Redan 2016 skapade artiklar om kvantdatorer osäkerheter kring datasäkerhet, i fallet att tillräckligt kraftfulla kvantdatorer skulle kunna byggas. Den här artikeln kommer att försöka kasta lite ljus över situationen.
Vad är Quantum Computing?
Kvantberäkning är tillämpningen av kvantmekaniska principer för att utföra beräkningar. Specifikt utnyttjar kvantberäkning kvanttillstånd av subatomära partiklar som superposition och intrassling för att skapa kvantdatorer. När de tillämpas på kvantdatorer med tillräcklig effekt kan specifika algoritmer utföra beräkningar mycket snabbare än klassiska datorer och till och med lösa problem utom räckhåll för den nuvarande datortekniken. Som ett resultat finns det ett ökat intresse från regeringar och industrier över hela världen för att utveckla kvantdatorer. De senaste framstegen inom kvantberäkningar, som IBMs Quantum Heron-processor, har avsevärt förbättrat felminskningen, vilket visar snabba framsteg på området. Introduktionen av IBM Quantum System Two, utrustad med dessa avancerade processorer, markerar ett steg mot praktisk kvantcentrerad superdatorer.
Klassisk vs. Quantum Computing
Klassisk beräkning förlitar sig på bitar, som representerar ettor och nollor genom elektriska strömmar i kretsar, för att lösa komplexa problem. Quantum computing, som använder qubits som de i IBM Quantum Heron, överträffar klassiska datorer i beräkningskraft genom förbättrad felkorrigering och qubit-stabilitet. Qubits, till skillnad från bitar, kan existera i superposition, förkroppsliga både en och noll samtidigt. Denna förmåga tillåter att en enda qubit representerar två tillstånd samtidigt, och med varje ytterligare qubit fördubblas de representerbara tillstånden exponentiellt (`2^n` för n qubits). Till exempel kan en kvantdator med tio kvantbitar representera 1024 tillstånd, till skillnad från 10 bitar i klassisk datoranvändning. Quantum intrassling, ett komplext och inte helt förståeligt fenomen, gör att qubits kan kopplas samman, vilket förbättrar beräkningseffektiviteten. Genom att utnyttja både superposition och intrassling, opererar kvantdatorer i flerdimensionella utrymmen och utför parallella beräkningar, till skillnad från den sekventiella metoden i klassisk datoranvändning. Denna avancerade beräkningskapacitet gör det möjligt för kvantdatorer att ta itu med problem som ligger utanför klassiska datorers räckvidd, som att noggrant simulera molekylära interaktioner i kemiska reaktioner. Detta har långtgående konsekvenser för vetenskap och teknik, inklusive potentialen att lösa problem mycket snabbare än klassiska datorer, vilket påverkar områden som kryptografi.Hur kan kvantberäkning påverka kryptografi?
Som diskuterats ovan är kryptografi baserat på förekomsten av svårlösliga matematiska problem, vilket inte betyder att de är olösliga, utan att den tid och de resurser som krävs för att vända dem gör dem praktiskt taget säkra.
Quantum computing förändrar detta ekosystem genom att minimera den tid som krävs för att lösa sådana problem genom att tillämpa specifika algoritmer.
Till exempel algoritmen upptäckt av Shor, PW (1994) Algoritmer för kvantberäkning, tillsammans med implikationerna av algoritmer som Shors i samband med avancerade kvantprocessorer som IBMs Quantum Heron, understryker det överhängande behovet av kvantresistenta kryptografiska system.
"1994 visade Peter Shor från Bell Laboratories att kvantdatorer, en ny teknik som utnyttjar de fysiska egenskaperna hos materia och energi för att utföra beräkningar, effektivt kan lösa vart och ett av dessa problem och därigenom göra alla kryptosystem med offentliga nyckel baserade på sådana antaganden impotenta. Således kommer en tillräckligt kraftfull kvantdator att sätta många former av modern kommunikation – från nyckelutbyte till kryptering till digital autentisering – i fara.”
Kort sagt, en kvantdator med tillräcklig kraft kan direkt krascha den offentliga nyckelinfrastrukturen, vilket skapar behovet av en ny design av hela cybersäkerhetsekosystemet.
Nya tillämpningar av post-kvantkryptering ses i konsumentutrymmen, som Chromes stöd för en PQC-algoritm, vilket indikerar de praktiska effekterna av kvantberäkning på nuvarande kryptografiska system.
Men detta är inte allt. En annan algoritm, den här av Grover, Lov K. (1996-07-01), "En snabb kvantmekanisk algoritm för databassökning” kan utgöra ett hot mot symmetrisk kryptografi, även om den inte är så allvarlig som Shors. När den appliceras på en tillräckligt kraftfull kvantdator tillåter Grovers algoritm att knäcka symmetriska nycklar med fyrdubbla hastigheter jämfört med klassisk datoranvändning. En betydande förbättring som motverkas genom att använda större nycklar och bibehålla nuvarande säkerhetsnivå.
Kommer kvantberäkning snart?
Fysiken har visat att kvantberäkning är genomförbart. Nu är det ett teknikproblem, om än mycket svårt. Konstruktionen av kvantdatorer innebär implementering av toppmodern teknik som bland annat superfluider och superledare. Utmaningen att skapa ett stabilt och skalbart kvantmekaniskt system är enormt, och det leder team över hela världen att gå olika vägar. Det finns flera typer av kvantdatorer, inklusive kvantkretsmodellen, kvanturningsmaskin, adiabatisk kvantdator, envägs kvantdator och olika kvantcellsautomater. Den mest använda är kvantkretsen.
Ett viktigt problem med någon modell av kvantdatorer är att qubits till sin natur förlorar sin superpositionsstatus när de väl är uppmätta och följaktligen mycket känsliga för yttre störningar. Därför är det utmanande för qubits att behålla sina kvanttillstånd. Vissa lösningar inkluderar användning av jonfällor, men total eliminering av yttre störningar är förmodligen ouppnåelig. Som ett resultat är en av de mest avgörande frågorna för att skapa kvantdatorer en robust felkorrigeringsmekanism.
Med de senaste genombrotten, såsom IBM:s framsteg inom kvantberäkning, har fältet flyttat sig bortom teoretiska modeller till mer praktiska och kraftfulla kvantsystem, vilket fört kvanteran närmare än tidigare förutsett.
Den stora bilden är att ett genombrott kan ske just nu, eller det kan ta några år innan en fungerande prototyp av tillräcklig beräkningskraft skapas. Det finns redan några prototyper, med IBM Q System One som den mest kända, men deras beräkningskraft är fortfarande för liten för att vara ett problem för kryptografiska system. Naturligtvis får inte cybersäkerhetsgemenskapen slappna av. Även om vi hade ett effektivt system för postkvantitetssäkerhet, är det en enorm uppgift att migrera hela ekosystemet till denna nya standard. Följaktligen pågår flera ansträngningar för att vara redo för post-kvanttiden.
Lovande teknologier för postkvanttiden
När vi närmar oss den utbredda tillämpningen av kvantteknologi, vilket framgår av framsteg som IBMs Quantum System Two, behovet av en kvantresistent PKI blir mer pressande när utbredd kvantdatorteknik kommer. Nedan kommer vi att försöka sammanfatta de mest lovande teknikerna och ge en kort genomgång av de samlade projekt som pågår för att etablera postkvantkryptografi, tillsammans med de utmaningar som ligger framför oss.
Familjer med post-kvantalgoritmer
Forskning under de senaste 15-20 åren har bevisat förekomsten av algoritmer som är resistenta mot kvantattacker. Nedan ger vi en kort beskrivning av de mest lovande algoritmfamiljerna som kan ge en lösning för säkerhet i en post-kvantvärld.
Kodbaserad kryptografi
Den senaste utvecklingen inom detta område kodbaserad kryptografi använder felkorrigerande koder för att bygga kryptografi med publik nyckel. Det föreslogs första gången av Robert McEliece 1978 och är en av de äldsta och mest efterforskade asymmetriska krypteringsalgoritmerna. Ett signaturschema kan konstrueras baserat på Niederreiter-schemat, den dubbla varianten av McEliece-schemat. McEliece-kryptosystemet har motstått kryptoanalys hittills. Det största problemet med det ursprungliga systemet är den stora privata och publika nyckelstorleken.
Hash-baserad kryptografi
Med den växande implementeringen i praktiska tillämpningar representerar Hash-baserad kryptografi en lovande post-kvantkryptografisk metod för digitala signaturer. Hashfunktioner är funktioner som mappar strängar av godtycklig längd till strängar med fast längd. De är ett av de äldre kryptografisystemen med offentliga nyckel, och deras säkerhetsbedömningar mot klassiska och kvantbaserade attacker är välkända. Hash-funktioner är redan ett av de mest använda kryptografiska verktygen. Det var känt att de kunde användas som det enda verktyget för att bygga kryptografi med publik nyckel under lång tid. Dessutom är hash-baserad kryptografi flexibel och kan uppfylla olika prestandaförväntningar. På nackdelen är hash-baserade signaturscheman huvudsakligen stateful, vilket innebär att den privata nyckeln måste uppdateras efter varje användning; annars garanteras inte säkerheten. Det finns hashbaserade system som är tillståndslösa, men de kommer till priset av längre signaturer, mer betydande behandlingstider och undertecknarens behov av att hålla reda på viss information, som hur många gånger en nyckel användes för att skapa en signatur.
Gitterbaserad kryptografi
Övervägs nu för mer avancerade kryptografiska lösningar Gitterbaserad kryptografi är ett särskilt fall av delmängden summa problembaserad kryptografi och introducerades först 1996 av Ajtai. Det är den generiska termen för kryptografiska primitiver konstruerade med hjälp av gitter. Vissa av dessa konstruktioner verkar vara resistenta mot både kvantattacker och klassiska datorattacker. Dessutom har de andra attraktiva egenskaper, som hårdhetssvårigheter i värsta fall. De presenterar också enkelhet och parallellitet och är tillräckligt mångsidiga för att konstruera robusta kryptografiska system. Slutligen är de den enda familjen av algoritmer som innehåller alla tre typer av primitiver som krävs för att bygga en post-kvantum Public Key Infrastructure: kryptering med offentlig nyckel, nyckelutbyte och digital signatur.
Multivariat kryptografi
Multivariat kryptografi hänvisar till public key-kryptografi vars offentliga nycklar representerar en multivariat och olinjär (vanligtvis kvadratisk) polynomkarta. Att lösa dessa system har visat sig vara NP-komplett, vilket gör denna familj av algoritmer till bra kandidater för postkvantkryptografi. För närvarande har krypteringssystem med flera varianter visat sig vara mindre effektiva än andra system eftersom de kräver betydande offentliga nycklar och långa dekrypteringstider. Å andra sidan visade de sig vara mer lämpade för att bygga signaturscheman, eftersom de ger de kortaste signaturstorlekarna bland post-kvantalgoritmer, även om de har ganska stora offentliga nycklar.
Isogenbaserad kryptografi
Isogenibaserad kryptografi använder kartor mellan elliptiska kurvor för att bygga allmän nyckelkryptografi. Algoritmen som är en kandidat för postkvantkryptografi är Supersingular isogeny Diffie-Hellman key exchange (SIDH) som introducerades 2011, vilket gör detta schema till det senaste bland kandidaterna. SIDH kräver en av de minsta nycklarna bland de föreslagna nyckelutbytesprogrammen och stöder perfekt sekretess framåt. Den relativt unga åldern innebär dock att det inte finns många system baserade på detta koncept, och det har inte varit mycket för att inspektera deras möjliga sårbarheter.
Projekt för postkvantkryptografi
Det finns olika arbetsgrupper för post-kvantkryptografisystem, som Open Quantum Safe (OQS)-projektet och ENISA. Ändå är det mest sammanhängande initiativet NIST Post-Quantum Cryptography Standardization Project som har gjort betydande framsteg sedan 2021, med nya algoritmer som dyker upp som föregångare för industristandardisering i post-kvanttiden. Processen började med 69 kandidatalgoritmer, varav 26 gick vidare till den andra utvärderingsomgången. I juli 2020 tillkännagavs omgång 3-kandidater, som visas i tabellen nedan. Det finns totalt sju finalister och åtta alternativa kandidater. På bordet noteras om de övervägs för kryptering eller signaturscheman, algoritmfamiljen och det svåra problem som de är baserade på.
Schema | Enc/SIg | Familj | Svårt problem |
---|---|---|---|
Klassisk McEliece | Inc | Kodbaserad | Avkodning av slumpmässiga binära Goppa -koder |
Kristaller-Kyber | Inc | Gitterbaserad | Cyklotomisk modul-LWE |
NTRU | Inc | Gitterbaserad | Cyklotomiskt NTRU -problem |
Saber | Inc | Gitterbaserad | Cyklotomisk modul-LWR |
Kristaller-Dilithium | Sig | Gitterbaserad | Cyklotomisk modul-LWE och modul-SIS |
Falcon | Sig | Gitterbaserad | Cyklotomisk ring-SIS |
Rainbow | Sig | Multivariatbaserad | Olja-och-vinägerfälla |
Omgång 3 Alternativa kandidater
Schema | Enc/Sig | Familj |
---|---|---|
CYKEL | Inc | Kodbaserad |
HQC | Inc | Kodbaserad |
Frodo-KEM | Inc | Gitterbaserad |
NTRU-Prime | Inc | Gitterbaserad |
SIKE | Inc | Isogenbaserad |
GeMSS | Sig | Multivariatbaserad |
Picknick | Sig | Symmetrisk krypto |
SPHINCS+ | Sig | Hash-baserat |
Algoritmutvärderingen baserades på de tre kriterierna som visas nedan.
-
Säkerhet: Detta är det mest avgörande kriteriet. NIST har fastställt flera faktorer att beakta för att utvärdera säkerheten som tillhandahålls av varje kandidatalgoritm. Förutom kvantmotståndet hos algoritmer har NIST också definierat ytterligare säkerhetsparametrar som inte är en del av det nuvarande cybersäkerhetsekosystemet. Dessa är perfekt framåtsekretess, motstånd mot sidokanalattacker, och motstånd mot flernyckelsattacker.
-
Kostnad och prestanda: Algoritmerna utvärderas baserat på deras prestandamått som nyckelstorlekar, beräkningseffektiviteten för offentliga och privata nyckeloperationer och generering, och dekrypteringsfel.
-
Algoritm och implementeringsegenskaper: Förutsatt att algoritmerna ger bra övergripande säkerhet och prestanda, utvärderas de baserat på deras flexibilitet, enkelhet och lätthet att använda (som förekomsten eller inte av immateriella rättigheter som täcker algoritmen).
Kryptografisk smidighet
Ett viktigt paradigm för att utforma informationssäkerhetsprotokoll är kryptografisk smidighet. Det föreskriver att protokoll ska stödja flera kryptografiska primitiver, vilket gör att systemen som implementerar en viss standard kan välja vilka kombinationer av primitiver som är lämpliga. Det primära målet med kryptografisk agilitet är att möjliggöra snabba anpassningar av sårbara kryptografiska primitiver och algoritmer med robusta utan att göra störande förändringar i systemets infrastruktur. Detta paradigm visar sig vara avgörande i post-kvantkryptografidesignen och kräver åtminstone partiell automatisering. Till exempel har ett genomsnittligt företag uppemot hundratusentals certifikat och nycklar – och det antalet fortsätter att växa. Med så många certifikat måste organisationer implementera automatiserade metoder för att snabbt ersätta dessa certifikat om kryptografin de förlitar sig på blir osäker.
En utmärkt första åtgärd för organisationer är att börja implementera hybridkryptografi, där kvantsäkra offentliga nyckelalgoritmer används tillsammans med traditionella offentliga nyckelalgoritmer (som RSA eller elliptiska kurvor) så att lösningen åtminstone inte är mindre säker än befintliga traditionella kryptografi.
Ser framåt
Kvantberäkningar håller på att övergå från en teoretisk möjlighet till en praktisk verklighet, exemplifierat av den senaste utvecklingen inom kvantprocessorer och system. Följaktligen kommer cybersäkerhetsområdet att snabbt behöva anpassa sig till dessa förändringar.
Som ledare inom cybersäkerhet och aktiva deltagare i standarder för identitets- och kryptografi, fortsätter SSL.com att undersöka och ligga steget före de utmaningar och möjligheter som uppstår genom framsteg inom kvantdatorn. SSL.com kommer att vara en tidig användare av nya kvantsäkra kryptografiska standarder baserat på vår expertis och pågående utveckling av nya infrastrukturlösningar för offentliga nyckel.