Představují kvantové počítače hrozbu pro současnou kryptografii? (1.)

Publikováno 6. 4. 2024 na portálu Clever and Smart, autor Martin Mikala, Monet+

Kvantové počítače představují naprosto zásadní hrozbu pro současnou kryptografii.

Na druhou stranu je však třeba zdůraznit, že žádné veřejně známé kvantové počítače zatím nedosahují a ani se zdaleka neblíží úrovni potřebné k prolomení současné kryptografie.

Kvantový počítač je nový druh počítače, který kromě klasické fyziky využívá i principů fyziky kvantové. Tento počítač je v pokročilém stádiu vývoje v počítačových laboratořích po celém světě.

Kvantové počítače slibují, že podstatným způsobem zrychlí některé typy výpočtů, zejména ty, které klasické počítače efektivně řešit neumí. Tohoto zrychlení dosahují díky využití kvantových jevů, zejména kvantové superpozice a kvantového provázání. Díky tomu v sobě dokáží qubity (kvantový ekvivalent klasických bitů) obsáhnout exponenciálně více informací.

Obecně se ale předpokládá, že by se takový počítač mohl objevit už někdy v období 2030-2035, a proto by se ten, kdo to myslí s bezpečnostní vážně, měl už nyní nad touto hrozbu zamyslet a zohlednit ji ve svém prediktivním řízení rizik.

Z pohledu kryptografie je důležité, zda daný kvantový počítač dokáže v praxi provádět výpočty, které mohou mít dopad na současnou kryptografii za použití vybraných kvantových algoritmů.

Asi nejzajímavějším kvantovým algoritmem je Shorův algoritmus pojmenovaný po svém autorovi Petru Shorovi, který umožňuje vést útok na asymetrické algoritmy. Pomocí něj dokáže kryptograficky relevantní kvantový počítač dvě věci: v krátké době faktorizovat složená čísla prakticky bez ohledu na jejich velikost a spočítat diskrétní logaritmus, tedy oba problémy, na kterých je založena celá současná asymetrická kryptografie.

Útočník vybavený kvantovým počítačem by dokázal jednoduše k libovolnému veřejnému klíči dopočítat klíč soukromý. Tím by měl možnost naprosté kompromitace veškerých šifrovaných dat, elektronických podpisů a ostatních prvků opírajících se o principy asymetrické kryptografie.

Druhým kryptograficky zajímavým kvantovým algoritmem je Groverův algoritmus, který podstatným způsobem urychluje útok hrubou silou na současné symetrické a hashovací algoritmy. Obecně se předpokládá, že Groverův algoritmus sníží bitovou bezpečnost těchto algoritmů na polovinu (256 bitový algoritmus je stejně odolný proti útoku hrubou silou na kvantovém počítači, jako 128 bitový algoritmus na klasickém počítači).

Útočník vybavený kvantovým počítačem by dokázal rychleji najít symetrický klíč, kterým jsou šifrována data, k libovolnému hashi najít vstup, který mu odpovídá, např. heslo, změnit obsah smlouvy tak, aby její otisk zůstal naprosto stejný.

V rámci posuzování těchto rizik je třeba si uvědomit, že útočník, který nyní získá zašifrovaná citlivá data, si je může jednoduše uložit a dešifrovat v budoucnu (a možná to už i někdo dělá, pozn. redaktora), až budou k dispozici odpovídající kvantové počítače, což nese riziko pro mnoho aktuálně používaných algoritmů. Proto je vhodné se proti hrozbě kvantových počítačů chránit používáním vhodných algoritmů a délek klíčů už nyní.

Algoritmy a délky klíčů odolné proti útokům pomocí kvantových počítačů jsou označovány jako kvantově bezpečné, případně kvantově odolné. Speciální podskupinou těchto algoritmů jsou asymetrické kvantově bezpečné algoritmy označované jako postkvantové.

U symetrických šifer je za kvantově bezpečnou úroveň považován klíč o délce 256 bitů, u hashovacích funkcí je doporučeno používat hashe s délkou výstupu nejméně 384 bitů. V případě asymetrických algoritmů, u kterých je potenciální dopad kvantových počítačů zdaleka nejničivější, je třeba současné „klasické“ algoritmy, bez ohledu na délku klíče, přestat používat úplně a místo nich přejít na algoritmy postkvantové.