Sådan holder vi på hemmelighederne i kvantecomputerens tidsalder

Rygterne om krypteringens død er stærkt overdrevne. Selv med fremkomsten af kraftige kvantecomputere vil vi kunne udveksle meddelelser, uden at uvedkommende kan læse med.

Godt nok vil kvantecomputere kunne bryde langt størstedelen af de koder, vi i dag bruger til at sende hemmelige beskeder til hinanden over internettet, men så gælder det jo blot om at tage nye krypteringsmetoder i brug. De er allerede klar.

Vi har to solide bolværker, der kan modstå kvantecomputerens hærgen på krypteringsområdet. Det ene er kvantekryptering, der er baseret på de samme fysiske principper som kvantecomputeren. Det andet bolværk er baseret på matematik, blot en anden matematik end den, der i dag benyttes i asymmetriske krypteringssystemer, hvor der bruges en offentlig nøgle til kryptering og en hemmelig nøgle til dekryptering.

Ved at gøre brug af kvantefysik kan man designe et krypterings­system, hvor sikkerheden er garanteret af naturlovene. Her er pointen, at det ifølge kvantemekanikken er umuligt at måle på et system uden at ændre det, og ændringen vil kunne opdages – det bliver afsløret, hvis uvedkommende lytter med.

Koder gemt i fotoner

Kvantemekanikken fortæller også, at en partikel kan være to steder samtidig, lige indtil man måler på den. Tilsvarende kan en foton være i kvantefysisk tilstand, hvor den har to forskellige polarisationsretninger samtidig. Ved kvantekryptering er det i praksis sådanne fotoner, som bruges til udvekslingen af hemmelige koder, der efterfølgende kan bruges til at kryptere meddelelser.

Allerede nu er kvantekrypteringssystemer kommercielt tilgængelige. De er baseret på strømme af enkelt fotoner, der overføres via lyslederkabler. Der er dog grænser for, hvor lange kablerne kan være, for de sammenfiltrede kvantetilstande er skrøbelige og kan højst bevares nogle få hundrede kilometer i selv de bedste lyslederkabler.

Med særlige kvantesatellitter kan rækkevidden forøges, hvilket kinesiske forskere for nylig demonstrerede. I satellitten Micius blev der produceret fotoner, som blev brugt til sikker udveksling af en krypteringsnøgle mellem satellitten og en jordstation i Østrig. Bagefter sendte satellitten nøglen til en jordstation i Kina, igen via en forbindelse, som kvantefysikkens love garanterede sikkerheden af. Nøglen kunne så bruges til at kryptere en video­forbindelse mellem de kinesiske og østrigske forskere, der var adskilt af tusindvis af kilometer.

Noget nyt skal der til

Kvantekryptering er sikker nu og i al fremtid, hvis systemet implementeres korrekt, men den nødvendige teknologi bliver ikke hvermandseje foreløbig. Som Lars Ramkilde Knudsen, professor i kryptologi ved Institut for Matematik og Computer Science på Danmarks Tekniske Universitet (DTU Compute), siger:

»Vil man være 100 procent sikker, skal man bruge kvantekryptering. Men det bliver ikke muligt på smartphones eller generelt på internettet i nogen overskuelig fremtid.«

Derfor arbejder han og mange andre forskere på at optimere krypteringsmetoder, der som de nuværende er baseret på matematiske problemer, men som til forskel fra de mest udbredte asymmetriske krypteringssystemer ikke kan brydes med kvantecomputere.

Det kaldes post-quantum cryptography – kryptering med den antagelse, at en angriber har en stor kvante­computer til rådighed.

Det gælder om at finde frem til krypteringssystemer, der uden de store problemer kan implementeres på internettet, og som gør kommunikationen så sikker, at selv super- kvantecomputere må give fortabt.

Kvantecomputere er ikke vidundermaskiner, der kan udføre alverdens former for beregninger lynhurtigt. Men de kan langt mere effektivt end konventionelle computere udføre beregninger af den type, der kræves for at knække de to mest udbredte krypteringssystemer med offentlig nøgle – RSA (opkaldt efter MIT-forskerne Rivest, Shamir og Adleman) og ECC (Elliptic Curve Cryptography).

Kryptering via nettet sker typisk ved hjælp af protokollen TLS (Transport Layer Security), hvor computerne først benytter asymmetrisk kryptering til at udveksle en symmetrisk krypteringsnøgle, der derefter bruges til selve udvekslingen af data.

Symmetrisk kryptering kan typisk gøres kvantesikker ved at fordoble antallet af bit i nøglerne. Hvor man i dag kan føle sig sikker ved at bruge AES-128-kryptering, skal man op på AES-256 for at sikre sin kommunikation mod kvantecomputere. Noget tilsvarende gælder hashfunktioner, som benyttes i forbindelse med digitale signaturer, så her er problemet heller ikke overvældende stort; man skal blot fordoble størrelsen af hashen. Men så let går det ikke med den asymmetriske kryptering, som er helt central på nettet. Her skal der noget nyt til.

Gamle systemer pudses af

»Når kvantecomputerne kommer, bliver RSA og ECC knækket så let som ingenting. Det vil ske i poly­nomiel tid, og det vil sige, at det ikke nytter bare at gøre nøglerne større, for kvantecomputerne vil hele tiden kunne følge med. Man bliver nødt til at finde på noget andet,« siger Lars Ramkilde Knudsen.

»Vi har da også krypteringssystemer, der lader til at kunne modstå kvantecomputere. Men de er ikke lige så elegante som dem, vi bruger i dag. Her er nøglerne relativt små, kun et par tusinde bit. De kvantesikre systemer har nøgler på omkring 20.000 bit.«

Forskerne kigger mest på variationer af krypteringssystemer som McEliece og LWE (Learning With Errors), som er baseret på, at man med vilje indfører støj eller fejl i de beregninger, man bygger sin krypteringskode på. Så kan selv ikke en kvantecomputer finde ud af at ‘regne baglæns’ og bryde koden.

Sådanne krypteringsmetoder har været kendt i årtier, men de tabte konkurrencen mod de mere effektive systemer, der kendes i dag. Nu hives de ud af mølposen igen, netop fordi de tilsyneladende kan modstå kvantecomputernes fænomenale regnekraft.

Google har allerede testet en version af LWE på nettet. Benytter man den version af browseren Chrome, der kaldes Canary, har man muligvis allerede benyttet sig af kvante­sikker kryptering, når man har kommunikeret med en server hos Google. Dette og lignende forsøg viser, at de nye metoder kræver mere af serverne, men det er trods alt ikke helt i skoven – og arbejdet med at optimere dem, så de bliver hurtigere og får mindre nøgler, fortsætter for fuld kraft.

»De systemer bliver nok ikke knækket lige med det samme. Og så må vi leve med, at de er lidt mere upraktiske,« fortæller Lars Ram­kilde Knudsen.

De konkrete metoder

Om hvilke krypterings­metoder der konkret bliver udrullet for at modstå kvantecomputere, siger han:

»Vi forskere er på opgaven – også her på DTU via EU-projektet PQCRYPTO. Arbejdet mod nye standarder er i fuld gang. Jeg vil gætte på, at de er på plads om 5-10 år. Og bagefter kommer det til at tage rigtig lang tid at skifte fra de nuværende systemer til de kvantesikre systemer.«

De kvanteresistente protokoller – helt sikre kan de aldrig blive – vil højst sandsynligt være på plads, før kvantecomputere for alvor kan bruges som kodebrydere. Til den tid kan vi stadig sende hemmelige beskeder.

I mellemtiden må vi leve med, at de krypterede meddelelser, som vi afsender i dag, kan blive opsnappet og dekrypteret engang i fremtiden.