När kommer kvantdatorer att bryta RSA?

Bästa uppskattningar: 10–25 år för en attack på 2048-bitars RSA. Hårdvaran är inte nära än, men banan är verklig. Det ärliga svaret är osäkerhet; planering för 10 år är klokt eftersom den data som krypteras nu kan fortfarande vara värdefull då.

Använder min webbläsare redan post-quantum crypto?

Om det är Chrome, Edge, Firefox eller Safari med de senaste uppdateringarna, delvis ja - att ansluta till PQ-kompatibla servrar använder hybridnyckelutbyte. Serverantagandet är ojämnt; Google, Cloudflare och större CDN:er tjänar PQ-hybrid TLS, medan mindre webbplatser oftast inte gör det ännu.

Ska jag använda Kyber och Dilithium idag?

Om du är en utvecklare som bygger nya system, ja - använd hybrider där det är möjligt. Om du är användare av etablerade produkter, sker övergången under dig. Ersätt inte fungerande klassisk krypto med ren PQ; använd båda i hybridkonfigurationer.

Vad är skillnaden mellan QKD och PQC?

QKD använder kvantfysik för nyckelutbyte och kräver speciell hårdvara och dedikerade länkar. PQC använder klassiska algoritmer som motstår kvantattacker; den körs på befintlig infrastruktur. PQC är det som används i stor utsträckning; QKD är en nischlösning för specifika fysiska länkar med hög säkerhet.

Är post-kvantkrypto definitivt säker?

Tros vara säker baserat på hårda problem (gitterproblem, kodproblem, hashegenskaper). Mindre stridstestade än RSA/ECC eftersom de är nyare. Kryptanalytiska framsteg mot gitterbaserade system har skett (och ledde till algoritmavdrag under NIST-tävlingen). Hybridlägen ger försäkring mot framtida avbrott.

Quantum Cryptography Explained: Post-Quantum Algoritms och vad "Skörda nu, dekryptera senare" betyder

Kvantdatorer – när de är tillräckligt stora – kommer att bryta RSA, ECC och Diffie-Hellman i polynomtid. Hårdvaran finns ännu inte i den skala som krävs, men matematiken är klar: varje system med offentliga nyckel som det moderna Internet körs på är sårbart. Svaret är post-kvantkryptografi, och övergången är redan igång.

Hela artikeltexten finns på engelska nedan.

Quantum cryptography är området för kryptografi som handlar om hot från kvantdatorer och de algoritmer som är utformade för att motstå dem. Kategorien täcker två distinkta saker som ofta förväxlas med varandra: quantum key distribution (QKD), som använder kvantmekanik direkt för nyckelutbyte; och post-quantum cryptography (PQC), som använder klassiska algoritmer som tros motstå kvantattacker. PQC är det som distribueras; QKD förblir nisch.

Hotet: Shors algoritm

Peter Shors algoritm från 1994 visar att en tillräckligt stor kvantdator kan faktorisera stora heltal i polynomtid. Konsekvensen: RSA, som beror på svårigheten att factoring, bryts. Samma algoritm beräknar även diskreta logaritmer i elliptiska kurvgrupper, så ECC (ECDSA, ECDH, Ed25519, X25519) är också bruten. All vår nuvarande kryptografi med offentliga nyckel vilar på dessa två svåra problem.

Hur stor kvantdator? Uppskattningar av de resurser som behövs för att faktorisera 2048-bitars RSA: ungefär 4 000 logiska qubits och 10^9 kvantgrindar, upprätthållna i cirka 8 timmar. Aktuella enheter har 1 000+ physical qubits men mycket få logiska qubits efter felkorrigering; att nå den kryptografiskt relevanta skalan uppskattas allmänt ta 10–25 år.

Symmetrisk krypto är mestadels fin

Grovers algoritm ger en kvanthastighet för ostrukturerad sökning, vilket halverar den effektiva nyckelstyrkan för symmetri. AES-128 blir effektivt 64-bitars säker (obekväma), AES-256 blir 128-bitars säker (fortfarande stark). Hash-funktioner påverkas på liknande sätt: SHA-256:s kollisionsmotstånd sjunker från 128 till cirka 85 bitar, förbildsresistans från 256 till 128.

Det pragmatiska svaret: använd större symmetriska nycklar (AES-256, SHA-384/512) och förbli säkra algorithmer. Symmetrisk krypto är inte trasig; det behöver bara göras större.

Harvest now, decrypt later

Det mest citerade kortsiktiga problemet: motståndare som samlar krypterad trafik idag under antagandet att de kan dekryptera den om 10–20 år när kvanthårdvaran mognar. Hotet är verkligt för all data som förblir värdefull så länge — diplomatiska kablar, underrättelser, medicinska journaler, juridiska dokument, immateriella rättigheter.

Det är därför post-kvantomvandlingen inte kan vänta på att kvanthårdvara ska existera. Data som krypteras 2026 måste vara kvantbeständig om den måste förbli konfidentiell 2040.

NISTs PQC-standardisering

NIST körde en flerårig öppen tävling (2016–2024) för att standardisera post-quantum. Vinnarna 2024:

ML-KEM (CRYSTALS-Kyber) för nyckelinkapsling – ersätter ECDH/RSA-KEM
ML-DSA (CRYSTALS-PLZ-Dilithiums) för nycklar – ersätter ECDSA/RSA
SLH-DSA (SPHINCS+) hash-baserade signaturer — backup för ML-DSA i fall gitterkrypteringsanalys avancerar
FN-DSA (Falcons) compacttrained signaturer för XPLZ47 miljöer

De tre första standardiserades som FIPS 203, 204, 205 i augusti 2024. Falcon väntar.

Isättningen pågår

Större implementeringar i verkliga världen av 2025–2026:

TLS hybridhandskakningar — Chrome, Firefox, Cloudflare, Google och andra distribuerar X25519+Kyber-hybrider. Båda algoritmerna körs; anslutningen är säker om endera förblir obruten.
Apple iMessage PQ3 — meddelandeprotokollet lades till post-kvantnyckelutbyte via en anpassad hybrid 2024.
Signal PQXDHSignal PQXDHSignal PQXDHSignal PQXDHXPLZ67 i utbyte av hybridnyckel —Kybridnyckel 2023.
SSH — OpenSSH 9.x stöder en Streamlined NTRU Prime-hybrid för nyckelutbytet.
VPNs — WireGuard med Kyber-omslag finns; kommersiella VPN börjar annonsera PQ-alternativ.

Kompromisserna

Post-kvantalgoritmer är inte gratis:

Nyckelstorlekar är större. Kybers publika nycklar är ~1,5 KB jämfört med 32 byte för X25519. Dilitium-signaturer är ~2,5 KB mot 64 byte för Ed25519. Bandbredd och lagringskostnader spelar stor roll.
Vissa algoritmer är långsammare på viss hårdvara, särskilt begränsade enheter. ML-KEM är jämförbar med ECDH; ML-DSA är långsammare än Ed25519.
Lattice-kryptografi är nyare och mindre stridstestad. Oron för kryptoanalytiska framsteg är verkliga; hash-baserade signaturer (SPHINCS+) är en mer konservativ reserv till bekostnad av mycket större signaturer.

Quantum key distribution: den andra saken

QKD använder kvantegenskaper (ingen kloning, mätstörningsnyckel) för att etablera en delad slutpunktssäkerhet mellan två. Haken: det kräver speciell hårdvara (enkelfotonkällor/detektorer), punkt-till-punkt fiber eller siktlinje och pålitliga mellannoder för avstånd över några hundra kilometer. Nischdistributioner finns i banker och statliga nätverk, men QKD skalas inte till användningsfall i internetstil.

NIST och de flesta kryptografer har uttryckligen rekommenderat PQC framför QKD för allmänt bruk. Hypen kring QKD har ofta gått ifrån tekniken.

Vad detta betyder för dig

För enskilda användare är post-kvantövergången för det mesta osynlig. Webbläsare, operativsystem och meddelandeappar rullar ut hybridalgoritmer på ett transparent sätt. Den data som krypteras idag med hybridalgoritmer kommer att vara säker även om kvantdatorer anländer. Undantaget: om du hanterar långsiktiga konfidentiella uppgifter (underrättelser, medicinska journaler, finansiella register) och din programvara fortfarande använder klassiskt endast ECDH/RSA, är det värt att uppmärksamma nu, inte om 10 år.

Vanliga frågor

När kommer kvantdatorer att bryta RSA?: Bästa uppskattningar: 10–25 år för en attack på 2048-bitars RSA. Hårdvaran är inte nära än, men banan är verklig. Det ärliga svaret är osäkerhet; planering för 10 år är klokt eftersom den data som krypteras nu kan fortfarande vara värdefull då.
Använder min webbläsare redan post-quantum crypto?: Om det är Chrome, Edge, Firefox eller Safari med de senaste uppdateringarna, delvis ja - att ansluta till PQ-kompatibla servrar använder hybridnyckelutbyte. Serverantagandet är ojämnt; Google, Cloudflare och större CDN:er tjänar PQ-hybrid TLS, medan mindre webbplatser oftast inte gör det ännu.
Ska jag använda Kyber och Dilithium idag?: Om du är en utvecklare som bygger nya system, ja - använd hybrider där det är möjligt. Om du är användare av etablerade produkter, sker övergången under dig. Ersätt inte fungerande klassisk krypto med ren PQ; använd båda i hybridkonfigurationer.
Vad är skillnaden mellan QKD och PQC?: QKD använder kvantfysik för nyckelutbyte och kräver speciell hårdvara och dedikerade länkar. PQC använder klassiska algoritmer som motstår kvantattacker; den körs på befintlig infrastruktur. PQC är det som används i stor utsträckning; QKD är en nischlösning för specifika fysiska länkar med hög säkerhet.
Är post-kvantkrypto definitivt säker?: Tros vara säker baserat på hårda problem (gitterproblem, kodproblem, hashegenskaper). Mindre stridstestade än RSA/ECC eftersom de är nyare. Kryptanalytiska framsteg mot gitterbaserade system har skett (och ledde till algoritmavdrag under NIST-tävlingen). Hybridlägen ger försäkring mot framtida avbrott.