Når vil kvantedatamaskiner bryte RSA?

Beste estimater: 10–25 år for et angrep på 2048-bit RSA. Maskinvaren er ikke i nærheten ennå, men banen er ekte. Det ærlige svaret er usikkerhet; planlegging for 10 år ut er forsvarlig fordi dataene som krypteres nå kan fortsatt være verdifulle da.

Bruker nettleseren min allerede post-kvantekrypto?

Hvis det er Chrome, Edge, Firefox eller Safari med nylige oppdateringer, delvis ja – tilkobling til PQ-kompatible servere bruker hybrid nøkkelutveksling. Serveradopsjon er ujevn; Google, Cloudflare og store CDN-er betjener PQ-hybrid TLS, mens mindre nettsteder stort sett ikke gjør det ennå.

Bør jeg bruke Kyber og Dilithium i dag?

Hvis du er en utvikler som bygger nye systemer, ja – bruk hybrider der det er mulig. Hvis du er bruker av etablerte produkter, skjer overgangen under deg. Ikke erstatt fungerende klassisk krypto med ren PQ; bruk begge i hybridkonfigurasjoner.

Hva er forskjellen mellom QKD og PQC?

QKD bruker kvantefysikk for nøkkelutveksling og krever spesiell maskinvare og dedikerte lenker. PQC bruker klassiske algoritmer som motstår kvanteangrep; den kjører på eksisterende infrastruktur. PQC er det som blir bredt distribuert; QKD er en nisjeløsning for spesifikke fysiske koblinger med høy sikkerhet.

Er post-kvantekrypto definitivt sikker?

Antas å være sikker basert på harde problemer (gitterproblemer, kodeproblemer, hashegenskaper). Mindre kamptestet enn RSA/ECC fordi de er nyere. Kryptanalytiske fremskritt mot gitterbaserte ordninger har skjedd (og førte til algoritmeuttak under NIST-konkurransen). Hybridmoduser gir forsikring mot fremtidige pauser.

Kvantekryptering forklart: Post-kvantealgoritmer og hva "høst nå, dekrypter senere" betyr

Kvantedatamaskiner – når de er tilstrekkelig store – vil bryte RSA, ECC og Diffie-Hellman i polynomisk tid. Maskinvaren eksisterer ennå ikke i den nødvendige skalaen, men regnestykket er avgjort: alle offentlige nøkkelsystemer det moderne Internett kjører på er sårbare. Responsen er post-kvantekryptografi, og overgangen er allerede i gang.

Hele artikkelen er gitt på engelsk nedenfor.

Quantum cryptography er området for kryptografi som er opptatt av trusler fra kvantedatamaskiner og algoritmene designet for å motstå dem. Kategorien dekker to distinkte ting som ofte forveksles med hverandre: quantum key distribution (QKD), som bruker kvantemekanikk direkte for nøkkelutveksling; og post-quantum cryptography (PQC), som bruker klassiske algoritmer som antas å motstå kvanteangrep. PQC er det som blir distribuert; QKD forblir nisje.

Trusselen: Shors algoritme

Peter Shors 1994-algoritme viser at en tilstrekkelig stor kvantedatamaskin kan faktorisere store heltall i polynomtid. Konsekvensen: RSA, som avhenger av vanskelighetsgraden med factoring, er brutt. Den samme algoritmen beregner også diskrete logaritmer i elliptiske kurvegrupper, så ECC (ECDSA, ECDH, Ed25519, X25519) er også ødelagt. All vår nåværende offentlige nøkkelkryptografi hviler på disse to vanskelige problemene.

Hvor stor en kvantedatamaskin? Estimater av ressursene som trengs for å faktorisere 2048-biters RSA: omtrent 4000 logiske qubits og 10^9 kvanteporter, opprettholdt i omtrent 8 timer. Nåværende enheter har 1000+ physical qubits, men svært få logiske qubits etter feilretting; å nå den kryptografisk-relevante skalaen er allment anslått til å ta 10–25 år.

Symmetrisk krypto er stort sett fin

Grovers algoritme gir en kvantehastighet for ustrukturert søk, og halverer den effektive nøkkelstyrken til symmetrisk. AES-128 blir effektivt 64-bits sikker (ubehagelig), AES-256 blir 128-bits sikker (fortsatt sterk). Hash-funksjoner påvirkes på samme måte: SHA-256s kollisjonsmotstand faller fra 128 til omtrent 85 biter, førbildemotstand fra 256 til 128.

Den pragmatiske responsen: bruk større symmetriske nøkler (AES-256, SHA-384/512) og forbli den eksisterende algorithmen. Symmetrisk krypto er ikke ødelagt; den må bare dimensjoneres opp.

Harvest now, decrypt later

Den mest siterte bekymringen på kort sikt: motstandere som samler inn kryptert trafikk i dag, forutsatt at de kan dekryptere den om 10–20 år når kvantemaskinvare modnes. Trusselen er reell for alle data som forblir verdifulle så lenge – diplomatiske kabler, etterretning, medisinske poster, juridiske dokumenter, intellektuell eiendom.

Dette er grunnen til at post-kvanteovergangen ikke kan vente på at kvantemaskinvare skal eksistere. Data som blir kryptert i 2026 må være kvantebestandige hvis de må forbli konfidensielle i 2040.

NISTs PQC-standardisering

NIST kjørte en flerårig åpen konkurranse (2016–2024) for å standardisere post-quantum. 2024-vinnerne:

ML-KEM (CRYSTALS-Kyber) for nøkkelinnkapsling – erstatter ECDH/RSA-KEM
ML-DSA (CRYSTALS-Dilithiums) for nøkkelinnkapsling ECDSA/RSA
SLH-DSA (SPHINCS+) hash-baserte signaturer — sikkerhetskopi for ML-DSA i tilfelle gitterkrypteringsanalyse avanserer
FN-DSA (Falcons) compacttrained signaturer for XPLZ47 miljøer

De tre første ble standardisert som FIPS 203, 204, 205 i august 2024. Falcon venter.

Utrulleringen skjer

Største implementeringer i den virkelige verden av 2025–2026:

TLS hybride håndtrykk – Chrome, Firefox, Cloudflare, Google og andre distribuerer X25519+Kyber-hybrider. Begge algoritmene kjører; forbindelsen er sikker hvis en av dem forblir ubrutt.
Apple iMessage PQ3 — meldingsprotokollen lagt til post-kvantenøkkelutveksling via en tilpasset hybrid i 2024.
Signal PQXDHSignal PQXDHSignal PQXDHXPLZ67 i utveksling — Kyybrid-nøkkelutveksling 2023.
SSH — OpenSSH 9.x støtter en strømlinjeformet NTRU Prime-hybrid for nøkkelutveksling.
VPNs — WireGuard med Kyber-omslag finnes; kommersielle VPN-er begynner å annonsere PQ-alternativer.

Kompromissene

Post-kvantealgoritmer er ikke gratis:

Nøkkelstørrelser er større. Kyber offentlige nøkler er ~1,5 KB mot 32 byte for X25519. Dilithium-signaturer er ~2,5 KB mot 64 byte for Ed25519. Båndbredde og lagringskostnader betyr noe i stor skala.
Noen algoritmer er tregere på viss maskinvare, spesielt begrensede enheter. ML-KEM er sammenlignbar med ECDH; ML-DSA er tregere enn Ed25519.
Lattice-kryptografi er nyere og mindre kamptestet. Bekymringer om kryptoanalytiske fremskritt er reelle; hash-baserte signaturer (SPHINCS+) er en mer konservativ reserve på bekostning av mye større signaturer.

Quantumnøkkeldistribusjon: den andre tingen

QKD bruker kvanteegenskaper (ingen kloning, måleforstyrrelsesinformasjon) for å etablere en endepunktssikkerhet. Fangsten: det krever spesiell maskinvare (enkeltfotonkilder/detektorer), punkt-til-punkt fiber eller siktlinje, og pålitelige mellomnoder for avstander utover noen hundre kilometer. Nisjedistribusjoner finnes i banker og offentlige nettverk, men QKD skalerer ikke til brukstilfeller på Internett.

NIST og de fleste kryptografer har eksplisitt anbefalt PQC fremfor QKD for generell bruk. Hypen rundt QKD har ofte gått ut over ingeniørkunsten.

Hva dette betyr for deg

For individuelle brukere er post-kvanteovergangen stort sett usynlig. Nettlesere, operativsystemer og meldingsapper ruller ut hybridalgoritmer på en transparent måte. Dataene som krypteres i dag med hybridalgoritmer vil være trygge selv om kvantedatamaskiner kommer. Unntaket: hvis du håndterer langsiktige konfidensielle data (etterretning, medisinske journaler, økonomiske poster) og programvaren din fortsatt bruker klassisk ECDH/RSA, er det verdt oppmerksomhet nå, ikke om 10 år.

Ofte stilte spørsmål

Når vil kvantedatamaskiner bryte RSA?: Beste estimater: 10–25 år for et angrep på 2048-bit RSA. Maskinvaren er ikke i nærheten ennå, men banen er ekte. Det ærlige svaret er usikkerhet; planlegging for 10 år ut er forsvarlig fordi dataene som krypteres nå kan fortsatt være verdifulle da.
Bruker nettleseren min allerede post-kvantekrypto?: Hvis det er Chrome, Edge, Firefox eller Safari med nylige oppdateringer, delvis ja – tilkobling til PQ-kompatible servere bruker hybrid nøkkelutveksling. Serveradopsjon er ujevn; Google, Cloudflare og store CDN-er betjener PQ-hybrid TLS, mens mindre nettsteder stort sett ikke gjør det ennå.
Bør jeg bruke Kyber og Dilithium i dag?: Hvis du er en utvikler som bygger nye systemer, ja – bruk hybrider der det er mulig. Hvis du er bruker av etablerte produkter, skjer overgangen under deg. Ikke erstatt fungerende klassisk krypto med ren PQ; bruk begge i hybridkonfigurasjoner.
Hva er forskjellen mellom QKD og PQC?: QKD bruker kvantefysikk for nøkkelutveksling og krever spesiell maskinvare og dedikerte lenker. PQC bruker klassiske algoritmer som motstår kvanteangrep; den kjører på eksisterende infrastruktur. PQC er det som blir bredt distribuert; QKD er en nisjeløsning for spesifikke fysiske koblinger med høy sikkerhet.
Er post-kvantekrypto definitivt sikker?: Antas å være sikker basert på harde problemer (gitterproblemer, kodeproblemer, hashegenskaper). Mindre kamptestet enn RSA/ECC fordi de er nyere. Kryptanalytiske fremskritt mot gitterbaserte ordninger har skjedd (og førte til algoritmeuttak under NIST-konkurransen). Hybridmoduser gir forsikring mot fremtidige pauser.