Kada će kvantna računala razbiti RSA?

Najbolje procjene: 10–25 godina za napad na 2048-bitni RSA. Hardver još nije blizu, ali putanja je stvarna. Iskren odgovor je neizvjesnost; planiranje za 10 godina je razborito jer bi podaci koji se sada šifriraju mogli i tada biti vrijedni.

Koristi li moj preglednik već post-kvantnu kripto?

Ako se radi o Chromeu, Edgeu, Firefoxu ili Safariju s nedavnim ažuriranjima, djelomično da — povezivanje s PQ-sposobnim poslužiteljima koristi hibridnu razmjenu ključeva. Usvajanje poslužitelja je neujednačeno; Google, Cloudflare i glavni CDN-ovi poslužuju PQ-hibridni TLS, dok manje stranice većinom još ne služe.

Trebam li danas koristiti Kyber i Dilithium?

Ako ste programer koji gradi nove sustave, da — koristite hibride gdje je to moguće. Ako ste korisnik etabliranih proizvoda, prijelaz se događa ispod vas. Nemojte zamijeniti radnu klasičnu kripto s pure-PQ; koristiti oboje u hibridnim konfiguracijama.

Koja je razlika između QKD i PQC?

QKD koristi kvantnu fiziku za razmjenu ključeva i zahtijeva poseban hardver i namjenske veze. PQC koristi klasične algoritme koji se odupiru kvantnim napadima; radi na postojećoj infrastrukturi. PQC je ono što se naširoko koristi; QKD je nišno rješenje za specifične fizičke veze visoke sigurnosti.

Je li postkvantna kripto definitivno sigurna?

Vjeruje se da je siguran na temelju teških problema (problemi rešetke, problemi koda, hash svojstva). Manje testiran u bitkama od RSA/ECC jer su noviji. Dogodio se kriptoanalitički napredak protiv shema temeljenih na rešetki (i doveo do povlačenja algoritama tijekom NIST natjecanja). Hibridni načini rada pružaju osiguranje od budućih prekida.

Objašnjenje kvantne kriptografije: Post-kvantni algoritmi i što znači "žetva sada, dešifriranje kasnije"

Kvantna računala - kada su dovoljno velika - razbit će RSA, ECC i Diffie-Hellman u polinomijalnom vremenu. Hardver još ne postoji u potrebnoj mjeri, ali matematika je riješena: svaki sustav s javnim ključem na kojem radi moderni Internet je ranjiv. Odgovor je postkvantna kriptografija, a prijelaz je već u tijeku.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

Kvantna kriptografija je područje kriptografije koje se bavi prijetnjama kvantnih računala i algoritama dizajniranih da im se odupru. Kategorija pokriva dvije različite stvari koje se često miješaju jedna s drugom: quantum key distribution (QKD), koja koristi kvantnu mehaniku izravno za razmjenu ključeva; i post-kvantna kriptografija (PQC), koja koristi klasične algoritme za koje se vjeruje da su otporni na kvantne napade. PQC je ono što se primjenjuje; QKD ostaje niša.

Prijetnja: Shorov algoritam

Algoritam Petera Shora iz 1994. pokazuje da dovoljno veliko kvantno računalo može faktorizirati velike cijele brojeve u polinomijalnom vremenu. Posljedica: RSA, koji ovisi o težini faktoringa, je prekinut. Isti algoritam također izračunava diskretne logaritme u grupama eliptičnih krivulja, tako da je ECC (ECDSA, ECDH, Ed25519, X25519) također pokvaren. Sva naša trenutna kriptografija s javnim ključem počiva na ova dva teška problema.

Koliko je veliko kvantno računalo? Procjene resursa potrebnih za faktorizaciju 2048-bitnog RSA: otprilike 4000 logičkih kubita i 10^9 kvantnih vrata, održanih oko 8 sati. Trenutačni uređaji imaju 1000+ fizičkih kubita, ali vrlo malo logičkih kubita nakon ispravljanja pogreške; procjenjuje se da će dostizanje kriptografski relevantne ljestvice trajati 10-25 godina.

Simetrična kripto je uglavnom dobra

Groverov algoritam pruža kvantno ubrzanje za nestrukturirano pretraživanje, prepolovljujući efektivnu snagu ključa simetričnih šifara. AES-128 učinkovito postaje 64-bit siguran (neugodan), AES-256 postaje 128-bit siguran (i dalje jak). Funkcije raspršivanja su slično pogođene: otpornost na koliziju SHA-256 pada sa 128 na oko 85 bita, otpornost na predsliku sa 256 na 128.

Pragmatičan odgovor: koristite veće simetrične ključeve (AES-256, SHA-384/512) i postojeći algoritmi ostaju sigurni. Simetrična kripto nije pokvarena; samo ga treba procijeniti.

Sakupite sada, dešifrirajte kasnije

Najčešće citirana kratkoročna zabrinutost: protivnici danas prikupljaju šifrirani promet pod pretpostavkom da ga mogu dešifrirati za 10–20 godina kada kvantni hardver sazrije. Prijetnja je stvarna za sve podatke koji tako dugo ostaju vrijedni — diplomatske depeše, obavještajni podaci, medicinska evidencija, pravni dokumenti, intelektualno vlasništvo.

To je razlog zašto postkvantna tranzicija ne može čekati postojanje kvantnog hardvera. Podaci koji se šifriraju 2026. moraju biti kvantno otporni ako moraju ostati povjerljivi 2040.

NIST-ova PQC standardizacija

NIST pokrenuo je višegodišnji otvoreni natječaj (2016. – 2024.) za standardizaciju postkvantnih algoritama. Pobjednici 2024.:

ML-KEM (CRYSTALS-Kyber) za enkapsulaciju ključa — zamjenjuje ECDH/RSA-KEM
ML-DSA (CRYSTALS-Dilithium) za potpise — zamjenjuje ECDSA/RSA
SLH-DSA (SPHINCS+) potpisi temeljeni na raspršivanju — rezervna kopija za ML-DSA u slučaju napredovanja rešetkaste kriptoanalize
FN-DSA (Falcon) kompaktni potpisi za ograničene okruženja

Prva tri su standardizirana kao FIPS 203, 204, 205 u kolovozu 2024. Falcon je na čekanju.

Implementacija se događa

Glavne implementacije u stvarnom svijetu 2025–2026:

TLS hibridna rukovanja — Chrome, Firefox, Cloudflare, Google i drugi postavljaju X25519+Kyber hibride. Oba algoritma rade; veza je sigurna ako bilo koja ostane neprekinuta.
Apple iMessage PQ3 — protokol za razmjenu poruka dodan je nakon kvantne razmjene ključeva putem prilagođenog hibrida 2024.
Signal PQXDH — razmjena ključeva Signala dodala je Kyber hibrid u 2023.
SSH — OpenSSH 9.x podržava Streamlined NTRU Prime hibrid za razmjenu ključeva.
VPNs — WireGuard s Kyber omotom postoji; komercijalni VPN-ovi počinju oglašavati PQ opcije.

Razmjene

Post-kvantni algoritmi nisu besplatni:

Veličine ključeva su veće. Kyber javni ključevi su ~1,5 KB naspram 32 bajta za X25519. Dilithium potpisi su ~2,5 KB naspram 64 bajta za Ed25519. Širina pojasa i troškovi pohrane bitni su u razmjeru.
Neki su algoritmi sporiji na određenom hardveru, posebno ograničenim uređajima. ML-KEM je usporediv s ECDH; ML-DSA je sporiji od Ed25519.
Rešetkasta kriptografija je novija i manje testirana u bitkama. Zabrinutost oko kriptoanalitičkog napretka je stvarna; potpisi temeljeni na raspršivanju (SPHINCS+) su konzervativniji rezervni uređaj po cijenu puno većih potpisa.

Kvantna distribucija ključa: druga stvar

QKD koristi kvantna svojstva (bez kloniranja, poremećaj mjerenja) za uspostavljanje zajedničkog ključa između dvije krajnje točke s informacijsko-teoretskom sigurnošću. Kvaka: zahtijeva poseban hardver (izvori/detektori jednog fotona), vlakno od točke do točke ili liniju vidljivosti i pouzdane međučvorove za udaljenosti veće od nekoliko stotina kilometara. Specijalizirane implementacije postoje u bankama i vladinim mrežama, ali QKD se ne prilagođava slučajevima korištenja u stilu interneta.

NIST i većina kriptografa izričito su preporučili PQC umjesto QKD-a za opću upotrebu. Pompa oko QKD-a često je nadmašila inženjerstvo.

Što to znači za vas

Za pojedinačne korisnike, postkvantni prijelaz je uglavnom nevidljiv. Preglednici, operativni sustavi i aplikacije za razmjenu poruka transparentno uvode hibridne algoritme. Podaci koji se danas šifriraju hibridnim algoritmima bit će sigurni čak i ako stignu kvantna računala. Iznimka: ako rukujete dugoročno povjerljivim podacima (obavještajni podaci, medicinska evidencija, financijska evidencija) i vaš softver još uvijek koristi samo klasični ECDH/RSA, to je vrijedno pažnje sada, a ne za 10 godina.

Često postavljana pitanja

Kada će kvantna računala razbiti RSA?: Najbolje procjene: 10–25 godina za napad na 2048-bitni RSA. Hardver još nije blizu, ali putanja je stvarna. Iskren odgovor je neizvjesnost; planiranje za 10 godina je razborito jer bi podaci koji se sada šifriraju mogli i tada biti vrijedni.
Koristi li moj preglednik već post-kvantnu kripto?: Ako se radi o Chromeu, Edgeu, Firefoxu ili Safariju s nedavnim ažuriranjima, djelomično da — povezivanje s PQ-sposobnim poslužiteljima koristi hibridnu razmjenu ključeva. Usvajanje poslužitelja je neujednačeno; Google, Cloudflare i glavni CDN-ovi poslužuju PQ-hibridni TLS, dok manje stranice većinom još ne služe.
Trebam li danas koristiti Kyber i Dilithium?: Ako ste programer koji gradi nove sustave, da — koristite hibride gdje je to moguće. Ako ste korisnik etabliranih proizvoda, prijelaz se događa ispod vas. Nemojte zamijeniti radnu klasičnu kripto s pure-PQ; koristiti oboje u hibridnim konfiguracijama.
Koja je razlika između QKD i PQC?: QKD koristi kvantnu fiziku za razmjenu ključeva i zahtijeva poseban hardver i namjenske veze. PQC koristi klasične algoritme koji se odupiru kvantnim napadima; radi na postojećoj infrastrukturi. PQC je ono što se naširoko koristi; QKD je nišno rješenje za specifične fizičke veze visoke sigurnosti.
Je li postkvantna kripto definitivno sigurna?: Vjeruje se da je siguran na temelju teških problema (problemi rešetke, problemi koda, hash svojstva). Manje testiran u bitkama od RSA/ECC jer su noviji. Dogodio se kriptoanalitički napredak protiv shema temeljenih na rešetki (i doveo do povlačenja algoritama tijekom NIST natjecanja). Hibridni načini rada pružaju osiguranje od budućih prekida.