Być może znasz koncepcję klasycznej kryptografii, czyli rodzaju szyfrowania, którego używamy na co dzień. Być może słyszałeś nawet o kryptografii kwantowej, która wykorzystuje komputery kwantowe i efekty mechaniki kwantowej. Chociaż obie te technologie same w sobie są ważnymi technologiami, klasyczna kryptografia stanowi prawie podstawę całej nowoczesnej technologii komunikacyjnej, kryptografia postkwantowa jest naprawdę krytycznym krokiem, który nie jest tym powszechnie znany. Kryptografia postkwantowa nie powinna być kolejną największą rzeczą po szyfrowaniu kwantowym. Zamiast tego jest to klasa kryptografii, która jest nadal aktualna w świecie, w którym istnieją potężne komputery kwantowe.
Przyspieszenie kwantowe
Klasyczna kryptografia opiera się zasadniczo na niewielkiej liczbie różnych problemów matematycznych. Te problemy zostały starannie wybrane, ponieważ są niezwykle trudne, chyba że znasz konkretne informacje. Nawet w przypadku komputerów te problemy matematyczne są trudne do udowodnienia. W 2019 roku badanie poświęciło 900 lat rdzenia procesora na złamanie 795-bitowego klucza RSA. Złamanie 1024-bitowego klucza RSA wymagałoby ponad 500 razy więcej mocy obliczeniowej. Ponadto 1024-bitowe klucze RSA zostały zastąpione 2048-bitowymi kluczami RSA, których złamanie byłoby praktycznie niemożliwe.
Problem polega na tym, że komputery kwantowe działają w zupełnie inny sposób niż zwykłe komputery. Oznacza to, że niektóre rzeczy, które są trudne do wykonania przez zwykłe komputery, są znacznie łatwiejsze do wykonania przez komputery kwantowe. Niestety, wiele problemów matematycznych stosowanych w kryptografii jest tego doskonałym przykładem. Każde szyfrowanie asymetryczne we współczesnym zastosowaniu jest podatne na to przyspieszenie kwantowe, przy założeniu dostępu do wystarczająco wydajnego komputera kwantowego.
Tradycyjnie, jeśli chcesz zwiększyć bezpieczeństwo szyfrowania, potrzebujesz po prostu dłuższych kluczy. Zakłada to, że nie ma bardziej fundamentalnych problemów z algorytmem i że można go przeskalować, aby używać dłuższych kluczy, ale zasada obowiązuje. Dla każdego dodatkowego bitu bezpieczeństwa trudność podwaja się, co oznacza, że przejście z szyfrowania 1024-bitowego na 2048-bitowe oznacza ogromny skok trudności. Ten wykładniczy wzrost trudności nie ma jednak zastosowania do tych problemów, gdy są uruchamiane na komputerach kwantowych, gdzie trudność wzrasta logarytmicznie, a nie wykładniczo. Oznacza to, że nie można po prostu podwoić długości klucza i być w porządku przez następną dekadę wzrostu mocy obliczeniowej. Cała gra się skończyła i potrzebny jest nowy system.
Promień nadziei
Co ciekawe, dotyczy to również wszystkich nowoczesnych algorytmów szyfrowania symetrycznego, ale w znacznie mniejszym stopniu. Efektywne bezpieczeństwo szyfru asymetrycznego, takiego jak RSA, jest zmniejszane o pierwiastek kwadratowy. 2048-bitowy klucz RSA zapewnia równowartość około 45 bitów bezpieczeństwa przed komputerem kwantowym. W przypadku algorytmów symetrycznych, takich jak AES, efektywne bezpieczeństwo jest „tylko” zmniejszone o połowę. 128-bitowy algorytm AES jest uważany za bezpieczny w stosunku do zwykłego komputera, ale efektywne zabezpieczenie przed komputerem kwantowym to tylko 64 bity. Jest to wystarczająco słabe, aby uznać je za niepewne. Problem można jednak rozwiązać, podwajając rozmiar klucza do 256 bitów. 256-bitowy klucz AES zapewnia 128-bitową ochronę nawet przed wystarczająco mocnym komputerem kwantowym. To wystarczy, by uznać je za bezpieczne. Co więcej, 256-bitowy AES jest już publicznie dostępny i używany.
Wskazówka: Bity bezpieczeństwa oferowane przez algorytmy szyfrowania symetrycznego i asymetrycznego nie są bezpośrednio porównywalne.
Cała sprawa „wystarczająco wydajnego komputera kwantowego” jest nieco trudna do precyzyjnego zdefiniowania. Oznacza to, że komputer kwantowy musi być w stanie przechowywać wystarczającą liczbę kubitów, aby móc śledzić wszystkie stany potrzebne do złamania klucza szyfrującego. Kluczowym faktem jest to, że nikt jeszcze nie ma technologii, aby to zrobić. Problem polega na tym, że nie wiemy, kiedy ktoś opracuje tę technologię. Może to być pięć lat, dziesięć lat lub więcej.
Biorąc pod uwagę, że istnieje co najmniej jeden typ problemu matematycznego odpowiedniego dla kryptografii, który nie jest szczególnie podatny na komputery kwantowe, można bezpiecznie założyć, że istnieją inne. W rzeczywistości istnieje wiele proponowanych schematów szyfrowania, które są bezpieczne w użyciu nawet w obliczu komputerów kwantowych. Wyzwaniem jest ujednolicenie tych schematów szyfrowania postkwantowego i udowodnienie ich bezpieczeństwa.
Wniosek
Kryptografia postkwantowa odnosi się do kryptografii, która pozostaje silna nawet w obliczu potężnych komputerów kwantowych. Komputery kwantowe są w stanie dokładnie złamać niektóre rodzaje szyfrowania. Dzięki algorytmowi Shora mogą to robić znacznie szybciej niż zwykłe komputery. Przyspieszenie jest tak duże, że praktycznie nie ma sposobu, aby temu przeciwdziałać. W związku z tym trwają wysiłki mające na celu zidentyfikowanie potencjalnych schematów kryptograficznych, które nie są podatne na to wykładnicze przyspieszenie, a więc mogą przeciwstawić się komputerom kwantowym.
Jeśli ktoś z przyszłym komputerem kwantowym ma wiele starych danych historycznych, które może łatwo złamać, nadal może wyrządzić ogromne szkody. Przy wysokich kosztach i umiejętnościach technicznych potrzebnych do zbudowania, utrzymania i używania komputera kwantowego istnieje niewielkie prawdopodobieństwo, że zostaną one wykorzystane przez przestępców. Rządy i etycznie niejednoznaczne megakorporacje mają jednak zasoby i nie mogą ich używać dla większego dobra. Chociaż te potężne komputery kwantowe mogą jeszcze nie istnieć, ważne jest, aby się do nich przenieść kryptografii postkwantowej, gdy tylko okaże się, że jest to bezpieczne, aby zapobiec rozprzestrzenianiu się historii deszyfrowanie.
Wielu kandydatów do kryptografii postkwantowej jest zasadniczo gotowych do pracy. Problem polega na tym, że udowodnienie, że są one bezpieczne, było piekielnie trudne, gdy nie trzeba było dopuszczać skomplikowanych komputerów kwantowych. Trwają liczne badania mające na celu określenie najlepszych opcji do powszechnego użytku. Kluczową rzeczą do zrozumienia jest to, że kryptografia postkwantowa działa na normalnym komputerze. To odróżnia ją od kryptografii kwantowej, która musi działać na komputerze kwantowym.