Det har sannolikt inte undsluppit någon som är aktiv inom informations- och cybersäkerhet att det finns, och vidareutvecklas, kvantdatorer, samt att dessa kan utgöra ett hot mot den typ av kryptering som är förhärskande i dag. Just de algoritmer som förväntas användas för att knäcka nuvarande kryptering, Shor’s algoritm och Groover’s algoritm, presenterades på 90-talet. Under 2000-talet började forskare fundera på hur man skulle skapa algoritmer som motstår denna typ av kvantdatorattacker. 2016 inledde NIST en öppen tävling för att ta fram nästa generations kryptoalgoritmer, och åtta år senare, 13:e augusti 2024, publicerades standarderna för de tre vinnande algoritmerna. Post Quantum Cryptography (PQC) standarderna heter FIPS 203 (ML-KEM), FIPS 204 (ML-DSA )samt FIPS 205 (SLH-DSA), personligen hade jag nog valt att ha kvar de lite mer spektakulära arbetsnamnen, ”CHRYSTALS-Kyber, CHRYSTALS-Dilitium och SPHINCS+”…
Nästa, helt naturliga steg, var att NIST den 12:e november 2024 publicerade sina initiala tankar kring när de kvantosäkra algoritmerna ska fasas ut. Publikationen är i ”initial public draft” och ”open for comments” till 10:e januari 2025, men sannolikt är det detta som kommer att gälla. Certezza bevakar och rapporterar naturligtvis om det blir uppdateringar. Nu finns det alltså alternativ till ”gammelkrypto”, och en tidplan att förhålla sig till.
Förändringar inom kryptering har skett många gånger tidigare, men då lite i skymundan och ganska odramatiskt. Till exempel använder vi inte 1024 bitars RSA-nycklar längre – minimum är i dag 2048 bitar. Många liknande förändringar har skett utan att det uppmärksammats speciellt. NIST skriver i sitt utlåtande att migreringen till PQC-algoritmer är utan motstycke inom kryptovärlden, och att det kommer att krävas betydande ansträngningar för att lösa detta. Det är massa system som måste anpassas, i princip alla som hanterar kryptering eller krypterad information, vilket en stor andel av dagens system gör på något vis.
Nu finns det alltså standardiserade alternativ till de kvant-osäkra algoritmerna, en tidplan att förhålla sig till, och den kanske största utmaningen hittills i kryptosystem. Dessutom kan man med anledning av ”harvest now, decrypt later”, alltså att någon sparar massa krypterad information för att sedan dekryptera när lämpliga kvantdatorer finns tillgängliga, säga att hotet är högst reellt redan i dagsläget. Så det är dags att börja jobba med detta, NU!
Om man ska sammanfatta NISTs utlåtande så är det i princip så att alla kvant-osäkra algoritmer ska vara utfasade efter 2030, och helt förbjudna efter 2035. Det kan låta som lång tid, men låt mig påminna om att SHA-3 publicerades som standard den 5:e augusti 2015, det mer än nio år sedan. Hur många SHA-3 hashar har du sett?
Man kan lite skämtsamt dra paralleller mellan kvantkryptoanalys och Y2K-buggen, för de som minns den. Det vill säga när klockan tickade från 1999-12-31 23:59:59 till 2000-01-01 00:00:00. Då visste vi inte vad som skulle hända, men exakt när. I PQC-fallet vet vi vad som ska hända, men inte när…
De algoritmer som berörs är till exempel RSA, ECDSA (ECC), EdDSA (ECC).
NISTs publikation i ämnet finns att läsa här: https://csrc.nist.gov/pubs/ir/8547/ipd
Martin Juhlin, Teamlead PKI/krypto