Komputery kwantowe vs. kryptografia: Rewolucja w ochronie danych

Współczesne zabezpieczenia cyfrowe opierają się na kryptografii, która od dziesięcioleci sprawdza się jako niezawodna. Protokoły takie jak TLS, sieci VPN, bezpieczna poczta elektroniczna, aktualizacje oprogramowania oraz systemy tożsamości cyfrowej – wszystkie one opierają się na algorytmach klucza publicznego, takich jak RSA, Diffie–Hellmana oraz kryptografia krzywych eliptycznych. Algorytmy te zostały zaprojektowane z myślą o świecie klasycznych komputerów, w którym rozwiązanie niektórych problemów matematycznych na dużą skalę jest niemożliwe. Informatyka kwantowa zasadniczo zmienia to założenie.

W tym wpisie wyjaśniamy, co faktycznie ulegnie zmianie wraz z pojawieniem się komputerów kwantowych na dużą skalę, dlaczego nie jest to odległa kwestia teoretyczna oraz w jaki sposób zagrożenie to dotyczy danych chronionych obecnie.

Dlaczego kryptografia klucza publicznego jest podatna na ataki

Kryptografia klucza publicznego opiera się na problemach matematycznych, które łatwo sformułować, ale trudno rozwiązać bez klucza tajnego. Algorytm RSA opiera się na trudności rozkładania dużych liczb całkowitych na czynniki pierwsze. Algorytmy Diffie–Hellmana i kryptografia krzywych eliptycznych opierają się na problemie logarytmu dyskretnego. Na komputerach klasycznych problemy te nie skalują się dobrze. Nawet przy ogromnej mocy obliczeniowej złamanie kluczy o odpowiedniej długości zajęłoby znacznie więcej czasu niż okres przydatności danych.

Komputery kwantowe podchodzą do obliczeń inaczej. Wykorzystując właściwości mechaniki kwantowej, takie jak superpozycja i splątanie, mogą rozwiązywać określone klasy problemów znacznie szybciej niż jakikolwiek system klasyczny. W przypadku kryptografii kluczowym osiągnięciem jest algorytm Shora.

Algorytm Shora pozwala wystarczająco wydajnemu komputerowi kwantowemu na rozkładanie dużych liczb na czynniki pierwsze i wydajne obliczanie logarytmów dyskretnych. Gdy taka maszyna zostanie wdrożona na dużą skalę, kryptografia RSA, Diffie–Hellmana i krzywych eliptycznych przestaną być bezpieczne. Nie chodzi tu o osłabienie bezpieczeństwa czy skrócenie okresu ważności kluczy. Algorytmy te są matematycznie złamane w obecności komputera kwantowego o znaczeniu kryptograficznym.

Ma to znaczenie, ponieważ kryptografia klucza publicznego stanowi podstawę zaufania w Internecie. Jest ona wykorzystywana do wymiany kluczy, podpisów cyfrowych, uwierzytelniania oraz tożsamości opartej na certyfikatach. Gdy te fundamenty zawiodą, zawiodą wraz z nimi poufność i integralność.

Kryptografia symetryczna jest inna

Nie wszystkie rodzaje kryptografii są dotknięte w ten sam sposób. Algorytmy symetryczne, takie jak AES i funkcje skrótu, odczuwają bardziej ograniczony wpływ obliczeń kwantowych. Algorytm Grovera zapewnia kwadratowe przyspieszenie wyszukiwania klucza metodą brute-force, co skutecznie zmniejsza o połowę siłę zabezpieczeń kluczy symetrycznych.

W praktyce oznacza to, że AES-128 zapewniłby bezpieczeństwo zbliżone do 64 bitów w obliczu ataku kwantowego, podczas gdy AES-256 nadal zapewniłby silny margines bezpieczeństwa. Odpowiedź jest prosta. Większe rozmiary kluczy kompensują przewagę kwantową.

Kryptografia klucza publicznego nie ma takiej opcji. Nie ma praktycznego zwiększenia rozmiaru klucza, które uczyniłoby kryptografię RSA lub krzywych eliptycznych bezpieczną przed algorytmem Shora. Jedyną realną odpowiedzią jest wymiana.

Realistyczne ramy czasowe i dlaczego mają znaczenie

Komputery kwantowe zdolne do złamania współczesnego szyfrowania kluczem publicznym nie istnieją obecnie. Fakt ten często prowadzi do złudnego poczucia bezpieczeństwa. Problemem nie jest to, czy takie systemy są dostępne teraz, ale ile czasu zajmie zmiana kryptografii na dużą skalę.

Szacunki są różne, ale wielu badaczy przewiduje pojawienie się komputera kwantowego o znaczeniu kryptograficznym w latach 30. XXI wieku. Złamanie RSA-2048 wymagałoby na przykład tysięcy kwantów logicznych z korekcją błędów, co z kolei oznacza znacznie większą liczbę kwantów fizycznych. Postęp w dziedzinie sprzętu kwantowego postępuje stabilnie, napędzany zarówno przez badania publiczne, jak i inwestycje prywatne.

Migracja kryptograficzna przebiega natomiast powoli. Algorytmy są wbudowane w protokoły, urządzenia, oprogramowanie układowe, systemy przemysłowe i infrastrukturę o długiej żywotności. Certyfikaty mają wieloletni okres ważności. Systemy wbudowane mogą pozostawać w użyciu przez dziesiątki lat. Czekanie do momentu, aż widoczny będzie wyraźny przełom w dziedzinie kwantowej, pozostawia zbyt mało czasu na reakcję bez zakłóceń.

Dlatego właśnie organizacje normalizacyjne i rządy naciskają na wczesne przygotowania, a nie na zmiany reaktywne.

Zbierz dane teraz, odszyfruj później

Najpilniejszym zagrożeniem związanym z informatyką kwantową nie jest przyszła komunikacja, lecz ta przeszła. Przeciwnicy nie potrzebują dziś komputerów kwantowych, by wykorzystać nadchodzące przełamanie kryptografii klucza publicznego. Potrzebują jedynie pamięci masowej.

Zaszyfrowany ruch sieciowy, przechwycone sesje VPN, zarchiwizowane wiadomości e-mail i zarejestrowane połączenia TLS można gromadzić już teraz i przechowywać w nieskończoność. Gdy odszyfrowanie kwantowe stanie się możliwe, dane te będą mogły zostać odszyfrowane z mocą wsteczną, jeśli były chronione za pomocą podatnych na ataki algorytmów.

Ten model „zbieraj teraz, odszyfruj później” zmienia sposób oceny ryzyka. Wszelkie dane, które muszą pozostać poufne przez wiele lat, są już narażone, jeśli obecnie opierają się na wymianie kluczy RSA lub krzywych eliptycznych. Przykłady obejmują własność intelektualną, dokumentację medyczną, komunikację rządową, wzory przemysłowe i długoterminowe poświadczenia.

Dla organizacji zajmujących się danymi długoterminowymi lub podlegającymi regulacjom zagrożenie kwantowe nie jest problemem przyszłości. Jest to obecne okno ekspozycji.

Gdzie dotknięte są dzisiejsze systemy

Zagrożenie kwantowe nie ogranicza się do niszowych przypadków użycia. Dotyka ono niemal każdej kontroli bezpieczeństwa opartej na kryptografii klucza publicznego.

TLS używa algorytmów RSA lub krzywych eliptycznych do ustanowienia kluczy sesji. Aktualizacje oprogramowania polegają na podpisach cyfrowych w celu potwierdzenia autentyczności. Szyfrowanie poczty elektronicznej i podpisywanie dokumentów opiera się na infrastrukturze klucza publicznego. Systemy tożsamości wykorzystują certyfikaty, karty inteligentne i sprzętowe moduły bezpieczeństwa oparte na tych samych założeniach.

Nawet jeśli szyfrowanie symetryczne chroni większość danych, początkowa wymiana kluczy i etapy uwierzytelniania pozostają podatne na ataki. Gdy zostaną one złamane, nie można zagwarantować poufności i integralności.

Dlatego kryptografia postkwantowa koncentruje się przede wszystkim na zastąpieniu mechanizmów klucza publicznego, pozostawiając szyfrowanie symetryczne w dużej mierze nienaruszone, z dostosowanymi parametrami.

Dlaczego czekanie nie jest bezpieczną strategią

Powszechnym błędnym przekonaniem jest to, że organizacje mogą poczekać, aż algorytmy postkwantowe zostaną powszechnie wdrożone, a następnie szybko przejść na nie. W praktyce przejścia kryptograficzne rzadko przebiegają w ten sposób.

Nowe algorytmy wymagają standaryzacji, wdrożenia, testów interoperacyjności i doświadczenia operacyjnego. Podejścia hybrydowe, w których algorytmy klasyczne i postkwantowe są stosowane razem, są już wdrażane w celu zarządzania kompatybilnością. Sama ta faza przejściowa potrwa wiele lat.

Organizacje, które opóźniają zaangażowanie, ryzykują, że zostaną zmuszone do przyspieszonej migracji pod presją regulacyjną lub operacyjną. Ryzykują również narażenie wrażliwych danych na niebezpieczeństwo w okresie przejściowym.

Organizacje, które rozpoczną działania wcześnie, zyskują większą swobodę wyboru. Mogą one sporządzić spis zależności kryptograficznych, przetestować algorytmy postkwantowe w kontrolowanych środowiskach oraz dostosować aktualizacje do normalnych cykli odświeżania technologii, a nie do programów awaryjnych.