Dokonca aj v roku 2016 články o kvantových počítačoch vytvárali neistoty týkajúce sa bezpečnosti údajov v prípade, že by bolo možné postaviť dostatočne výkonné kvantové počítače. Tento článok sa pokúsi vniesť trochu svetla do situácie.
Čo je to kvantové počítače?
Kvantové počítanie je aplikácia princípov kvantovej mechaniky na vykonávanie výpočtov. Konkrétne kvantové výpočty využívajú kvantové stavy subatomárnych častíc, ako je superpozícia a zapletenie, na vytvorenie kvantových počítačov. Pri aplikácii na kvantové počítače s dostatočným výkonom môžu špecifické algoritmy vykonávať výpočty oveľa rýchlejšie ako klasické počítače a dokonca riešiť problémy mimo dosahu súčasnej výpočtovej techniky. V dôsledku toho existuje zvýšený záujem vlád a priemyselných odvetví na celom svete o vývoj kvantových počítačov. Nedávne pokroky v kvantovej výpočtovej technike, ako je procesor Quantum Heron od IBM, výrazne zlepšili redukciu chýb a ukázali rýchly pokrok v tejto oblasti. Uvedenie IBM Quantum System Two, vybaveného týmito pokročilými procesormi, znamená skok smerom k praktickým kvantovo-centrickým superpočítačom.
Klasická vs. kvantová výpočtová technika
Klasické výpočty sa pri riešení zložitých problémov spoliehajú na bity, ktoré predstavujú jednotky a nuly prostredníctvom elektrických prúdov v obvodoch. Kvantové výpočty využívajúce qubity podobné tým v IBM Quantum Heron prekonávajú klasické výpočty vo výpočtovom výkone vďaka vylepšenej korekcii chýb a stabilite qubitov. Qubity, na rozdiel od bitov, môžu existovať v superpozícii, pričom súčasne stelesňujú jednotku aj nulu. Táto schopnosť umožňuje, aby jeden qubit reprezentoval dva stavy naraz a s každým ďalším qubitom sa reprezentovateľné stavy exponenciálne zdvojnásobia (`2^n` pre n qubitov). Napríklad kvantový počítač s desiatimi qubitmi môže reprezentovať 1024 stavov, na rozdiel od 10 bitov v klasickom výpočte. Kvantové zapletenie, komplexný a nie úplne pochopený jav, umožňuje vzájomné prepojenie qubitov, čím sa zvyšuje výpočtová efektivita. Využitím superpozície aj zapletenia kvantové počítače pracujú vo viacrozmerných priestoroch a vykonávajú paralelné výpočty, na rozdiel od sekvenčného prístupu v klasickej výpočtovej technike. Táto pokročilá výpočtová kapacita umožňuje kvantovým počítačom riešiť problémy, ktoré presahujú rámec klasických počítačov, ako je napríklad presná simulácia molekulárnych interakcií v chemických reakciách. To má ďalekosiahle dôsledky pre vedu a techniku, vrátane potenciálu riešiť problémy oveľa rýchlejšie ako klasické počítače, čo ovplyvňuje oblasti, ako je kryptografia.Ako môže kvantová práca ovplyvniť kryptografiu?
Ako je uvedené vyššie, kryptografia je založená na existencii neriešiteľných matematických problémov, čo neznamená, že sú neriešiteľné, ale že čas a zdroje potrebné na ich zvrátenie ich robia prakticky bezpečnými.
Kvantové výpočty menia tento ekosystém tým, že minimalizujú čas potrebný na riešenie týchto problémov aplikáciou špecifických algoritmov.
Napríklad algoritmus, ktorý objavil , spolu s dôsledkami algoritmov, ako je Shor's, v kontexte pokročilých kvantových procesorov, ako je Quantum Heron od IBM, podčiarkujú bezprostrednú potrebu kvantovo odolných kryptografických systémov.
„V roku 1994 Peter Shor z Bell Laboratories ukázal, že kvantové počítače, nová technológia využívajúca fyzikálne vlastnosti hmoty a energie na vykonávanie výpočtov, dokáže efektívne vyriešiť každý z týchto problémov, čím sa všetky kryptosystémy s verejným kľúčom založené na takýchto predpokladoch stanú impotentnými. Dostatočne výkonný kvantový počítač teda ohrozí mnohé formy modernej komunikácie – od výmeny kľúčov cez šifrovanie až po digitálnu autentifikáciu.
Stručne povedané, kvantový počítač s dostatočným výkonom by mohol úplne zrútiť infraštruktúru verejného kľúča, čo by spôsobilo potrebu redizajnu celého ekosystému kybernetickej bezpečnosti.
Nedávne aplikácie postkvantovej kryptografie sú viditeľné v spotrebiteľských priestoroch, ako je podpora prehliadača Chrome pre algoritmus PQC, čo naznačuje praktické dopady kvantových výpočtov na súčasné kryptografické systémy.
Ale to nie je všetko. Ďalší algoritmus, tento ” môže predstavovať hrozbu pre symetrickú kryptografiu, aj keď nie tak závažnú ako Shorova. Keď sa Groverov algoritmus aplikuje na dostatočne výkonný kvantový počítač, umožňuje prelomiť symetrické kľúče štvornásobne rýchlejšie v porovnaní s klasickým výpočtom. Výrazné zlepšenie, ktorému sa bráni použitím väčších kľúčov a zachovaním súčasnej úrovne zabezpečenia.
Príde čoskoro kvantové počítanie?
Fyzika dokázala, že kvantové výpočty sú uskutočniteľné. Teraz je to problém inžinierstva, aj keď veľmi ťažký. Konštrukcia kvantových počítačov zahŕňa implementáciu najmodernejších technológií, akými sú okrem iného supratekuté látky a supravodiče. Úloha vytvoriť stabilný a škálovateľný kvantovo-mechanický systém je obrovská a vedie tímy z celého sveta k tomu, aby sa vydali rôznymi cestami. Existuje niekoľko typov kvantových počítačov, vrátane modelu kvantových obvodov, kvantového Turingovho stroja, adiabatického kvantového počítača, jednosmerného kvantového počítača a rôznych kvantových bunkových automatov. Najpoužívanejším je kvantový obvod.
Významným problémom akéhokoľvek modelu kvantových počítačov je to, že qubity po meraní strácajú svoj superpozičný stav, a preto sú veľmi citlivé na vonkajšie rušenie. Preto je pre qubity náročné udržať si svoje kvantové stavy. Niektoré riešenia zahŕňajú použitie iónových lapačov, ale úplná eliminácia vonkajšej interferencie je pravdepodobne nedosiahnuteľná. Výsledkom je, že jednou z najdôležitejších otázok pri vytváraní kvantových počítačov je robustný mechanizmus na opravu chýb.
Vďaka nedávnym objavom, ako sú pokroky IBM v kvantovej výpočtovej technike, sa oblasť posunula od teoretických modelov k praktickejším a výkonnejším kvantovým systémom, čím sa kvantová éra priblížila, ako sa pôvodne predpokladalo.
Celkový obraz je, že k prelomu môže dôjsť práve teraz, alebo môže trvať niekoľko rokov, kým sa nevytvorí funkčný prototyp dostatočného výpočtového výkonu. Existuje už niekoľko prototypov, pričom najznámejším je IBM Q System One, ale ich výpočtový výkon je stále príliš malý na to, aby predstavoval problém pre kryptografické systémy. Komunita kybernetickej bezpečnosti však v žiadnom prípade nesmie relaxovať. Aj keby sme mali efektívnu schému po kvantovom zabezpečení, migrácia celého ekosystému na tento nový štandard je obrovská úloha. V dôsledku toho prechádza niekoľko snáh, aby boli pripravené na postkvantovú éru.
Sľubné technológie pre postkvantovú éru
Ako sa blížime k rozšírenej aplikácii kvantovej technológie, čo dokazujú pokroky, ako je Quantum System Two od IBM, potreba kvantovo odolného PKI s príchodom rozšírenej kvantovej výpočtovej techniky sa stáva naliehavejšou. Nižšie sa pokúsime zhrnúť najsľubnejšie technológie a poskytnúť stručný prehľad kolektívnych projektov, ktoré prebiehajú na vytvorenie postkvantovej kryptografie, spolu s výzvami, ktoré pred nami stoja.
Rodiny postkvantových algoritmov
Výskum za posledných 15-20 rokov dokázal existenciu algoritmov odolných voči kvantovým útokom. Nasleduje stručný popis najsľubnejších skupín algoritmov, ktoré by mohli poskytnúť riešenie zabezpečenia v postkvantovom svete.
Kryptografia založená na kóde
Nedávny vývoj v tejto oblasti kódovo orientovanej kryptografie využíva kódy na opravu chýb na vytvorenie kryptografie s verejným kľúčom. Prvýkrát ho navrhol Robert McEliece v roku 1978 a je jedným z najstarších a najviac preskúmaných asymetrických šifrovacích algoritmov. Podpisová schéma môže byť vytvorená na základe Niederreiterovej schémy, duálneho variantu McElieceovej schémy. Kryptosystém McEliece doteraz odolával kryptoanalýze. Hlavným problémom pôvodného systému je veľká veľkosť súkromného a verejného kľúča.
Kryptografia založená na hash
S rastúcou implementáciou v praktických aplikáciách kryptografia založená na hash predstavuje sľubný postkvantový kryptografický prístup k digitálnym podpisom. Hashovacie funkcie sú funkcie, ktoré mapujú reťazce ľubovoľnej dĺžky na reťazce pevnej dĺžky. Sú jednou zo starších kryptografických schém s verejným kľúčom a ich hodnotenie bezpečnosti proti klasickým a kvantovým útokom je dobre známe. Hashovacie funkcie sú už dnes jedným z najpoužívanejších kryptografických nástrojov. Vedelo sa, že môžu byť dlho používané ako jediný nástroj na budovanie kryptografie s verejným kľúčom. Okrem toho je kryptografia založená na hash flexibilná a môže spĺňať rôzne výkonnostné očakávania. Na druhej strane, schémy podpisu založené na hash sú väčšinou stavové, čo znamená, že súkromný kľúč je potrebné aktualizovať po každom použití; v opačnom prípade nie je zaručená bezpečnosť. Existujú schémy založené na hash, ktoré sú bez stavu, ale prichádzajú za cenu dlhších podpisov, výraznejších časov spracovania a potreby podpisovateľa sledovať niektoré informácie, napríklad koľkokrát bol kľúč použitý na vytvorenie podpisu.
Kryptografia založená na mriežke
Teraz sa uvažuje o pokročilejších kryptografických riešeniach Kryptografia založená na mriežke je konkrétnym prípadom kryptografie založenej na problémoch podmnožiny súčtu a prvýkrát ju zaviedol Ajtai v roku 1996. Je to všeobecný termín pre kryptografické primitíva skonštruované pomocou mriežok. Niektoré z týchto konštrukcií sa zdajú byť odolné voči kvantovým aj klasickým počítačovým útokom. Okrem toho majú ďalšie atraktívne vlastnosti, ako napríklad obtiažnosť v najhoršom prípade. Predstavujú tiež jednoduchosť a paralelizmus a sú dostatočne univerzálne na vytvorenie robustných kryptografických schém. Nakoniec sú jedinou rodinou algoritmov, ktoré obsahujú všetky tri druhy primitív potrebných na vybudovanie postkvantovej infraštruktúry verejného kľúča: šifrovanie s verejným kľúčom, výmena kľúčov a digitálny podpis.
Kryptografia s viacerými premennými
Multivariačná kryptografia označuje kryptografiu s verejným kľúčom, ktorej verejné kľúče predstavujú viacrozmernú a nelineárnu (zvyčajne kvadratickú) polynomickú mapu. Ukázalo sa, že riešenie týchto systémov je úplné NP, čo robí túto rodinu algoritmov dobrými kandidátmi na postkvantovú kryptografiu. V súčasnosti sa šifrovacie schémy s rôznymi variáciami ukázali byť menej účinné ako ostatné schémy, pretože vyžadujú značné verejné kľúče a dlhé časy dešifrovania. Na druhej strane sa ukázali byť vhodnejšie na vytváranie schém podpisu, pretože poskytujú najkratšie veľkosti podpisov medzi postkvantovými algoritmami, aj keď obsahujú pomerne veľké verejné kľúče.
Kryptografia založená na izogenéze
Kryptografia založená na izogenéze používa mapy medzi eliptickými krivkami na vytváranie kryptografie s verejným kľúčom. Algoritmus, ktorý je kandidátom na postkvantovú kryptografiu, je výmena kľúčov Supersingular isogeny Diffie-Hellman (SIDH) zavedená v roku 2011, vďaka čomu je táto schéma medzi kandidátmi najnovšia. SIDH vyžaduje jeden z najmenších kľúčov medzi navrhovanými schémami výmeny kľúčov a podporuje dokonalé forwardové tajomstvo. Jeho relatívne nízky vek však znamená, že neexistuje veľa schém založených na tomto koncepte a nebolo veľa na skúmanie ich možných zraniteľností.
Projekty pre postkvantovú kryptografiu
Existujú rôzne pracovné skupiny pre postkvantové kryptografické schémy, ako napríklad projekt Open Quantum Safe (OQS) a ENISA. Najkoherentnejšou iniciatívou je však projekt NIST Post-Quantum Cryptography Standardization Project, ktorý od roku 2021 výrazne pokročil, pričom nové algoritmy sa objavili ako priekopníci priemyselnej štandardizácie v postkvantovej ére. Proces začal so 69 kandidátskymi algoritmami, z ktorých 26 postúpilo do druhého kola hodnotenia. V júli 2020 boli vyhlásení kandidáti 3. kola, ako je uvedené v tabuľke nižšie. Celkovo je sedem finalistov a osem alternatívnych kandidátov. V tabuľke je uvedené, či sa berú do úvahy pre šifrovacie alebo podpisové schémy, rodina algoritmov a ťažký problém, na ktorom sú založené.
| systém | Enc/SIg | Rodina | Ťažký problém |
|---|---|---|---|
| Klasický McEliece | Príp | Na základe kódu | Dekódovanie náhodných binárnych kódov Goppa |
| Crytals-Kyber | Príp | Na báze mriežky | Cyklotomický modul-LWE |
| NTRU | Príp | Na báze mriežky | Cyklotomický problém NTRU |
| Šable | Príp | Na báze mriežky | Cyklotomický modul-LWR |
| Kryštály-dilitium | Sig | Na báze mriežky | Cyklotomický modul-LWE a modul-SIS |
| sokol | Sig | Na báze mriežky | Cyklotomický prstenec-SIS |
| dúha | Sig | Viacrozmerné | Palubné dvere s olejom a octom |
3. kolo Náhradníci
| systém | Enc/Sig | Rodina |
|---|---|---|
| BIKE | Príp | Na základe kódu |
| HQC | Príp | Na základe kódu |
| Frodo-KEM | Príp | Na báze mriežky |
| NTRU-Prime | Príp | Na báze mriežky |
| PODOBA | Príp | Izogenéza |
| GeMSS | Sig | Viacrozmerné |
| Piknik | Sig | Symetrické krypto |
| SPHINCS+ | Sig | Na základe hash |
Vyhodnotenie algoritmu bolo založené na troch nižšie uvedených kritériách.
-
zabezpečenia: Toto je najdôležitejšie kritérium. NIST stanovil niekoľko faktorov, ktoré je potrebné zvážiť pri hodnotení bezpečnosti poskytovanej každým kandidátskym algoritmom. Okrem kvantovej odolnosti algoritmov NIST definoval aj ďalšie bezpečnostné parametre, ktoré nie sú súčasťou súčasného ekosystému kybernetickej bezpečnosti. Toto je dokonalé tajomstvo dopredu,
-
Náklady a výkon: Algoritmy sú hodnotené na základe ich výkonnostných metrík, ako sú veľkosti kľúčov, výpočtová efektivita operácií a generovania verejných a súkromných kľúčov a zlyhania dešifrovania.
-
Algoritmus a implementačné charakteristiky: Za predpokladu, že algoritmy poskytujú dobrú celkovú bezpečnosť a výkon, sú hodnotené na základe ich flexibility, jednoduchosti a jednoduchosti osvojenia (napríklad existencia alebo neexistencia duševného vlastníctva pokrývajúceho algoritmus).
Kryptografická svižnosť
Dôležitou paradigmou pri navrhovaní protokolov informačnej bezpečnosti je kryptografická agilita. Nariaďuje, že protokoly by mali podporovať viacero kryptografických primitív, čo umožňuje systémom implementujúcim konkrétny štandard vybrať si, ktoré kombinácie primitív sú vhodné. Primárnym cieľom kryptografickej agility je umožniť rýchle prispôsobenie zraniteľných kryptografických primitív a algoritmov pomocou robustných algoritmov bez toho, aby došlo k rušivým zmenám v infraštruktúre systému. Táto paradigma sa ukazuje ako kľúčová v dizajne postkvantovej kryptografie a vyžaduje si aspoň čiastočnú automatizáciu. Priemerný podnik napríklad vlastní stovky tisíc certifikátov a kľúčov – a toto číslo stále rastie. S toľkými certifikátmi musia organizácie nasadiť automatizované metódy na rýchle nahradenie týchto certifikátov, ak sa kryptografia, na ktorú sa spoliehajú, stane neistou.
Prvým vynikajúcim opatrením pre organizácie je začať implementovať hybridnú kryptografiu, v ktorej sa popri tradičných algoritmoch verejného kľúča (ako sú RSA alebo eliptické krivky) používajú kvantovo bezpečné algoritmy verejného kľúča, aby riešenie bolo prinajmenšom nie menej bezpečné ako existujúce tradičné kryptografia.
Pohľad do budúcnosti
Kvantová výpočtová technika prechádza z teoretickej možnosti do praktickej reality, čoho príkladom je nedávny vývoj v oblasti kvantových procesorov a systémov. V dôsledku toho sa oblasť kybernetickej bezpečnosti bude musieť týmto zmenám rýchlo prispôsobiť.
