Kdy kvantové počítače rozbijí RSA?

Nejlepší odhady: 10–25 let pro útok na 2048bitové RSA. Hardware ještě není blízko, ale trajektorie je reálná. Upřímnou odpovědí je nejistota; plánování na 10 let je prozíravé, protože data, která jsou nyní šifrována, mohou být i tehdy cenná.

Používá již můj prohlížeč postkvantové kryptoměny?

Pokud je to Chrome, Edge, Firefox nebo Safari s nedávnými aktualizacemi, částečně ano – připojení k serverům s podporou PQ využívá hybridní výměnu klíčů. Přijetí serveru je nerovnoměrné; Google, Cloudflare a hlavní CDN obsluhují PQ-hybridní TLS, zatímco menší weby zatím většinou ne.

Měl bych dnes používat Kyber a Dilithium?

Pokud jste vývojář vytvářející nové systémy, ano – používejte hybridy, kde je to možné. Pokud jste uživatelem zavedených produktů, přechod probíhá pod vámi. Nenahrazujte fungující klasické krypto čistým PQ; použít oba v hybridních konfiguracích.

Jaký je rozdíl mezi QKD a PQC?

QKD používá pro výměnu klíčů kvantovou fyziku a vyžaduje speciální hardware a vyhrazené odkazy. PQC používá klasické algoritmy, které odolávají kvantovým útokům; běží na stávající infrastruktuře. PQC je to, co je široce nasazováno; QKD je specializované řešení pro konkrétní vysoce zabezpečená fyzická spojení.

Je postkvantové krypto určitě bezpečné?

Předpokládá se, že je bezpečný na základě tvrdých problémů (problémy s mřížkou, problémy s kódem, vlastnosti hash). Méně testované v boji než RSA/ECC, protože jsou novější. Proběhly kryptoanalytické pokroky proti schématům založeným na mřížkách (a vedly ke stažení algoritmů během soutěže NIST). Hybridní režimy poskytují pojištění proti budoucím výpadkům.

Vysvětlení kvantové kryptografie: Post-kvantové algoritmy a co znamená „sklízet nyní, dešifrovat později“

Kvantové počítače – když jsou dostatečně velké – rozbijí RSA, ECC a Diffie-Hellman v polynomiálním čase. Hardware zatím neexistuje v požadovaném měřítku, ale matematika je vyřešena: každý systém s veřejným klíčem, na kterém běží moderní internet, je zranitelný. Odpovědí je postkvantová kryptografie a přechod již probíhá.

Celé tělo článku je uvedeno níže v angličtině.

Kvantová kryptografie je oblast kryptografie zabývající se hrozbami z kvantových počítačů a algoritmů navržených tak, aby jim odolala. Kategorie pokrývá dvě odlišné věci, které se často vzájemně zaměňují: kvantová distribuce klíčů (QKD), která využívá kvantovou mechaniku přímo pro výměnu klíčů; a post-kvantová kryptografie (PQC), která využívá klasické algoritmy, o kterých se předpokládá, že odolávají kvantovým útokům. PQC je to, co se nasazuje; QKD zůstává specialitou. Důsledek: RSA, která závisí na obtížnosti faktoringu, je porušena. Stejný algoritmus také počítá diskrétní logaritmy ve skupinách eliptických křivek, takže ECC (ECDSA, ECDH, Ed25519, X25519) je také porušeno. Celá naše současná kryptografie s veřejným klíčem spočívá na těchto dvou těžkých problémech.

Jak velký kvantový počítač? Odhady zdrojů potřebných k zohlednění 2048bitového RSA: zhruba 4 000 logických qubitů a 10^9 kvantových hradel, udržovaných po dobu asi 8 hodin. Současná zařízení mají 1000+ physical qubitů, ale jen velmi málo logických qubitů po opravě chyb; Dosažení kryptograficky relevantního měřítka se obecně odhaduje na 10–25 let.

Symetrické šifrování je většinou jemné

Groverův algoritmus poskytuje kvantové zrychlení pro nestrukturované vyhledávání a snižuje efektivní sílu klíče symetrických šifer na polovinu. AES-128 se efektivně stává 64bitovým bezpečným (nepohodlným), AES-256 se stává 128bitovým bezpečným (stále silným). Podobně jsou ovlivněny hašovací funkce: kolizní odolnost SHA-256 klesne ze 128 na přibližně 85 bitů, odolnost předobrazu z 256 na 128.

Pragmatická odpověď: použijte větší symetrické klíče (AES-256, SHA-384/512) a stávající algoritmy zůstanou bezpečné. Symetrické krypto není porušeno; jen je třeba ho dimenzovat.

Sklízejte nyní, dešifrujte později

Nejvíce citovaný krátkodobý problém: protivníci dnes shromažďují šifrovaný provoz za předpokladu, že jej dokážou dešifrovat za 10–20 let, až dospěje kvantový hardware. Hrozba je reálná pro všechna data, která zůstanou tak dlouho cenná – diplomatické kabely, zpravodajské informace, lékařské záznamy, právní dokumenty, duševní vlastnictví.

To je důvod, proč postkvantový přechod nemůže čekat, až bude kvantový hardware existovat. Data zašifrovaná v roce 2026 musí být kvantově odolná, pokud musí zůstat důvěrná v roce 2040. Standardizace PQC

NIST společnosti

NIST provedla víceletou otevřenou soutěž (2016–2024) na standardizaci postkvantových algoritmů. Vítězové roku 2024:

ML-KEM (CRYSTALS-Kyber) pro zapouzdření klíče – nahrazuje ECDH/RSA-KEM
ML-DSA (podpis CRYSTALS-Z39X za s) ECDSA/RSA
SLH-DSA (SPHINCS+) signatury založené na hash — záloha pro ML-DSA v případě pokročilé kryptoanalýzy mřížky
FN-DSA (Falcon) pro omezené kompaktní signatury prostředí

První tři byly standardizovány jako FIPS 203, 204, 205 v srpnu 2024. Falcon čeká na dokončení. 2025–2026:

TLS hybridní handshakes — Chrome, Firefox, Cloudflare, Google a další nasazují hybridy X25519+Kyber. Oba algoritmy běží; připojení je bezpečné, pokud jedno z nich zůstane nepřerušené.
Apple iMessage PQ3 — protokol pro zasílání zpráv přidal post-kvantovou výměnu klíčů prostřednictvím vlastního hybridu v roce 2024.
Signál PQXDH v Kyberově hybridní výměně klíčů 2023.
SSH — OpenSSH 9.x podporuje zjednodušený hybrid NTRU Prime pro výměnu klíčů.
VPNs — Existuje WireGuard s obalem Kyber; komerční sítě VPN začínají inzerovat možnosti PQ.

Kompromisy

Post-kvantové algoritmy nejsou zadarmo:

Velikosti klíčů jsou větší. Veřejné klíče Kyber mají ~1,5 KB oproti 32 bajtům pro X25519. Dilithiové signatury jsou ~2,5 KB oproti 64 bajtům pro Ed25519. Šířka pásma a náklady na úložiště jsou důležité v měřítku.
Některé algoritmy jsou pomalejší na určitém hardwaru, zejména na omezených zařízeních. ML-KEM je srovnatelný s ECDH; ML-DSA je pomalejší než Ed25519.
Mřížková kryptografie je novější a méně otestovaná v bitvě. Obavy z kryptoanalytických pokroků jsou skutečné; Signatury založené na hash (SPHINCS+) jsou konzervativnějším řešením za cenu mnohem větších signatur.

Quantová distribuce klíče: další věc

QKD využívá kvantové vlastnosti (žádné klonování, narušení měření) k vytvoření sdíleného klíče mezi dvěma teoretickými bezpečnostními body s informacemi. Háček: vyžaduje speciální hardware (jednofotonové zdroje/detektory), point-to-point vlákno nebo přímou viditelnost a důvěryhodné mezilehlé uzly na vzdálenosti přesahující několik set kilometrů. V bankách a vládních sítích existují specializovaná nasazení, ale QKD se neškáluje na případy použití ve stylu internetu.

NIST a většina kryptografů výslovně doporučuje PQC oproti QKD pro obecné použití. Hype kolem QKD často předběhl techniku.

Co to pro vás znamená

Pro jednotlivé uživatele je postkvantový přechod většinou neviditelný. Prohlížeče, operační systémy a aplikace pro zasílání zpráv transparentně zavádějí hybridní algoritmy. Data, která jsou dnes šifrována hybridními algoritmy, budou v bezpečí, i když dorazí kvantové počítače. Výjimka: pokud pracujete s dlouhodobě důvěrnými daty (spravodajské informace, lékařské záznamy, finanční záznamy) a váš software stále používá pouze klasické ECDH/RSA, stojí to za pozornost nyní, ne za 10 let.

Často kladené otázky

Kdy kvantové počítače rozbijí RSA?: Nejlepší odhady: 10–25 let pro útok na 2048bitové RSA. Hardware ještě není blízko, ale trajektorie je reálná. Upřímnou odpovědí je nejistota; plánování na 10 let je prozíravé, protože data, která jsou nyní šifrována, mohou být i tehdy cenná.
Používá již můj prohlížeč postkvantové kryptoměny?: Pokud je to Chrome, Edge, Firefox nebo Safari s nedávnými aktualizacemi, částečně ano – připojení k serverům s podporou PQ využívá hybridní výměnu klíčů. Přijetí serveru je nerovnoměrné; Google, Cloudflare a hlavní CDN obsluhují PQ-hybridní TLS, zatímco menší weby zatím většinou ne.
Měl bych dnes používat Kyber a Dilithium?: Pokud jste vývojář vytvářející nové systémy, ano – používejte hybridy, kde je to možné. Pokud jste uživatelem zavedených produktů, přechod probíhá pod vámi. Nenahrazujte fungující klasické krypto čistým PQ; použít oba v hybridních konfiguracích.
Jaký je rozdíl mezi QKD a PQC?: QKD používá pro výměnu klíčů kvantovou fyziku a vyžaduje speciální hardware a vyhrazené odkazy. PQC používá klasické algoritmy, které odolávají kvantovým útokům; běží na stávající infrastruktuře. PQC je to, co je široce nasazováno; QKD je specializované řešení pro konkrétní vysoce zabezpečená fyzická spojení.
Je postkvantové krypto určitě bezpečné?: Předpokládá se, že je bezpečný na základě tvrdých problémů (problémy s mřížkou, problémy s kódem, vlastnosti hash). Méně testované v boji než RSA/ECC, protože jsou novější. Proběhly kryptoanalytické pokroky proti schématům založeným na mřížkách (a vedly ke stažení algoritmů během soutěže NIST). Hybridní režimy poskytují pojištění proti budoucím výpadkům.