• Technika /
  • Czekając na kwantowe komputery. Destrukcja czy nowa era bezpieczeństwa?

Czekając na kwantowe komputery. Destrukcja czy nowa era bezpieczeństwa?

Czekając na kwantowe komputery. Destrukcja czy nowa era bezpieczeństwa?
Zespół naukowców z Chin podał niedawno, że złamał szyfrowanie RSA przy użyciu obliczeń kwantowych, wykorzystując zaawansowane systemy wyżarzania kwantowego firmy D-Wave. „To nic”, zapewniają zachodni eksperci, wyjaśniając, że to samo można zrobić bez kwantowych maszyn, nawet za pomocą smartfona.

Wyniki badań Chińczyków zostały opublikowane w czasopiśmie „Chinese Journal of Computers” pod tytułem „Quantum Annealing Public Key Cryptographic Attack Algorithm Based on D-Wave Advantage”. Wang Chao wraz z Wang Qidi, Hong Chunlei, Hu Qiaoyun i Pei Zhi skupili się na dwóch strategiach wykorzystujących możliwości obliczeń kwantowych D-Wave do przeprowadzania ataków na szyfrowanie RSA. Pierwsze podejście polegało na użyciu tzw. modeli Isinga i  Quadratic Unconstrained Binary Optimization (QUBO), umożliwiając pomyślną faktoryzację 2269753 liczb. Druga strategia wykorzystywała techniki wyżarzania kwantowego do  tzw. „optymalizacji problemu najbliższego wektora” (CVP), co zakończyło się udaną faktoryzacją 50-bitowej liczby całkowitej RSA.

Te doniesienia o „łamaniu szyfrów przez chińskie komputery kwantowe” zostały niemal natychmiast skontrowane. Eksperci podkreślali, że chińskie metody kwantowe nie złamały szyfrowania na wysokim poziomie, w szczególności wojskowym. Podkreśla się też, że w artykule chińskich badaczy nie ma wzmianki o próbach łamaniu szyfrowania AES. Oparte na kluczu publicznym i prywatnym szyfrowanie RSA jest wprawdzie standardowym szyfrowaniem, którego używamy na co dzień za każdym razem, gdy sprawdzamy nasz e-mail czy przeglądamy sieć. To ono kryje się za „s” w internetowych adresach – https://, jednak systemy, które chcemy lepiej zabezpieczyć, oparte są na bardziej skomplikowanych kluczach, zazwyczaj używają 128-bitowego lub 256-bitowego szyfrowania AES, np. gdy logujemy się do routera za pomocą hasła lub gdy łączymy się z  Wi-Fi. Owszem, chińscy badacze zhakowali 50-bitowy klucz szyfrowania przy użyciu komputerów kwantowych. Mogli jednak zrobić to samo za pomocą iPhone’a lub nawet starego laptopa z procesorem Celeron 200 MHz, w zaledwie kilka sekund – wskazują specjaliści. Już w latach 90. 512-bitowy klucz RSA był uważany za słaby. Współczesne, bezpieczne szyfrowanie RSA to szyfrowanie 2048-bitowe. Dodawanie bitów sprawia, że łamanie szyfrowania staje się wykładniczo trudniejsze – w przypadku 50 bitów do 2048 bitów jest 21998 razy trudniejsze do złamania. Nie mamy nawet formalnej nazwy dla tej liczby. Szyfrowanie „klasy wojskowej” to zazwyczaj 256-bitowy AES, dla którego odpowiednik RSA wynosi 15360 bitów.

Przestępcy kradną w oczekiwaniu na kwantową technikę

Większość nowoczesnych organizacji szyfruje dostępy do krytycznych danych, systemów i operacji. Cyberprzestępcy nie mogą obecnie złamać silnych szyfrów, jednak mimo to wykradają dane, czy też może dostępy do nich, w stanie zaszyfrowanym. Dlaczego? Eksperci ds. cyberbezpieczeństwa obawiają się, że robią tak w oczekiwaniu na moment, w którym uda się złamać szyfry, czyli kiedy obliczenia kwantowe złamią silną kryptografię i umożliwią odszyfrowanie skradzionych zasobów.

Szacuje się, że klasyczny komputer potrzebowałby 300 miliardów lat lub więcej, aby odszyfrować 2048-bitowy algorytm kryptograficzny, który został wymyślony w roku 1977 przez Rona Rivesta, Adi Shamira oraz Leonarda Adlemana (od których nazwisk pochodzi skrót RSA). Panuje przekonanie, że komputer kwantowy mógłby złamać je w kilka sekund, dzięki obliczeniom opartym nie na bitach tradycyjnych, lecz na kubitach. Tak się przynajmniej uważa. Dlatego hakerzy hołdują, według specjalistów, zasadzie – „zbierz teraz, odszyfruj później”. Zazwyczaj kradną bazy danych osobowych, nazwiska, adresy, stanowiska i numery ubezpieczenia społecznego, ponieważ umożliwia to kradzież tożsamości. Poszukiwanym zasobem cyberprzestępczym są również dane kont, numery kart kredytowych lub nawet dane uwierzytelniające do kont bankowych. Te dane są zabezpieczone szyfrowaniem, które, jak liczą, w przyszłości da się złamać.

Oczywiście trudno zakładać, by hakerzy w ciągu najbliższych lat, może nawet dziesięcioleci, zyskali dostęp do komputera kwantowego. Są nawet wątpliwości, czy ogóle udało nam się zbudować jakikolwiek „prawdziwy” komputer kwantowy, choć w ostatnich latach wiele konstrukcji tak określano. Te, które uznaje się za komputery kwantowe, są wciąż dalekie od oczekiwań, bardzo drogie, skomplikowane, wymagają specyficznych kriogenicznych środowisk, kubity danych mają niewielką spójność i trwałość. Maszyny te nie nadają się do znanych nam typowych dla komputerów zastosowań. Nie trzeba dodawać, że oczywiście raczej nie ma mowy w tej chwili, by łamały silne szyfry.

Kryptografia postkwantowa

Zatem wdrożenie komputerów kwantowych to obecnie raczej teoria niż przewidywalna praktyka. Jednak możliwość, że komputery kwantowe pokonają nowoczesne zabezpieczenia szyfrowania, nie przestaje niepokoić środowiska zajmujące się bezpieczeństwem systemów i danych. Amerykańskie organizacje – Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) oraz Narodowy Instytut Standardów i Technologii (NIST) – już pracują nad „postkwantowymi” standardami kryptograficznymi. Wśród rozważanych opcji jest też przeniesienie danych do silnie strzeżonego lub stale monitorowanego „systemu plików papierowych”, co całkowicie zapobiegałoby cyberatakom. To nie jest żart. Jednak za bardziej realne uznaje się rozwiązanie przechowywania ich w sieci lokalnej niepodłączonej do publicznego Internetu, segmentując dane za pomocą wielostopniowej kontroli bezpieczeństwa i autoryzacji.

Prawie dekadę temu Narodowa Agencja Bezpieczeństwa (NSA) odradziła specjalistom w zakresie cyberbezpieczeństwa znaczące inwestycje w algorytmy krzywych eliptycznych Suite B, zalecając zamiast tego przygotowanie się do  przejścia na algorytmy odporne na obliczenia kwantowe. Zakładano, że  wdrożenie nowych standardów szyfrowania może zająć od 5 do 10 lat. NSA nie wykluczała, że do tego czasu powstaną komputery kwantowe, które uczynią nowe systemy natychmiastowo przestarzałymi. W dodatku nie wygasa obawa, że gdy już powstanie wystarczająco potężny komputer kwantowy, może nie być publicznie znany. Mogłoby to umożliwić złośliwym podmiotom łatwe odszyfrowanie danych zaszyfrowanych przy użyciu przestarzałych metod.

Czym jest owa „kryptografia postkwantowa”? Wyjaśniając w skrócie, polega na tworzeniu protokołów kryptograficznych, które mogą wytrzymać potencjalne ataki ze strony komputerów kwantowych. Stosowane od  dekad algorytmy szyfrowania opierają swoją skuteczność na trudności, jaką sprawia konwencjonalnym komputerom faktoryzacja dużych liczb. Konwencjonalne algorytmy kryptograficzne wybierają dwie bardzo duże liczby pierwsze (podzielne tylko przez 1 i samą siebie) i mnożą je, by uzyskać jeszcze większą liczbę. Mnożenie liczb pierwszych jest łatwe i szybkie, jednak odwrócenie procesu i ustalenie, które dwie liczby pierwsze zostały pomnożone przez siebie, jest znacznie trudniejsze i bardziej czasochłonne, a to właśnie musi zwykle zrobić konwencjonalny komputer, by złamać szyfrowanie. Dwie liczby początkowe są  znane jako „czynniki pierwsze”. Jak wspominaliśmy, przy wielkich liczbach czas, którego potrzebuje na wykonanie zadania faktoryzacji zwykły komputer, sięga setek miliardów lat. I to właśnie jest podstawa bezpieczeństwa szyfrowania. Nieopłacalnie długi czas łamania szyfru.

Uważa się jednak, że wystarczająco wydajny komputer kwantowy mógłby wyszukiwać wszystkie potencjalne czynniki pierwsze jednocześnie, a nie jeden po drugim, uzyskując rozwiązanie wykładniczo szybciej. Potencjał obliczeń kwantowych w tej mierze został zademonstrowany w latach 90. ubiegłego wieku, kiedy matematyk Peter Shor zademonstrował zdolność teoretycznego komputera kwantowego do bezproblemowego odszyfrowania algorytmu szyfrowania klucza publicznego (PKE). Eksperci nazywają owo hipotetyczne urządzenie „kryptograficznie istotnym” komputerem kwantowym. Zamiast miliardów lat potrzebowałby do rozwiązania tego problemu dni lub nawet godzin.

Kraty i skróty

Zatem algorytmy szyfrowania postkwantowego muszą oprzeć się na problemach matematycznych, które byłyby trudne do rozwiązania zarówno dla komputerów konwencjonalnych, jak i kwantowych. Spośród czterech algorytmów, które NIST wybrał w pierwszej kolejności do standaryzacji, trzy opierają się na rodzinie problemów matematycznych, zwanych uporządkowanymi siatkami (kratami), a czwarty wykorzystuje tzw. funkcje skrótu („hashowanie”). Zamiast mnożenia dużych liczb pierwszych, metody wykorzystują inne dziedziny matematyki, które, jak liczą eksperci, sprawią większą trudność maszynom obliczeniowym.

Kryptografia oparta na siatkach lub kratach (LBC) wychodzi od modelu nieskończonej siatki (ang. „lattice”), porównywanej np. do papieru milimetrowego, z punktami na przecięciach linii. Złożoność LBC polega na identyfikacji określonych punktów siatki, co jest zadaniem stosunkowo łatwym w dwóch wymiarach, ale staje się niezwykle trudne po dodaniu kolejnych wymiarów. W LBC jeden zestaw punktów w wielowymiarowej sieci może reprezentować klucz prywatny, a inny zestaw może być kluczem publicznym. Odszyfrowanie klucza prywatnego z klucza publicznego w LBC wymagałoby przeszukania wszystkich możliwości. Nawet przy teoretycznych możliwościach komputerów kwantowych pozostaje to ekstremalnie trudnym zadaniem, którego nie da się szybko wykonać.

Kryptografia oparta na funkcji skrótu bazuje na procesie, który konwertuje dane tekstu jawnego o dowolnym rozmiarze na unikalny szyfrogram o stałej długości, znany jako „skrót” (hash). Funkcja ta wprowadza ciąg znaków i wyprowadza skrót o określonej długości, zazwyczaj od 256 do 512 bitów. Ważnym w tej technice pojęciem jest tzw. drzewo skrótów (drzewo hash, drzewo Merkle, H-drzewo), czyli rodzaj struktury danych wizualizowanej jako gałęzie drzewa, zawierającego haszowane skróty informacji na temat większych fragmentów danych. Drzewa skrótów zostały wynalezione w 1979 przez Ralpha Merkle’a (1). Pierwotnym ich celem było umożliwienie efektywnej obsługi wielu jednorazowych podpisów elektronicznych Lamporta (również wynalezionych w 1979 r. przez Lesliego Lamporta). Uważa się, że podpisy Lamporta są odporne na atak za pomocą komputerów kwantowych. Każdy klucz Lamporta może być używany tylko do podpisania pojedynczej wiadomości, ale w połączeniu z drzewami skrótów mogą one być wykorzystywane do podpisywania wielu wiadomości, skutkując wydajnym schematem podpisu cyfrowego. Najwyższy poziom, Merkle Root (korzeń drzewa), podsumowuje wszystkie dane w jednej wartości (skrócie). Większość nowych schematów haszujących wymaga aktualizacji tajnych kluczy przy każdym użyciu.

1. Ralph Merkle.
Fot. commons.wikimedia.org

Wśród możliwości kryptografii postkwantowej można wymienić też uznawaną za odporną na ataki komputerów kwantowych kryptografię opartą na kodach z korekcją błędów.

Amerykański Narodowy Instytut Standardów i Technologii (NIST) chce przenieść wszystkie systemy o wysokim priorytecie do kryptografii odpornej na algorytmy kwantowe do 2035 roku. Dustin Moody, matematyk w dziale bezpieczeństwa komputerowego NIST, mówił podczas konferencji ATARC w maju 2024 r., że obecnie nie ma wystarczająco dużego komputera kwantowego, który zagrażałby obecnemu poziomowi bezpieczeństwa, jednak agencje muszą być przygotowane na przyszłe ataki. Po pięcioletnim procesie oceny, NIST zidentyfikował w 2022 r. cztery algorytmy, które będą standaryzowane w ramach Federal Information Processing Standards (FIPS). FIPS będzie zawierać trzy z czterech przetestowanych algorytmów. NIST wybrał CRYSTAL-Kyber jako mechanizm enkapsulacji klucza (KEM) oraz rozwiązania: CRYSTALDilithium, FALCON i SPINCS+. CRYSTALS-Kyber będzie używany do ogólnego szyfrowania, w tym zabezpieczania publicznych stron internetowych, CRYSTAS-Dilithium, FALCON i SPHINCS+ będą używane, gdy wymagany jest podpis cyfrowy.

Badacze bezpieczeństwa systemów zwracają uwagę na analogię między spodziewanymi zagrożeniami kwantowych z tzw. problemem Y2K. Przed rokiem 2000 wiele urządzeń komputerowych zostało zaprojektowanych do reprezentowania czterocyfrowych lat tylko dwiema ostatnimi cyframi, co oznaczało w praktyce, że systemy te mogły interpretować rok 2000 jako 1900. Wieloletni wysiłek różnych organizacji, firm i specjalistów pozwolił uniknąć większości przewidywanych problemów. Rząd USA oszacował koszt tamtych działań dla całej amerykańskiej gospodarki na sto miliardów dolarów.

Szacunki liczby fizycznych kubitów wymaganych do złamania 2048-bitowego szyfrowania RSA, powszechnie stosowanej implementacji szyfrowania asymetrycznego, wahają się od czterech do dwudziestu milionów kubitów. Obecnie najbardziej zaawansowane maszyny uznawane za kwantowe mają nie więcej niż tysiąc fizycznych kubitów. Z tych powodów wydaje się, że upadek szyfrowania asymetrycznego nie jest bliski. Może to potrwać dekady. Jednak przygotowanie zabezpieczeń na komputery kwantowe też potrwa długo.

Mirosław Usidus

 

Pozostałe artykuły
Wiek to tylko liczba. Dlaczego stare języki programowania nie odeszły i mają się całkiem nieźle? Wiek to tylko liczba. Dlaczego stare języki programowania nie odeszły i mają się całkiem nieźle?
Mające po kilkadziesiąt lat języki programowania takie jak Fortran (1) i Cobol wciąż są używane i w wielu okolicznościach wręcz niezbędne. Najciekawsze, że nowe obszary, w tym ...
0
Pogoda w telefonie Pogoda w telefonie
Która aplikacja pogodowa sprawdza się najlepiej na co dzień? Przyglądamy się popularnym rozwiązaniom oferującym prognozy krótko- i długoterminowe, radary opadów oraz alerty o zmianach ...
0
Mobilni tłumacze w podróży Mobilni tłumacze w podróży
Mobilne aplikacje do tłumaczeń potrafią dziś znacznie więcej niż tylko przekładać pojedyncze słowa. Oferują tryb offline, rozpoznawanie mowy i tekstu ze zdjęć, rozmówki, gry językowe ...
0
Co wie o tobie ciemna strona? Dostęp do Dark Web przez Google dla każdego Co wie o tobie ciemna strona? Dostęp do Dark Web przez Google dla każdego
Przydatna funkcja bezpieczeństwa, która wcześniej wymagała subskrypcji usłu-gi Google One, zostaje udostępniona wszystkim użytkownikom za darmo. Ozna-cza to, że od lata 2024 roku użytkownicy ...
0