Čo je to postkvantová kryptografia?

Možno ste oboznámení s konceptom klasickej kryptografie, čo je typ šifrovania, ktorý používame každý deň. Možno ste už počuli o kvantovej kryptografii, ktorá využíva kvantové počítače a kvantové mechanické efekty. Zatiaľ čo obe tieto technológie sú samy osebe dôležité technológie, klasická kryptografia je základom takmer celej modernej komunikačnej technológie, postkvantová kryptografia je skutočne kritickým krokom, ktorý nie je až tak známy. Postkvantová kryptografia by nemala byť ďalšou najväčšou vecou po kvantovom šifrovaní. Namiesto toho je to trieda kryptografie, ktorá je stále relevantná vo svete, kde existujú výkonné kvantové počítače.

Kvantové zrýchlenie

Klasická kryptografia je v podstate celá založená na malom počte rôznych matematických problémov. Tieto problémy boli starostlivo vybrané, pretože sú mimoriadne zložité, pokiaľ nepoznáte konkrétne informácie. Dokonca aj s počítačmi sú tieto matematické problémy dokázateľne ťažké. V roku 2019 štúdia strávila 900 rokov jadra CPU na prelomenie 795-bitového kľúča RSA. Prelomenie 1024-bitového kľúča RSA by vyžadovalo viac ako 500-krát viac výpočtového výkonu. Okrem toho boli 1024-bitové kľúče RSA zastarané v prospech 2048-bitových kľúčov RSA, ktoré by bolo prakticky nemožné prelomiť.

Problémom je, že kvantové počítače fungujú úplne iným spôsobom v porovnaní s bežnými počítačmi. To znamená, že určité veci, ktoré sa bežným počítačom robia ťažko, sú oveľa jednoduchšie pre kvantové počítače. Bohužiaľ, mnohé z matematických problémov používaných v kryptografii sú toho dokonalým príkladom. Všetko asymetrické šifrovanie v modernom používaní je náchylné na toto kvantové zrýchlenie, za predpokladu prístupu k dostatočne výkonnému kvantovému počítaču.

Tradične, ak chcete zvýšiť bezpečnosť šifrovania, potrebujete len dlhšie kľúče. To predpokladá, že s algoritmom nie sú žiadne zásadnejšie problémy a že ho možno zväčšiť na použitie dlhších kľúčov, ale princíp platí. Pre každý dodatočný bit zabezpečenia sa obtiažnosť zdvojnásobí, čo znamená, že prechod z 1024-bitového na 2048-bitové šifrovanie je obrovským nárastom problémov. Tento exponenciálny rast obtiažnosti sa však nevzťahuje na tieto problémy pri spustení na kvantových počítačoch, kde sa obtiažnosť zvyšuje logaritmicky, nie exponenciálne. To znamená, že nemôžete jednoducho zdvojnásobiť dĺžku kľúča a byť v poriadku na ďalšie desaťročie zvyšovania výpočtového výkonu. Celá hra je hotová a je potrebný nový systém.

Lúč nádeje

Zaujímavé je, že sú ovplyvnené aj všetky moderné symetrické šifrovacie algoritmy, ale v oveľa menšej miere. Efektívna bezpečnosť asymetrickej šifry, ako je RSA, je znížená o druhú odmocninu. 2048-bitový kľúč RSA ponúka ekvivalent 45 bitov zabezpečenia proti kvantovému počítaču. Pre symetrické algoritmy ako AES je efektívna bezpečnosť „iba“ polovičná. 128-bitový AES sa považuje za bezpečný proti bežnému počítaču, ale efektívne zabezpečenie proti kvantovému počítaču je len 64 bitov. To je dosť slabé na to, aby sa to považovalo za neisté. Problém sa však dá vyriešiť zdvojnásobením veľkosti kľúča na 256 bitov. 256-bitový kľúč AES ponúka 128-bitovú ochranu aj proti dostatočne výkonnému kvantovému počítaču. To stačí na to, aby sa to považovalo za bezpečné. Ešte lepšie je, že 256-bitový AES je už verejne dostupný a používa sa.

Tip: Bity zabezpečenia, ktoré ponúkajú symetrické a asymetrické šifrovacie algoritmy, nie sú priamo porovnateľné.

Celú vec s „dostatočne výkonným kvantovým počítačom“ je trochu ťažké presne definovať. Znamená to, že kvantový počítač musí byť schopný uložiť dostatok qubitov, aby mohol sledovať všetky stavy potrebné na prelomenie šifrovacieho kľúča. Kľúčovým faktom je, že na to zatiaľ nikto nemá technológiu. Problém je v tom, že nevieme, kedy niekto túto technológiu vyvinie. Môže to byť päť rokov, desať rokov alebo viac.

Vzhľadom na to, že existuje aspoň jeden typ matematického problému vhodného pre kryptografiu, ktorý nie je obzvlášť zraniteľný voči kvantovým počítačom, je bezpečné predpokladať, že existujú aj iné. V skutočnosti existuje veľa navrhovaných šifrovacích schém, ktoré sa dajú bezpečne použiť aj zoči-voči kvantovým počítačom. Výzvou je štandardizovať tieto post-kvantové šifrovacie schémy a dokázať ich bezpečnosť.

Záver

Postkvantová kryptografia označuje kryptografiu, ktorá zostáva silná aj tvárou v tvár výkonným kvantovým počítačom. Kvantové počítače sú schopné dôkladne prelomiť niektoré typy šifrovania. Vďaka Shorovmu algoritmu môžu robiť oveľa rýchlejšie ako bežné počítače. Zrýchlenie je také veľké, že sa tomu prakticky nedá čeliť. Preto prebieha snaha identifikovať potenciálne kryptografické schémy, ktoré nie sú zraniteľné voči tomuto exponenciálnemu zrýchleniu, a tak môžu obstáť v kvantových počítačoch.

Ak má niekto s budúcim kvantovým počítačom veľa starých historických údajov, ktoré môže ľahko prelomiť, stále môže narobiť veľké škody. S vysokými nákladmi a technickými zručnosťami potrebnými na zostavenie, údržbu a používanie kvantového počítača je malá šanca, že ich použijú zločinci. Vlády a eticky nejednoznačné megakorporácie však zdroje majú a nemusia ich použiť na väčšie dobro. Aj keď tieto výkonné kvantové počítače možno ešte neexistujú, je dôležité prejsť na postkvantovú kryptografiu hneď, ako sa ukáže, že je to bezpečné, aby sa zabránilo rozsiahlemu historickému dešifrovaniu.

Mnoho kandidátov na postkvantovú kryptografiu je v podstate pripravených ísť. Problém je v tom, že dokázať, že sú bezpečné, už bolo pekelne ťažké, keď ste nemuseli počítať s komplikovanými kvantovými počítačmi. Prebieha veľa výskumov s cieľom identifikovať najlepšie možnosti širokého použitia. Kľúčová vec, ktorú treba pochopiť, je, že postkvantová kryptografia beží na bežnom počítači. To ho odlišuje od kvantovej kryptografie, ktorá musí bežať na kvantovom počítači.