04/10/2019

Supremacja kwantowa już tu jest, choć to jeszcze niepewne

Zagrożenia

Komputer kwantowy firmy Google rozwiązał zadanie, z którym nie poradził sobie najlepszy superkomputer na świecie. Wiadomość ta wywołała ogromne wrażenie, po czym nawiązujący do niej raport został… wycofany.

Gazeta Financial Times zauważyła, że na stronie internetowej organizacji NASA raport został usunięty, co sprawiło, że cała sytuacja wydała się podejrzana. A zatem — chociaż nie wiadomo, jakie dokładnie zadanie wspomniany komputer kwantowy rzekomo rozwiązał (nie wspominając o tym, ile kubitów miał, 53 czy 72) — bardzo prawdopodobne jest, że tzw. supremacja kwantowa rzeczywiście już jest faktem. Dziś wyjaśnię, dlaczego tak uważam.

Supremacja kwantowa (podobno) już jest faktem

W zeszłym roku, będąc pod wrażeniem tego, jak dużo uwagi poświęcono kryptografii postkwantowej podczas konferencji RSA, oszacowaliśmy, że supremacja kwantowa może pojawić się pod koniec 2019 roku. Dokonaliśmy prostego rachunku na podstawie czasu, jaki potrzebują komputery kwantowe i superkomputery, aby uwzględnić liczby pierwsze dla 512-bitowego algorytmu szyfrowania RSA. Szacunki te są zbliżone do tego, co ujawnia raport — odpowiednio 3 minuty i 20 sekund oraz około 10 tys. lat. Czy to oznacza, że nasze prognozy były trafne?

Tak może się wydawać, gdy weźmiemy pod uwagę wspomnianą informację. Jednak nikt (jeszcze) nie może poczekać tysiąca lat, aż superkomputer wykona stosowne obliczenia. Jednak nie to jest tutaj najważniejsze; wygląda na to, że czas tradycyjnej kryptografii właśnie minął. To z kolei rodzi pytanie: co teraz?

Kryptografia może nas zawieść. Co możemy zrobić?

Bez względu na to, czy uważasz Edwarda Snowdena za bohatera, czy za zdrajcę, jego podzielona reputacja przypomina mi systemy kwantowe. W kontekście jeszcze nie do końca pewnego pojawienia się supremacji kwantowej, w swojej nowej książce Snowden podaje kilka dobrych praktycznych porad w związku z szyfrowaniem: zaleca wykorzystywanie więcej niż jednego algorytmu. I ma rację. Jeśli nie masz pewności, że szyfrowanie Cię nie zawiedzie, najlepiej zaszyfruj swoje cenne dane więcej niż jeden raz, korzystając z różnych algorytmów.

W przypadku komputerów kwantowych wystarczy upewnić się, że co najmniej jeden z tych algorytmów jest wzmocniony kwantowo. Masz do wyboru 17 pozycji, które proponuje organizacja NIST. Tu jednak oparte na kratach i wielowymiarowe algorytmy wydają się być lepsze od krzywych eliptycznych.

Z biznesowego punktu widzenia, jeśli nie mamy ostatecznego wyboru, dobrym pomysłem może być kontynuowanie używania łatwo dostępnej kryptografii krzywych eliptycznych na AES z wystarczająco długim kluczem, lub SHA3, w zależności od potrzeb — ponieważ, jak już wspomnieliśmy, cenne dane wymagają „konserwacji szyfrowania” raz na jakiś czas. Nigdy o tym nie zapominajcie.