Till innehåll på sidan
Till KTH:s startsida

Forskar om att framtidssäkra internet

kvantdator genererad av AI-mjukvaran Midjourney
Kryptologen Martin Ekerås uppfattning är att vi tidigast 2030 kommer ha kvantdatorer som klarar av att forcera asymmetriska kryptoalgoritmer som hittills har använts för att skydda sekretess på internet. Bild: Midjourney
Publicerad 2024-10-30

Martin Ekerå har precis disputerat vid KTH i ämnet kvantdatoralgoritmer för kryptoanalys. Syftet med hans forskning är främst att undersöka om och när kvantdatorer i framtiden kan tänkas kunna forcera merparten av de asymmetriska kryptoalgoritmer som hittills har använts för att skydda sekretess på internet.

Vi befinner oss fortfarande i kvantdatorns barndom. Det finns idag små kvantdatorer, med upp till omkring 1 000 kvantbitar. De har emellertid ytterst begränsad kapacitet, och fel uppstår lätt när kvantbitarna manipuleras. Det är en lång bit kvar till de storskaliga feltoleranta kvantdatorer som skulle krävas för att effektivt forcera tidigare nämnda kryptoalgoritmer.

– Vi vet inte med säkerhet när — eller ens med säkerhet om — sådana kryptoanalytiskt relevanta kvantdatorer kan byggas, men utvecklingen rör sig snabbt framåt. Som tidigast är det enligt min uppfattning tänkbart att vi kommer få se sådana datorer någon gång efter år 2030, säger Martin Ekerå.

Två närbesläktade matematiska problem

Han har precis klar som doktorand vid Avdelningen för teoretisk datalogi på KTH, och nu chefskryptolog vid Avdelningen för krypto och IT-säkerhet på Must.
 

portrait photo Martin Ekerå
Martin Ekerå, nybakad doktorand vid Avdelningen för teoretisk datalogi på KTH, och numera chefskryptolog vid Avdelningen för krypto och IT-säkerhet på Must. Foto: Försvarsmakten.

Martin Ekerå berättar att nästan alla asymmetriska kryptoalgoritmer som har använts i kommersiella tillämpningar fram tills idag förlitar sig på två närbesläktade matematiska problem: Faktoriseringsproblemet för heltalen, som nog är ganska välkänt, och det diskreta logaritmproblemet, som nog är lite mindre känt.
 
Shors banbrytande kvantdatoralgoritmer från 1994 löser båda dessa problem effektivt. De är anledningen till att kvantdatorer utgör ett hot mot merparten av de asymmetriska kryptoalgoritmer som fram till idag har använts på internet.

– I min avhandling tittar jag på olika sätt att förbättra och vidareutveckla Shors algoritmer. Dessa förbättringar gör att algoritmerna kan komma att vara möjliga att köra tidigare, på mindre kapabla kvantdatorer, än vad som annars skulle ha varit fallet.

Borde ha bytt sårbar kryptologi för 20 år

Han säger vidare att han i samarbete med andra, exempelvis Craig Gidney på Google, har gjort skattningar av hur kapabla kvantdatorer som skulle krävas för att kunna köra de nya algoritmerna. Detta i syfte att bättre förstå ungefär hur mycket tid som återstår innan dagens asymmetriska kryptoalgoritmer kan bli möjliga att forcera.

Även om dagens kvantdatorer ännu inte är kryptoanalytiskt relevanta så är det hög tid att agera när det handlar om att skydda sekretess: Angripare kan lagra kryptotexter som sänds idag för forcering i framtiden när bättre kryptoanalytiska metoder blir tillgängliga. När det är fråga om sekretesskydd måste därför kryptoalgoritmer bytas ut med mycket god framförhållning — långt innan de i praktiken blir möjliga att forcera.

– Om vi exempelvis har som mål att skydda sekretess i 30 år, och vi tänker oss att en kryptoanalytiskt relevant kvantdator blir tillgänglig år 2035, så borde vi ha bytt ut all sårbar kryptologi redan för cirka 20 år sedan. Det stämmer till viss eftertanke vid hantering av känsliga personuppgifter, patientsekretess, banksekretess och så vidare.

"Som kryptolog bör man vara konservativ"

Enligt Martin Ekerå är det angeläget att vidta skyddsåtgärder för de aktörer som inte redan har gjort det.

– Vi får se hur kvantdatorutvecklingen ter sig — och inte minst i vilken mån utvecklingen fortsatt kommer att finansieras över tid mot bakgrund av att det inte finns särskilt många kända tillämpningar för kryptoanalytiskt relevanta kvantdatorer bortom forcering av kryptosystem. Men som kryptolog bör man vara konservativ och anta ett värstafallsscenario. 

Martin Ekerå tillägger att han brukar säga att det är en billig försäkring att vidta skyddsåtgärder tidigt. Det är viktigt att skilja på sekretesskydd och annan användning av kryptologi, och att byta ut sårbar kryptologi med god framförhållning, på ett ordnat sätt, och i rätt prioritetsordning. 

– Jag ger en del råd om det i avhandlingen.

Text: Peter Asplund

Olika kryptoalgoritmer

  • Inom kryptologin gör man en distinktion mellan symmetriska och asymmetriska kryptoalgoritmer: Symmetriska algoritmer använder samma nyckel både för att kryptera klartexter till kryptotexter och för att dekryptera de resulterande kryptotexterna. Asymmetriska kryptoalgoritmer använder istället ett nyckelpar, bestående av en publik och en privat nyckel. Klartexter som har krypterats med den publika nyckeln kan bara dekrypteras med den privata nyckeln.
  • Asymmetriska kryptoalgoritmer används i hög utsträckning för att skydda sekretess på internet eftersom nyckeldistributionen underlättas avsevärt av att den ena delen av nyckeln är publik. För att asymmetriska kryptoalgoritmer ska fungera så behöver dock den publika och privata nyckeln ha en stark inbördes matematisk relation. Asymmetriska kryptoalgoritmer baseras därför i praktiken på specifika matematiska problem, och tyvärr finns det få problem som är lämpliga att använda som grund.
  • Här återfinns Martin Ekerå avhandling .