Kommer all kryptering och kryptografi som vi känner till den idag snart vara värdelös? Framtidens kvantdator och dess eventuella möjlighet att effektivt knäcka dagens krypteringsalgoritmer kan väcka oro inom cybersäkerhetsvälden idag.
Dessa kvantdatorer fungerar på ett helt annat sätt än traditionell processorkraft. I kvantdatorer används kvantbitar som vid väldigt komplexa omständigheter besitter en ”superposition”. Enkelt förklarat så är en kvantbit med en superposition både en 1 och en 0 samtidigt fram tills kvantbiten faktiskt mäts. En kvantbit kan alltså antingen vara en 1 eller en 0 eller båda samtidigt.
Kvantdatorer och kvantsammanflätning
”Quantum entanglement” eller kvantsammanflätning på svenska är ett annat fenomen som används av kvantdatorer. Det handlar om att två kvantpartiklar (i detta fall kvantbittar) som någon gång interagerat med varandra och sedan hamnat i en superposition kan bli ”sammanflätade”, superpositionen kan bara upprätthållas så länge kvantbitarna är helt och hållet isolerade från varandra och allt annat. Två partiklar som är sammanflätade delar information med varandra ögonblickligen utan någon fördröjning och helt opåverkad av avståndet från varandra.
Till exempel så kan mätningen av en kvantpartikels rotation direkt avslöja åt vilket håll den motsatta sammanflätade partikeln roterar. I sin superposition kommer kvantpartikelen att rotera både medurs och moturs samtidigt. När man sedan mäter en av partiklarna kommer superpositionen att kollapsa och antingen rotera moturs eller medurs med en sannolikhet på 50% för vardera. Görs en mätning och partikeln kollapsar till att rotera medurs går det direkt att veta att den sammanflätade partikeln har kollapsat från sin superposition till att rotera moturs. ”Quantum entanglement” gör det möjligt för kvantbitar att interagera med varandra omedelbart och är inte begränsad till ljusets hastighet.
”Quantum entanglement” i kombination med superpositionen ger kvantdatorer i teorin möjlighet till en otrolig beräkningskraft, som exempel:
Två vanliga bitar kan bara lagra 1 av 4 möjliga kombinationer (00, 01, 10 eller 11) jämfört med två kvantbitar som kan lagra alla dessa kombinationer samtidigt då varje kvantbit representerar två värden.
Kryptografi
För att förstå hotet är det viktigt att först förstå skillnaderna på symmetriska och asymmetriska krypteringsalgoritmer. Dessa har olika användningsområden och fungerar på olika sätt och kryptering förlitar sig på att dagens datorkraft inte klarar av att knäcka nyckeln och/eller primtal inom en potentiell attackerares livstid.
- Symmetrisk kryptering
Symmetriska algoritmer använder en och samma nyckel för både kryptering och dekryptering. AES är idag den rekommenderade standarden för symmetrisk kryptering och stödjer olika nyckel längder där de vanligaste är 128bitar till 256bitar. En av fördelarna med symmetrisk kryptering är dess prestanda. En av nackdelarna är dock delningen av själva nyckeln då samma nyckel används för kryptering och dekryptering.
- Asymmetrisk kryptering
Asymmetriska algoritmer använder sig av nyckelpar; en privat nyckel och en publik nyckel. Dessa hör ihop och genereras tillsammans. Den privata nyckeln ska skyddas och är ”hemlig” medan den publika nyckeln inte är lika känslig och är avsedd att delas.
Asymmetriska algoritmer används både för signering och kryptering. Används den publika nyckeln för att kryptera något är det endast den privata nyckeln som kan dekryptera innehållet. Det går alltså inte att använda den publika nyckeln igen för dekryptering. Tanken är att tryggt kunna dela ut den publika nyckeln till andra som ska kunna skicka information till dig krypterat om du kan säkerställa att den privata nyckeln aldrig hamnar i fel händer.
Det omvända gäller om den privata nyckeln skulle användas för kryptering eller i detta fall signering i stället. Det går alltså med hjälp av den publika nyckeln verifiera att innehållet verkligen kommer från den motsvarande privata nyckeln om det går att dekryptera med den publika nyckeln, vilket förenklat förklarat är vad som sker vid en signering.
Med asymmetrisk kryptering används vanligast väldigt stora nycklar och en av de mest populära och beprövade algoritmen är RSA. De vanligaste nyckelstorlekarna är 1024–4096 bitar. En nackdel värt att nämna med asymmetriska algoritmer, såsom RSA, är att dessa kräver mycket prestanda för att kryptera större mängder data. Asymmetriska algoritmer används främst för public-key kryptografi samt ” key-exchange” protokoll, till exempel för TLS.
Hur hanterar beprövade algoritmer framtidens kvantdator?
Med asymmetrisk kryptering används vanligast väldigt stora nycklar; en av de mest populära och beprövade algoritmen är RSA. De vanligaste nyckelstorlekarna är 1024–4096 bitar. En nackdel värt att nämna med asymmetriska algoritmer, såsom RSA, är att dessa kräver mycket prestanda för att kryptera större mängder data. Det används alltså främst för digitala signaturer men även för till exempel ”key exchanges” under en TLS handskakning med algoritmer så som till exempel diffie-hellman.
Så nu när vi har förstått kryptografins grunder behöver vi också nu förstå hotet på hur dessa två typer av krypteringsalgoritmer påverkas av kommande kvantdatorer och teknik.
Den här bilden från Microsoft ger en kortfattad illustration:
Symmetriska algoritmer såsom AES anses redan vara resistenta mot kvantdatorer så länge tillräckligt stora nycklar används. Grover’s algoritm kan i teorin reducera brute-force tiden för AES nycklar till dess kvadratrot, dvs att för 128bit nycklar blir det 2^64, vilket med dagens klassiska datorer inte anses tillräckligt säkert. För 256bit blir det 2^128 och det anses tillräckligt säkert.
Framtiden ser å andra sidan inte alls lika ljust ut för asymmetriska algoritmer såsom RSA, Diffie-helman och ECC. Asymmetriska algoritmer som exempelvis RSA förlitar sig på att vanliga datorer inte kan hitta primtalsfaktorer snabbt och effektivt men detta är inte ett hinder för kvantdatorer med hjälp av Shor’s algoritm.
Det är väldigt enkelt för en klassisk dator att räkna ut produkten av två primtal (11*17=187) men att faktorisera en produkt och få ut de faktiska faktorerna (primtalen i detta fall) är mycket svårt för en klassisk dator, så kallad primtalsfaktorisering. Det är just detta som nyttjas av klassiska asymmetriska algoritmer så som RSA.
När blir attacker med en kvantdator möjliga?
För att Shor’s algoritm ska fungera i praktiken behöver de stora problemen med kvantdatorer först lösas. Generellt anses det vara flera år kvar innan dessa typer av attacker med kvantdatorer blir realistiskt möjliga, vilket ger tid för planering av övergång till nya kvantsäkra algoritmer. I teorin har det dock visats att med 20 miljoner kvantbitar av typen ”noisy”* så är det möjligt att knäcka en 2048-bit RSA nyckel på ca 8 timmar med Shor’s algoritm. Det finns dock även en risk att någon spelar in till exempel krypterade TLS sessioner idag för att sedan lyckas dekryptera det i framtiden med hjälp av en kvantdator. Varje inspelad session behöver dock ”brute-force:as” en för en med Shor’s algoritm.
*= Dagens instabila kvantbitar.
”It’s no time to panic, it’s time to plan wisely” – NIST
Hur ser framtidens kvantdator ut?
Kvantdatorer och dess teknologi är otroligt komplex och några av dagens problem med att realistiskt kunna nyttja en kvantdator effektivt är stora och kommer förmodligen ta många år att lösa. För det första så är kvantbitar extremt känsliga för störningar, minsta lilla störning i en kvantbit kan få hela kvantberäkningen att kollapsa och kvantbiten att förlora sina kvantegenskaper. Detta kallas för ”decoherence”.
Hur kan du skydda dig idag?
Med dagens kvantdatorer är det bara möjligt att behålla kvanttillståndet i kvantbitarna i några tiondelars mikrosekunder innan så kallad ”decoherence” uppstår. Under själva beräkningarna behöver en kvantdator vara totalt isolerad från all form av extern påverkan. Även saker som att läsa datat av en avslutad kvantberäkning riskerar att korrumpera det. Kvantbittar kräver också mycket extrema förhållanden utöver total isolation för att anta sin superposition så som extrem kyla nära 0 kelvin eller -273,15 Celsius.
Kvantkryptografi
Det pågår idag ett projekt med att testa och välja ut nya kvantsäkra algoritmer föra att hantera det kommande problematiken med kvantdatorer och dess hot mot klassiska asymmetriska algoritmer. Detta projekt startades och leds av den statliga organisationen NIST i USA och arbetet startade redan år 2016. Det är även NIST som ligger bakom processen och urvalet av DES, 3DES och AES. I år (2022) annonserades det från NIST att ett antal kvantalgoritmer nu har valts ut, det betyder dock inte att arbetet är klart. De nya kvantsäkra algoritmerna behöver standardiseras och implementeras runt om i världen.
För Public Key Encryption & Key Exchange har följande algoritm valts ut:
- CRYSTALS-KYBER
För Digitala signaturer har följande algoritmer valts ut:
- CRYSTALS-DILITHIUM
- FALCON
- SPHINCS+
Alla dessa algoritmer förutom SPHINCS+ är gitter-baserade (Lattice) till skillnad mot dagens klassiska public-key algoritmer som i stället förlitar sig på stora primtal och primtalsfaktorisering.
Hur kan du skydda dig idag?
”We estimate that over 20 billion digital devices will need to be either upgraded or replaced in the next 10-20 years to use the new forms of quantum resistant encrypted communication. We do recommend that organizations start planning for this now.” – World Economic Forum
Just nu finns det inte en fullständigt standardiserad uppsättning av kvantsäkra algoritmer men då hotet från kvantdatorer anses vara en fråga om ”när” och inte ”om” är det ändå läge att börja planera för en migrering och övergång. Först och främst så är medvetenheten och förståelsen för detta hot viktig därefter behöver man förstå sina egna risker relaterat till detta.
Utvärdera:
- Förstå sina risker relaterade till kvantdatorer och kvantteknik
- Kartlägg omfattningen av ”utsatt” data/information, system och applikationer.
Inventera:
- Kartlägg och inventera nuvarande kryptografiska algoritmer som är utsatta och hur dessa används i organisationen.
- Dokumentera befintliga kryptografiska beroenden mellan affärskritiska system.
- Definiera organisationens mål för kvantsäkerhet.
Migrera:
- Skapa migreringsplan enligt definierade mål och inventerade beroenden.
- Migreringsplanen kan antingen innebära en direkt övergång till kvantsäkra algoritmer eller en hybrid övergång för en ”mjukare” migrering.
- Planera för etablering, distribuering, verifiering samt revokering av kvantsäkra certifikat.
Ett krav för själva migreringen till de nya algoritmerna är att dessa är valda och finns att använda, än så länge finns ingen färdig och implementerad standard även fast man nu har valt ut ett antal algoritmer. Arbetet med att standardisera dessa algoritmer fortsätter än. NIST har gått ut med att arbete kommer vara klart runt 2024. Rekommendationen från NIST är att försätta kryptera sin skyddsvärda information så som man redan gör idag.
NIST har även en kort video om problematiken kring kvantdatorer och kvantsäker kryptografi. Missa inte heller Conscias CTO Pascal Huijbers föreläsning ”Framtiden för AI och kvantdatorer” och dess betydelse för IT-infrastrukturer och cybersäkerhet, från december, 2022.
Vill du veta mer om vad framtidens kvantdata betyder för din cybersäkerhet?
Välkommen att prata med Conscias experter
