Forsker: Kvantecomputere vil være en katastrofe for eksisterende kryptering

Illustration: weerapat/Bigstock
Sandsynligvis vil alle krypteringsalgoritmer, der anvendes i dag, give nul sikkerhed, når kvantecomputere er klar, mener forsker.

Alt tyder på, at eksisterende krypteringsteknologier kan brydes meget let ved brug af kvantecomputere, der kan være en realitet allerede om 10-15 år.

»Risikoen er ekstrem, hvis sådanne maskiner findes, men de findes formodentlig ikke i dag. Ja, det er en katastrofe. De sikre kommunikationsløsninger vil blive brudt. Men som med alle andre katastrofer afhænger konsekvenserne af, hvordan man imødegår det,« sagde Ole Kasper Olsen under NSM Security Conference, der bliver afholdt i Oslo i denne uge.

Læs også: Har den kryptering, vi allesammen bruger, en bagdør?

Olsen er forsker i den kryptografiske udviklingsenhed hos norges Nasjonal sikkerhetsmyndighet – NSM – og har 10 års erfaring i evaluering og certificering af kryptosystemer til applikationer. Arbejdet med kryptologi hos NSM kan spores tilbage til 1942 i London, hos NSMs organisatoriske forløber, FO / S (Forsvarets Overkommando/Sikkerhetsstaben.)

Allerede sent på den

Det største problem i dag er relateret til information, der har behov for langsigtet beskyttelse, i ti år eller mere. Selvom denne information er krypteret på en måde, der ikke kan brydes i dag, kunne situationen være anderledes om nogle år.

Hvis en hacker opsnapper eller stjæler den krypterede information i dag og gemmer den, indtil den kan dekrypteres af kvantecomputere i løbet af et årti eller deromkring, kan dette være et problem, der skal tages højde for allerede nu. En god del information, der er følsom i dag, vil stadig være det på dette tidspunkt.

Læs også: Kryptografi vi kan leve (og dø) med

For de fleste af os, der normalt kun bruger kryptering for at forhindre adgang til netbank og andre små følsomme tjenesteydelser, udgør disse perspektiver ikke nogen overhængende fare. Hvor meget du eller jeg havde på vores konto for 10 til 15 år siden, er sandsynligvis af ringe interesse for de fleste – i hvert fald givet, at de er nødvendige ressourcer for at drive en kvantecomputer er enorme.

Det betyder sandsynligvis, at brugen af ​​sådanne kvantecomputere til at knække kryptering kun vil gælde for statsstøttede aktører. Sådanne maskiner vil selvfølgelig også kunne bruges til andre formål.

Ingen alternativer klar

Den anden side af problemet er, at vi ikke har nogen løsning i dag. Olsen rejste et scenarie, hvor information, som nogen sender, skal forblive sikkert i ti år.

»Lad os sige, at kvantecomputere kommer i 2030. Det betyder, at brug af udstyr med kryptografi, der kan brydes af kvantecomputere, skal ophøre i 2020. I dag er der ingen standardiseret kvanteresistente krypteringsalgoritmer til rådighed,« siger han.

Sådanne nye algoritmer skal derfor udvikles på grundlag af kendte matematiske fundamenter, der er resistente. Ifølge Olsen er der indtil videre for lidt viden om det matematiske grundlag til at kunne stole på det.

Læs også: IBM klar med nye kvanteprocessorer: Tre gange hurtigere end forgængeren

NIST (National Institute of Standards and Technology) i USA – som ifølge Olsen er en anerkendt standardiseringsorgan til kryptografiske algoritmer – har startet en proces, der minder om en turnering. Her forsøger man at bryde indsendte forslag til kryptering. Ifølge Olsen vil denne proces sandsynligvis løbe til omkring 2022/23, inden den når en endelig standard.

Nogle råd med på vejen

Spørgsmålet er om dette tidligt nok. Svaret afhænger af den enkelte virksomheds behov for langsigtet beskyttelse af data. De berørte virksomheder kan dog foretage visse forberedelser, der hjælper med at forhindre, at ventetiden bliver yderligere forlænget.

Læs også: Kryptering kan vinde over kvante-computere

Olsens råd omfatter, at man fremover anskaffer systemer, der er fleksible nok til at tillade, at sårbare algoritmer kan udskiftes, når der kommer kommer gode, kvanteresistente alternativer.

I mellemtiden må virksomheder vurdere, om der skal træffes specifikke foranstaltninger for at beskytte visse værdier i de kommende år, indtil de kvanteresistente alternativer er blevet tilgængelige.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Martin Liversage

I dag er der ingen standardiseret kvanteresistente krypteringsalgoritmer til rådighed

Dette udsagn er forkert (men det kan være at det skyldes at det er taget ud af kontekst). Kvantecomputere udgør en trussel mod kryptering pga. Shors algoritme som gør det muligt med en kvantecomputer at bryde asymmetrisk kryptering indenfor overskuelig tid. Men langt det meste data er krypteret med symmetrisk kryptering (fx AES 256), og mig bekendt findes der ingen kvantecomputer-algoritmer som kan bryde denne kryptering. Der er naturligvis stadig et stort problem at asymmetrisk kryptering kan brydes fordi denne kryptering ofte bruges til at udveksle den nøgle der bruges til symmetrisk kryptering, men at kryptering holder helt op med at virke når man har en stærk nok kvantecomputer er ikke rigtigt.

  • 14
  • 0
#3 Jeppe B. Vennekilde

Grover's algoritme opnår kvadradtisk speedup af bruteforce over for symmetrisk kryptering. Dette betyder, at man effektivt kan beskytte sig imod det, ved at fordoble key size.

Dette er langt fra hvad man opnår i forhold til Shor's algoritme og asymmetrisk kryptering, men det er stadigvæk nok til potentielt at være en trussel overfor e.g. AES-128

  • 4
  • 0
#6 Bjarne Nielsen

... ved denne nyhed er vel, at så kan argumentet med, at data i genomcentret er krypterede, ikke mere bruges.....

Jeg har aldrig rigtigt været tryg ved det argument, og det skyldes ikke kun "kvante".

At de påståede fordele ved NGC nok er overvurderet, og de forventelige ulemper undervurderet, vil jeg lade andre argumentere for, f.eks. Patientdataforeningen med dette opslag på Facebook (ugh! - de burde virkelig finde sig en anden platform).

Som Martin og Jeppe er inde på, så er der lige nu meget større grund til at være bekymret for nøgleudveksling end for kryptering som sådan. Men det rammer så også vores kommunikation med andre. Og vi ved, at der er betydelige aktører, som går og gemmer på vores kommunikation i håbet om, at kunne vriste hemmeligheder ud af det, når teknologien er til det. Aktører, som er yderste tålmodige og må forventes at have en betydelig kapabilitet.

Og det forudsætter, at der ikke er andre veje ind. Vi har med mennesker at gøre, og det er nok at der bare er en, som er uforstandig eller uforsigtig. Eller skurkagtig.

End ikke den bedste kryptering har nogen værdi, hvis nøglen er blevet kompromiteret.

Og derfor er jeg bekymret for NGC. Det er er farligt at samle dem i en bunke, og på en form, hvor de er søgbare. Det er i forvejen data, som kan være kostbare - kostbare for dem, som det handler om, og værdifulde for aktører, som ikke har vores bedste interesserer in mente. Og jo bedre struktureret data er, og jo flere af dem, som er samlet, desto bedre økonomi er der i at angribe dem.

For i stedet for at skulle have "indbrud" rundt omkring i hele landet, så skal man bare lykkedes med at tømme "Nationalbanken". Det giver nogle helt andre trusselsbilleder.

Så NGC har ikke just trussel-økonomien på deres side.

Når jeg snakker med fagpersoner, så er den generelle fornemmelse, at vores nuværende algoritmer og nøglelængder nok skal beskytte vores data mindst de næste 20-30 år (sikkert længere, men her bliver de normalt noget flakkende i blikket). Men - lyder argumentet - hvis data alligevel er værdiløse på den tidshorisont, så er det jo fint nok.

Der er bare lige det, at genom-data er relevante i langt længere tid. For det første fordi at folk ikke skifter genom sålænge at de lever (ikke sådan rigtigt), og at data derfor er yderst relevante for dem omkring 3 gange længere tid. Men vi jo genetisk set vores forældres børn, så genom-data om vores forældre og bedsteforældre er også yderst relevant for os, specielt hvis man har oplysninger om de fleste af dem.

Det gør at man skal tænke sig rigtigt godt om, og det betyder også, at konventionel visdom om "godt nok" nok ikke holder i forhold til NGC. Heller ikke her, at trussel-økonomien på NGCs side.

Men en større udfordring er, at vi ikke kun taler om "data-at-rest" hos NGC. Det er åbenlyst, at data ikke bare skal samles til bunke til fremtiden (hvad den som end måtte bringe) - data skal ud og "nyttiggøres". Og så taler vi om kommunikation. Og vi taler om større angrebsflade i det hele taget, for en kæde er aldrig stærkere end det svageste led.

Bevares, der er forhåbentlig ikke tale om at man igen sender hele datasættet ukrypteret med anbefalet post. Så idi..., inkom.., ahem, "skødesløs" er man forhåbentlig ikke mere. Men det må forventes, at det der deles er gode, solide bidder med masser af detaljer, for ellers har data jo ikke den påstående værdi - og derfor er de bidder i sig selv (eller i kombination) et yderst attraktiv mål. Og her har vi ikke engang "kvante" på vores side.

Derfor deler jeg ikke ministerens ubekymrethed om, at et "højt sikkerhedsniveau" (pdf) er tilstrækkeligt. Og "kvante" gør ikke situationen spor bedre.

  • 7
  • 0
#7 Bjarne Nielsen

Det kunne derimod være interessant at høre hvordan det rent faktisk går med de nævnte tiltag

Bestemt. Og ikke kun der. Mine kvantekyndige kontakter fortæller mig, at det er stor optimisme i flere forskergrupper, så det er nok et område om at værd at holde øje med.

Og der er flere danskere, som er rigtigt godt med.

og allerede dengang var der forskningsprojekter og andre tiltag for at imødegå

Men det er noget trægt, for at sige det mildt. Der er rigtigt nok flere alternative algoritmer, men der er ikke rigtigt nogle, som har analyseret dem - sikkert fordi, at de ikke er særligt udbredte. Og de er ikke særligt udbredte - sikkert fordi, at der ikke rigtigt er nogle, som har analyseret dem.

Kryptografi kan være en meget konservativ branche.

Apropos Grover og Shor, så er det jo teoretiske resultater. Nogle af de løsninger, som pt. ser lovende ud, har quirks, f.eks. særegen topologi, så det bliver spændende at se, om de kan indfri forventningerne.

Men jeg kan lige så godt gå til bekendelse: jeg er ikke sikker på, at jeg nogensinde kommer til at forstå "kvante". Ikke sådan rigtigt. Det er altså bare mærkeligt :-).

  • 1
  • 0
#8 Anne-Marie Krogsbøll

Jeg har aldrig rigtigt været tryg ved det argument, og det skyldes ikke kun "kvante".

Det var (som du sikkert har gættet, Bjarne) et desperat forsøg på i det mindste at finde bare lidt positivt, i stedet for den sædvanlige sølvpapirsnejhat .. :-( Det er trods alt (næsten) påske... og (næsten) forår..

Bortset fra det - rigtig god sammenfatning af de mange alvorlige betænkeligheder og uafklarede spørgsmål ved NGC - hvis man ikke lige selv har på forskellig vis givtige aktier i det foretagende (som en del ministre og en del forskere har).

  • 0
  • 0
#9 Bjarne Nielsen

rigtig god sammenfatning af de mange alvorlige betænkeligheder og uafklarede spørgsmål ved NGC

Takker. Men det er altså flere forhold, der bekymrer mig. Jeg prøvede at holde det nogenlunde relevant for diskussionen af "kvante" og kryptering.

Vi har en tendens til at blive bange for mærkelige ting, som f.eks. "kvante". Ofte har vi dog langt større udfordringer længe inden at "kvante" bliver et selvstændigt problem. Men det er så en anden snak.

  • 2
  • 0
#10 Anne-Marie Krogsbøll

Med "kvante"- problemet har vi så for en gang skyld mulighed for at være lidt på forkant, og tænke det igennem, inden fælden er smækket, Bjarne. Selv om det kun er en brøkdel af problemerne med NGC (og alle de øvrige privatlivsforbryderiske offentlige projekter) - og med konsekvenserne af kvantedekryptering generelt - helt enig der.

Må vi få et svar fra ministeren/ministrene? Har nogen af lobbyisterne/skyggeministrene fra industrien overhovedet orienteret ministeren/ministrene om det problem? Eller har de tænkt: "Det der med "kvante", der er alt for svært for et ministerhoved at forstå (og alt for ubekvemt for hele projektet at få fokus på) - det springer vi over"?

  • 0
  • 0
#12 Nicolaj Rosing

Det er helt korrekt at langt den største mængde af data er krypteret med algoritmer der ikke er specielt ‘kvantecomputer’ følsomme, nemlig en kombination af substitution og transposition, hvor nøglelængden kan forøges betragteligt som modsvar på hurtigere regnekraft. Problemet er dog udvekslingen af disse session keys, som idag foregår vha asymetriske krypteringsmetoder, samt hele fundamentet for digitale signature og alle services der afhænger deraf. Uden sikre assymetriske krypteringsalgoritmer bliver alting meget anderledes og der er ingen tvivl om at vi kommer til at finde alternative metoder hvis vi vil beholde den måde elektronisk kommunikation fungerer idag. Diffie Hellman algoritmen ændrede verden for alvor - det vil vi finde ud af hvis der ikke findes nye måder at udveksle krypteringsnøgler på.

  • 2
  • 0
Log ind eller Opret konto for at kommentere