmetristen avainten murtamisen nelinkertaisella nopeudella verrattuna klassiseen laskemiseen. Merkittävä parannus, jota torjutaan käyttämällä suurempia avaimia ja säilyttämällä nykyinen suojaustaso.
Tuleeko kvanttilaskenta pian?
Fysiikka on osoittanut, että kvanttilaskenta on mahdollista. Nyt se on tekniikan ongelma, vaikkakin erittäin vaikea. Kvanttitietokoneiden rakentamiseen kuuluu huipputeknologian käyttöönotto, kuten muun muassa superfluidit ja suprajohteet. Vakaan ja skaalautuvan kvanttimekaanisen järjestelmän luomisen haaste on valtava, ja se johtaa tiimejä ympäri maailmaa jatkamaan eri polkuja. Kvanttitietokoneita on useita tyyppejä, mukaan lukien kvanttipiirimalli, kvantti-Turingin kone, adiabaattinen kvanttitietokone, yksisuuntainen kvanttitietokone ja erilaisia kvanttisoluautomaatteja. Yleisimmin käytetty on kvanttipiiri.
Merkittävä ongelma minkä tahansa kvanttitietokoneen mallin kanssa on, että kubitit menettävät luonteeltaan superpositio -tilansa mitattuaan ja ovat siten erittäin herkkiä ulkopuolisille häiriöille. Siksi qubitit ovat haastavia ylläpitämään kvanttitilojaan. Jotkut ratkaisut sisältävät ionilukkojen käytön, mutta ulkoisten häiriöiden täydellinen poistaminen on luultavasti mahdotonta. Tämän seurauksena yksi kvanttitietokoneiden luomisen tärkeimmistä kysymyksistä on vankka virheenkorjausmekanismi.
Viimeaikaisten läpimurtojen, kuten IBM:n kvanttilaskennan edistymisen, myötä ala on siirtynyt teoreettisten mallien ulkopuolelle käytännöllisempiin ja tehokkaampiin kvanttijärjestelmiin, mikä tuo kvanttiaikakauden lähemmäksi kuin aiemmin odotettiin.
Kokonaiskuva on, että läpimurto saattaa tapahtua juuri nyt tai kestää muutaman vuoden, ennen kuin luodaan toimiva prototyyppi, jolla on riittävä laskentateho. On jo muutamia prototyyppejä, joista tunnetuin on IBM Q System One, mutta niiden laskentateho on edelleen liian pieni ollakseen ongelma salausjärjestelmille. Tietenkään kyberturvallisuusyhteisön ei tietenkään saa rentoutua. Vaikka meillä olisi tehokas kvanttien jälkeinen turvajärjestelmä, koko ekosysteemin siirtäminen tähän uuteen standardiin on valtava tehtävä. Näin ollen useita pyrkimyksiä ollaan valmiita kvanttien jälkeiseen aikakauteen.
Lupaavia tekniikoita postkvanttiaikakaudelle
Lähestyessämme kvanttiteknologian laajaa soveltamista, mistä on osoituksena IBM:n Quantum System Two -järjestelmän kaltaiset edistysaskeleet, tarvitaan kvanttikestävää PKI muuttuu kiireellisemmäksi, kun laajalle levinnyt kvanttilaskentatekniikka saapuu. Alla yritämme tehdä yhteenvedon lupaavimmista teknologioista ja antaa lyhyen katsauksen käynnissä olevista kollektiivisista hankkeista post-kvanttisalauksen perustamiseksi sekä edessä oleviin haasteisiin.
Perheitä kvanttien jälkeisistä algoritmeista
Viimeisten 15-20 vuoden tutkimus on osoittanut kvanttihyökkäyksiä kestävien algoritmien olemassaolon. Alla on lyhyt kuvaus lupaavimmista algoritmiperheistä, jotka voisivat tarjota ratkaisun turvallisuuteen kvanttien jälkeisessä maailmassa.
Koodipohjainen salaus
Viimeaikainen kehitys tällä alalla koodipohjainen salaus käyttää virheenkorjauskoodeja julkisen avaimen salauksen rakentamiseen. Sen ehdotti ensimmäisen kerran Robert McEliece vuonna 1978, ja se on yksi vanhimmista ja tutkituimmista epäsymmetrisistä salausalgoritmeista. Allekirjoituskaavio voidaan rakentaa Niederreiter-skeeman, McEliece-skeeman kaksoismuunnelman, perusteella. McEliece-salausjärjestelmä on toistaiseksi vastustanut kryptoanalyysiä. Alkuperäisen järjestelmän suurin ongelma on suuri yksityisen ja julkisen avaimen koko.
Hash-pohjainen salaus
Käytännön sovellusten yleistyessä Hash-pohjainen kryptografia edustaa lupaavaa postkvanttisalauksen lähestymistapaa digitaalisiin allekirjoituksiin. Hash-funktiot ovat funktioita, jotka yhdistävät mielivaltaisen pituiset merkkijonot kiinteän pituisiksi merkkijonoiksi. Ne ovat yksi vanhimmista julkisen avaimen salausjärjestelmistä, ja niiden turvallisuusarviot klassisia ja kvanttipohjaisia hyökkäyksiä vastaan ovat hyvin ymmärrettyjä. Hash-funktiot ovat jo yksi yleisimmin käytetyistä salaustyökaluista. Tiedettiin, että niitä voitiin käyttää ainoana työkaluna julkisen avaimen kryptografian rakentamiseen pitkään. Lisäksi hash-pohjainen kryptografia on joustavaa ja voi täyttää erilaisia suorituskykyodotuksia. Huono puoli on se, että hash-pohjaiset allekirjoitusjärjestelmät ovat pääasiassa tilallisia, mikä tarkoittaa, että yksityinen avain on päivitettävä jokaisen käytön jälkeen; muuten turvallisuutta ei taata. On hash-pohjaisia järjestelmiä, jotka ovat valtiottomia, mutta niistä aiheutuu pidempiä allekirjoituksia, suurempia käsittelyaikoja ja allekirjoittajan tarve pitää kirjaa tiedoista, kuten kuinka monta kertaa avainta on käytetty allekirjoituksen luomiseen.
Hilapohjainen salaus
Nyt harkitaan kehittyneempiä kryptografisia ratkaisuja. Hilapohjainen salaus on erityinen tapaus osajoukon ongelmapohjaisesta salakirjoituksesta, ja Ajtai esitteli sen ensimmäisen kerran vuonna 1996. Se on yleistermi salausprimitiiveille, jotka on rakennettu käyttämällä hilaa. Jotkut näistä rakenteista näyttävät kestävän sekä kvantti- että klassisia tietokonehyökkäyksiä. Lisäksi niissä on muita houkuttelevia ominaisuuksia, kuten pahimman tapauksen kovuusvaikeus. Niissä on myös yksinkertaisuus ja samansuuntaisuus, ja ne ovat riittävän monipuolisia rakentamaan vankkoja salausjärjestelmiä. Lopuksi, ne ovat ainoa algoritmiperhe, joka sisältää kaikki kolme primitiivityyppiä, joita tarvitaan kvanttijälkeisen julkisen avaimen infrastruktuurin rakentamiseen: julkisen avaimen salaus, avainten vaihto ja digitaalinen allekirjoitus.
Monimuuttujainen salaus
Monimuuttujainen salaus viittaa julkisen avaimen salaukseen, jonka julkiset avaimet edustavat monimuuttujaista ja epälineaarista (yleensä neliöllistä) polynomikarttaa. Näiden järjestelmien ratkaiseminen on osoittautunut NP-täydelliseksi, mikä tekee tästä algoritmiperheestä hyviä ehdokkaita kvanttien jälkeiseen salaukseen. Tällä hetkellä monivaiheiset salausjärjestelmät ovat osoittautuneet vähemmän tehokkaiksi kuin muut järjestelmät, koska ne vaativat huomattavia julkisia avaimia ja pitkiä salauksen purkuaikoja. Toisaalta ne osoittautuivat sopivammiksi allekirjoitusmallien rakentamiseen, koska ne tarjoavat lyhimmät allekirjoituskoot kvanttin jälkeisten algoritmien joukosta, vaikka niillä on melko suuret julkiset avaimet.
Isogeny-pohjainen salaus
Isogeenipohjainen salaus käyttää elliptisten käyrien välisiä karttoja julkisen avaimen salauksen rakentamiseen. Algoritmi, joka on ehdokas kvanttien jälkeiseen salaukseen, on vuonna 2011 käyttöön otettu Supersingular Diffie-Hellman -avainvaihto (SIDH), mikä tekee tästä järjestelmästä uusimman ehdokkaiden joukossa. SIDH vaatii yhden pienimmistä avaimista ehdotetuista avaintenvaihtojärjestelmistä ja tukee täydellistä salaamista. Sen suhteellisen nuori ikä tarkoittaa kuitenkin sitä, että tähän käsitykseen perustuvia suunnitelmia ei ole paljon, eikä niiden mahdollisia haavoittuvuuksia ole tutkittu paljon.
Hankkeet kvanttien jälkeiseen salaukseen
Postkvanttisalausmenetelmiä varten on olemassa erilaisia työryhmiä, kuten Open Quantum Safe (OQS) -projekti ja ENISA. Silti johdonmukaisin aloite on NIST Post-Quantum Cryptography Standardization Project, joka on edistynyt merkittävästi vuodesta 2021 lähtien, ja uusia algoritmeja on noussut teollisuuden standardoinnin edelläkävijöiksi kvantin jälkeisellä aikakaudella. Prosessi alkoi 69 ehdokasalgoritmilla, joista 26 eteni toiselle arviointikierrokselle. Heinäkuussa 2020 kierroksen 3 ehdokasta julkistettiin alla olevan taulukon mukaisesti. Kaikkiaan finalisteja on seitsemän ja vaihtoehtoisia ehdokkaita kahdeksan. Taulukkoon on merkitty, otetaanko ne huomioon salaus- tai allekirjoitusmenetelmissä, algoritmiperhe ja vaikea ongelma, johon ne perustuvat.
| ohjelma | Enc/SIg | Perhe | Kova ongelma |
|---|---|---|---|
| Klassinen McEliece | Liite | Koodipohjainen | Satunnaisten binääristen Goppa -koodien dekoodaus |
| Crytals-Kyber | Liite | Lattice-pohjainen | Syklotominen moduuli-LWE |
| NTRU | Liite | Lattice-pohjainen | Syklotominen NTRU -ongelma |
| Sapeli | Liite | Lattice-pohjainen | Syklotominen moduuli-LWR |
| Kiteet-Dilithium | sig | Lattice-pohjainen | Cyclotomic Module-LWE ja Module-SIS |
| Haukka | sig | Lattice-pohjainen | Syklotominen rengas-SIS |
| Sateenkaari | sig | Monimuuttujapohjainen | Öljy- ja etikka-luukku |
Kierros 3 Vaihtoehtoiset ehdokkaat
| ohjelma | Enc/Sig | Perhe |
|---|---|---|
| PYÖRÄ | Liite | Koodipohjainen |
| HQC | Liite | Koodipohjainen |
| Frodo-KEM | Liite | Lattice-pohjainen |
| NTRU-Prime | Liite | Lattice-pohjainen |
| SIKE | Liite | Isogeny-pohjainen |
| GeMSS | sig | Monimuuttujapohjainen |
| Piknikki | sig | Symmetrinen salaus |
| SPHINCS + | sig | Hash-pohjainen |
Algoritmin arviointi perustui kolmeen alla esitettyyn kriteeriin.
-
Turvallisuus: Tämä on tärkein kriteeri. NIST on määrittänyt useita tekijöitä, jotka on otettava huomioon arvioitaessa kunkin ehdokasalgoritmin tarjoamaa turvallisuutta. Algoritmien kvanttikestävyyden lisäksi NIST on määritellyt myös muita turvallisuusparametreja, jotka eivät ole osa nykyistä kyberturvallisuuden ekosysteemiä. Nämä ovat täydellistä salassapitoa eteenpäin,
-
Kustannukset ja suorituskyky: Algoritmit arvioidaan niiden suorituskykymittareiden, kuten avainten koon, julkisen ja yksityisen avaimen toimintojen ja luomisen laskentatehokkuuden sekä salauksen purkuvirheiden perusteella.
-
Algoritmi ja toteutusominaisuudet: Olettaen, että algoritmit tarjoavat hyvän yleisen turvallisuuden ja suorituskyvyn, ne arvioidaan niiden joustavuuden, yksinkertaisuuden ja käyttöönoton helppouden perusteella (kuten algoritmin kattavan immateriaaliomaisuuden olemassaolo vai ei).
Kryptografinen ketteryys
Tärkeä paradigma tietoturvaprotokollien suunnittelussa on kryptografinen ketteryys. Se määrää, että protokollien tulee tukea useita kryptografisia primitiivejä, jolloin tiettyä standardia toteuttavat järjestelmät voivat valita, mitkä primitiivien yhdistelmät ovat sopivia. Salauksen ketteryyden ensisijainen tavoite on mahdollistaa haavoittuvien salausprimitiivien ja algoritmien nopea mukauttaminen vankoihin algoritmeihin tekemättä häiritseviä muutoksia järjestelmän infrastruktuuriin. Tämä paradigma osoittautuu ratkaisevan tärkeäksi postkvanttisalaussuunnittelussa ja vaatii ainakin osittaisen automatisoinnin. Esimerkiksi keskivertoyrityksellä on hallussaan yli satoja tuhansia varmenteita ja avaimia – ja tämä määrä jatkaa kasvuaan. Koska varmenteita on niin paljon, organisaatioiden on otettava käyttöön automaattisia menetelmiä näiden varmenteiden nopeaan korvaamiseen, jos niiden käyttämä salaus tulee epävarmaksi.
Erinomainen ensimmäinen toimenpide organisaatioille on ottaa käyttöön hybridisalaus, jossa käytetään kvanttiturvallisia julkisen avaimen algoritmeja perinteisten julkisen avaimen algoritmien (kuten RSA- tai elliptisten käyrien) rinnalla, jotta ratkaisu on vähintään yhtä turvallinen kuin nykyinen perinteinen salaus.
Katse tulevaisuuteen
Kvanttilaskenta on siirtymässä teoreettisesta mahdollisuudesta käytännön todellisuuteen, esimerkkinä viimeaikainen kehitys kvanttiprosessoreissa ja -järjestelmissä. Näin ollen kyberturvallisuusalan on sopeuduttava nopeasti näihin muutoksiin.
