Blog
Porovnání digitálních a kvantových počítačů, část 1
Každého v oblasti IT zajímá, jak velkou hrozbou pro kryptografii jsou kvantové počítače a jak se s daným problémem vyrovnat. Tato série článků se snaží populární formou tento problém vysvětlit.
Hrozby pro asymetrickou kryptografii
Doktor Michael Mosca okolo roku 2015 publikoval jednoduchou rovnici, popisující ochranu dat. Pokud
potřebuji po určitou dobu data chránit, doba pro útok (Z) musí být větší než je součet potřebného
času zajištěné ochrany dat (X) a času pro přechod na jiný algoritmus (Y). Pokud je doba útoku
kratší, útočník má šanci získat data nebo klíčový materiál. To vše má významné dopady na bezpečnost.
Jak to vypadá v realitě? Jak dlouho trvá útok a jak náročný je na klasických digitálních nebo
na přicházejících kvantových počítačích? Jedná se o kryptografickou, teoretickou nebo praktickou
hrozbu? To jsou otázky, které patrně trápí každého, jehož práce se dotýká informatiky a bezpečnosti.
Pokud se jedná o kryptografickou hrozbu, je to zpravidla jenom matematická zajímavost. V případě
teoretické hrozby může někdy v budoucnosti dojít k realizaci takové hrozby. Nakonec, praktická
hrozba znamená, že tento útok je nebo bude možné realizovat.
Tento dokument se snaží vysvětlit základní vlastnosti pochopitelným způsobem, což může vést k přílišnému
zjednodušení. Stejně tak zde používám klasické vysvětlení algoritmů tak, aby bylo možné si je snadněji
představit, od této verze se také odvíjí výpočty útoků. Zároveň celý postup vysvětluje, proč je důležité
mít kontrolu nad svými aktivy a odpovídajícím způsobem je chránit. To znamená i rychlou a snadnou
změnu nastavení kryptografie ve všech používaných systémech.
I v informatice je vhodné se řídit heslem Vegetia: "Si vis pacem, para bellum", tedy "Když
chceš mír, připravuj válku". Bezpečnost je v současnosti velice turbulentní oblast s velkým množstvím
bojůvek, které se snaží vydělat na jakékoliv možnosti. Přesně to je důvodem, proč je nutné k tomuto
materiálu přistupovat s jistou skepsí a opatrností, vývoj může způsobit jeho brzké zastarání. V takovém
případě by připomínky zde napsané nemusely vést k rozšíření znalostí, ale k chybnému rozhodnutí. Kvantové
počítače přijdou, otázkou je kdy a jak výkonné budou. Zde uváděné pracovní teploty se mohou s novou
technologií změnit, což výrazně mění požadavky na příkon. Stejně tak může dojít ke změnám na jiných
úrovních s podobnými dopady.
Čas potřebný pro útok na současné asymetrické algoritmy pomocí digitálních počítačů
Současné asymetrické algoritmy jsou postaveny na jednosměrných operacích. Je velice snadné takovou
operaci provést jedním směrem, ale extrémně obtížné až nemožné ji provést směrem opačným. Současné
algoritmy se tak považují za nepřemožitelné digitálními počítači. Přesněji, na současné úrovni
poznání nevíme, jak takový algoritmus napadnout. Otázkou je, co to vlastně znamená nepřemožitelné?
Je možné takový útok nějak popsat a porovnat s ději, které probíhají okolo nás? A jak do toho
zapadají přicházející kvantové počítače?
Do roku 2030 budeme stále používat algoritmy RSA, DH, ECDH pro domluvu na klíčích. Pokud se nic
nezmění, do roku 2035 budeme pro algoritmy digitálního podpisu používat algoritmy ECDSA, z tohoto
seznamu jsou již dnes vyřazeny algoritmy RSA a DSA. Tento článek ale nebude popisovat slabiny,
bude se zaměřovat na podmínky takového útoku. Cílem je uvést přibližnou časovou, energetickou
a paměťovou náročnost útoku pro zjištění velikosti hrozby. Výpočty jsou bohužel velmi přibližné,
neuvažují problémy současných technologií s velikostí dostupné paměti, cache miss, branchingem,
stejně jako dopady vývoje v oblasti matematiky, fyziky, materiálových věd a dalšími důležitými
obory. Článek je míněn pouze jako upozornění na pravděpodobné dopady. Tedy jedná se o optimistický
přístup, realita nás vždy může překvapit.
Příchod kvantových počítačů zmiňované algoritmy odsouvá na veldejší kolej. Místo RSA, DH, ECDH
přichází Krystal Cyber standardizovaný jako FIPS 203 ML-KEM a v blízké budoucnosti HQC, který by
měl být jako standard FIPS 207 HQC-KEM. Algoritmy pro výměnu klíčů odolné kvantovým počítačům by měly být
nasazeny do roku 2030. Namísto RSA, DSA a ECDSA pak Krystal Dilithium standardizovaný jako
FIPS 204 ML-DSA, SPHINCS+ standardizovaný jako FIPS 205 SHL-DSA nebo připravovaný Falcon,
který by měl být standardizovaný jako FIPS 206 FN-DSA. Náhrady algoritmů pro digitální podpis
by měly být implementovány do roku 2035. V souvislosti s přechodem je vhodnou otázkou přístupu
kryptoagilita, tedy schopnost flexibilně měnit využívanou kryptografii, ale tento problém není
součástí tohoto článku.
Ze seznamu současných algoritmů je pouze RSA založen na problému faktorizace, ostatní algoritmy
jsou založeny zpravidla na problému diskrétního logaritmu (DLP). Co to ale znamená? Faktorizace
čísla znamená hledání prvočíselných činitelů. V případě algoritmu RSA dochází na základě dvou
velkých prvočísel k tvorbě velkého n-bitového čísla, vzájemný vztah použitých prvočísel poskytuje
informace pro tvorbu privátního klíče a následně veřejného klíče. Díky tomu je možné jak šifrování
tak dešifrování obsahu. Naproti tomu diskrétní logaritmus je postaven nad odlišným problémem.
Pokud pracujeme s modulárními operacemi (vlastně zbytek po dělení), je číselný obor omezen
dělitelem. Vlastní dělitel musí být ze zcela konkrétních pouze prvočíslo. V takovém oboru
čísel lze snadno vytvořit mocninu, ale je extrémně náročné na základě znalosti mocniny k ní odpovídající
odmocninu. A protože tento problém je použit jak u algoritmů DH, tak s jistou úpravou u algoritmů
ECDH, je extrémně obtížné uvedené kódy zlomit. Takže jak moc obtížné to je ve skutečnosti?
Pokračování bude v části Algoritmus RSA a problém faktorizace
Autor článku:
