Czy komputery kwantowe dobiorą się do naszych haseł? Dzień Q zbliża się nieubłagalnie

Od dłuższego czasu czytamy, że złamanie naszych nawet najbardziej wymyślnych haseł to będzie dla komputerów kwantowych pestka. Mało tego - przed tym czającym się tuż za rogiem zagrożeniem ma nie być bezpieczna nawet sieć Bitcoina i każdy posiadacz kryptowalut powinien w tym momencie oblać się zimnym potem. Ile w tym wszystkim jest prawdy i na ile zagrożenie jest realne?

Komputery kwantowe to już nie pieśń odległej przyszłości, ale maszyny, które istnieją i działają w rzeczywistości. Najwydajniejszym komputerem kwantowym w Polsce jest obecnie oparty na technologii uwięzionych jonów PIAST-Q w Poznańskim Centrum Superkomputerowo-Sieciowym (PCSS) o wydajności 20 kubitów. Do czego służy? Do kwantowego uczenia maszynowego, optymalizacji systemów, modelowania materiałów i chemii kwantowej. Pierwszym "prawdziwym" komputerem kwantowym w Polsce był z kolei wrocławski Odra 5 (technologia nadprzewodzących kubitów), który wykorzystywany jest przede wszystkim do badań informatycznych. W Polsce można też się spotkać z mniejszymi instalacjamii (czy też symulatorami zintegrowanymi z superkomputerami), ale nie są to komputery kwantowe w pełnym tego słowa znaczeniu.

 

Technologia więc już jest i działa - czy mamy się czego bać?

Dzień dobry nazywam się Peter Shor, a to jest mój algorytm

Pan Shor już w 1994 roku zaprezentował algorytm do szybkiego rozkładu dużych liczb na czynniki pierwsze. Bitowym komputerom (binarnym) zajmuje to mnóstwo czasu, natomiast przy użyciu kwantowej superpozycji i interferencji kubitów można równocześnie przetestować wiele różnych możliwych wartości. Podczas gdy klasyczny komputer musi sprawdzać wszystkie kombinacje po kolei, to kwantowy może odgadnąć strukturę w znacznie mniejszej liczbie kroków.

I to jest właśnie problem dla kryptografii, bo dysponując odpowiednio wydajnym komputerem kwantowym takie szyfry jak RSA / ECC mogą zostać szybko i skutecznie złamane. Co gorsza, klucze oparte na tych schematach używane w protokołach HTTPS/TLS również mogą zostać odzyskane przez atakującego.

Na szczęście metoda Shora nie jest już tak doskonała przy szyfrowaniu symetrycznym (w której to używa się tylko jednego klucza) więc nawet AES256 może się sprawdzać jako ochrona przed "atakiem kwantowym".

Złamanie kodu Bitcoina

Faktycznie, sieć Bitcoina obecnie nie jest całkowicie zabezpieczona przed komputerami kwantowymi. Ryzyko jest, ale dość ograniczone i raczej nie nadejdzie już jutro.

Bitcoin opiera się na ECDSA (kryptografii krzywych eliptycznych) przy generowaniu kluczy i podpisywaniu transakcji. Wspomniany wcześniej algorytm Shora może posłużyć do odtworzenia klucza prywatnego z klucza publicznego  - co z kolei pozwoliłoby na przejęcie BTC z adresów, których klucz publiczny jest już widoczny w blockchainie. Ale - nowoczesne adresy typu P2PKH / P2WPKH / P2TR nie ujawniają klucza publicznego do momentu pierwszej wydanej transakcji. Zagrożenie więc dotyczy głównie starych adresów P2PK i adresów P2PKH wielokrotnie używanych, co nie znaczy, że jest lekceważone.

Społeczność pracuje już nad algorytmami odpornymi na komputery kwantowe (PQC - czyli Post Quantum Cryptography), rozważane są również propozycje migracji adresów na takie skrywające klucz publiczny. Data masowego wdrożenia nie jest znana, bo jest na to jeszcze czas, zanim realny kwantowy atak stanie się możliwy - a przynajmniej takie są przewidywania. Warto śledzić aktualizacje i po udostępnieniu nowych rozwiązań przenieść środki na nowe adresy.

Ale mój zimny portfel kryptowalut na pewno jest bezpieczny! No… nie. Zimne portfele są bardziej odporne na ataki online, ale same w sobie nie chronią przed atakiem kwantowym - bezpieczeństwo zależy bowiem od kryptografii użytej w sieci, a nie od tego, czy klucz jest offline.

Jak się obronić przed atakiem kwantowym?

Złamią mi hasło? Trudno - mam przecież uwierzytelnianie dwuskładnikowe, nawet komputery kwantowe tego nie ominą! No i co z tego, kiedy mogą po prostu obejść podstawową warstwę kryptografii, na której bazuje 2FA. Sam 2FA nie zostanie złamany, ale fundamenty kryptograficzne (ECC/RSA) na którym się opiera - już tak. Na ten moment nawet sprzętowe klucze nie gwarantują pełnego bezpieczeństwa, chociaż te z kryptografią symetryczną są zdecydowanie bezpieczniejsze.

 

Zgodnie z zasadą "harvest now, decrypt later" nawet szyfrowane dane są obecnie magazynowane, do czasu kiedy będzie możliwość ich odczytania. Jeśli w przypadku ataku stracimy klucz prywatny, bądź nasze sesje TLS zostaną zdekodowane, to nawet 2FA nie pomoże, jeśli usługa będzie używać już złamanego przez komputer kwantowy szyfrowania i przekieruje autoryzację na fałszywą stronę.

Klucze 2FA i szyfrowane dyski odporne na kwantowe zagrożenie

Krótko - na rynku nie ma jeszcze dostępnych kluczy 2FA i szyfrowanych dysków odpornych na to zagrożenie. Są prototypy i zapowiedzi (choćby od Yubico), ale na pełne wersje produktów jeszcze poczekamy. Owszem, niektóre klucze jak SecuX PUFido mają w opisie "quantum resistant", ale to bardziej hasło reklamowe niż rzeczywistość. Owszem, ten klucz ma mechanizmy utrudniające klonowanie i ataki fizyczne (PUF, czyli Physical Unclonable Function), które poprawiają bezpieczeństwo, ale jak wspominaliśmy wcześniej - rozwiązanie wciąż działa na starych fundamentach.

"Kwantoodporny" portfel kryptowalutowy Trezor Safe 7 jak na razie jest po prostu otwarty na aktualizacje PQC, a sam Bitcoin jeszcze nie ma przecież forka PQC. Z innych przykładów NetApp planuje rozwiązanie post kwantowe dla bezpiecznego magazynowania danych, ale ma to być produkt dla data center, a nie dla Kowalskiego. Western Digital również zapowiedział już tak chroniony dysk, ale wciaż znajduje się on w fazie testów.

Postkwantowe algorytmy szyfrujące

Potrzebne nam są nowe algorytmy post kwantowe - i tak, prace nad nimi trwają już od dłuższego czasu, a mowa choćby o CRYSTALS‑Kyber, Dilithium, czy SPHINCS+.

Oprogramowanie, które potrafi, bądź będzie potrafiło wykorzystać algorytmy post kwantowe już istnieje, ale wciąż jest w fazie eksperymentalnej. Projekt Open Quantum Safe (OQS) udostępnia już biblioteki i post‑kwantowe wersje OpenSSL, OpenSSH, OpenVPN i podaje przykłady integracji z TLS, więc deweloperzy chętni do eksperymentów mogą już testować takie hybrydowe (bo łączące metody klasyczne z PQC) rozwiązania. Z całą pewnością trafią one najpierw do sieci korporacyjnych, chociaż może jakiś entuzjasta przeniesie to również na grunt konsumencki. Jak na razie nie ma żadnej aplikacji szyfrującej, która potrafiłaby wykorzystać nowe algorytmy. Zabezpieczenia post-kwantowe są obecnie bardziej potrzebne w zastosowaniach sieciowych, niż dla szyfrowania plików.

Jak zabezpieczyć się na przyszłość przed kwantowym zagrożeniem?

Na dziś dzień żadne oprogramowanie konsumenckie do szyfrowania nie dysponuje jeszcze algorytmami postkwantowymi, ale są one już dostępne dla deweloperów. Nikt jednak nie czeka z założonymi rękami na dzień Q. Od dłuższego czasu prowadzone są prace nad postkwantowymi algorytmami szyfrującymi, które (teoretyczynie) będą nie do złamania nawet na komputerach kwantowych. Podobnie ma się rzecz z szyfrowaniem blockchainów kryptowalut, czyli trwają pracę nad wymianę algorytmów szyfrujących na bezpieczniejsze i zabezpieczające przed przyszłymi zagrożeniami.

Na dziś dzień po prostu pamiętajmy o włączeniu absolutnie gdzie się da uwierzytelniania dwuskładnikowego - czy to za pomocą aplikacji jak Google Authenticator, czy też za pomocą fizycznych kluczy 2FA, jak Yubico czy SecuX PUFido. Wrażliwe dane na dyskach wciąż całkiem nieźle chronić będzie VeraCrypt, czy nawet krytykowany Bitlocker. Firmom pozostaje wdrażać „crypto‑agility” (możliwość podmiany algorytmów) i powoli planować migrację na algorytmy NIST‑PQC. 

Jak na razie wszystko wskazuje na to, że gdy "dzień Q" nadejdzie, to nie musi on być wcale taki dramatyczny. Warto zauważyć, że do dobrania się do naszego hasła nie potrzeba bardzo drogiego kwantowego komputera, bo moc dostępnych dla każdego kart graficznych tak urosła, że łamanie haseł jest coraz prostsze. W zasadzie to nie potrzeba do tego nawet żadnego sprzętu… bo najczęściej zdradzamy nasze hasła dzięki sztuczkom socjotechnicznym.