Genomg˚ ang av material

F¨orst sammanfattas varje artikel var f¨or sig, d¨arefter f¨oljer en sammanfattning av resultatet.

”Cryptography in a Post-Quantum World”

Accenture publicerade ˚ar 2018 rapporten ”Cryptography in a Post-Quantum World”

d¨ar de informerar kring kvantdatorns utveckling och varnar l¨asaren f¨or vad den kommer att inneb¨ara f¨or dagens krypteringsmetoder [17]. Enligt rapporten kommer Shors algoritm att kunna utf¨ora relevanta ber¨akningar, exempelvis primtalsfaktoris-ering av 2048 bitar stora tal, inom de n¨armsta ˚atta ˚aren. Detta lyfts fram som ett unikt p˚ast˚aende d˚a det h¨anvisas till att andra forskare uppskattar algoritmen som praktiskt anv¨andbar efter f¨orst 10 till 15 ˚ar.

Rapporten uppmanar till handling genom b˚ade kortsiktiga och l˚angsiktiga ˚atg¨ ards-f¨orslag. Kortsiktigt ska f¨oretag och organisationer granska sina egna system och se till att rekommendationer och standarder f¨or traditionella krypteringssystem f¨oljs.

D¨arefter ska de f¨orbereda sig och ¨overg˚a till kvants¨akra krypteringsmetoder, detta b¨or ske runt 2025 i och med att det ¨ar detta ˚ar som rapporten uppskattar att kvantdatorerna kommer att kunna kn¨acka de traditionella systemen. En tidslinje presenteras ¨aven och visar att antalet kvantbitar som kvantdatorn arbetar med ˚ar 2025 uppskattas ha uppg˚att till 600. N¨ar det g¨aller kvants¨akra alternativ h¨anvisar rapporten till NISTs projekt kring standardisering av kvants¨akra krypteringsme-toder. Detta projekt ber¨aknas vara klart ˚ar 2022-2024. D¨arf¨or menar Accenture att l¨aget ¨ar kritiskt och att organisationer m˚aste se till att ha h¨og resilliens och s¨akerhetst¨ank till dess att en ny kvants¨aker krypteringsmetod ¨ar standardiserad

”Cybersecurity in an Era with Quantum Computers: Will We Be Ready?”

Artikeln ”Cybersecurity in an Era with Quantum Computers: Will We Be Ready?”

skriven av Michele Mosca publicerades ˚ar 2018 [18]. Som titeln insinuerar un-ders¨oker Mosca huruvida vi kommer att vara redo f¨or kvantdatorns framsteg med avseende p˚a v˚ara nutida krypteringsmetoder och v˚ar f¨orm˚aga att bygga om dessa befintliga system. Nul¨aget beskrivs som kritiskt och artikeln konstaterar att ˚atg¨arder m˚aste vidtas omg˚aende d˚a kvantdatorns framtida roll i IT-s¨akerhetssammanhang

¨

ar ett faktum. Mosca anser att tre fr˚agor beh¨over besvaras f¨or att en estimering av framtidsl¨aget och hur l˚ang tid vi har kvar ska vara optimal.

x Hur l¨ange beh¨over din skyddsv¨arda data h˚allas konfidentiell? Detta kan vari-era fr˚an ingen tid, f¨or exempelvis realtidsapplikationer, till flera ˚ars tid, f¨or exempelvis lagring av personuppgifter.

y Hur l˚ang tid kommer det att ta f¨or organisationen att implementera kvantda-tors¨akra system?

z Hur l˚ang tid kommer det att ta innan en kvantdator med framg˚ang kan attack-era organisationens befintliga system?

Om x + y > z ¨ar l¨aget kritiskt i och med att en kvantdator kommer att kunna angripa konfidentiell information innan organisationen hunnit implementera sky-ddsl¨osningar. Den obekanta variabeln i den h¨ar ekvationen ¨ar z och den ¨ar, enligt artikeln, sv˚ar att tydligt best¨amma. Moscas senaste uppskattning av vilken chans en kvantdator har att skadligg¨ora RSA-2048 i framtiden ¨ar 1/6 chans ˚ar 2027 och 1/2 chans 2032. Denna uppskattning baseras bland annat p˚a hur m˚anga fysiska kvant-bitar som kommer att kr¨avas och hur l˚angt forskningen hittills kommit g¨allande feltolerans och felkorrigering. N¨ar artikeln skrevs bed¨omdes tiotals miljoner till en miljard fysiska kvantbitar beh¨ovas.

I artikeln presenteras n˚agra, fr¨amst tv˚a, ˚atg¨ardsf¨orslag. Det f¨orsta innefattar im-plementation och ¨overg˚ang till kvants¨akra krypteringsmetoder. Det bekv¨ama med denna l¨osning ¨ar att ingen h˚ardvara beh¨over bytas ut. L¨osningen inneb¨ar enbart att kvant-os¨akra metoder byts ut mot nya bepr¨ovade krypteringsmetoder vars styrka inte ligger i matematiska problem som en kvantdator enkelt kan ber¨akna. Exempel p˚a ett s˚arbart matematiskt problem ¨ar primtalsfaktorisering, vilket ligger till grund f¨or hela RSA-systemets styrka.

Det andra ˚atg¨ardsf¨orslaget som presenteras ¨ar att utveckla och anv¨anda krypter-ingsmetoder som, liksom angreppen, ocks˚a bygger p˚a kvantmekanik. Dessa metoder faller inom ramen f¨or begreppet kvantkryptering. Kvantkryptering ¨ar en mer l˚angsiktig l¨osning och det ¨ar m¨ojligt att system som quantum-key distribution (QKD) kommer att fungera som ett komplement till annan traditionell (men kvants¨aker) symmetrisk kryptering.

”Online security, cryptography, and quantum computing”

˚Ar 2015 h¨olls en f¨orel¨asning vid namn ”Online security, cryptography, and quan-tum computing” av Lynn Ziegler vid College of Saint Benedict och Saint John’s University [19]. F¨orel¨asningsmaterialet ¨ar publicerat och inneh˚aller en introduk-tion till asymmetriska krypteringssystem med s¨arskild inriktning p˚a RSA. D¨arefter introduceras kvantdatorn och Shors algoritm som det st¨orsta framtida hotet mot RSA. Enligt Ziegler kr¨avs det minst 10 000 kvantbitar f¨or att en kvantdator ska kunna kn¨acka RSA-2048. Hon v¨aljer att uttrycka det som att det ¨ar ”ett tag” kvar till dess att detta sker. Ingen tydlig tidsuppskattning presenteras.

”Quantum Computing and Cryptography: Their impact on cryptographic practice”

Entrust publicerade ˚ar 2009 rapporten ”Quantum Computing and Cryptography:

Their impact on cryptographic practice” [20]. Rapporten inleds med b˚ade en teoretisk och praktisk f¨orklaring till vad kvantmekanik och kvantdatorn inneb¨ar.

Kvantdatorerna kommer enligt rapporten inte att ers¨atta de traditionella datorer som anv¨ands idag, men de kommer att kunna arbeta assisterande och l¨osa s¨arskilda matematiska problem.

En kraftfull kvantdator kan utg¨ora ett visst hot mot symmetriska krypteringssys-tem, exempelvis 128 bitars Advanced Encryption Standard (AES-128). Lyckligtvis g˚ar detta hot att avv¨arja genom att ¨oka nyckell¨angden. F¨orslagsvis kan en organ-isation implementera AES-256 ist¨allet och f˚a ett mer kvants¨akert skydd. Samma l¨osning finns inte f¨or de asymmetriska krypteringssystemen, som exempelvis RSA.

RSA kommer inte att fungera i sitt grundutf¨orande och samtidigt vara motst˚ ands-kraftigt mot ett kvantdator-angrepp. RSA-2048 ber¨aknas vara os¨akert mot en kvantdator med 4000 kvantbitar och 100 miljoner operationer. En s˚adan kvantda-tor ber¨aknas existera i praktiken inom 20 till 30 ˚ar. I rapporten beskrivs problemet som ett framtidsproblem. Den h¨anvisar till att kvantdatorn inte kommer att byggas p˚a en dag och att experter s˚aledes kommer att uppfinna l¨osningar innan hotet blir reellt.

Det finns alternativa asymmetriska krypteringsl¨osningar som kan fungera p˚a ett kvants¨akert s¨att. D¨aremot ¨ar dessa inte testade eller f¨ardiga f¨or implementation

¨

annu. En annan framtidsl¨osning p˚a samma problematik ¨ar kvantkryptering, allts˚a krypteringsmetoder som implementeras med hj¨alp av kvantdatorer. I rapporten presenteras tv˚a olika typer av kvantkryptering. Dels quantum-key distribution (QKD) vilket ¨ar en nyckel¨overf¨oringsmetod som kommer att kunna kombineras med symmetriska krypteringsmetoder. Dels kan kvantmekaniken komma att bidra med b¨attre slumpgeneratorer. Att generera slumpm¨assiga tal ¨ar en viktig del i en krypteringsprocess f¨or att en angripare inte ska kunna f¨orutse vilka nycklar som kommer att genereras. Kvantdatorn kan, till skillnad fr˚an en traditionell dator, bidra med ¨akta slumpm¨assighet och det kommer att leda till s¨akrare system.

”Report on Post-Quantum Cryptography”

˚Ar 2016 publicerades rapporten ”Report on Post-Quantum Cryptography” av Na-tional Institute of Standards and Technology (NIST) [15]. Rapporten menar att b˚ade symmetriska och asymmetriska krypteringssystem st˚ar inf¨or framtida utmaningar.

Dels utmaningar orsakade av vanliga traditionella datorer, men framf¨orallt ut-maningar p˚a l˚ang sikt till f¨oljd av kvantdatorns utveckling. En tabell d¨ar olika krypteringssystem listas utifr˚an huruvida de ¨ar kvants¨akra eller inte presenteras.

Det ¨ar tydligt att symmetriska system som AES, samt hashfunktioner som SHA-2/3, bara beh¨over modifieras f¨or att vara motst˚andskraftiga. RSA, och system baserade p˚a elliptiska kurvor, kommer d¨aremot inte att vara s¨akert den dagen kvantdatorer av st¨orre storlek blir anv¨andbara.

NIST fastst¨aller inte exakt n¨ar kvantdatorer kommer att vara tillr¨ackligt utvecklade f¨or att utg¨ora ett verkligt hot mot RSA. D¨aremot uppskattas det, med h¨anvisning till annan forskning, att 2 000 bitars RSA kommer att g˚a att primtalsfaktorisera vid ˚ar 2030. I detta fall skulle kostnaden uppg˚a till 2 miljarder amerikanska dollar.

I rapporten redog¨or NIST f¨or sitt eget ansvar i standardiseringen av kvants¨akra krypteringssystem. Det beskrivs som viktigt och br˚adskande att, med hj¨alp av in-dustrin och akademier, komma fram till nya effektiva l¨osningar innan asymmetriska system g¨ors oanv¨andbara. I och med att standarder och evalueringsmetoder sak-nas f¨or att bed¨oma kvants¨akra krypteringsmetoder och attacker beh¨over detta v¨axa fram och utvecklas. Mellan ˚ar 2016 och 2017 tar NIST emot f¨orslag p˚a nya kvants¨akra krypteringsalternativ. Dessa ska sedan analyseras och bed¨omas innan ny standardisering sker. I rapporten uppmanas organisationer att kontrollera att deras befintliga l¨osningar uppfyller nutida krav. D¨arefter rekommenderar NIST att organisationer f¨orbereder sig p˚a implementation av nya kvants¨akra l¨osningar, vilket kan beh¨ova ske redan inom 10 ˚ar.

”Circuit for Shor’s algorithm using 2n + 3 qubits”

˚Ar 2003 presenterades artikeln ”Circuit for Shor’s algorithm using 2n+3 qubits”

skriven av St´ephane Beauregard [21]. Syftet med artikeln ¨ar att minimera antalet kvantbitar som en kvantdator beh¨over f¨or att kunna faktorisera tal med hj¨alp av Shors algoritm. Resultatet leder fram till en implementation som beh¨over 2n + 3 kvantbitar f¨or att faktorisera n. Det inneb¨ar att RSA-2048 g˚ar att faktorisera med hj¨alp av en kvantdator som har 4099 kvantbitar.