Quantum computing w kryptografii – koniec szyfrowania jakie znamy?

Przez dekady kryptografia asymetryczna stanowiła fundament bezpieczeństwa cyfrowego świata. Bankowość internetowa, komunikatory, systemy rządowe, blockchain – wszystkie te technologie opierają swoje bezpieczeństwo na jednym kluczowym założeniu: że pewnych problemów matematycznych po prostu nie da się rozwiązać w rozsądnym czasie. Komputery kwantowe mogą to założenie brutalnie obalić.

Czym właściwie jest komputer kwantowy?

Zanim zagłębimy się w konsekwencje dla kryptografii, warto przypomnieć, czym różni się komputer kwantowy od klasycznego. Tradycyjne komputery operują na bitach – jednostkach informacji przyjmujących wartość 0 lub 1. Komputery kwantowe posługują się kubitami (ang. qubits), które dzięki zjawisku superpozycji mogą jednocześnie reprezentować 0 i 1. To nie jest tylko filozoficzna subtelność – przekłada się na zdolność do przetwarzania ogromnej liczby możliwości naraz.

Dodatkowo kubity mogą być ze sobą splątane (ang. entangled), co oznacza, że stan jednego natychmiast wpływa na stan drugiego, niezależnie od odległości między nimi. W połączeniu z tzw. interferencją kwantową, która pozwala wzmacniać poprawne odpowiedzi i tłumić błędne, komputery kwantowe stają się potencjalnie niewyobrażalnie wydajne w wybranych klasach problemów obliczeniowych.

Gdzie tkwi zagrożenie dla kryptografii?

Współczesna kryptografia asymetryczna – w tym RSA, DSA czy kryptografia krzywych eliptycznych (ECC) – opiera swoje bezpieczeństwo na trudności rozwiązania konkretnych problemów matematycznych:

  • Faktoryzacja dużych liczb – RSA polega na tym, że rozkład iloczynu dwóch wielkich liczb pierwszych na czynniki jest obliczeniowo niewykonalny dla klasycznych komputerów przy odpowiednio długich kluczach.
  • Problem logarytmu dyskretnego – na nim opierają się DSA i część protokołów wymiany kluczy.
  • Problem logarytmu dyskretnego na krzywych eliptycznych – fundament ECC, stosowanego m.in. w Bitcoin czy TLS.

W 1994 roku matematyk Peter Shor opracował algorytm (znany dziś jako algorytm Shora), który pozwala komputerowi kwantowemu rozwiązać problem faktoryzacji w czasie wielomianowym, a nie wykładniczym jak w przypadku najlepszych znanych algorytmów klasycznych. Innymi słowy: wystarczająco potężny komputer kwantowy mógłby złamać 2048-bitowy klucz RSA – który według obecnych standardów jest bezpieczny – w ciągu godzin lub nawet minut, zamiast miliardów lat.

Kolejne zagrożenie stanowi algorytm Grovera z 1996 roku, który co prawda nie łamie szyfrowania symetrycznego (jak AES) bezpośrednio, ale efektywnie skraca długość klucza o połowę. AES-128 stałby się w świecie kwantowym tak bezpieczny jak AES-64 – co byłoby nieakceptowalne. Remedium jest jednak proste: wystarczy przejść na AES-256.

Jak blisko jesteśmy punktu krytycznego?

Tu zaczyna się dobre pytanie. Obecne komputery kwantowe – jak te oferowane przez IBM, Google czy IonQ – liczą od kilkuset do kilku tysięcy kubitów fizycznych. Brzmi imponująco, ale należy zaznaczyć kluczową różnicę: kubity fizyczne są bardzo podatne na błędy wynikające z dekoherencji (zakłóceń środowiskowych). Do faktycznego złamania RSA-2048 przy użyciu algorytmu Shora potrzeba szacunkowo od 4 000 do 20 milionów logicznych kubitów – czyli stabilnych, odpornych na błędy jednostek obliczeniowych.

Eksperci z branży są podzieleni co do harmonogramu. Niektórzy uważają, że "Q-Day" – dzień, w którym komputer kwantowy złamie powszechnie używane szyfrowanie – może nastąpić już w latach 30. XXI wieku. Inni twierdzą, że do 2040 roku bariery inżynieryjne pozostaną zbyt duże. Agencja NSA oficjalnie szacuje, że RSA-2048 jest bezpieczny co najmniej do 2030 roku, ale zaleca migrację do algorytmów post-kwantowych znacznie wcześniej.

Warto też wspomnieć o strategii zwanej "harvest now, decrypt later" (zbieraj teraz, odszyfruj później). Już dziś złośliwi aktorzy – w tym prawdopodobnie państwowe służby wywiadowcze – mogą przechwytywać zaszyfrowane dane z myślą o ich późniejszym odszyfrowaniu, gdy komputery kwantowe osiągną odpowiednią moc. Dane, które dziś wydają się bezpieczne, mogą zostać ujawnione za 10–15 lat. To sprawia, że problem jest pilny już teraz, nie dopiero w dniu, gdy pojawi się pierwszy komputer kwantowy zdolny do łamania kluczy.

Post-kwantowa kryptografia – odpowiedź świata nauki

Środowisko akademickie i przemysł nie czekają bezczynnie. Od lat trwają prace nad kryptografią post-kwantową (PQC – Post-Quantum Cryptography), czyli algorytmami, które będą odporne na ataki zarówno klasycznych, jak i kwantowych komputerów.

W 2024 roku Narodowy Instytut Standaryzacji i Technologii USA (NIST) ogłosił pierwsze oficjalne standardy algorytmów post-kwantowych po wieloletnim procesie selekcji i analizy:

  • ML-KEM (CRYSTALS-Kyber) – mechanizm enkapsulacji klucza oparty na problemach krat (lattice-based cryptography), przeznaczony do bezpiecznej wymiany kluczy szyfrujących.
  • ML-DSA (CRYSTALS-Dilithium) – algorytm podpisów cyfrowych, również oparty na kratach.
  • SLH-DSA (SPHINCS+) – algorytm podpisów oparty na funkcjach skrótu, charakteryzujący się bardzo dobrze poznanymi właściwościami bezpieczeństwa.
  • FN-DSA (FALCON) – kolejny algorytm podpisów oparty na kratach, oferujący mniejsze podpisy niż Dilithium.

Kryptografia oparta na kratach matematycznych jest szczególnie obiecująca, ponieważ nawet dla komputerów kwantowych nie są znane efektywne algorytmy rozwiązywania problemów kratowych (np. Learning With Errors, LWE). Oczywiście "nie są znane" to nie to samo co "nie istnieją" – dlatego równolegle badane są algorytmy oparte na różnych fundamentach matematycznych, co zwiększa dywersyfikację ryzyka.

Jak wygląda migracja na algorytmy post-kwantowe?

Przejście na nowe standardy kryptograficzne to gigantyczne wyzwanie inżynieryjne. Wyobraźmy sobie skalę: praktycznie każdy protokół komunikacyjny, każde oprogramowanie, każde urządzenie korzystające z kryptografii asymetrycznej musi zostać zaktualizowane. Mowa o:

  • Protokołach internetowych (TLS, HTTPS, SSH, VPN)
  • Infrastrukturze PKI i certyfikatach SSL
  • Systemach bankowych i płatniczych
  • Urządzeniach IoT – często z ograniczonymi możliwościami aktualizacji
  • Systemach rządowych i wojskowych
  • Technologiach blockchain i kryptowalutach
  • Oprogramowaniu wbudowanym w sprzęt przemysłowy

Szczególnie trudnym przypadkiem są systemy wbudowane i urządzenia IoT, które mogą działać przez 10–20 lat bez możliwości aktualizacji oprogramowania układowego. Projektanci systemów muszą już dziś uwzględniać algorytmy post-kwantowe w nowych produktach.

Duże firmy technologiczne już ruszyły. Google eksperymentuje z algorytmami post-kwantowymi w Chrome i swoich systemach wewnętrznych. Apple ogłosiło wdrożenie PQC w iMessage (protokół PQ3). Cloudflare testuje hybrydowe podejście łączące klasyczne i post-kwantowe algorytmy w TLS. Podejście hybrydowe – gdzie równolegle stosuje się zarówno klasyczny algorytm, jak i post-kwantowy – jest rekomendowane jako bezpieczna droga przejściowa.

Kryptografia kwantowa vs. post-kwantowa – ważna różnica

Warto tu wyraźnie odróżnić dwa pojęcia, które bywają mylone nawet w branżowych dyskusjach:

Kryptografia post-kwantowa to klasyczne algorytmy matematyczne (działające na zwykłych komputerach), zaprojektowane tak, by były odporne na ataki komputerów kwantowych. To ona jest dziś głównym przedmiotem standaryzacji i wdrożeń.

Kryptografia kwantowa (szczególnie Quantum Key Distribution – QKD) to zupełnie inne podejście: wykorzystanie praw fizyki kwantowej do dystrybucji kluczy w sposób fizycznie niemożliwy do podsłuchania bez wykrycia. QKD jest teoretycznie bezwarunkowo bezpieczne, ale wymaga specjalnej infrastruktury sprzętowej (kanałów kwantowych), jest kosztowne i trudne do skalowania. Na dziś pozostaje niszowym rozwiązaniem dla najbardziej wrażliwych zastosowań.

Co powinni wiedzieć praktycy i decydenci?

Dla osób odpowiedzialnych za bezpieczeństwo IT w organizacjach, kilka praktycznych wniosków:

  1. Przeprowadź inwentaryzację kryptograficzną – zidentyfikuj wszystkie miejsca w infrastrukturze, gdzie używana jest kryptografia asymetryczna. To pierwszy krok do planowania migracji.
  2. Zacznij planować migrację już teraz – nawet jeśli Q-Day jest odległy, procesy migracji w dużych organizacjach trwają latami.
  3. Priorytetyzuj dane długowieczne – jeśli Twoja organizacja przechowuje dane, które muszą pozostać poufne przez 10+ lat, zagrożenie "harvest now, decrypt later" jest realne już dziś.
  4. Stosuj podejście hybrydowe – podczas migracji łącz klasyczne i post-kwantowe algorytmy, by zachować kompatybilność wsteczną.
  5. Śledź standardy NIST i ETSI – organizacje te regularnie aktualizują wytyczne dotyczące przejścia na kryptografię post-kwantową.

Podsumowanie: rewolucja, nie apokalipsa

Komputery kwantowe rzeczywiście stanowią poważne wyzwanie dla współczesnej kryptografii – tego nie należy bagatelizować. Jednak to nie koniec bezpiecznej komunikacji cyfrowej. To raczej największa kryptograficzna migracja w historii internetu – skomplikowana logistycznie, kosztowna i wymagająca skoordynowanego działania całej branży, ale technicznie możliwa do przeprowadzenia.

Matematycy i kryptografowie nie śpią – nowe standardy są gotowe, a narzędzia do wdrożenia powstają w szybkim tempie. Kluczowym wyzwaniem nie jest już pytanie "czy da się stworzyć bezpieczne algorytmy post-kwantowe?" – odpowiedź brzmi: tak, i już je mamy. Pytanie brzmi: "czy zdążymy wdrożyć je na szeroką skalę, zanim komputery kwantowe staną się wystarczająco potężne?"

Na to pytanie – w dużej mierze – odpowiemy zbiorowo jako branża technologiczna w nadchodzącej dekadzie. Czas zacząć działać.