Selv i 2016 skapte artikler om kvantedatamaskiner usikkerhet rundt datasikkerhet, i tilfelle at tilstrekkelig kraftige kvantedatamaskiner kunne bygges. Denne artikkelen vil prøve å kaste lys over situasjonen.
Hva er Quantum Computing?
Kvanteberegning er bruken av kvantemekaniske prinsipper for å utføre beregninger. Spesielt utnytter kvanteberegning kvantetilstander til subatomære partikler som superposisjon og sammenfiltring for å lage kvantedatamaskiner. Når de brukes på kvantedatamaskiner med tilstrekkelig kraft, kan spesifikke algoritmer utføre beregninger mye raskere enn klassiske datamaskiner og til og med løse problemer utenfor rekkevidde av dagens datateknologi. Som et resultat er det en økt interesse fra myndigheter og industrier over hele verden for å utvikle kvantedatamaskiner. Nylige fremskritt innen kvantedatabehandling, som IBMs Quantum Heron-prosessor, har forbedret feilreduksjonen betydelig, og viser rask fremgang på feltet. Introduksjonen av IBM Quantum System Two, utstyrt med disse avanserte prosessorene, markerer et sprang mot praktisk kvantesentrisk superdatabehandling.
Klassisk vs. Quantum Computing
Klassisk databehandling er avhengig av biter, som representerer enere og nuller gjennom elektriske strømmer i kretser, for å løse komplekse problemer. Quantum computing, som bruker qubits som de i IBM Quantum Heron, overgår klassisk databehandling i beregningskraft gjennom forbedret feilkorrigering og qubit-stabilitet. Qubits, i motsetning til biter, kan eksistere i superposisjon, og legemliggjør både en og null samtidig. Denne egenskapen lar en enkelt qubit representere to tilstander samtidig, og med hver ekstra qubit dobles de representerbare tilstandene eksponentielt (`2^n` for n qubits). For eksempel kan en kvantedatamaskin med ti qubits representere 1024 tilstander, i motsetning til 10 biter i klassisk databehandling. Kvantesammenfiltring, et komplekst og ikke fullt forstått fenomen, gjør at qubits kan kobles sammen, noe som øker beregningseffektiviteten. Ved å utnytte både superposisjon og sammenfiltring, opererer kvantedatamaskiner i flerdimensjonale rom, og utfører parallelle beregninger, i motsetning til den sekvensielle tilnærmingen i klassisk databehandling. Denne avanserte datakapasiteten gjør at kvantedatamaskiner kan takle problemer utenfor rekkevidden til klassiske datamaskiner, for eksempel nøyaktig simulering av molekylære interaksjoner i kjemiske reaksjoner. Dette har vidtrekkende implikasjoner for vitenskap og teknologi, inkludert potensialet til å løse problemer mye raskere enn klassiske datamaskiner, og påvirker områder som kryptografi.Hvordan kan kvanteberegning påvirke kryptografi?
Som diskutert ovenfor, er kryptografi basert på eksistensen av uholdbare matematiske problemer, ikke noe som betyr at de er uløselige, men at tiden og ressursene som kreves for å reversere dem gjør dem praktisk talt trygge.
Quantum computing endrer dette økosystemet ved å minimere tiden som trengs for å løse slike problemer ved å bruke spesifikke algoritmer.
For eksempel algoritmen oppdaget av , sammen med implikasjonene av algoritmer som Shors i sammenheng med avanserte kvanteprosessorer som IBMs Quantum Heron, understreker det overhengende behovet for kvanteresistente kryptografiske systemer.
"I 1994 viste Peter Shor fra Bell Laboratories at kvantedatamaskiner, en ny teknologi som utnytter de fysiske egenskapene til materie og energi for å utføre beregninger effektivt kan løse hvert av disse problemene, og dermed gjøre alle offentlige nøkkelkryptosystemer basert på slike antakelser impotente. Dermed vil en tilstrekkelig kraftig kvantedatamaskin sette mange former for moderne kommunikasjon – fra nøkkelutveksling til kryptering til digital autentisering – i fare.»
Kort sagt, en kvantemaskin med tilstrekkelig kraft kan direkte krasje den offentlige nøkkelinfrastrukturen, og skape behov for et redesign av hele cybersikkerhetsøkosystemet.
Nylige anvendelser av post-kvantekryptografi blir sett i forbrukerrom, som Chromes støtte for en PQC-algoritme, som indikerer de praktiske virkningene av kvantedatabehandling på gjeldende kryptografiske systemer.
Men dette er ikke alt. En annen algoritme, denne av ” kan utgjøre en trussel mot symmetrisk kryptografi, men ikke så alvorlig som Shors. Når den brukes på en tilstrekkelig kraftig kvantedatamaskin, tillater Grovers algoritme å knekke symmetriske nøkler med firedobbel hastighet sammenlignet med klassisk databehandling. En betydelig forbedring som motvirkes ved å bruke større nøkler og opprettholde gjeldende sikkerhetsnivå.
Kommer kvanteberegning snart?
Fysikk har bevist at kvanteberegning er mulig. Nå er det et ingeniørproblem, om enn veldig vanskelig. Konstruksjonen av kvantecomputere innebærer implementering av topp moderne teknologi som blant annet superfluider og superledere. Utfordringen med å lage et stabilt og skalerbart kvantemekanisk system er enormt, og det leder team over hele verden til å forfølge forskjellige veier. Det er flere typer kvantemaskiner, inkludert kvantekretsmodellen, kvante-Turing-maskin, adiabatisk kvante-datamaskin, enveiskvantemaskin og forskjellige kvantecelleautomater. Den mest brukte er kvantekretsen.
Et vesentlig problem med en hvilken som helst modell av kvantemaskiner er at qubits av sin natur mister superposisjonsstatusen når de er målt, og følgelig er de veldig følsomme for forstyrrelser fra utsiden. Derfor er det utfordrende for qubits å opprettholde sine kvantetilstander. Noen løsninger inkluderer bruk av ionefeller, men total eliminering av ekstern interferens er sannsynligvis ikke mulig. Som et resultat er en av de mest avgjørende problemene for å lage kvantemaskiner en robust feilkorrigeringsmekanisme.
Med nylige gjennombrudd, som IBMs fremskritt innen kvanteberegning, har feltet beveget seg utover teoretiske modeller til mer praktiske og kraftige kvantesystemer, noe som bringer kvanteæraen nærmere enn tidligere antatt.
Det store bildet er at et gjennombrudd kan skje akkurat nå, eller det kan ta noen år før en fungerende prototype av tilstrekkelig beregningskraft er opprettet. Det er allerede noen få prototyper, med IBM Q System One som den mest kjente, men deres beregningskraft er fortsatt for liten til å være et problem for kryptografiske systemer. Naturligvis får ikke cybersikkerhetssamfunnet slappe av. Selv om vi hadde et effektivt post-kvante sikkerhetsopplegg, er det en enorm oppgave å migrere hele økosystemet til denne nye standarden. Følgelig pågår flere anstrengelser for å være klare for post-kvante-tiden.
Lovende teknologier for postkvantetiden
Etter hvert som vi nærmer oss den utbredte anvendelsen av kvanteteknologi, bevist av fremskritt som IBMs Quantum System Two, er behovet for en kvantebestandig PKI blir mer presserende ettersom utbredt kvantedatabehandlingsteknologi kommer. Nedenfor vil vi prøve å oppsummere de mest lovende teknologiene og gi en kort gjennomgang av de kollektive prosjektene som pågår for å etablere postkvantekryptografi, sammen med utfordringene som ligger foran oss.
Familier med post-kvante algoritmer
Forskning de siste 15-20 årene har bevist eksistensen av algoritmer som er motstandsdyktige mot kvanteangrep. Nedenfor gir vi en kort beskrivelse av de mest lovende algoritmefamiliene som kan gi en løsning for sikkerhet i en post-kvanteverden.
Kodebasert kryptografi
Nylig utvikling på dette feltet kodebasert kryptografi bruker feilkorrigerende koder for å bygge offentlig nøkkelkryptering. Det ble først foreslått av Robert McEliece i 1978 og er en av de eldste og mest undersøkte asymmetriske krypteringsalgoritmene. En signaturordning kan konstrueres basert på Niederreiter-ordningen, den doble varianten av McEliece-ordningen. McEliece-kryptosystemet har motstått kryptoanalyse så langt. Hovedproblemet med det originale systemet er den store private og offentlige nøkkelstørrelsen.
Hash-basert kryptografi
Med den økende implementeringen i praktiske applikasjoner representerer Hash-basert kryptografi en lovende post-kvantekryptografi tilnærming til digitale signaturer. Hash-funksjoner er funksjoner som kartlegger strenger med vilkårlig lengde til strenger med fast lengde. De er en av de eldre kryptografiordningene med offentlig nøkkel, og deres sikkerhetsvurderinger mot klassiske og kvantebaserte angrep er godt forstått. Hash-funksjoner er allerede et av de mest brukte kryptografiske verktøyene. Det var kjent at de kunne brukes som det eneste verktøyet for å bygge offentlig nøkkelkryptering i lang tid. I tillegg er hasj-basert kryptografi fleksibel og kan møte ulike ytelsesforventninger. På minussiden er hash-baserte signaturordninger hovedsakelig stateful, noe som betyr at den private nøkkelen må oppdateres etter hver bruk; ellers er sikkerheten ikke garantert. Det finnes hash-baserte ordninger som er statsløse, men de kommer på bekostning av lengre signaturer, mer betydelige behandlingstider og underskriverens behov for å holde styr på noe informasjon, som hvor mange ganger en nøkkel ble brukt til å lage en signatur.
Gitterbasert kryptografi
Gitterbasert kryptografi, som nå vurderes for mer avanserte kryptografiske løsninger, er et spesielt tilfelle av sub-set sum problem-basert kryptografi og ble først introdusert i 1996 av Ajtai. Det er den generelle betegnelsen for kryptografiske primitiver konstruert med bruk av gitter. Noen av disse konstruksjonene ser ut til å være motstandsdyktige mot både kvanteangrep og klassiske datamaskinangrep. I tillegg har de andre attraktive funksjoner, som vanskeligheter med hardhet i verste fall. De presenterer også enkelhet og parallellitet og er allsidige nok til å konstruere robuste kryptografiske skjemaer. Til slutt er de den eneste familien av algoritmer som inneholder alle tre typer primitiver som kreves for å bygge en post-kvante Public Key Infrastructure: offentlig nøkkelkryptering, nøkkelutveksling og digital signatur.
Multivariat kryptografi
Multivariat kryptografi refererer til offentlig nøkkelkryptografi hvis offentlige nøkler representerer et multivariat og ikke-lineært (vanligvis kvadratisk) polynomt kart. Å løse disse systemene har vist seg å være NP-komplett, og gjør dermed denne familien av algoritmer til gode kandidater for post-kvantekryptografi. Foreløpig har krypteringssystemer med flere varianter vist seg mindre effektive enn andre ordninger siden de krever betydelige offentlige nøkler og lange dekrypteringstider. På den annen side viste de seg å være mer egnet for å bygge signaturordninger, ettersom de gir de korteste signaturstørrelsene blant post-kvante-algoritmer, selv om de pådrar seg ganske store offentlige nøkler.
Isogenibasert kryptografi
Isogenibasert kryptografi bruker kart mellom elliptiske kurver for å bygge offentlig nøkkelkryptografi. Algoritmen som er en kandidat for post-kvantekryptografi, er Supersingular isogeny Diffie-Hellman key exchange (SIDH) som ble introdusert i 2011, noe som gjør denne ordningen til den siste blant kandidatene. SIDH krever en av de minste nøklene blant de foreslåtte nøkkelutvekslingsordningene og støtter perfekt hemmelighold. Den relativt unge alderen betyr imidlertid at det ikke er mange ordninger basert på dette konseptet, og det har ikke vært mye for å inspisere deres mulige sårbarheter.
Prosjekter for post-kvantekryptografi
Det er ulike arbeidsgrupper for post-kvantekryptografiordninger, som Open Quantum Safe (OQS)-prosjektet og ENISA. Likevel er det mest sammenhengende initiativet NIST Post-Quantum Cryptography Standardization Project som har gjort betydelige fremskritt siden 2021, med nye algoritmer som dukker opp som frontløpere for industristandardisering i post-kvantetiden. Prosessen startet med 69 kandidatalgoritmer, hvorav 26 gikk videre til andre runde med evaluering. I juli 2020 ble runde 3-kandidater kunngjort, som vist i tabellen nedenfor. Det er syv finalister og åtte alternative kandidater totalt. På bordet er det notert om de vurderes for kryptering eller signaturordninger, algoritmefamilien og det vanskelige problemet de er basert på.
| Scheme | Enc/SIg | Familie | Hardt problem |
|---|---|---|---|
| Klassisk McEliece | Inc | Kodebasert | Dekoding av tilfeldige binære Goppa -koder |
| Krystaller-Kyber | Inc | Gitterbasert | Syklotomisk modul-LWE |
| NTRU | Inc | Gitterbasert | Syklotomisk NTRU -problem |
| Saber | Inc | Gitterbasert | Syklotomisk modul-LWR |
| Krystaller-Dilithium | Sig | Gitterbasert | Syklotomisk modul-LWE og modul-SIS |
| Falcon | Sig | Gitterbasert | Syklotomisk ring-SIS |
| Rainbow | Sig | Multivariatbasert | Olje-og-eddik Trapdoor |
Runde 3 Alternative kandidater
| Scheme | Enc/Sig | Familie |
|---|---|---|
| BIKE | Inc | Kodebasert |
| HQC | Inc | Kodebasert |
| Frodo-KEM | Inc | Gitterbasert |
| NTRU-Prime | Inc | Gitterbasert |
| SIKE | Inc | Isogenbasert |
| GeMSS | Sig | Multivariatbasert |
| Piknik | Sig | Symmetrisk krypto |
| SPHINCS + | Sig | Hash-basert |
Algoritmeevalueringen var basert på de tre kriteriene vist nedenfor.
-
Sikkerhet: Dette er det mest avgjørende kriteriet. NIST har etablert flere faktorer å vurdere for å evaluere sikkerheten gitt av hver kandidatalgoritme. Bortsett fra kvantemotstanden til algoritmer, har NIST også definert ytterligere sikkerhetsparametere som ikke er en del av det nåværende økosystemet for cybersikkerhet. Dette er perfekt fremadrettet hemmelighold,
-
Kostnad og ytelse: Algoritmene blir evaluert basert på deres ytelsesmålinger som nøkkelstørrelser, beregningseffektiviteten til offentlige og private nøkkeloperasjoner og generering, og dekrypteringsfeil.
-
Algoritme og implementeringsegenskaper: Forutsatt at algoritmene gir god generell sikkerhet og ytelse, blir de evaluert basert på deres fleksibilitet, enkelhet og brukervennlighet (som eksistensen eller ikke av intellektuell eiendom som dekker algoritmen).
Kryptografisk smidighet
Et viktig paradigme i utformingen av informasjonssikkerhetsprotokoller er kryptografisk smidighet. Det tilsier at protokoller skal støtte flere kryptografiske primitiver, slik at systemene som implementerer en bestemt standard kan velge hvilke kombinasjoner av primitiver som er egnet. Det primære målet med kryptografisk smidighet er å tillate raske tilpasninger av sårbare kryptografiske primitiver og algoritmer med robuste uten å gjøre forstyrrende endringer i systemets infrastruktur. Dette paradigmet viser seg å være avgjørende i post-kvantekryptografidesignet og krever i det minste delvis automatisering. For eksempel har en gjennomsnittlig bedrift over hundretusenvis av sertifikater og nøkler – og det antallet fortsetter å vokse. Med så mange sertifikater må organisasjoner implementere automatiserte metoder for raskt å erstatte disse sertifikatene hvis kryptografien de er avhengige av blir usikker.
Et utmerket første tiltak for organisasjoner er å begynne å implementere hybrid kryptografi, der kvantesikre offentlige nøkkelalgoritmer brukes sammen med tradisjonelle offentlige nøkkelalgoritmer (som RSA eller elliptiske kurver) slik at løsningen i det minste ikke er mindre sikker enn eksisterende tradisjonelle kryptografi.
Ser fremover
Kvantedatabehandling går over fra en teoretisk mulighet til en praktisk virkelighet, eksemplifisert av nyere utvikling innen kvanteprosessorer og -systemer. Følgelig må cybersikkerhetsfeltet raskt tilpasse seg disse endringene.
