Jak postkvantová kryptografie chrání internet

Šifrování, na které spoléhají miliardy lidí, je v ohrožení

Pokaždé, když se přihlásíte do banky, odešlete e-mail nebo navštívíte zabezpečenou webovou stránku, jsou vaše data chráněna matematickými zámky, jejichž prolomení by běžnému počítači trvalo miliardy let. Kvantové počítače, které využívají zvláštní pravidla kvantové fyziky, by však tyto zámky mohly rozbít během několika hodin. Obor postkvantové kryptografie (PQC) existuje proto, aby vytvářel nové zámky, které nedokážou otevřít ani kvantové stroje.

Proč je dnešní šifrování zranitelné

Většina zabezpečení internetu spočívá na malé sadě algoritmů – RSA, kryptografii eliptických křivek (ECC) a výměně klíčů Diffie-Hellman. Jejich bezpečnost je založena na samotné obtížnosti určitých matematických problémů. Například faktorizace 2 048bitového čísla by klasickému superpočítači trvala déle než současný věk vesmíru.

V roce 1994 matematik Peter Shor zjistil, že dostatečně výkonný kvantový počítač by mohl faktorizovat tato velká čísla exponenciálně rychleji pomocí techniky, která se nyní nazývá Shorův algoritmus. Kvantový počítač s přibližně milionem stabilních qubitů by teoreticky mohl prolomit 2 048bitové RSA šifrování za méně než týden – což je úkol, který je pro klasické stroje naprosto nemožný. Takové počítače ještě neexistují, ale mnoho výzkumníků předpovídá jejich příchod ve 30. letech 21. století.

Hrozba „Sklízej nyní, dešifruj později“

Nebezpečí není pouze budoucí. Předpokládá se, že zpravodajské agentury a dobře financovaní protivníci již dnes shromažďují šifrovaný internetový provoz a ukládají jej, přičemž sázejí na to, že jej budou moci dešifrovat, jakmile kvantové počítače dospějí. Citlivá vládní komunikace, zdravotní záznamy a finanční data přenášená nyní by mohla být odhalena za několik let – strategie známá jako „sklízej nyní, dešifruj později“. Proto přechod na kvantově bezpečnou kryptografii nemůže čekat, až kvantové počítače skutečně dorazí.

Co postkvantová kryptografie vlastně dělá

Postkvantová kryptografie se nespoléhá na samotnou kvantovou fyziku – ke svému běhu nevyžaduje kvantový hardware. Místo toho používá klasické algoritmy postavené na matematických problémech, které je obtížné vyřešit jak klasickým, tak kvantovým počítačům.

Hlavním přístupem je kryptografie založená na mřížkách. Představte si vícerozměrnou geometrickou mříž – mřížku – s miliardami bodů. Nalezení nejkratší cesty mezi dvěma body v takové struktuře je problém, který odolává všem známým kvantovým útokům. Algoritmy postavené na problémech mřížky mohou šifrovat data, ověřovat digitální podpisy a navazovat zabezpečená spojení, stejně jako to dnes dělá RSA, ale bez kvantové zranitelnosti.

Mezi další přístupy patří kryptografie založená na hashovacích funkcích, která řetězí kryptografické hashovací funkce způsoby, které zůstávají bezpečné i proti Shorovu algoritmu, a kryptografie založená na kódech, která skrývá informace uvnitř kódů pro opravu chyb, které byly poprvé vyvinuty pro satelitní komunikaci.

Standardy NIST: Globální základ

V srpnu 2024 americký Národní institut pro standardy a technologie (NIST) dokončil první oficiální postkvantové kryptografické standardy na světě – desetileté úsilí, které vyhodnotilo 82 kandidátských algoritmů od výzkumných týmů z celého světa.

• FIPS 203 (ML-KEM) – primární standard pro šifrování dat při přenosu, založený na algoritmu CRYSTALS-Kyber. Využívá mřížkovou matematiku a je ceněn pro malé velikosti klíčů a vysokou rychlost.
• FIPS 204 (ML-DSA) – hlavní standard pro digitální podpisy, založený na CRYSTALS-Dilithium, také založený na mřížkách.
• FIPS 205 (SLH-DSA) – záložní standard pro digitální podpisy odvozený od SPHINCS+, využívající hashovací matematiku pro diverzitu v případě, že by mřížkové přístupy byly někdy prolomeny.

Časový plán NIST požaduje vyřazení kvantově zranitelných algoritmů z federálních systémů do roku 2035, přičemž systémy s vysokým rizikem – vojenské, kritická infrastruktura, finance – přejdou mnohem dříve. Standardy již přijímají významní poskytovatelé technologií, včetně Cloudflare, Google a Apple.

Jak přechod vypadá v praxi

Migrace kryptografického základu internetu je obrovská inženýrská výzva. Každý webový server, smartphone, router a kus podnikového softwaru, který zpracovává šifrovanou komunikaci, musí být aktualizován. Bezpečnostní výzkumníci odhadují, že na celém světě existují stovky miliard připojených zařízení – každé z nich je potenciálním slabým článkem, pokud není aktualizováno.

Jedním z nově vznikajících řešení je hybridní kryptografie: současné spouštění klasického algoritmu i postkvantového algoritmu. To chrání data dnes (pokud kvantové počítače nějakým způsobem dorazí dříve, než se očekávalo) a zároveň zachovává zpětnou kompatibilitu během přechodného období.

Proč na tom záleží i mimo vlády

Postkvantová kryptografie se netýká pouze zpravodajských agentur. Banky, nemocnice, právnické firmy a běžní uživatelé ukládající citlivé dokumenty mají také svůj zájem. Hrozba „sklízej nyní, dešifruj později“ znamená, že jakákoli data, která stojí za to chránit déle než deset let – lékařské záznamy, právní smlouvy, obchodní tajemství – by již měla být na kontrolním seznamu postkvantové migrace organizace.

Podle Centra pro zdroje počítačové bezpečnosti NIST se organizace vyzývají, aby nyní začaly inventarizovat svá kryptografická aktiva, identifikovaly, které systémy se spoléhají na zranitelné algoritmy, a upřednostnily data s nejvyšším rizikem pro včasnou migraci.

Závod s kvantovými hodinami

Dobrou zprávou je, že kryptografická komunita měla roky varování a reagovala důslednou, globálně koordinovanou prací. Nové standardy NIST dávají organizacím jasný cíl. Špatnou zprávou je, že migrace globální digitální infrastruktury vyžaduje čas – a kvantové hodiny tikají. Obor postkvantové kryptografie není vzdálený výzkumný projekt; je to aktivní přechod, který již probíhá, a rozhodnutí, která budou učiněna nyní, určí, jak bezpečný internet zůstane pro příští generaci.