Koniec szyfrowania, jakie znamy

Informatyka kwantowa sprawi, że stosowane obecnie algorytmy szyfrowania danych przestaną być skuteczne. Kiedy to nastąpi i czy już pora się do tego przygotowywać?

Technologia komputerów kwantowych wciąż się rozwija i wszystko wskazuje, że w perspektywie kilkunastu najbliższych lat zacznie znajdować praktyczne zastosowania. Otworzy to zupełnie nowe możliwości obliczeniowe, zasadniczo zmieniając obraz rynku IT. Jedną z dziedzin, na które ogromny wpływ będą miały systemy kwantowe, jest bezpieczeństwo danych. Z jednej strony systemy te umożliwią tak silne szyfrowanie informacji, że jego złamanie będzie praktycznie niemożliwe. Ale z drugiej strony pozwolą na szybkie złamanie większości stosowanych obecnie algorytmów kryptograficznych, które przestaną pełnić swoją funkcję.

Niektórzy specjaliści ostrzegają, że perspektywa ta jest bliższa, niż się wydaje. Nie jest to science fiction i dlatego warto zacząć się przygotowywać do nowej sytuacji.

Zobacz również:

Szyfrowanie jako podstawowy element bezpieczeństwa

Szyfrowanie przesyłanych lub zapisywanych informacji jest podstawowym mechanizmem zabezpieczania danych przed ich nieuprawnionym przejęciem. Na przykład większość stron internetowych zabezpiecza komunikację z użytkownikami, stosując protokół szyfrowania TLS. Routery i stacje dostępowe Wi-Fi z zasady stosują szyfrowanie oparte na standardzie WPA2, a wszystkie transakcje realizowane przy wykorzystaniu kart płatniczych i kredytowych są chronione przez mechanizmy szyfrowania oparte na standardzie AES.

Wszystkie te mechanizmy zabezpieczeń były projektowane przy uwzględnieniu istniejącego w danym momencie poziomu technologii, a wraz z jej rozwojem modyfikowane. W wypadku Wi-Fi pierwszy mechanizm szyfrowania WEP został zastąpiony przez WPA, a następnie WPA-2. Z kolei standard AES ma wiele wersji wykorzystujących klucze szyfrujące o różnej długości. Najbardziej popularna jego wersja to AES-256.

Wzrost mocy obliczeniowej komputerów przebiega stabilnie i w sposób względnie łatwy do przewidzenia. Pozwala to na takie projektowanie systemów szyfrowania, by zapewniały optymalny poziom bezpieczeństwa. Na przykład szacuje się, że złamanie szyfrowania AES w drodze bezpośredniego ataku siłowego z typowego komputera PC wymagałoby obliczeń trwających nawet milion lat.

Sytuację zmieniło pojawienie się systemów chmurowych, które udostępniają moc obliczeniową o wiele rzędów wielkości przekraczającą moc przetwarzania pojedynczych komputerów, ale to tylko początek pojawiających się kłopotów. Bo systemy przetwarzania oparte na technologii kwantowej doprowadzą do rewolucji i klasyczne mechanizmy szyfrowania staną się bezużyteczne.

Tyle że dostęp do dużych mocy obliczeniowych jest i będzie w dającej się przewidzieć perspektywie ograniczony przez czynniki ekonomiczne. A te odgrywają kluczową rolę w przypadku cyberprzestępczych ataków na firmy lub konsumentów, dlatego prostsze i tańsze metody takie jak phishing są nadal stosowane.

Zagrożenie występuje na wyższym poziomie – są to ataki sponsorowane przez rządy, kierowaneych przeciwko instytucjom, infrastrukturze lub korporacjom o krytycznym znaczeniu w innych krajach. W tych przypadkach ekonomia ma często drugorzędne znaczenie.

Co zmienią komputery kwantowe

Komputery kwantowe zamiast klasycznych obliczeń binarnych opartych na bitach, które mają tylko ściśle zdefiniowaną wartość 1 lub 0, wykorzystują kubity. Kubity mogą przechowywać znacznie więcej danych w superpozycji wielu możliwych kombinacji 1 i 0 jednocześnie. W praktyce oznacza to, że kilka kubitów może równolegle przetwarzać ogromną liczbę potencjalnych wyników. Dopiero pod koniec przetwarzania kubity zostają „zwinięte” do wartości 1 lub 0.

Ponadto pary kubitów mogą być „splątane”. Oznacza to, że istnieją w tym samym stanie kwantowym, ale kiedy zmieniony zostanie stan jednego, stan drugiego zmienia się natychmiast bez względu na odległość między nimi. Można oczekiwać, że mechanizm ten umożliwi znacznie wyższe zwiększenie mocy obliczeniowej niż w przypadku procesorów klasycznych, gdzie zastąpienie układów 32-bitowych przez 64-bitowe zwiększa wydajność przetwarzania około dwukrotnie.

Hartmut Neven, dyrektor laboratorium Google Quantum Artificial Intelligence, przewiduje, że w porównaniu do układów klasycznych zwiększanie liczby kubitów spowoduje wzrost mocy obliczeniowej w tempie „podwójnie wykładniczym”, a więc nie dwu-, a czterokrotnie. Na wzór klasycznego prawa Moore’a, przewidywanie to jest określane jako prawo Nevena. Na razie jeszcze za wcześnie, żeby ocenić, czy Hartmut Neven zyska taką sławę jak współzałożyciel Intela, bo wciąż jest zbyt mało danych, by zweryfikować jego prognozy.

Zbudowanie działającego komputera kwantowego wciąż wymaga pokonania poważnych problemów. Przede wszystkim stany kwantowe są bardzo niestabilne i każda niewielka zmiana temperatury lub wibracja może je zakłócić, doprowadzając system do dekoherencji i przerwania obliczeń.

Mogą tu pomóc mechanizmy korekcji błędów, ale wciąż nie zostały opracowane odpowiednio efektywne rozwiązania. W raporcie opublikowanym przez National Academies of Sciences, Engineering, and Medicine analitycy szacują, że średni poziom błędu kubitów powinien zostać zmniejszony 10–100-krotnie, żeby obliczenia w systemach o dużej skali były wystarczająco niezawodne.

Są już jednak ciekawe pomysły na rozwiązanie tego problemu. Jednym z nich jest zastosowanie inteligentnych algorytmów, które pozwolą na takie przyspieszenie obliczeń, że ich wyniki będą dostępne, zanim nastąpi dekoherencja kubitów. Inna koncepcja zakłada jednoczesne uruchamianie grup kubitów, aby jeden lub więcej z nich zachowało swój stan wystarczająco długo, by zakończyć obliczenia.

Zagrożenie dla klasycznych metod szyfrowania

Już w 1994 r. matematyk Peter Shor opracował algorytm kwantowy, który umożliwia łamanie niektórych kodów szyfrujących, takich jak RSA, a w 1996 r. Lov Grover zaprezentował algorytm, który można użyć do złamania AES. Algorytm Shora umożliwia złamanie szyfrowania ECC (Elliptic Curve Cryptography), które jest wykorzystywane przez większość systemów do obsługi kryptowalut, w tym Bitcoin i Ethereum.

Ale w 2015 r. oszacowano, że złamanie RSA-2048 wymaga komputera kwantowego dysponującego miliardem kubitów. Kilka lat później, w 2019 r., Craig Gidney i Martin Ekera pokazali, że modyfikując te algorytmy, można złamać zaszyfrowane wiadomości RSA-2048 za pomocą komputera wyposażonego w „zaledwie” 20 mln kubitów. To ogromny postęp, ale wciąż za mały, żeby można było wykorzystać do tego celu istniejące obecnie komputery kwantowe.

Firma D-Wave twierdzi, że jej system Advantage wykorzystujący specjalną firmową topologię Pegasus, ma ponad 5000 kubitów. Jest to jednak inne rozwiązanie, które trudno porównywać z takimi systemami jak opracowany przez Google 54-kubitowy Sycamore lub oferowany przez IBM komercyjny komputer kwantowy IBM Q System One z 53 kubitami.

Jak daleko jesteśmy

Jeśli prawo Nevena się sprawdzi, to być może złamanie konwencjonalnych metod szyfrowania nie potrwa to tak długo, jak sądzą sceptycy. Faktem jest jednak, że dziś panuje co do tego duża niepewność i zdania wśród specjalistów są podzielone.

Vadim Lyubashevsky z IBM Research uważa, że przy obecnym tempie postępu może minąć nawet kilkadziesiąt lat, zanim pojawią się pierwsze komputery kwantowe wystarczająco potężne, by służyć do łamania szyfrów. Podobnie sądzi Jake Farinholt z zespołu badawczego Booz Allena zajmującego się obliczeniami kwantowymi. Jego zdaniem, chociaż szybkość postępu jest imponująca, wciąż istnieje wiele technicznych i inżynieryjnych wyzwań, które trzeba pokonać, aby zbudować komputery kwantowe o dużej skali.

Richard Williamson z zajmującej się bezpieczeństwem firmy Utimaco zauważył, że cztery lata temu mówiono, że perspektywa pojawienia się komputerów kwantowych wynosiła 20–30 lat, trzy lata temu 10–20 lat, a w 2019 r. niektórzy specjaliści sugerowali 5–10 lat. Nie ma wątpliwości, że komputery kwantowe pojawią się na rynku, a rozbieżności dotyczą tylko przewidywań, kiedy to nastąpi.

Jak zabezpieczyć dane

Obecnie szyfrowane i archiwizowane w długoletnim cyklu zasoby mogą w pewnym momencie przestać być bezpieczne. Na szczęście trwają prace nad algorytmami i mechanizmami, które są odporne na złamanie przez komputery kwantowe.

Takie nowe protokoły szyfrowania opracowuje m.in. National Institute of Science and Technology. Obecnie jest już dostępny pakiet kryptograficzny CRYSTALS (Cryptographic Suite for Algebraic Lattices), który można pobrać ze strony OpenQuantumSafe.org jako oprogramowanie open source.

Niestety, jest to rozwiązanie o bardzo dużych wymaganiach pod względem wydajności przetwarzania oraz pamięci niezbędnej do przechowywania kluczy i sygnatur, więc jego przydatność z praktycznego punktu widzenia jest na razie ograniczona.

Pocieszające jest to, że w przyszłości komputery kwantowe będą w stanie złamać większość, ale nie wszystkie algorytmy służące do szyfrowania.


TOP 200