18/12/2015

Komputery kwantowe: co dla nas dzisiaj oznaczają?

Porady Zagrożenia

Podobno komputery kwantowe mają pojawić się już wkrótce i zmienią świat na zawsze. Zazwyczaj gdy tak mówimy, mamy na myśli rewolucję w dziedzinie fizyki czy medycyny, lecz to, co bez wątpienia wisi w powietrzu, ma zmienić podejście do bezpieczeństwa informacji.

post-quantum-featured

Dyskusja tocząca się wokół komputerów kwantowych, które mogą między innymi szybko łamać szyfry, trwa od dekad. Pomysł pozostaje podtrzymywaną przez naukowców utopią i nie klaruje się w żadnych opracowaniach technicznych.

W tym miejscu doszliśmy do punktu krytycznego. W sierpniu amerykańska wewnętrzna agencja wywiadowcza NSA opublikowała nowe wydanie swoich zaleceń bezpieczeństwa dla branży. Jak na ironię, jest ona znana ze swoich zakrojonych na szeroką skalę metod inwigilacji, więc działa zupełnie odwrotnie.

Organizacja ta ma za zadanie dbać o bezpieczeństwo informacji krytycznych i zaklasyfikowanych jako istotne dla kraju oraz publikować zalecenia co do najlepszych i najskuteczniejszych metod szyfrowania i innych środków ochrony informacji dla organizacji państwowych oraz użytkowników prywatnych. Dyskusję o komputerach kwantowych podsyciła decyzja agencji o odejściu od zalecanego standardu kryptograficznego, znanego jako SUITE B.

NSA motywuje swoją decyzję tym, że fizyka i technologia ewoluują w znacznie szybszym tempie niż pierwotnie zakładano. Agencja twierdzi, że już wkrótce powstaną komputery kwantowe, które osłabią istniejące systemy oparte na szyfrowaniu, sygnaturach cyfrowych lub wymianie kluczy, przez co staną się one podatne na nową generację ataków.

Mówiąc wprost, NSA odwołała wcześniejsze rekomendacje związane z szyframi i algorytmami szyfrowania, nie przedstawiając jednocześnie nowych. W ten sposób użytkownicy zostali zawieszeni w próżni i muzą czekać na opublikowanie następnej iteracji ich zaleceń. Jednak szybko to się nie wydarzy, a ponieważ utknęliśmy, spróbujmy się zastanowić nad możliwym rozwojem i skutkami rewolucji kwantowej.

W teorii

Certyfikaty stron, podpisy cyfrowe programów, komunikacja szyfrowana w narzędziach bankowości internetowej, komunikatory i inne aplikacje – wszystkie polegają na kilku stosunkowo prostych trikach matematycznych.

Każdy z tych przypadków użycia stosuje zasadę kryptografii opartą na kluczach asymetrycznych. Oznacza to, że procesy szyfrowana i deszyfrowania są wykonywane przez parę „matematycznie” połączonych kluczy, gdzie klucz szyfrowania jest publicznie znany, a klucz deszyfrowania jest znany tylko właścicielowi (bankowi, twórcy aplikacji itp.).

Sztuczka ta zakłada, że chociaż klucz publiczny jest znany, klucz prywatny nie może zostać obliczony  (innymi słowy – złamany) w rozsądnym okresie. I tutaj poważnym zagrożeniem mogą stać się komputery kwantowe. Podczas gdy dzisiejszy przeciętny komputer spędziłby tysiące lat na obliczaniu całkiem długiego ciągu liczb, jakim jest klucz prywatny, komputer kwantowy przetworzy to trudne zadanie w zaledwie kilka minut.

Czy jest to dla nas realne zagrożenie? Cóż, potencjał zmiany zasad gry jest ogromny. Cała korespondencja online straciłaby swoją prywatność, więc nie byłoby problemu, aby podszyć się pod bank czy jakąkolwiek inną firmę, ponieważ nie byłoby adekwatnych środków potwierdzania tożsamości online. Jak to mówią pesymiści, koniec jest blisko. Ja, jako optymista, odpowiem: „Ten temat jest taki płytki. Na pewno jest ich znacznie więcej!”.

Monitor naukowy

Do tej pory ludzie, którzy mieliby jakiekolwiek kłopoty w związku ze wspomnianą wyżej możliwością, spali spokojnie. Badacze pracujący nad informatyką kwantową napotkali dwa fundamentalne problemy.

Po pierwsze, trudno jest obliczyć stan systemu kwantowego, czyli rozwiązać problem matematyczny.

Po drugie, tzw. kubity (lub bity kwantowe) są bardzo niestabilne: przy większej liczbie kubitów system staje się jeszcze bardziej niestabilny. W związku z tym istniejące komputery kwantowe opierają się tylko na dwóch lub czterech kubitach, tymczasem złamanie dzisiejszych wymagań kryptosystemów wymaga setek lub nawet tysięcy kubitów!

Czip czterokubitowy. Zdjęcie: Eric Lucero, Martinis Group, Uniwersytet Kalifornijski, Santa Barbara

Kilka lat temu powszechnie wiadomo było, że proces tworzenia użytecznego komputera kwantowego (który mógłby stanowić prawdziwe zagrożenie dla algorytmów szyfrowania) zabrałby kolejne dwie lub nawet cztery dekady. Jednak nieoczekiwanie ewolucja przyspieszyła. Niedawno pierwsze szlaki przetarł udany projekt badaczy z Uniwersytetu Nowej Południowej Walii w Australii – naukowcy stworzyli kwantową bramkę logiczną.

Zaproponowane przez nich rozwiązanie jest jeszcze bardziej fascynujące ze względu na fakt, że w swoim podejściu badacze wykorzystali zwykłe silikonowych czipów (poddane pewnym modyfikacjom), przez co przyszły komputer kwantowy byłby stosunkowo niedrogi, skalowalny, a nawet kompatybilny ze zwykłymi PC-tami. Jedyną wadą jest to, że wymaga on bardzo niskich temperatur pracy, chociaż naukowcy są optymistami co do zwiększenia liczby kubitów do setek lub nawet tysięcy bez szczególnego wysiłku.

Najbardziej pomyślny scenariusz zakłada, że wyprodukowanie pierwszego komputera kwantowego będzie możliwe już za 5 lat, przy użyciu niewielkiej liczby kubitów. Aby stworzyć zagrożenie dla obecnych metod kryptograficznych, być może komputer kwantowy będzie musiał ewoluować przez kolejną dekadę. Pesymiści wolą pozostać przy swojej poprzedniej prognozie kilkunastu dekad.

Realistyczny stan algorytmów kwantowych wciąż jest niepewny, musi przejść wiele dokładnych badań i analiz, więc możliwe, że komputery kwantowe w ogóle nie będą w stanie łamać szyfrów. Przekonamy się o tym z biegiem czasu, ale jeśli optymiści mają rację, czas zacząć się przygotowywać.

Przygotowywanie się może być łatwe i trudne zarazem. To, co należy zmienić w celu rozpoczęcia ery kwantowej, to migracja bieżących protokołów szyfrowania do algorytmów „postkwantowych” (takich, które nie będą mogły zostać zhakowane przez komputery kwantowe). Na szczęście jest to możliwe do wykonania.

Powinniśmy jednak pamiętać to, czego doświadczyliśmy w trakcie ostatnich dwóch lat: przestarzałe i/lub dziurawe systemy szyfrujące, które w dużym stopniu są podatne na ataki Heartbleed czy POODLE, wciąż są używane nawet przez duże firmy. Oznacza to, że nawet najbardziej skuteczne rozwiązanie bezpieczeństwa nie mogą zostać zastosowane na dużą skalę odpowiednio szybko. Z tego powodu powinniśmy obawiać się dzisiaj szyfrowania „postkwantowego”.

„Biorąc pod uwagę niski poziom stosowania lub niewłaściwą implementację wysokiej jakości kryptografii, nie przewidujemy płynnego przejścia, które zrównoważy niepowodzenia kryptograficzne na dużą skalę” – powiedział w swoim artykule prognozy Kaspersky Lab na 2016 rok Juan-Andreas Guererro-Saade, badacz z zespołu GReAT.

Na szczęście niektóre poważne organizacje branżowe (np. NIST) rozpoczęły już proces standaryzacji. Aktualnie eksperci rozmawiają o możliwości zastąpienia RSA i ECDH różnymi algorytmami nowej generacji.

Praktyczny przewodnik

A zatem, co powinien przeciętny użytkownik zrobić, czekając na nadejście kwantowej kryptozagłady? Po pierwsze, należy krytycznym okiem oszacować PRAWDZIWE zagrożenia oraz wartość potencjalnie dziurawych danych.

Certyfikaty cyfrowe dla bankowości internetowej i aplikacji kiedyś wygasną, zatem zanim komputery kwantowe dogonią obecne certyfikaty, stracą one ważność. Miejmy nadzieję, że następne certyfikaty będą podpisane przez algorytmy, które w jakiś tajemniczy sposób będą odporne na metody deszyfrowania oparte na kwantowości.

Firmy obserwujące zagrożenia (także Kaspersky Lab) prawdopodobnie zastosują dla stron jakieś kontrole bezpieczeństwa na poziomie kwantowym, na przykład czerwony wskaźnik w pasku adresu przeglądarki ostrzegający użytkownika, gdy strona używa przestarzałych algorytmów szyfrowania.

To samo podejście zostałoby zastosowane do podpisów cyfrowych dla aplikacji lub szyfrowania dla ruchu pomiędzy użytkownikami komunikatorów. Zanim jednak komputery kwantowe staną się codzienną rzeczywistością, prawdopodobnie będzie już w użyciu adekwatna ochrona.

Co więc stanowi zagrożenie? Gromadzenie przez organizacje takie jak NSA ogromnej ilości szyfrowanego ruchu już dzisiaj. Póki co jest to olbrzymia ilość bezużytecznych fragmentów informacji przechowywanych w centrach danych, które czekają na potrafiące je odszyfrować technologie kwantowe kolejnej generacji.

Wszystko to można sprowadzić do jednego pytania: jak przydatne będą informacje z Twojego ruchu sieciowego dla zainteresowanych stron oraz czy opłaca się go przechowywać i odszyfrowywać? Czy będą tak samo wartościowe za 10-20 lat? Są takie grupy osób, których odpowiedź może brzmieć „tak”: kontrahenci posiadający dostęp do ściśle tajnych informacji, dziennikarze, lekarze i prawnicy pracujący z danymi poufnymi, a także działacze obywatelscy występujący przeciwko represjom rządowym.

Jeśli ktoś należy do tej grupy podwyższonego ryzyka, musi oszacować poziom zagrożenia i zastosować metody postkwantowe w celu ochrony wrażliwych danych już dziś, aby ochronić je przed niektórymi przykrymi konsekwencjami jutro.

Istnieje kilka podejść, które można zastosować:

  1. Unikaj asymetrycznych kluczy. „Algorytmy kwantowe potrafią rozwiązywać problemy NP-zupełne, które są podstawą dzisiejszej kryptografii asymetrycznej; w ten sposób zagrażają kryptografii krzywych eliptycznych i RSA, sygnaturom i szyfrowaniu El Gamal, jak również algorytmowi Diffy’ego-Hellmana” – powiedział Wiktor Aliuszyn, ekspert z Kaspersky Lab. Rozwiązaniem może być używanie alternatywnych protokołów wymiany klucza lub umożliwienie wymiany fizycznej kluczy. Na przykład, podczas używania komunikatora mobilnego Threema obaj rozmówcy wymieniają kody QR na swoich telefonach, przez co ich komunikacja staje się całkiem odporna na zhakowanie.
  2. Używaj szyfrowania wyższej klasy. Chociaż produkcja komputerów kwantowych może ruszyć dopiero za kilkadziesiąt lat, hakerzy nie siedzą bezczynnie i będą kontynuować tworzenie nowych i wyszukanych ataków kryptograficznych. Stosowanie kluczy RSA-8192 lub P-256 jest z tego względu przesądzone w przypadku dokumentów wrażliwych.
  3. Wykorzystaj silniejsze algorytmy szyfrowania symetrycznego. „Komputery kwantowe mogą skutecznie łamać hasła i odkryć symetryczne klucze szyfrowania: na przykład komputer kwantowy łamie klucz 2N-bitowy, natomiast zwykły komputer w tym czasie może złamać klucz N-bitowy. W konsekwencji lepiej jest podwoić długość symetrycznych kluczy, aby zachować ten sam stopień kryptograficznej odporności” – mówi Aliuszyn. Należy wziąć pod uwagę, że liczba ataków na symetryczny szyfr blokowy AES wzrasta. Rośnie także ich poziom skomplikowania. Zatem pomijając fakt, że wciąż są one w większości bezskuteczne, przejście na szyfrowanie 256-bitowe nie będzie takie odczuwalne, nawet jeśli nie rozważa się jeszcze nadejścia zagrożeń kwantowych.
  4. Podejście eksperymentalnych rozwiązań postkwantowych. Różnią się one w kwestii wartości praktycznej i wygody, a ich odporność kryptograficzna jest, w niektórych przypadkach, mocno wątpliwa. Jednak, jeśli jesteś jednym z pierwszych użytkowników, sprawdź krótką recenzję istniejących narzędzi na podstawie jednego z najbardziej obiecujących postkwantowych systemów kryptograficznych, opartych na kratach.

Nieoczekiwany epilog

Informatyka kwantowa byłaby punktem zwrotnym w bezpieczeństwie internetu i mogłaby skutkować jakimiś skandalicznymi wyciekami, musimy jednak przyznać, że taka rzeczywistość nastanie dopiero za wiele lat.

Przyczyny większości wycieków i włamań są proste: błędy we wdrożeniu, dziurawe oprogramowanie, słabe hasła oraz inne przykłady nieodpowiedzialnych praktyk zabezpieczających.

Zatem obawy związane z bezpieczeństwem danych, których źródłem jest pojawienie się komputerów kwantowych, powinny zmotywować nas do działania od podstaw: wybrania odpowiednich sposobów przechowywania wartościowych informacji, zabezpieczenia kanałów komunikacji, a także używania skutecznych technologii szyfrowania i efektywnych środków zapobiegawczych. Pomoże to zapobiec wyciekowi, zanim komputery kwantowe wejdą do naszego życia codziennego.