Powrót do strony głównej

Zagrożenia kwantowe dla kryptografii: migracja do 2029

Ostatnie badania obniżają wymagania co do kubitów dla złamania krzywych eliptycznych, przesuwając termin migracji postkwantowej do 2029 roku. Zalecane jest bezpośrednie przejście na ML-DSA/ML-KEM bez hybryd, ponowne przejrzenie TEE i bibliotek.

CRQC łamią kryptę: przejście na algorytmy postkwantowe
Advertisement 728x90

Pilne przejście na kryptografię postkwantową: nowe zagrożenia ze strony CRQC

Specjaliści od kryptografii obserwują przyspieszony postęp w obliczeniach kwantowych, zdolnych do złamania 256-bitowych krzywych eliptycznych, takich jak NIST P-256 i secp256k1. Najnowsze opracowania Google i Oratomic zmniejszają wymagania zasobowe ataku do tysięcy kubitów, co sprawia, że staje się on realny w najbliższych latach. Ostateczny termin migracji na algorytmy postkwantowe jest przesuwany na 2029 rok.

Postęp w atakach kwantowych

Artykuł Google pokazuje, że w architekturach z wysokimi częstotliwościami taktującymi, takich jak nadprzewodzące kubity, złamanie 256-bitowych krzywych jest możliwe w ciągu minut. Autorzy skupiają się na kryptowalutach, ale realne ryzyko dotyczy ataków MitM na WebPKI.

Oratomic przedstawia możliwość złamania przy użyciu 10 000 fizycznych kubitów z wykorzystaniem nie lokalnych połączeń w neutralnych atomach. Atak jest wolniejszy, ale nawet jedno złamanie klucza miesięcznie może prowadzić do katastrofy. Trend potwierdzany jest przez wykresy spadku kosztów kubitów: sprzęt ulega poprawie, algorytmy są optymalizowane, a korekcja błędów staje się prostsza.

Google AdInline article slot

Eksperci tacy jak Heather Edkins i Sophie Schmieg przewidują CRQC do 2029 roku. Scott Aaronson nalega na natychmiastową migrację na schematy postkwantowe, porównując to z Projektem Manhattan.

Zalecenia dotyczące migracji

Należy wdrażać dostępne algorytmy postkwantowe:

  • ML-DSA z długimi podpisami w X.509, zaprojektowane pod krótkie ECDSA.
  • ML-KEM do wymiany kluczy, z informacją o niepostkwantowych schematach jako potencjalnym kompromitującym.

Należy zrezygnować z:

Google AdInline article slot
  • Nieinteraktywnej wymiany kluczy (NIKE) — tylko KEM.
  • Nowych niepostkwantowych schematów.
  • Hybrydowej klasycznej + postkwantowej autentykacji — bezpośrednie przejście do ML-DSA-446 oszczędza czas.

Szyfrowanie symetryczne z 128-bitowymi kluczami jest odporne: algorytm Grovera nie daje praktycznego przyspieszenia ze względu na obwody z 2¹⁰⁶ bramek.

Konsekwencje dla ekosystemów

W standardowych bibliotekach, takich jak Go, połowa pakietów może stać się podatna. Konieczne jest znalezienie równowagi między modernizacją a zachowaniem kompatybilności.

TEE (Intel SGX, AMD SEV-SNP) z niepostkwantowymi kluczami są niewiarygodne — ich rola spada do dodatkowej ochrony.

Google AdInline article slot

Ekosystemy z kryptoidentyfikacją (atproto, kryptowaluty) migrują natychmiast, aby uniknąć kompromitacji.

Szyfrowanie plików jest podatne na "zbiór teraz, odszyfruj później": należy ostrzegać użytkowników, odrzucać niepostkwantowe typy age.

W nauczaniu RSA, ECDSA, ECDH są traktowane jako przestarzałe.

Co jest ważne:

  • Złamanie 256-bitowych krzywych jest możliwe z 10000 kubitów do 2029 roku.
  • Bezpośrednie przejście na ML-DSA/ML-KEM bez hybryd.
  • Symetria 128-bitowa jest bezpieczna przed Groverem.
  • Migracja ekosystemów jest krytycznie pilna.
  • TEE i biblioteki wymagają przeglądu.

— Editorial Team

Advertisement 728x90

Czytaj dalej