Možná znáte koncept klasické kryptografie, což je typ šifrování, který používáme každý den. Možná jste dokonce slyšeli o kvantové kryptografii, která využívá kvantové počítače a kvantově mechanické efekty. I když jsou obě tyto technologie samy o sobě důležité, klasická kryptografie je téměř oporou Jako celek moderní komunikační technologie je postkvantová kryptografie skutečně kritickým krokem, ale není tomu tak široce známý. Postkvantová kryptografie by neměla být další největší věcí po kvantovém šifrování. Místo toho je to třída kryptografie, která je stále relevantní ve světě, kde existují výkonné kvantové počítače.
Kvantové zrychlení
Klasická kryptografie je v podstatě celá založena na malém počtu různých matematických úloh. Tyto problémy byly pečlivě vybrány, protože jsou extrémně obtížné, pokud neznáte konkrétní informace. I s počítači jsou tyto matematické problémy prokazatelně obtížné. V roce 2019 studie strávila 900 let jádra CPU na prolomení 795bitového klíče RSA. Prolomení 1024bitového klíče RSA by vyžadovalo více než 500krát více výpočetního výkonu. Kromě toho byly 1024bitové klíče RSA zastaralé ve prospěch 2048bitových klíčů RSA, které by bylo prakticky nemožné prolomit.
Problém je v tom, že kvantové počítače fungují úplně jinak než normální počítače. To znamená, že určité věci, které jsou pro normální počítače obtížné, jsou pro kvantové počítače mnohem jednodušší. Bohužel mnoho matematických problémů používaných v kryptografii je toho dokonalým příkladem. Veškeré asymetrické šifrování v moderním použití je náchylné na toto kvantové zrychlení, za předpokladu přístupu k dostatečně výkonnému kvantovému počítači.
Tradičně, pokud chcete zvýšit bezpečnost šifrování, stačí delší klíče. To předpokládá, že s algoritmem nejsou žádné zásadnější problémy a že jej lze zvětšit pro použití delších klíčů, ale princip platí. S každým dalším bitem zabezpečení se obtížnost zdvojnásobí, což znamená, že přechod z 1024bitového na 2048bitové šifrování je obrovským skokem v obtížnosti. Tento exponenciální růst obtížnosti se však nevztahuje na tyto problémy při běhu na kvantových počítačích, kde se obtížnost zvyšuje logaritmicky, nikoli exponenciálně. To znamená, že nemůžete jednoduše zdvojnásobit délku klíče a být v pořádku na další desetiletí zvyšování výpočetního výkonu. Celá hra běží a je potřeba nový systém.
Paprsek naděje
Je zajímavé, že všechny moderní symetrické šifrovací algoritmy jsou také ovlivněny, ale v mnohem menší míře. Efektivní zabezpečení asymetrické šifry, jako je RSA, je sníženo o druhou odmocninu. 2048bitový klíč RSA nabízí ekvivalent 45 bitů zabezpečení proti kvantovému počítači. U symetrických algoritmů, jako je AES, je efektivní zabezpečení „pouze“ poloviční. 128bitový AES je považován za bezpečný proti normálnímu počítači, ale efektivní zabezpečení proti kvantovému počítači je pouhých 64 bitů. To je dost slabé na to, aby to bylo považováno za nejisté. Problém lze však vyřešit zdvojnásobením velikosti klíče na 256 bitů. 256bitový klíč AES nabízí 128bitovou ochranu i proti dostatečně výkonnému kvantovému počítači. To je dost, aby to bylo považováno za bezpečné. Ještě lepší je, že 256bitový AES je již veřejně dostupný a používá se.
Tip: Bezpečnostní bity, které nabízejí symetrické a asymetrické šifrovací algoritmy, nejsou přímo srovnatelné.
Celou věc s „dostatečně výkonným kvantovým počítačem“ je trochu těžké přesně definovat. Znamená to, že kvantový počítač musí být schopen uložit dostatek qubitů, aby mohl sledovat všechny stavy potřebné k prolomení šifrovacího klíče. Klíčovým faktem je, že na to zatím nikdo nemá technologii. Problém je v tom, že nevíme, kdy někdo tuto technologii vyvine. Může to být pět let, deset let nebo více.
Vzhledem k tomu, že existuje alespoň jeden typ matematického problému vhodného pro kryptografii, který není zvláště citlivý na kvantové počítače, je bezpečné předpokládat, že existují i jiné. Ve skutečnosti existuje mnoho navrhovaných šifrovacích schémat, která lze bezpečně používat i tváří v tvář kvantovým počítačům. Úkolem je standardizovat tato postkvantová šifrovací schémata a prokázat jejich bezpečnost.
Závěr
Postkvantová kryptografie označuje kryptografii, která zůstává silná i tváří v tvář výkonným kvantovým počítačům. Kvantové počítače jsou schopny důkladně prolomit některé typy šifrování. Díky Shorovu algoritmu mohou dělat mnohem rychleji než běžné počítače. Zrychlení je tak velké, že se tomu prakticky nedá čelit. Probíhá tedy snaha identifikovat potenciální kryptografická schémata, která nejsou zranitelná vůči tomuto exponenciálnímu zrychlení, a tak se mohou postavit kvantovým počítačům.
Pokud má někdo s budoucím kvantovým počítačem spoustu starých historických dat, která snadno rozlouskne, může ještě napáchat velké škody. Vzhledem k vysokým nákladům a technickým dovednostem potřebným k sestavení, údržbě a používání kvantového počítače je jen malá šance, že by je použili zločinci. Vlády a eticky nejednoznačné megakorporace však zdroje mají a nemusí je použít pro větší dobro. I když tyto výkonné kvantové počítače možná ještě neexistují, je důležité je přenést postkvantovou kryptografii, jakmile se ukáže, že je bezpečná, aby se tak zabránilo rozsáhlé historii dešifrování.
Mnoho kandidátů na postkvantovou kryptografii je v podstatě připraveno jít. Problém je v tom, že dokázat, že jsou bezpečné, už bylo pekelně obtížné, když jste nemuseli počítat se složitými kvantovými počítači. Probíhá mnoho výzkumů s cílem určit nejlepší možnosti pro široké použití. Klíčovou věcí je pochopit, že postkvantová kryptografie běží na normálním počítači. To ji odlišuje od kvantové kryptografie, která musí běžet na kvantovém počítači.