Naléhavý přechod na postkvantovou kryptografii: Nové hrozby od CRQC
Vývojáři kryptografie zaznamenávají zrychlení pokroku v kvantových výpočtech, které jsou schopny prolomit 256-bitové eliptické křivky jako NIST P-256 a secp256k1. Nedávné publikace Google a Oratomic snížily požadavky na zdroje pro útok na tisíce qubitů, což tuto hrozbu činí reálnou v příštích letech. Lhůta pro migraci na postkvantové algoritmy se posouvá k roku 2029.
Pokrok v kvantových útocích
Článek Google demonstruje, že v architekturách s vysokými taktovými frekvencemi, jako jsou supravodivé qubity, lze prolomit 256-bitové křivky během minut. Autoři se zaměřují na kryptoměny, ale skutečná rizika se týkají MitM útoků na WebPKI.
Oratomic ukazuje prolomení s 10 000 fyzickými qubity při nelokální vazbě v neutrálních atomech. Útok je pomalejší, ale i jeden klíč za měsíc vede ke katastrofě. Graf snižování nákladů na qubity potvrzuje trend: zařízení se zlepšuje, algoritmy se optimalizují, korekce chyb se zjednodušuje.
Experti jako Heather Edkins a Sophie Schmiege předpovídají CRQC do roku 2029. Scott Aaronson trvá na okamžité migraci na postkvantová schémata, přirovnávaje to k Manhattanskému projektu.
Doporučení pro migraci
Je nutné zavádět dostupné postkvantové algoritmy:
- ML-DSA s dlouhými podpisy v X.509, navržené pro krátké ECDSA.
- ML-KEM pro výměnu klíčů, s upozorněním na nepostkvantová schémata jako na potenciální ohrožení.
Odstoupit od:
- Neinteraktivní výměny klíčů (NIKE) — pouze KEM.
- Nových nepostkvantových schémat.
- Hybridní klasické + postkvantové autentizace — přímý přechod na ML-DSA-446 šetří čas.
Symetrické šifrování s 128-bitovými klíči je odolné: Groverův algoritmus neposkytuje praktické zrychlení kvůli obvodům s 2¹⁰⁶ hradly.
Důsledky pro ekosystémy
Ve standardních knihovnách jako Go se polovina balíčků stane zranitelnou. Je třeba najít rovnováhu mezi demodernizací a kompatibilitou.
TEE (Intel SGX, AMD SEV-SNP) s nepostkvantovými klíči jsou nespolehlivé — jejich role se snižuje na dodatečnou ochranu.
Ekosystémy s kryptoidentifikací (atproto, kryptoměny) migrují okamžitě, aby se vyhnuly ohrožení.
Šifrování souborů je zranitelné vůči 'sklízet nyní, dešifrovat později': varovat uživatele, odmítat nepostkvantové typy age.
Ve výuce se RSA, ECDSA, ECDH považují za zastaralé.
Co je důležité:
- Vylomení 256-bitových křivek je možné s 10 000 qubity do roku 2029.
- Přímý přechod na ML-DSA/ML-KEM bez hybridů.
- Symetrie 128-bit je bezpečná proti Groverovi.
- Migrace ekosystémů je kriticky naléhavá.
- TEE a knihovny vyžadují přehodnocení.
— Editorial Team
Zatím žádné komentáře.