Komputery kwantowe zdolne do uruchomienia algorytmu Shora w skali złamałyby kryptografię klucza publicznego leżącą u podstaw praktycznie wszystkich obecnych bezpiecznych komunikacji: RSA, kryptografia krzywych eliptycznych (ECC) i wymiana kluczy Diffiego-Hellmana stałyby się niebezpieczne. Dla systemów obronnych nie jest to hipotetyczny przyszły problem do rozwiązania w nieokreślonej przyszłości — to znane zagrożenie z wiarygodnym harmonogramem wymagającym aktywnego przygotowania już teraz.

Strategia ataku „zbieraj teraz, odszyfruj później" (HNDL) oznacza, że przeciwnicy już teraz zbierają zaszyfrowane komunikaty obronne, przechowując je do odszyfrowania po uzyskaniu wystarczająco zdolnego komputera kwantowego. Długotrwałe informacje niejawne — plany strategiczne, źródła i metody wywiadowcze, oceny zdolności — są szczególnie narażone na ryzyko: jeśli są szyfrowane dziś algorytmami, które zostaną złamane do 2035 roku, ich tajność ma efektywną datę wygaśnięcia.

Zagrożenie kwantowe: szacunki harmonogramu

Algorytm Shora, opracowany w 1994 roku, zapewnia metodę wielomianową faktoryzacji dużych liczb całkowitych — matematycznej podstawy bezpieczeństwa RSA — przy uruchomieniu na wystarczająco dużym komputerze kwantowym. Algorytm Shora rozwiązuje również problem logarytmu dyskretnego leżący u podstaw ECC i Diffiego-Hellmana. Komputer kwantowy wystarczająco duży do uruchomienia algorytmu Shora przeciwko obecnym rozmiarom kluczy wymaga milionów logicznych kubitów z bardzo niskim wskaźnikiem błędów — znacznie wykraczającym poza obecne możliwości sprzętowe.

Najbardziej wiarygodne publiczne szacunki dla „kryptograficznie relewantnego komputera kwantowego" (CRQC) wahają się od 2030 do 2035 roku, ze znaczną niepewnością w obu kierunkach. Zalecenia NSA CNSA 2.0 z 2022 roku używają 2035 roku jako horyzontu planowania. Właściwa postawa dla programów obronnych to przygotowanie się na dostępność CRQC do 2030 roku.

NSA CNSA 2.0: nakazane algorytmy i wymagania przejścia

Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), opublikowany przez Dyrektoriat Cyberbezpieczeństwa NSA we wrześniu 2022 roku, określa algorytmy kryptograficzne zatwierdzone do ochrony Systemów Bezpieczeństwa Narodowego (NSS) w erze post-kwantowej. CNSA 2.0 nakazuje następujące algorytmy post-kwantowe:

ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism), standaryzowany jako FIPS 203 i oparty na algorytmie CRYSTALS-Kyber, jest zatwierdzonym algorytmem ustanawiania kluczy. ML-KEM zastępuje RSA i ECDH dla wymiany kluczy w protokołach takich jak TLS. CNSA 2.0 określa ML-KEM-1024 dla aplikacji NSS.

ML-DSA (Module-Lattice-Based Digital Signature Algorithm), standaryzowany jako FIPS 204 i oparty na CRYSTALS-Dilithium, jest zatwierdzonym algorytmem podpisu cyfrowego dla większości aplikacji, zastępującym RSA-PSS i ECDSA.

SLH-DSA (Stateless Hash-Based Digital Signature Algorithm), standaryzowany jako FIPS 205 i oparty na SPHINCS+, jest alternatywnym algorytmem podpisu cyfrowego z bezpieczeństwem opartym na funkcjach skrótu, a nie matematyce kratowej — zapewniającym różnorodność bezpieczeństwa na wypadek, gdyby kryptografia oparta na kratach została osłabiona przez przyszłe postępy matematyczne.

Harmonogram przejścia CNSA 2.0: NSA wymaga, aby nowe Systemy Bezpieczeństwa Narodowego wdrożone od 2025 roku wspierały algorytmy CNSA 2.0. Istniejące systemy mają etapowy harmonogram migracji z ostatecznym terminem 2030 roku na ukończenie przejścia.

Wpływ na oprogramowanie obronne: TLS, oprogramowanie układowe i PKI

TLS 1.3 z post-kwantowym KEM. Najbardziej natychmiastowo istotną zmianą jest zastąpienie algorytmów wymiany kluczy TLS. TLS 1.3 używa ECDHE do ustanawiania kluczy. Zgodnie z CNSA 2.0 musi to zostać zastąpione lub uzupełnione przez ML-KEM. Główne biblioteki TLS (OpenSSL, BoringSSL) zaimplementowały eksperymentalną obsługę post-kwantowych zestawów szyfrów.

Podpisy cyfrowe na oprogramowaniu układowym. Systemy uzbrojenia i wojskowe platformy sprzętowe używają podpisów cyfrowych do weryfikacji integralności oprogramowania układowego. Podpisy te są długotrwałe i dlatego są szczególnie narażone na ryzyko ataków HNDL. CNSA 2.0 określa, że podpisywanie oprogramowania układowego dla sprzętu NSS powinno przejść na ML-DSA lub SLH-DSA.

Migracja PKI. Infrastruktura PKI obrony — urzędy certyfikacji, infrastruktura unieważniania certyfikatów, zarządzanie certyfikatami dla użytkowników, urządzeń i usług — używa kluczy RSA lub ECC w całości. Migracja PKI oznacza nie tylko wystawianie nowych certyfikatów post-kwantowych, ale wycofywanie starych, dystrybucję nowych kotwic zaufania do wszystkich systemów zależnych i zapewnienie zdolności całego oprogramowania walidującego certyfikaty do przetwarzania post-kwantowych formatów certyfikatów.

Podejście hybrydowe w trakcie przejścia

W trakcie okresu przejściowego, gdy systemy są częściowo zmigrowane i muszą współpracować zarówno z odpowiednikami CNSA 1.0, jak i CNSA 2.0, hybrydowe podejście kryptograficzne łączy klasyczne i post-kwantowe algorytmy w tej samej wymianie protokołu. W hybrydowym połączeniu TLS uwzględniane są zarówno współdzielona kluczem sesji ECDHE, jak i ML-KEM; końcowy klucz sesji jest wyprowadzany z obu.

Podejście hybrydowe jest popierane przez NSA na okres przejściowy jako strategia „pasa i szelek": nie osłabia bezpieczeństwa klasycznego, dodając odporność kwantową. Programy obronne powinny wdrożyć hybrydowe zestawy szyfrów już teraz.

Kluczowy wniosek: Dostawcy oprogramowania obronnego często zakładają, że migracja post-kwantowa jest przyszłą kwestią dla właścicieli systemów, a nie bieżącym zobowiązaniem deweloperskim. To jest nieprawidłowe. Wymóg CNSA 2.0 dotyczący obsługi algorytmów post-kwantowych przez nowe systemy NSS od 2025 roku oznacza, że oprogramowanie dostarczane klientom DoD od 2025 roku musi zawierać implementacje kryptograficzne zdolne do post-kwantowości. Produkty zbudowane dziś wyłącznie z klasycznymi bibliotekami kryptograficznymi nie przejdą oceny zgodności podczas wdrażania w infrastrukturze zgodnej z CNSA 2.0.