Komputery kwantowe zagrażają infrastrukturze cyberbezpieczeństwa: jak naukowcy mogą ją uodpornić

Trzynaście, 53 i 433. To wielkości komputerów kwantowych, wyrażone w tzw. kubitach, rosnące w ostatnich latach, dzięki ważnym publicznym i prywatnym inwestycjom oraz inicjatywom. Oczywiście nie jest to tylko kwestia ilości: jakość przygotowanych kubitów jest równie istotna, jak ich liczba, aby komputer kwantowy mógł pokonać nasze istniejące klasyczne maszyny. A tym samym osiągnąć tak zwaną: „przewagę kwantową”. Niewykluczone jednak, że wkrótce dostępne będą urządzenia do obliczeń kwantowych zapewniające takie uprzywilejowanie. Jak wpłynęłoby to na nasze codzienne życie? Dokonywanie prognoz nigdy nie jest łatwe. Jednak panuje zgoda co do tego, że kryptografia zostanie zmieniona wraz z realnym pojawieniem się i wdrożeniem komputerów kwantowych. To niemal trywialne stwierdzenie, że prywatność jest kluczową kwestią w naszym społeczeństwie informacyjnym: każdego dnia przez Internet wymieniane są ogromne ilości poufnych danych. Bezpieczeństwo tych transakcji jest nadrzędne i zależy głównie od jednego pojęcia: złożoności, a dokładniej tej obliczeniowej. Informacje poufne pozostają tajne, ponieważ każdy podsłuch, który chce je przeczytać, musi rozwiązać wielowarstwowy problem matematyczny. W rzeczywistości te stosowane w kryptografii są tak skomplikowane dla naszych obecnych algorytmów i komputerów, że wymiana treści pozostaje bezpieczna ze względów praktycznych — rozwiązanie problemu, a następnie zhakowanie protokołu zajęłoby absurdalną liczbę lat. Najbardziej paradygmatycznym przykładem takiego podejścia jest protokół RSA (nazwany od nazwisk jego wynalazców: Rona Rivesta, Adiego Shamira i Leonarda Adlemana), który dziś zabezpiecza nasze transmisje. Bezpieczeństwo RSA opiera się na fakcie, że nie ma jeszcze żadnego skutecznego algorytmu rozkładania sporych wartości na czynniki — biorąc pod uwagę dużą liczbę, celem jest znalezienie dwóch pierwszych, których iloczyn jest równy jednostce początkowej. Na przykład, jeśli bazowa wielkość to 6, rozwiązaniem jest 2 i 3, ponieważ 6=2x3. Protokoły kryptograficzne są skonstruowane w taki sposób, że wróg, aby odszyfrować wiadomość, musi sprowadzić do podstaw bardzo dużą liczbę (nie 6!), co jest obecnie niemożliwe do wykonania.

Jeśli urządzenia komputerowe będą budowane tak, aby umożliwić łatwe złamanie aktualnych metod kryptograficznych, nasz paradygmat prywatności musi zostać ponownie przemyślany. Tak będzie w przypadku komputerów kwantowych (to znaczy, gdy już zaistnieje działająca jednostka o odpowiedniej mocy): powinny one być w stanie przebić się przez RSA. Gdyż istnieje algorytm kwantowy do wydajnej faktoryzacji. Podczas gdy klasyczne komputery mogą potrzebować czasu porównywalnego do wieku wszechświata, aby rozwiązać taki problem, idealne maszyny zrobią to w ciągu kilku godzin, a może nawet minut. Dlatego kryptografowie opracowują obecnie rozwiązania, które zastąpią RSA. A tym samym zapewnią bezpieczeństwo, czyli protokoły kryptograficzne, które ochronią przed wrogiem mającym dostęp do komputera kwantowego. Aby to zrobić, istnieją dwa główne podejścia: kryptografia postkwantowa i dystrybucja klucza kwantowego.

Jak szyfrować informacje w świecie wyposażonym w komputery kwantowe

Kryptografia postkwantowa utrzymuje paradygmat bezpieczeństwa oparty na złożoności. Należy szukać problemów matematycznych, które pozostają trudne dla komputerów kwantowych i wykorzystywać je do konstruowania protokołów kryptograficznych. Przy czym ponownie chodzi o to, że wróg może je zhakować dopiero po absurdalnie długim czasie. Naukowcy ciężko pracują nad opracowaniem algorytmów kryptografii postkwantowej. W rzeczywistości Narodowy Instytut Standardów i Technologii (NIST) rozpoczął proces pozyskiwania i oceny tych wzorców, a wybranych kandydatów ogłoszono w lipcu 2022 r. Kryptografia postkwantowa ma bardzo silną zaletę: jest oparta na oprogramowaniu. Jest więc tania, a co ważniejsze, jej integracja z istniejącą infrastrukturą jest prosta, gdyż wystarczy wymienić dotychczasowy protokół, np. RSA, na nowy.

Jednak kryptografia postkwantowa ma również wyraźne ryzyko: nasza pewność co do bezpieczeństwa wybranych algorytmów w stosunku do komputerów kwantowych jest ograniczona. W tym miejscu należy przypomnieć, że ściśle mówiąc, żaden z protokołów kryptograficznych bazujących na złożoności nie został uznany za nienaruszalny. Innymi słowy, nie ma dowodów na to, że nie można ich skutecznie rozwiązać na komputerze klasycznym lub kwantowym. Tak jest w przypadku faktoryzacji: nie można wykluczyć odkrycia wydajnego wzorca, który umożliwiłby klasycznej maszynie rozbicie RSA, bez wykorzystania jednostki kwantowej. Chociaż jest to mało prawdopodobne, takiej możliwości nie można zaprzeczyć. W przypadku algorytmów, dowody na ich złożoność są znacznie bardziej ograniczone, ponieważ nie zostały one jeszcze intensywnie przetestowane przez inteligentnych badaczy. A tym bardziej na komputerach kwantowych. I rzeczywiście tak jest — bezpieczny wzorzec kwantowy zaproponowany w inicjatywie NIST został później złamany w ciągu godziny na standardowym komputerze PC.

Wykorzystanie praw fizyki kwantowej w celu zabezpieczenia komunikacji

Drugim podejściem do bezpieczeństwa jest dystrybucja klucza kwantowego. Tutaj ochrona protokołów nie opiera się już na rozważaniach dotyczących złożoności, ale na prawach fizyki kwantowej. Dlatego mówimy o kwantowym bezpieczeństwie fizycznym. Nie wchodząc w szczegóły, tajny klucz jest dystrybuowany za pomocą kubitów, a stabilność protokołu wynika z zasady nieoznaczoności Heisenberga. Oznacza to, że każda interwencja podsłuchującego jest wykrywana, ponieważ modyfikuje stan tych kubitów. Główną zaletą dystrybucji wspomnianego klucza jest to, że opiera się ona na zjawiskach kwantowych, które zostały zweryfikowane w wielu laboratoriach eksperymentalnie. Wiodącym problemem związanym z jego przyjęciem jest to, że wymaga to nowego (kwantowego) sprzętu. Jest to zatem kosztowne, a integracja z istniejącą infrastrukturą nie jest łatwa. Jednak podejmowane są ważne inicjatywy na rzecz wdrożenia kluczy kwantowych na skalę europejską.

Jakie podejście wybrać? To pytanie jest często przedstawiane jako wybór albo-albo i nawet w tym artykule można odnieść takie wrażenie. Jednak realna wizja jest taka, że właściwą drogą jest poszukiwanie połączenia dystrybucji kluczy post-kwantowych i kwantowych. Ten ostatni sposób pokazuje, że fizyka kwantowa dostarcza nowych narzędzi i przepisów, aby realnie strzec naszych tajemnic. Jeśli te dwa podejścia zostaną połączone, hakerzy będą mieli znacznie trudniejsze zadanie, ponieważ będą musieli stawić czoła zarówno złożonym problemom obliczeniowym, jak i zjawiskom kwantowym.

Źródło: https://phys.org/news/2023-01-quantum-threaten-cybersecurity-infrastructure-scientists.html