Kvantsäkra krypton – Är det värt att byta?

Efter sex år, den 5 juli 2022, publicerade NIST, under viss mediauppståndelse, vinnande kryptoalgoritmer för kvantsäkra krypton [1]. En algoritm för kryptering och tre algoritmer för digitala signaturer. 2024 i augusti släppte NIST standarder för tre av dessa [2]. Efter publiceringen av vinnarna har många börjat fundera om de ska börja byta ut sina ordinarie kryptoalgoritmer mot kvantsäkra kryptoalgoritm. Frågan är om det verkligen är nödvändigt. Måste kryptosystemen bytas ut för att skydda sina företagshemligheter eller för att uppfylla GDPR? 

Vilket problem löser kvantsäkra krypton?

I mitten av 1990 talet så påbörjades forskningen kring kvantdatorer och krypton. Avstampet var Shor’s algoritm, som publicerades 1994, en metod som beskriver hur kryptosystemet RSA knäcks på linjär tid om man har tillgång till en kvantdator [3]. Ej att förväxla med Schnorr’s algoritm som är bevisat som missledande [4][5]. På den tiden var kvantdatorer endast ett koncept med en förväntad funktion. 

Förenklat så kan begreppet linjär tid förklaras med att om en kryptonyckel på en bit skull ta en sekund att knäcka, så tar knäckningen av en 1024-bitars nyckel 1024 sekunder att knäcka, medan om kryptot skulle kräva knäckning på exponentiell tid så skulle det förenklat sagt ta 2¹⁰²⁴ sekunder. Om en RSA nyckel kan knäckas med hjälp av en kvantdator så skulle knäckningstiden minska dramatiskt. Krypteringen skulle med en gång mer eller mindre betraktas som klartext. 

Ett kvantsäkert krypto försöker förhindra möjligheten för en kvantdator att omvandla ett exponentiellt problem till ett linjärt problem för att på så sätt minska möjligheten för en angripare att dra nytta av en kvantdator. 

Så vad klarar kvantdatorer idag?

Även om det finns konspiratorisk läggning så anser de flesta att det är långt kvar tills det finns en kvantdator som utgör ett hot mot traditionell kryptering. 

För att få till en kvantdator för att praktiskt utgöra ett hot krävs följande förutsättningar.

• Kvantdatorn måste ha tillräckligt många qubits.
• Kvantdatorn måste vara stabil tillräckligt länge för att kunna utföra beräkningarna.
• Kvantdatorn måste vara praktiskt hanterbar.

För att kunna knäcka en 2048 bitars kryptonyckel krävs en kvantdator bestående av 20 miljoner qubits som är stabil i 8 timmar [6]. Det finns en utmaning både vad avser antalet qubits och att få datorn att fungera en längre tid. Idag finns en leverantör som påstår att man uppnått stabilitet i 40 millisekunder.  Normalt så är qubits stabila i några millisekunder.

Som vi kan konstatera så försvåras utvecklingen av kvantdatorerna på grund av qubitarnas instabilitet. Ett sätt att hantera instabiliteten är att arbeta med ”logiska qubits”, där varje logisk qubit kan bestå av 30–50 fysiska qubits. Det grundläggande problemet är att tiden för felkorrigeringsåtgärder ökar exponentiellt med varje qubit som läggs till. 

Det finns ca fem olika huvudspår för att tillverka en kvantdator. De olika spåren har olika fördelar och nackdelar. Inget av spåren idag kan idag sägas vara inriktad på att skapa en generell kvantdator, utan de olika arkitekturerna är fortfarande specialiserade på att lösa vissa typer av problem. 

De praktiska utmaningarna kan sammanfattas enligt följande (med dagens kända teknik):

• Det krävs en mycket kraftig kylning för att kvantbitarna ska vara stabila för beräkningar och förhindra förfall av kvantbitarna. (decoherens). IBM:s nuvarande kvantdator kräver ca två dygns nedkylning innan den kan användas.
• Miljön måste vara fri från störningar, dvs alla former av elektromagnetisk strålning och bakgrundsstrålning. En enstaka foton räcker för att sabotera en kvantbits tillstånd. Även en nysning i närheten sägs riva en kvantdator ur sitt stabila läge. 
• Felkorrigerande åtgärder. Som sagt det är svårt 

Adi Shamir (en av kryptologerna som tog fram RSA) trodde 2023 att det kommer ta 30–40 år tills vi har en sådan dator[8]. Sjuttio procent av tillfrågade tror dock att vi har en kvantdator om ca 10 år[9]. Och när vi väl har en sådan dator, så är frågan:

• Vilken kryptonyckel är det vi ska knäcka? Vinsten av att knäcka en ”viss” kryptonyckel kan vara knepig att värdera, eftersom kostnaden för att knäcka just den nyckeln är väldigt dyr[7], 
• Det finns andra saker vi vill använda kvantdatorer till, som till exempel att lösa logistiska problemställningar. Att kunna beräkna logistiska problem ger betydligt större ekonomisk vinning och skulle även kunna ge ett geopolitiskt övertag, eftersom alla militärlogistiska problem skulle få betydligt effektivare lösningar än för de länder som saknar en kvantdators förmåga.

Utifrån ovanstående resonemang kan kvantsäkra krypton ses som en onödig åtgärd.

Så varför tog NIST fram en standard för kvantsäkra krypton?

Vid en panel på RSA-konferensen i San Francisco 2023 fick en representant hos NIST frågan om vad som motiverade för att ta fram en standard för kvantsäkra krypton. Han menade att NIST utför de uppdrag de blir ålagda[8].

Däremot så kan orsakerna att ta fram en standard för kvantsäkra krypton just nu ändå vara väl motiverade.

• Ett kvantsäkert krypto bygger på en annan matematik som inte tidigare använts i kryptoalgoritmer. Man måste lära känna matematiken.  
• Det är inte säkert att kvantsäkra krypton är säkra mot konventionella angrepp. Detta måste utvärderas.
• Det kommer ta ca tio till tjugo år innan kryptologerna har förstått säkerheten i kvantsäkra krypton och kan först då vara redo att ta fram en relevant standard för kvantsäkra krypton. 
• Signaturer är dock ett problem redan nu, särskilt om de är digitala. Det kan eventuellt vara viktigt om digitala signaturers ”äkthet” ska kunna bevisas om 30–40 år. (Om det nu skulle vara så viktigt att signaturen håller i mer än 30–40 år så är det betydligt billigare att genomföra denna typ av signaturer manuellt på arkivbeständigt papper.)

Varför propagerar vissa för kvantsäkra krypton?

Google och IBM har varit två företag i bräschen för att införa kvantsäkra krypton. Google har fört in ”kvantsäkra” krypton i organisationen redan innan standarden blev klar. IBM har hållit flera seminarier där de vill att företag och organisationer ska vara proaktiva och byta till kvantsäkra krypton. Detta kan bero på en blandning av okunskap kombinerat med prestige, precis som många hyper före den, så som Y2K, AI, Meteornedslag osv. där det investeras i en rädsla och företag vill kapitalisera denna rädsla. Kvantdatorer som löpande lätt knäcker kryptonycklar är idag lika troligt som kall fusion.

Skall vi byta till kvantsäkra krypton?

Svaret är att vänta och se. Normalt behöver kryptoalgoritmer ses över var femte år. När en påtaglig brist hittats i ett kryptosystem så har man 5–10 år på sig att byta kryptosystem eller uppgradera kryptonyckellängd. Att åberopa sekretesslagstiftning som motiv till att byta kryptoalgoritm till kvantsäkra kryptoalgoritmer kan ses som oansvarigt, då de flesta med samma sekretesslagstiftning under de senaste tjugo åren säkerligen redan bytt kryptosystem eller nyckellängder tre till fem gånger. Det är alltså inte motiverat att byta kryptoalgoritm just nu. Om fem år igen så är det kanske dags och se om det kommit något nytt kring kvantdatorerna och om något signifikant har hänt när det gäller forcering av RSA. Har något hänt så har ni fortfarande minst 5–10 år på er att byta algoritm.

Referenser

[1] https://www.nist.gov/news-events/news/2022/07/nist-announces-first-four-quantum-resistant-cryptographic-algorithms

[2] https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards

[3] Shor’s Algorithm Wikipedia – https://en.wikipedia.org/wiki/Shor%27s_algorithm

[4] Sergej Grebnev et al., ”Pitfalls of the sublinear QAOA-based factorization algorithm”,https://arxiv.org/html/2303.04656v6

[5] Scott Andersson’s blog, “Cargo Cult Quantum Factoring”, https://scottaaronson.blog/?p=6957

[6] Craig Gidney, Martin Ekerå, “How to factor 2048-bit RSA integers in 8 hours using 20 million noisy qubits”, 2021, https://quantum-journal.org/papers/q-2021-04-15-433/

[7] Dan Goddin, “RSA’s demise from quantum attacks is very much exaggerated”, 26 Jan 2023, https://arstechnica.com/information-technology/2023/01/fear-not-rsa-encryption-wont-fall-to-quantum-computing-anytime-soon/

[8]https://www.rsaconference.com/library/presentation/usa/2023/panel%20migrating%20to%20post-quantum%20schemes

[9]  Evan Brown, “The Devil in the Details: A Survey of Current Approaches to Building a Quantum Computer”,18 Dec 2023,  https://www.csis.org/blogs/strategic-technologies-blog/devil-details-survey-current-approaches-building-quantum-computer