Jak kryptografia postkwantowa chroni Internet
Komputery kwantowe zagrażają złamaniem szyfrowania chroniącego niemal całą komunikację cyfrową. Kryptografia postkwantowa to dziedzina, która ściga się, by zbudować obronę – a transformacja już się rozpoczęła.
Szyfrowanie, na którym polegają miliardy ludzi, jest zagrożone
Za każdym razem, gdy logujesz się do banku, wysyłasz e-mail lub odwiedzasz bezpieczną stronę internetową, Twoje dane są chronione matematycznymi zamkami, których złamanie zajęłoby zwykłemu komputerowi miliardy lat. Ale komputery kwantowe, które wykorzystują dziwne prawa fizyki kwantowej, mogłyby rozbić te zamki w ciągu kilku godzin. Dziedzina kryptografii postkwantowej (PQC) istnieje po to, by budować nowe zamki, których nie mogą otworzyć nawet maszyny kwantowe.
Dlaczego dzisiejsze szyfrowanie jest podatne na ataki
Większość bezpieczeństwa Internetu opiera się na niewielkim zestawie algorytmów – RSA, kryptografii krzywych eliptycznych (ECC) i wymianie kluczy Diffiego-Hellmana. Ich bezpieczeństwo opiera się na samej trudności pewnych problemów matematycznych. Na przykład rozłożenie na czynniki liczby 2048-bitowej zajęłoby klasycznemu superkomputerowi więcej czasu niż obecny wiek wszechświata.
W 1994 roku matematyk Peter Shor odkrył, że wystarczająco potężny komputer kwantowy mógłby rozłożyć te duże liczby na czynniki wykładniczo szybciej, używając techniki zwanej obecnie algorytmem Shora. Komputer kwantowy z grubsza milionem stabilnych kubitów mógłby teoretycznie złamać 2048-bitowe szyfrowanie RSA w mniej niż tydzień – zadanie całkowicie poza zasięgiem klasycznych maszyn. Takie komputery jeszcze nie istnieją, ale wielu badaczy przewiduje ich pojawienie się w latach 30. XXI wieku.
Zagrożenie „Zbierz teraz, odszyfruj później”
Niebezpieczeństwo nie dotyczy wyłącznie przyszłości. Uważa się, że agencje wywiadowcze i dobrze wyposażeni przeciwnicy zbierają dziś zaszyfrowany ruch internetowy i przechowują go, licząc na to, że będą mogli go odszyfrować, gdy komputery kwantowe dojrzeją. Wrażliwa komunikacja rządowa, dokumentacja medyczna i dane finansowe przesyłane teraz mogą zostać ujawnione za wiele lat – strategia znana jako „zbierz teraz, odszyfruj później”. Dlatego przejście na szyfrowanie odporne na ataki kwantowe nie może czekać, aż komputery kwantowe faktycznie się pojawią.
Co właściwie robi kryptografia postkwantowa
Kryptografia postkwantowa nie opiera się na samej fizyce kwantowej – nie wymaga do działania sprzętu kwantowego. Zamiast tego wykorzystuje klasyczne algorytmy zbudowane na problemach matematycznych, które są trudne do rozwiązania zarówno dla komputerów klasycznych, jak i kwantowych.
Wiodącym podejściem jest kryptografia kratowa. Wyobraź sobie wielowymiarową siatkę geometryczną – kratę – z miliardami punktów. Znalezienie najkrótszej ścieżki między dwoma punktami w takiej strukturze jest problemem, który opiera się wszystkim znanym atakom kwantowym. Algorytmy zbudowane na problemach kratowych mogą szyfrować dane, weryfikować podpisy cyfrowe i ustanawiać bezpieczne połączenia, tak jak robi to dziś RSA, ale bez podatności na ataki kwantowe.
Inne podejścia obejmują kryptografię haszującą, która łączy funkcje skrótu kryptograficznego w sposób, który pozostaje bezpieczny nawet przed algorytmem Shora, oraz kryptografię opartą na kodach, która ukrywa informacje w kodach korekcji błędów opracowanych po raz pierwszy dla komunikacji satelitarnej.
Standardy NIST: Globalna podstawa
W sierpniu 2024 r. amerykański Narodowy Instytut Standardów i Technologii (NIST) sfinalizował pierwsze na świecie oficjalne standardy kryptografii postkwantowej – dziesięcioletni wysiłek, w ramach którego oceniono 82 algorytmy kandydujące od zespołów badawczych z całego świata.
- FIPS 203 (ML-KEM) – podstawowy standard szyfrowania danych w tranzycie, oparty na algorytmie CRYSTALS-Kyber. Wykorzystuje matematykę kratową i jest ceniony za małe rozmiary kluczy i dużą szybkość.
- FIPS 204 (ML-DSA) – główny standard podpisów cyfrowych, oparty na CRYSTALS-Dilithium, również oparty na kratach.
- FIPS 205 (SLH-DSA) – zapasowy standard podpisu cyfrowego wywodzący się z SPHINCS+, wykorzystujący matematykę opartą na haszach dla różnorodności na wypadek, gdyby podejścia kratowe kiedykolwiek zostały złamane.
Harmonogram NIST zakłada wycofanie algorytmów podatnych na ataki kwantowe z systemów federalnych do 2035 r., przy czym systemy wysokiego ryzyka – wojskowe, infrastruktura krytyczna, finanse – przejdą transformację znacznie wcześniej. Standardy są już wdrażane przez głównych dostawców technologii, w tym Cloudflare, Google i Apple.
Jak wygląda przejście w praktyce
Migracja fundamentów kryptograficznych Internetu to ogromne wyzwanie inżynieryjne. Każdy serwer internetowy, smartfon, router i oprogramowanie korporacyjne, które obsługuje zaszyfrowaną komunikację, musi zostać zaktualizowane. Naukowcy zajmujący się bezpieczeństwem szacują, że na całym świecie istnieją setki miliardów podłączonych urządzeń – każde z nich jest potencjalnie słabym ogniwem, jeśli nie zostanie zaktualizowane.
Jednym z pojawiających się rozwiązań jest kryptografia hybrydowa: jednoczesne uruchamianie algorytmu klasycznego i algorytmu postkwantowego. Chroni to dane dzisiaj (jeśli komputery kwantowe pojawią się w jakiś sposób wcześniej niż oczekiwano), zachowując jednocześnie kompatybilność wsteczną w okresie przejściowym.
Dlaczego ma to znaczenie poza rządami
Kryptografia postkwantowa nie dotyczy tylko agencji wywiadowczych. Banki, szpitale, kancelarie prawne i zwykli użytkownicy przechowujący wrażliwe dokumenty również mają w tym swój interes. Zagrożenie „zbierz teraz, odszyfruj później” oznacza, że wszelkie dane, które warto chronić przez ponad dekadę – dokumentacja medyczna, umowy prawne, tajemnice handlowe – powinny już znajdować się na liście kontrolnej migracji postkwantowej organizacji.
Zgodnie z informacjami Centrum Zasobów Bezpieczeństwa Komputerowego NIST, zachęca się organizacje do rozpoczęcia inwentaryzacji swoich zasobów kryptograficznych już teraz, identyfikując, które systemy opierają się na podatnych na ataki algorytmach, i ustalając priorytety dla danych o najwyższym ryzyku w celu wczesnej migracji.
Wyścig z kwantowym zegarem
Dobrą wiadomością jest to, że społeczność kryptograficzna miała lata ostrzeżeń i zareagowała rygorystyczną, skoordynowaną na całym świecie pracą. Nowe standardy NIST dają organizacjom jasny cel. Złą wiadomością jest to, że migracja globalnej infrastruktury cyfrowej zajmuje czas – a kwantowy zegar tyka. Dziedzina kryptografii postkwantowej nie jest odległym projektem badawczym; jest to aktywna transformacja, która już trwa, a decyzje podjęte teraz zadecydują o tym, jak bezpieczny pozostanie Internet dla następnego pokolenia.
