Du er kanskje kjent med konseptet klassisk kryptografi, som er den typen kryptering vi bruker hver dag. Du har kanskje til og med hørt om kvantekryptografi som gjør bruk av kvantedatamaskiner og kvantemekaniske effekter. Mens begge disse er viktige teknologier i seg selv, underbygger klassisk kryptografi nesten helhet av moderne kommunikasjonsteknologi, er post-kvantekryptografi et virkelig kritisk skritt som ikke er det viden kjent. Postkvantekryptografi skal ikke være den nest største tingen etter kvantekryptering. I stedet er det klassen av kryptografi som fortsatt er relevant i en verden der kraftige kvantedatamaskiner eksisterer.
Kvantehastigheten
Klassisk kryptografi er i utgangspunktet basert på et lite antall ulike matematikkoppgaver. Disse problemene er nøye utvalgt fordi de er ekstremt vanskelige med mindre du kjenner til spesifikk informasjon. Selv med datamaskiner er disse matematiske problemene beviselig vanskelige. I 2019 brukte en studie 900 CPU-kjerneår på å bryte en 795-bits RSA-nøkkel. En 1024-bits RSA-nøkkel vil ta mer enn 500 ganger mer prosessorkraft for å bryte. I tillegg har 1024-biters RSA-nøkler blitt avviklet til fordel for 2048-biters RSA som ville være praktisk talt umulig å bryte.
Problemet er at kvantedatamaskiner fungerer på en helt annen måte sammenlignet med vanlige datamaskiner. Dette betyr at visse ting som er vanskelige for vanlige datamaskiner å gjøre, er mye lettere for kvantedatamaskiner å gjøre. Dessverre er mange av matematikkproblemene som brukes i kryptografi perfekte eksempler på dette. All asymmetrisk kryptering i moderne bruk er sårbar for denne kvantehastigheten, forutsatt tilgang til en tilstrekkelig kraftig kvantedatamaskin.
Tradisjonelt, hvis du vil øke sikkerheten til kryptering, trenger du bare lengre nøkler. Dette forutsetter at det ikke er mer grunnleggende problemer med algoritmen og at den kan skaleres opp til å bruke lengre nøkler, men prinsippet holder. For hver ekstra bit av sikkerhet dobles vanskelighetsgraden, dette betyr å gå fra 1024-bit til 2048-bit kryptering er en enorm vanskelighetsstigning. Denne eksponentielle vanskelighetsveksten gjelder imidlertid ikke for disse problemene når de kjøres på kvantedatamaskiner der vanskeligheten øker logaritmisk ikke eksponentielt. Dette betyr at du ikke bare kan doble nøkkellengden og ha det bra for det neste tiåret med økning i datakraft. Hele spillet er oppe og et nytt system er nødvendig.
En stråle av håp
Interessant nok er alle moderne symmetriske krypteringsalgoritmer også påvirket, men i mye mindre grad. Den effektive sikkerheten til et asymmetrisk chiffer som RSA reduseres med kvadratroten. En 2048-bits RSA-nøkkel tilbyr tilsvarende 45 eller så bits sikkerhet mot en kvantedatamaskin. For symmetriske algoritmer som AES er den effektive sikkerheten «bare» halvert. 128-bit AES regnes som sikker mot en vanlig datamaskin, men den effektive sikkerheten mot en kvantedatamaskin er bare 64 biter. Dette er svakt nok til å anses som usikkert. Problemet kan imidlertid løses ved å doble nøkkelstørrelsen til 256 biter. En 256-bits AES-nøkkel gir 128-bits beskyttelse selv mot en tilstrekkelig kraftig kvantedatamaskin. Det er nok til å anses som sikkert. Enda bedre, 256-bit AES er allerede offentlig tilgjengelig og i bruk.
Tips: Sikkerhetsbitene som tilbys av symmetriske og asymmetriske krypteringsalgoritmer er ikke direkte sammenlignbare.
Hele "tilstrekkelig kraftig kvantedatamaskin" er litt vanskelig å definere nøyaktig. Det betyr at en kvantedatamaskin må kunne lagre nok qubits for å kunne spore alle tilstandene som trengs for å bryte krypteringsnøkkelen. Det viktigste er at ingen har teknologien til å gjøre dette ennå. Problemet er at vi ikke vet når noen vil utvikle den teknologien. Det kan være fem år, ti år eller mer.
Gitt at det er minst én type matematikkproblem som er egnet for kryptografi som ikke er spesielt sårbar for kvantedatamaskiner, er det trygt å anta at det finnes andre. Det er faktisk mange foreslåtte krypteringssystemer som er trygge å bruke selv i møte med kvantedatamaskiner. Utfordringen er å standardisere disse post-kvantekrypteringssystemene og bevise deres sikkerhet.
Konklusjon
Postkvantekryptografi refererer til kryptografi som forblir sterk selv i møte med kraftige kvantedatamaskiner. Kvantedatamaskiner er i stand til å bryte noen typer kryptering grundig. De kan gjøre det så mye raskere enn vanlige datamaskiner kan, takket være Shors algoritme. Hastigheten er så stor at det ikke er praktisk mulig å motvirke det. Som sådan pågår det et forsøk på å identifisere potensielle kryptografiske skjemaer som ikke er sårbare for denne eksponentielle hastigheten, og som derfor kan stå opp mot kvantedatamaskiner.
Hvis noen med en fremtidig kvantedatamaskin har mange gamle historiske data som de lett kan knekke, kan de fortsatt gjøre stor skade. Med de høye kostnadene og de tekniske ferdighetene som trengs for å bygge, vedlikeholde og bruke en kvantedatamaskin, er det liten sjanse for at de blir brukt av kriminelle. Regjeringer og etisk tvetydige megaselskaper har imidlertid ressursene og bruker dem kanskje ikke til det beste. Selv om disse kraftige kvantedatamaskinene kanskje ikke eksisterer ennå, er det viktig å gå over til post-kvantekryptografi så snart det er vist å være sikkert å gjøre det for å forhindre utbredt historisk dekryptering.
Mange post-kvantekryptografikandidater er i hovedsak klare til å gå. Problemet er at det allerede var fryktelig vanskelig å bevise at de er sikre når du ikke trengte å tillate sinnssykt kompliserte kvantedatamaskiner. Det pågår mye forskning for å identifisere de beste alternativene for utbredt bruk. En viktig ting å forstå er at post-kvantekryptografi kjører på en vanlig datamaskin. Dette skiller det fra kvantekryptografi som må kjøres på en kvantedatamaskin.