Du kender måske begrebet klassisk kryptografi, som er den type kryptering, vi bruger hver dag. Du har måske endda hørt om kvantekryptografi, der gør brug af kvantecomputere og kvantemekaniske effekter. Selvom begge disse er vigtige teknologier i sig selv, understøtter klassisk kryptografi næsten helheden af moderne kommunikationsteknologi er post-kvantekryptografi et virkelig kritisk skridt, som ikke er det meget kendt. Postkvantekryptering formodes ikke at være den næststørste ting efter kvantekryptering. I stedet er det klassen af kryptografi, der stadig er relevant i en verden, hvor der findes kraftfulde kvantecomputere.
Kvantehastigheden
Klassisk kryptografi er stort set alt baseret på et lille antal forskellige matematiske problemer. Disse problemer er nøje udvalgt, fordi de er ekstremt vanskelige, medmindre du kender specifikke oplysninger. Selv med computere er disse matematiske problemer beviseligt svære. I 2019 brugte en undersøgelse 900 CPU-kerneår på at bryde en 795-bit RSA-nøgle. En 1024-bit RSA-nøgle ville tage mere end 500 gange mere processorkraft at bryde. Derudover er 1024-bit RSA-nøgler blevet forældet til fordel for 2048-bit RSA, hvilket praktisk talt ville være umuligt at bryde.
Problemet er, at kvantecomputere fungerer på en helt anden måde sammenlignet med normale computere. Det betyder, at visse ting, der er svære for normale computere at gøre, er meget nemmere for kvantecomputere at gøre. Desværre er mange af de matematiske problemer, der bruges i kryptografi, perfekte eksempler på dette. Al asymmetrisk kryptering i moderne brug er sårbar over for denne kvantehastighed, forudsat adgang til en tilstrækkelig kraftig kvantecomputer.
Traditionelt, hvis du vil øge sikkerheden ved kryptering, skal du blot bruge længere nøgler. Dette forudsætter, at der ikke er mere grundlæggende problemer med algoritmen, og at den kan skaleres op til at bruge længere nøgler, men princippet gælder. For hver ekstra bit af sikkerhed fordobles sværhedsgraden, det betyder at gå fra 1024-bit til 2048-bit kryptering er en enorm sværhedsstigning. Denne eksponentielle sværhedsgrad gælder dog ikke for disse problemer, når de køres på kvantecomputere, hvor sværhedsgraden stiger logaritmisk ikke eksponentielt. Dette betyder, at du ikke bare kan fordoble nøglelængden og klare dig i det næste årti med stigning i computerkraften. Hele spillet er oppe, og der er brug for et nyt system.
En stråle af håb
Interessant nok er alle moderne symmetriske krypteringsalgoritmer også påvirket, men i meget mindre grad. Den effektive sikkerhed af en asymmetrisk chiffer som RSA er reduceret med kvadratroden. En 2048-bit RSA-nøgle giver det, der svarer til 45 eller deromkring bits sikkerhed mod en kvantecomputer. For symmetriske algoritmer som AES er den effektive sikkerhed "kun" halveret. 128-bit AES anses for at være sikker mod en normal computer, men den effektive sikkerhed mod en kvantecomputer er kun 64 bit. Dette er svagt nok til at blive betragtet som usikkert. Problemet kan dog løses ved at fordoble nøglestørrelsen til 256 bit. En 256-bit AES-nøgle giver 128-bit beskyttelse selv mod en tilstrækkeligt kraftig kvantecomputer. Det er nok til at blive betragtet som sikkert. Endnu bedre, 256-bit AES er allerede offentligt tilgængelig og i brug.
Tip: De stykker af sikkerhed, der tilbydes af symmetriske og asymmetriske krypteringsalgoritmer, er ikke direkte sammenlignelige.
Hele det med "tilstrækkeligt kraftig kvantecomputer" er lidt svært at definere præcist. Det betyder, at en kvantecomputer skal være i stand til at gemme nok qubits til at kunne spore alle de tilstande, der er nødvendige for at bryde krypteringsnøglen. Det vigtigste er, at ingen har teknologien til at gøre dette endnu. Problemet er, at vi ikke ved, hvornår nogen vil udvikle den teknologi. Det kan være fem år, ti år eller mere.
I betragtning af at der er mindst én type matematikproblem, der er egnet til kryptografi, der ikke er særlig sårbar over for kvantecomputere, er det sikkert at antage, at der er andre. Der er faktisk mange foreslåede krypteringssystemer, der er sikre at bruge selv i forhold til kvantecomputere. Udfordringen er at standardisere disse post-kvantekrypteringssystemer og bevise deres sikkerhed.
Konklusion
Post-kvantekryptografi refererer til kryptografi, der forbliver stærk selv i lyset af kraftfulde kvantecomputere. Kvantecomputere er i stand til grundigt at bryde nogle typer kryptering. De kan gøre det så meget hurtigere, end normale computere kan, takket være Shors algoritme. Hastigheden er så stor, at der ikke er nogen praktisk måde at imødegå det. Som sådan er en indsats i gang for at identificere potentielle kryptografiske skemaer, der ikke er sårbare over for denne eksponentielle hastighed, og som derfor kan modstå kvantecomputere.
Hvis nogen med en fremtidig kvantecomputer har en masse gamle historiske data, som de nemt kan knække, kan de stadig gøre stor skade. Med de høje omkostninger og tekniske færdigheder, der er nødvendige for at bygge, vedligeholde og bruge en kvantecomputer, er der ringe chance for, at de bliver brugt af kriminelle. Regeringer og etisk tvetydige mega-selskaber har imidlertid ressourcerne og bruger dem muligvis ikke til det bedste. Selvom disse kraftfulde kvantecomputere måske ikke eksisterer endnu, er det vigtigt at overføre dem til post-kvantekryptografi, så snart det viser sig at være sikkert at gøre det for at forhindre udbredt historisk dekryptering.
Mange post-kvantekryptografikandidater er i det væsentlige klar til at gå. Problemet er, at det allerede var fandens svært at bevise, at de er sikre, når du ikke behøvede at tillade tankevækkende komplicerede kvantecomputere. En masse forskning er i gang for at identificere de bedste muligheder for udbredt brug. En vigtig ting at forstå er, at post-kvantekryptografi kører på en normal computer. Dette adskiller det fra kvantekryptografi, som skal køre på en kvantecomputer.