W powszechnej opinii panuje przekonanie, że komputery kwantowe „złamią szyfry” i zmienią oblicze kryptografii. Czy to prawda?

Odpowiedź jest skomplikowana. Algorytmy kryptograficzne możemy podzielić na dwie grupy. Do pierwszej należą te, które wykorzystują klucze symetryczne - dwie osoby komunikują się, używając tego samego klucza symetrycznego. Druga grupa to kryptografia asymetryczna, która wykorzystuje dwa klucze, takie jak RSA czy Elliptic Curve Diffie-Hellman (ECDH). Jeśli chcemy się bezpiecznie komunikować potrzebujemy kilku rzeczy. Po pierwsze, muszę wiedzieć, że osoba, z którą się komunikuję, jest naprawdę tą osobą, więc aby się uwierzytelnić użyje ona podpisu RSA lub innego typu podpisu. Następnie musimy wymienić klucz. Do przygotowania klucza użyjemy ECDH. W kolejnym kroku możemy użyć wydajnego algorytmu symetrycznego, na przykład AES, z tym kluczem, aby komunikacja była zabezpieczona.

Spekulujemy, że w przyszłości komputery kwantowe będą w stanie złamać RSA w taki sposób, że będzie można podszyć się pod czyjąś tożsamość, bez wiedzy drugiej strony, ponieważ sfałszowany certyfikat dostarczony przez złamane RSA nadal będzie potwierdzał oryginalną tożsamość. Podobnie będzie można złamać ECDH.

W na razie nieokreślonej perspektywie czasowej, gdy będziemy mieli już wystarczająco mocny komputer kwantowy, będzie on mógł złamać RSA i ECDH dość szybko. Może nie w ciągu kilku sekund, ale w ciągu godziny lub dwóch. W przypadku szyfrów symetrycznych, takich jak AES, zagrożenie nie jest tak poważne.

Wszystko zależy od tego, czy w przyszłości będziemy dysponować odpowiednio potężnym komputerem kwantowym. Niektórzy eksperci twierdzą, że nie jest to możliwe, inni, że może to nastąpić między 2030 a 2040 rokiem. I w przypadku wybranych sytuacji, nawet przy tak długim horyzoncie czasowym, musimy zacząć przygotowania już teraz.

Jaka będzie największa zmiana w kryptografii, gdy komputery kwantowe o dużej mocy staną się powszechne? Czy gdy już będą zaawansowane, poziom bezpieczeństwa wzrośnie?

National Institute of Standards and Technology (NIST) w USA prowadzi inicjatywę mającą na celu proaktywne podejście do kryptografii w przyszłości. Pięć lat temu poproszono badaczy z całego świata o zgłaszanie nowych algorytmów, aby uzyskać realne wyobrażenie o tym, jak zagadnienie to będzie wyglądać. Nadeszło około 80 zgłoszeń (algorytmów) i NIST zawęził je do około 8. Cztery z tych algorytmów zostały włączone do procesu standaryzacji. Jeden z nich służy do wymiany kluczy, zastąpi ECDH, a trzy z algorytmów służą do tworzenia podpisów. Zastąpią one algorytmy RSA.

Na początku procesu zdefiniowano różne poziomy bezpieczeństwa. Najbardziej typowe poziomy bezpieczeństwa to 1, 3 i 5. Poziom pierwszy odpowiada kluczowi AES 128-bitowemu, a poziom 5 odpowiada kluczowi AES 256-bitowemu. Jeśli przejdziemy przez proces migracji z niezabezpieczonych metod takich jak ECDH i RSA do nowych algorytmów, to w przyszłości, gdy pojawią się komputery kwantowe, będziemy bezpieczni w większości przypadków. Nie zwiększy to jednak bezpieczeństwa w sensie ogólnym, nadal będzie to bezpieczeństwo na poziomie klucza 256-bitowego - myślę, że jest to zadowalający wynik.

Komputery kwantowe nie pojawią się raczej w najbliższym czasie na wyprzedażach w Black Friday. Czemu część organizacji musi przygotowywać się już teraz?

Dane są dla wielu firm bardzo cennym aktywem, a ich zabezpieczenie jest priorytetem - także przed zagrożeniami wynikającymi z rozwoju komputerów kwantowych (QC). Obecnie, jeśli używamy ECDH do stworzenia klucza, a atakujący nas podsłuchuje, może przechwycić te wiadomości, ale nie jest w stanie w tym momencie ich wykorzystać, ponieważ nie posiada komputera kwantowego. Nawet jeśli ma QC, to ma on maksymalnie 120 kubitów, a potrzebne byłyby 4 miliony kubitów. Załóżmy, że napastnik przechwytuje rozmowę, zaszyfrowaną tym kluczem, i przechowuje ją przez 20-30 lat. Gdy będzie już miał potężny komputer kwantowy, będzie mógł złamać klucz i poznać treść zaszyfrowanej nim rozmowy. Jeśli przechwycona wiadomość będzie miała nadal duże znaczenie za 20 czy 30 lat, to jest to problemem już teraz. Oznacza to, że firma lub instytucja, która ma do czynienia z bardzo cennymi danymi, musi zastanowić się, jak zapobiec takiemu atakowi, gdy napastnik przetrzymuje informacje do momentu, gdy będzie miał dostęp do QC. Może to dotyczyć np. informacji o znaczeniu państwowym, gdy stroną próbującą przechwycić dane jest rząd wrogiego kraju.

Co właściwie dzieje się w kryptografii post kwantowej? Słyszymy o konkursach i algorytmach rzekomo bezpiecznych kwantowo, które zostają złamane na zwykłym komputerze w ciągu godziny.

Są to algorytmy bezpieczne kwantowo, ale tak naprawdę nie są one opracowywane dla QC, ale dla klasycznych komputerów, aby QC nie było w stanie ich złamać. Wiele z tych algorytmów ma zastąpić starsze algorytmy jak ECDH czy RSA. Dla kryptografii rok czy dwa lata nie znaczą wiele, musimy analizować te kwestie w perspektywie 5-10 lat, ponieważ złożoność algorytmów jest bardzo wysoka. NIST rozpoczął ten proces około 5 lat temu i zgromadził 80 algorytmów, które były analizowane przez, powiedzmy, tysiąc ekspertów. Potem liczba algorytmów malała w miarę postępu konkursu, przy czym na każdy przypadało coraz więcej ekspertów - teraz mamy 10 bardzo wyrafinowanych algorytmów i sto osób analizujących każdy z nich. Najlepszym poświęcana jest szczególna uwaga.

Komuś udało się złamać całkiem dobry algorytm w godzinę i ten algorytm odpadł. Wymagało to niewątpliwie zaawansowanej wiedzy z zakresu matematyki. Ale tak naprawdę NIST był na to przygotowany. Konkurs był prowadzony w rundach i w trzeciej rundzie wyłonił 4 dojrzałe algorytmy, które przeszły wiele badań i testów - na ich podstawie zostaną przygotowane standardy. Pozostały jeszcze 4 algorytmy, które będą dalej analizowane, bo są obiecujące, ale nie są dojrzałe. Złamany algorytm należał do tej drugiej kategorii.

Wiele algorytmów można skategoryzować według tego, jaki problem utrudnia QC atak na nie. Na przykład, RSA opiera się na faktoryzacji. Komputer kwantowy nie postrzega faktoryzacji jako trudnej, ale uznaje inne rodzaje problemów za trudne. Niestety, wiele algorytmów, które zostały zgłoszone do tego procesu, opiera się na pojedynczym problemie, który jest z kolei oparty na jednym rodzaju kryptografii. Wspomniany wcześniej algorytm, który został złamany, był oparty na innym rodzaju: szczególnej właściwości krzywych eliptycznych. To niefortunne, że był wyjątkowy, ponieważ jeśli coś stanie się z główną grupą algorytmów, mielibyśmy ten nietypowy algorytm, na którym moglibyśmy się oprzeć.

Czy algorytmy szyfrowania, których używamy dzisiaj, będą miały zastosowanie, gdy upowszechnią się komputery kwantowe? Czy będą one zbyt łatwe do złamania dla komputera o mocy, powiedzmy, tysięcy kubitów?

Można ustalić algorytm w oparciu o trudny problem. Jakie trudne problemy są w rzeczywistości łatwe dla komputera kwantowego? Jest to bardzo skomplikowane pytanie, ponieważ algorytmy QC są raczej trudne do opracowania. Wiemy, że ECDH i RSA opierają się na problemie, który QC może złamać, ale istnieje wiele innych trudnych problemów, które obecnie nie mogą być rozwiązane przez QC. Warto też pamiętać, że komputer kwantowy nie może zastąpić klasycznych komputerów i że nie może wykonać wielu typowych zadań lepiej niż klasyczne komputery.

O ile wiemy, opracowane przez nas algorytmy dotyczące trudnych problemów, których QC nie może złamać, będą bezpieczne. Prawdziwym wyzwaniem będzie sytuacja, w której ktoś opracuje nowy algorytm dla QC, mogący złamać trudny problem i zamienić go w łatwy problem.

Jakie działania firmy powinny czy mogą podjąć już teraz? Jakie działania podjęła firma Huawei aby przygotować się na kwantową przyszłość?

Każda firma, która jest odpowiedzialna za dane o wysokiej wartości, powinna już teraz przygotować się na przyszłość. Huawei utworzył komitet nadzorujący migrację post-QC, w którego skład wchodzą badacze tacy jak ja oraz przedstawiciele wszystkich innych linii produktowych. Określamy, jak, gdzie i kiedy kryptografia jest używana, a także kategoryzujemy i przygotowujemy przypadki użycia. Możemy sklasyfikować te przypadki użycia, wykorzystując system 3 kolorów: zielony oznacza, że jest ok - np. produkt używa AES z kluczem 256 bitów. Gdy pojawi się komputer kwantowy, może zmniejszyć efektywny rozmiar klucza do AES 128. Nawet z komputerem kwantowym nikt nie jest w stanie tego złamać, więc jest to bezpieczne rozwiązanie. Żółty kolor oznacza, że sprawa nie jest pilna - badania są prowadzone teraz i możemy poczekać, aż NIST wprowadzi standaryzowane algorytmy. NIST intensywnie pracuje nad zapewnieniem, że wybrane algorytmy są standaryzowane, wydajne i bezpieczne. Gdy zostaną ustanowione standardy, będziemy mogli rozpocząć migrację do nich. Kolor czerwony wskazuje na szczególny przypadek, jak mówiłem wcześniej, napastnik może przechwycić klucz wiadomości i zaszyfrowaną rozmowę, aby przechowywać je przez dziesięciolecia. W takich przypadkach musimy podjąć działania już teraz. Jest to skomplikowane, ponieważ co się stanie jeśli wybierzemy algorytm, który jest bezpieczny teraz, ale może zostać złamany później? Rozwiązaniem tego problemu jest zastosowanie hybrydowej wymiany kluczy. Używamy kombinacji wymiany kluczy ECDH i wymiany kluczy post kwantowych, takich, które zostaną ustandaryzowane później.

Gdy komputery kwantowe staną się powszechne, część ECDH zostanie złamana, ale nadal mamy część bezpieczną kwantowo. Jest to rodzaj ubezpieczenia. W „czerwonych przypadkach” możemy teraz chronić dane za pomocą hybrydowej wymiany kluczy. Innym przykładem czerwonej kategorii jest sytuacja, w której mamy urządzenie wyprodukowane teraz, a jego żywotność wynosi 15 lub 20 lat, dlatego może ono zostać zaatakowane przez komputer kwantowy w przyszłości, więc w tym obszarze również musimy podjąć działania.

Huawei otrzymał patent na Quantum Key Distribution już w 2019 roku - na czym polegała ta innowacja?

Quantum Key Distribution to trochę inny obszar niż komputery kwantowe czy kryptografia. Załóżmy, że rozmówcy mogą być od siebie oddaleni o 2 kilometry i chcą wymienić klucz. Mogą użyć tzw. one-time pad (szyfru z kluczem jednorazowym) - zestawu losowych bitów. Jak to działa? Jeśli mamy 1000 całkowicie losowych bitów i mamy 1000 bitów wiadomości, możemy je połączyć w sposób, który jest nie do złamania, jest teoretycznie bezpieczny. Quantum Key Distribution ma na celu ustanowienie one-time pad tak, aby nie dało się go podsłuchać w sposób niewykrywalny.

Tradycyjna metoda przesyłania fotonów przez światłowód wymaga specjalistycznego szyfrowania, które nie działa w temperaturze pokojowej. Patent dotyczy technologii wykorzystujących standardowe urządzenia telekomunikacyjne, w taki sposób, że można wysyłać wiele sygnałów QKD jednocześnie.

Niedobór talentów i wykwalifikowanych specjalistów może być w najbliższej przyszłości kluczowym wyzwaniem w branży obliczeń kwantowych. Wyższe uczelnie wciąż jedynie w niewielkim zakresie zajmują się szkoleniem nowego pokolenia specjalistów obliczeń kwantowych. Jak biznes może pomóc w złagodzeniu tego problemu?

To trudne zagadnienie, ponieważ trzeba przekonać wyższe uczelnie do oferowania kursów z zakresu programowania kwantowego. W tej chwili jest kilka firm, które oferują emulatory symulujące niewielką liczbę kubitów na klasycznym komputerze. Są też firmy, które oferują dostęp do komputerów kwantowych z małą liczbą kubitów. Jeśli więc jakaś firma jest zainteresowana QC, a uczelnia nie oferuje odpowiednich przedmiotów, jednym z pomysłów mogą być praktyki dla studentów. Jest to wciąż problem niszowy, ale za 10-20 lat nie będzie to nisza.

Drugi aspekt to fakt, że programowanie QC i projektowanie algorytmów dla QC to dwie różne rzeczy. Programowanie QC wymaga znajomości algebry liniowej, więc nie szukamy kogoś, kto zna język C++, ale kogoś, kto zna C++ i algebrę liniową - podzbiór tych dwóch dyscyplin. W przyszłości wiele obliczeń będzie bardziej przypominać właśnie to - kombinację dwóch różnych dyscyplin.

Słyszałam, że "tradycyjni" programiści nie mogą łatwo przekształcić się w specjalistów komputerów kwantowych, ponieważ wymaga to zupełnie innego podejścia i innego zestawu umiejętności. Czy zgadza się Pan z tą opinią?

Nie zgadzam się z tym. Jeśli mamy dobrych programistów komputerowych, to są oni na tyle inteligentni, że możemy dać im cel i poprosić o zrealizowanie go. Myślę, że poradzą sobie z tym zadaniem.

Nawet w tradycyjnym programowaniu, istnieją nietypowe języki, chociażby funkcjonalne języki programowania np. Lisp. Jeśli poprosimy programistę C++ o napisanie kodu w Lisp, na początku może mieć on problem z wykonaniem zadania, ponieważ wymaga to innego sposobu myślenia. Jednak w końcu sobie z tym wyzwaniem poradzi. Programista C++, który jest dobry w algebrze liniowej i ma wiedzę o mechanice kwantowej, prawdopodobnie poradzi sobie z programowaniem QC.

Inną kwestią jest projektowanie algorytmów kwantowych, ale nie sądzę, że kiedykolwiek będzie to upowszechnione zagadnienie.

W 2035 roku na świecie może być garstka komputerów kwantowych, niektóre rządy będą je miały. Część dużych firm będzie dysponowała QC i możliwe, że będą wynajmować je mniejszym przedsiębiorstwom, które nie posiadają infrastruktury. Ale nie wydaje mi się, żeby zestaw umiejętności wymaganych w głównym nurcie świata IT bardzo się zmienił w wyniku upowszechnienia się komputerów kwantowych.