Krypteringsfolket frygter kvantecomputeren

Krypteringsfolket frygter kvantecomputeren

Virksomheder, der udvikler krypteringsværktøjer, er begyndt at forberede sig på et teknologiskifte, der skal imødegå angreb fra kvantecomputere.

For godt et år siden udsendte National Security Agency (NSA) i USA en advarsel. Organisationen meddelte som beskrvet i en tidligere artikel på version2.dk, at det var ved at være på høje tid at forberede sig på den situation, at der inden for en overskuelig fremtid vil findes kvantecomputere, der så let som ingenting kan knække de nuværende og meget anvendte krypteringsteknikker.

NSA advarede ligefrem om, at personer eller organisationer allerede i dag kunne tænkes at lagre store mængder krypterede data, som de så vil kunne læse, den dag de får adgang til en kvantecomputer af passende størrelse.

Det er bekymrende, da mange ønsker at holde dokumenter hemmelige i 20-30 år eller endnu længere.

En af de virksomheder, som leverer krypteringssystemer til store kunder verden over, er Cryptomathic, som er grundlagt for 30 år siden af tre professorer fra Aarhus Universitet. Her gør man sig også sine overvejelser omkring kryptering i en verden med kvantecomputere.

Hemmelig kommunikation kræver kryptering og sikre nøgler. De nuværende teknikker holder ikke over for et angreb fra en kvantecomputer, men kvanteteknologi er ikke kun et angrebsvåben over for kryptering, det kan også bruges som en fuldstændig sikker forsvarsmekanisme. Charles H. Bennett fra IBM og Gilles Brassard fra Université de Montreal udviklede i 1984 den første protokol for kvantekryptografi, som i dag kaldes BB84. Der findes i dag mere avancerede protokoller, men BB84 illustrerer på god vis hovedprincipperne i kvantekryptering.

Virksomheden beskæftiger i Aarhus omkring 40 højtuddannede personer, der udvikler produkter og systemer inden for kryptografi og informationsteori. Den har meldt sig under fanerne hos Quantum Innovation Center (QuBiz), der med den største bevilling nogensinde fra Danmarks Innovationsfond på 80 mio. kr. over to år samler forskere fra Københavns Universitet, Aarhus Universitet og DTU for at gøre Danmark til hjemsted for udvikling af kvanteteknologi.

Den ene af virksomhedens stiftere, Peter Landrock, er i dag tilknyttet University of Cambridge i England, foruden at han er bestyrelsesformand for Cryptomathic.

»Der er ikke noget nævneværdigt marked endnu for systemer til kryptering i en post-kvante-verden. Alligevel har vi i gennemsnit halvanden person beskæftiget på fuld tid i QuBiz-projekter, og på den måde forbereder vi os på fremtiden,« fortæller han over telefonen fra England.

En overgang til nye krypteringsteknikker i erhvervslivet står heller ikke lige for døren, vurderer han.

Det er ikke, fordi teknologien ikke findes. Allerede for 12 år siden gennemførte man i Østrig en bankoverførsel baseret på kvantekryptografi.

»Men det bliver en både kostbar og langvarig omstilling. Derfor er vores kunder afventende, men de er da allerede så småt begyndt at tænke over det, de måske kommer til at gøre,« siger Peter Landrock.

Han mener, at et skifte til krypteringsteknikker sikret mod angreb fra kvantecomputere nok ligger en halv snes år ude i fremtiden, og at det vil tage fire-fem år at implementere sådanne systemer.

Tilfældige tal er svære at lave

Men inden da vil kvanteteknologi kunne forbedre de nuværende krypteringssystemer. Disse er i høj grad baseret på, at man ud fra tilfældige tal kan generere krypteringsnøgler, som andre ikke kan kende.

Men tilfældige tal er noget af det sværeste i denne verden at producere. Det sker oftest med såkaldte pseudo-tilfældige generatorer, der giver tal, der ser tilfældige ud, men som i virkeligheden kommer i en helt bestemt deterministisk rækkefølge.

Derfor risikerer en bruger at have en krypteringsnøgle, som nok ser ‘hemmelig’ ud, men slet ikke er det.

»Det har vi set eksempler på,« siger Peter Landrock.

Her kan kvanteteknologi komme til hjælp, for kvantefysik er så at sige født med tilfældighed indbygget.

»Inden for det næste år kan vi måske levere en række nye generatorer for tilfældige tal baseret på kvanteteknologi,« siger han.

Det næste skridt, han forudser, vil være distribution af kvantenøgler, Med kvantenøgle-distribution er det muligt for to parter at generere krypteringsnøgler, som kun de kan kende.

Den helt afgørende kvanteegenskab, der gør det muligt, er det såkaldte ikke-klonings-teorem, der blev formuleret første gang i 1982. Det siger, at man ikke kan skabe en kopi af en vilkårlig kvantetilstand.

Det er er således ikke muligt for en aflytter at tage en kopi af en kvantebit uden samtidig at ødelægge den, så den ikke når uskadt frem til modtageren. Derved kan to personer, der kommunikerer med kvantebits, altid vide, om de har en krypteringsnøgle, som alene de har kendskab til.

Den første protokol herfor blev beskrevet i 1984 af Charles H. Bennett fra IBM og Gilles Brassard fra Université de Montreal og kaldes af samme årsag i dag for BB84. Den er så at sige alle kvantekrypteringsprotokollers moder.

Med sådanne nøgler kan de to parter herefter udveksle hemmelig information over sædvanlige kommunikationskanaler og baseret på konventionel teknologi.

»Her kan vi måske have kommercielle produkter inden for ca. tre år. Vi arbejder allerede nu sammen med DTU på at udvikle en proto­type,« siger Peter Landrock.

Demonstration i København

Samarbejdspartnerne er professor Ulrik Lund Andersens forskningsgruppe på DTU Fysik, hvor en gruppe forskere studerer mere avancerede krypteringsprotokoller, hvor man ikke behøver særlige forbindelser, men ved hjælp af kvanteteknologi kan udveksle krypteringsnøgler over helt åbne netværk.

Læs også: DTU-forskere bag smart metode til kvantekommunikation over upålidelige netværk

Det sker med en teknik, som kaldes measurement-device-independent (MDI) kvantekryptering, og det er især sådanne metoder, som Peter Landrock mener kan blive interessante på sigt.

Teknikken er stadig begrænset til relativt korte afstande, måske op til 25 km. Inden for få år er det tanken at gennemføre et sådant eksperiment i Storkøbenhavn, der skal vises teknikkens anvendelighed.

Metoden tillader endog, at to personer kan udveksle krypteringsnøgler med hjælp fra en tredje person, som kan være nok så upålidelig.

Den dag, Cryptomathic eventuelt skal udvikle et kommercielt produkt, bliver det hjemme i Aarhus.

»Vi skal ikke nyde noget af at outsource udviklingen til lande som Indien, hvor vi ikke har fuldstændigt styr på, hvad der foregår. Det vil kun koste os troværdighed hos vores kunder,« siger Peter Land­rock.

Kommentarer (7)

Hvad nu hvis den aldrig kommer til at virke ?? Så har man godt nok spildt mange penge, på en fiks ide

  • 0
  • 4

Jeg vil næsten vædde med der vil komme noget brugbart ud af disse anstrengelser selv om en kvantecomputer aldrig ser dagens lys.

  • 8
  • 0

For godt et år siden udsendte National Security Agency (NSA) i USA en advarsel. Organisationen meddelte som beskrvet i en tidligere artikel på version2.dk, at det var ved at være på høje tid at forberede sig på den situation, at der inden for en overskuelig fremtid vil findes kvantecomputere, der så let som ingenting kan knække de nuværende og meget anvendte krypteringsteknikker.

Det er ikke alle nuværende og meget anvendte krypteringsteknikker der kan brydes af en kvantecomputer. Det er kun en lille delmængde der kan brydes, nemlig dem der implementerer digital signatur og nøgleudveksling ved brug af store primtal.

Symmetrisk kryptering er sikker også overfor en kvantecomputer.

Det vil sige at har du AES128 krypteret dine filer med et helt almindeligt kodeord uden brug af certifikater eller andet avanceret, så er dine data sikre i meget lang tid.

Der er mere information her: http://pqcrypto.org/

Here's the one-minute introduction: "Imagine that it's fifteen years from now. Somebody announces that he's built a large quantum computer. RSA is dead. DSA is dead. Elliptic curves, hyperelliptic curves, class groups, whatever, dead, dead, dead. So users are going to run around screaming and say 'Oh my God, what do we do?' Well, we still have secret-key cryptography, and we still have some public-key systems. There's hash trees. There's NTRU. There's McEliece. There's multivariate-quadratic systems. But we need more experience with these. We need algorithms. We need paddings, like OAEP. We need protocols. We need software, working software for these systems. We need speedups. We need to know what kind of key sizes to use. So come to PQCrypto and figure these things out before somebody builds a quantum computer."

  • 5
  • 0