Du kanske är bekant med konceptet klassisk kryptografi, vilket är den typ av kryptering vi använder varje dag. Du kanske till och med har hört talas om kvantkryptografi som använder sig av kvantdatorer och kvantmekaniska effekter. Även om båda dessa är viktiga teknologier i sin egen rätt, stöder klassisk kryptografi nästan hela modern kommunikationsteknik är post-kvantkryptografi ett riktigt kritiskt steg som inte är det allmänt känt. Postkvantkryptering är inte tänkt att vara det näst största efter kvantkryptering. Istället är det klassen av kryptografi som fortfarande är relevant i en värld där kraftfulla kvantdatorer finns.
Kvanthastigheten
Klassisk kryptografi är i princip allt baserad på ett litet antal olika matematiska problem. Dessa problem har valts noggrant ut eftersom de är extremt svåra om du inte känner till specifik information. Även med datorer är dessa matematiska problem bevisligen svåra. Under 2019 tillbringade en studie 900 CPU-kärnår för att bryta en 795-bitars RSA-nyckel. En 1024-bitars RSA-nyckel skulle ta mer än 500 gånger mer processorkraft för att bryta. Dessutom har 1024-bitars RSA-nycklar föråldrats till förmån för 2048-bitars RSA, vilket skulle vara praktiskt taget omöjligt att bryta.
Problemet är att kvantdatorer fungerar på ett helt annat sätt jämfört med vanliga datorer. Det betyder att vissa saker som är svåra för vanliga datorer att göra är mycket lättare för kvantdatorer att göra. Tyvärr är många av de matematiska problemen som används i kryptografi perfekta exempel på detta. All asymmetrisk kryptering i modern användning är sårbar för denna kvanthastighet, förutsatt tillgång till en tillräckligt kraftfull kvantdator.
Traditionellt, om du vill öka säkerheten för kryptering, behöver du bara längre nycklar. Detta förutsätter att det inte finns några mer grundläggande problem med algoritmen och att den kan skalas upp för att använda längre nycklar, men principen gäller. För varje extra bit av säkerhet fördubblas svårigheten, detta innebär att gå från 1024-bitars till 2048-bitars kryptering är en enorm svårighetspik. Denna exponentiella svårighetstillväxt gäller dock inte dessa problem när de körs på kvantdatorer där svårigheten ökar logaritmiskt inte exponentiellt. Detta innebär att du inte bara kan dubbla nyckellängden och klara dig under nästa decennium av ökad datorkraft. Hela spelet är uppe och ett nytt system behövs.
En stråle av hopp
Intressant nog är alla moderna symmetriska krypteringsalgoritmer också påverkade men i mycket mindre grad. Den effektiva säkerheten för ett asymmetriskt chiffer som RSA minskas med kvadratroten. En 2048-bitars RSA-nyckel erbjuder motsvarande 45 eller så bitars säkerhet mot en kvantdator. För symmetriska algoritmer som AES är den effektiva säkerheten "bara" halverad. 128-bitars AES anses säkert mot en vanlig dator, men den effektiva säkerheten mot en kvantdator är bara 64 bitar. Detta är tillräckligt svagt för att anses osäkert. Problemet kan dock lösas genom att dubbla nyckelstorleken till 256 bitar. En 256-bitars AES-nyckel erbjuder 128-bitars skydd även mot en tillräckligt kraftfull kvantdator. Det räcker för att betraktas som säkert. Ännu bättre, 256-bitars AES är redan allmänt tillgänglig och används.
Tips: Säkerhetsbitarna som erbjuds av symmetriska och asymmetriska krypteringsalgoritmer är inte direkt jämförbara.
Hela det med "tillräckligt kraftfull kvantdator" är lite svårt att definiera exakt. Det betyder att en kvantdator måste kunna lagra tillräckligt med qubits för att kunna spåra alla tillstånd som behövs för att bryta krypteringsnyckeln. Det viktigaste är att ingen har tekniken för att göra detta ännu. Problemet är att vi inte vet när någon kommer att utveckla den tekniken. Det kan vara fem år, tio år eller mer.
Med tanke på att det finns minst en typ av matematiska problem som lämpar sig för kryptografi som inte är särskilt sårbara för kvantdatorer, är det säkert att anta att det finns andra. Det finns faktiskt många föreslagna krypteringsscheman som är säkra att använda även inför kvantdatorer. Utmaningen är att standardisera dessa post-kvantkrypteringsscheman och bevisa deras säkerhet.
Slutsats
Postkvantkryptografi hänvisar till kryptografi som förblir stark även i mötet med kraftfulla kvantdatorer. Kvantdatorer kan grundligt bryta vissa typer av kryptering. De kan göra så mycket snabbare än vanliga datorer kan, tack vare Shors algoritm. Hastigheten är så stor att det inte finns något sätt att praktiskt motverka det. Som sådan pågår en ansträngning för att identifiera potentiella kryptografiska system som inte är sårbara för denna exponentiella hastighet och som därför kan stå emot kvantdatorer.
Om någon med en framtida kvantdator har en massa gamla historiska data som de lätt kan knäcka kan de fortfarande göra stor skada. Med de höga kostnaderna och tekniska färdigheter som krävs för att bygga, underhålla och använda en kvantdator är det liten chans att de kommer att användas av kriminella. Regeringar och etiskt tvetydiga megaföretag har dock resurserna och kanske inte använder dem till det större bästa. Även om dessa kraftfulla kvantdatorer kanske inte finns ännu, är det viktigt att gå över till post-kvantkryptografi så snart det visar sig vara säkert att göra det för att förhindra utbredd historisk dekryptering.
Många post-kvantkryptografikandidater är i princip redo att gå. Problemet är att bevisa att de är säkra redan var jävligt svårt när du inte behövde tillåta förvirrande komplicerade kvantdatorer. Mycket forskning pågår för att identifiera de bästa alternativen för utbredd användning. En viktig sak att förstå är att post-kvantkryptering körs på en vanlig dator. Detta skiljer den från kvantkryptografi som måste köras på en kvantdator.