Calculatoarele cuantice capabile să ruleze algoritmul lui Shor la scară largă ar sparge criptografia cu cheie publică care stă la baza practic tuturor comunicațiilor securizate actuale: RSA, Criptografia cu Curbe Eliptice (ECC) și schimbul de chei Diffie-Hellman ar deveni toate nesigure. Pentru sistemele de apărare, aceasta nu este o problemă viitoare ipotetică ce urmează a fi abordată cândva — este o amenințare cunoscută, cu un calendar credibil, care necesită pregătire activă acum.

Strategia de atac „recoltează acum, decriptează mai târziu” (HNDL — harvest now, decrypt later) înseamnă că adversarii colectează deja astăzi comunicații de apărare criptate, stocându-le pentru decriptare odată ce un calculator cuantic suficient de capabil devine disponibil. Informațiile clasificate cu durată lungă de viață — planuri strategice, surse și metode de informații, evaluări de capabilități — sunt deosebit de expuse riscului: dacă sunt criptate astăzi cu algoritmi care vor fi sparți până în 2035, secretul lor are o dată efectivă de expirare.

Amenințarea Cuantică: Estimări de Calendar

Algoritmul lui Shor, dezvoltat în 1994, oferă o metodă în timp polinomial pentru factorizarea numerelor întregi mari — fundamentul matematic al securității RSA — atunci când este rulat pe un calculator cuantic suficient de mare. Algoritmul lui Shor rezolvă, de asemenea, problema logaritmului discret care stă la baza ECC și Diffie-Hellman. Un calculator cuantic suficient de mare pentru a rula algoritmul lui Shor împotriva dimensiunilor actuale de chei (RSA pe 2048 de biți, ECC pe 256 de biți) necesită milioane de qubiți logici cu rate de eroare foarte scăzute — cu mult peste capacitatea hardware actuală.

Cele mai credibile estimări publice pentru un „calculator cuantic relevant criptografic” (CRQC) — unul suficient de mare pentru a sparge criptografia cu cheie publică implementată în prezent — variază între 2030 și 2035, cu o incertitudine semnificativă în ambele direcții. Avizul CNSA 2.0 din 2022 al NSA nu susține un calendar specific, dar folosește anul 2035 ca orizont de planificare pentru sistemele care necesită protecție post-cuantică. Unele evaluări de informații sunt mai agresive. Postura adecvată pentru programele de apărare este să se pregătească pentru disponibilitatea CRQC până în 2030 — capătul conservator al intervalului — mai degrabă decât punctul median sau capătul optimist.

NSA CNSA 2.0: Algoritmi Mandatați și Cerințe de Tranziție

Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), publicată de Directoratul de Securitate Cibernetică al NSA în septembrie 2022, specifică algoritmii criptografici aprobați pentru protejarea Sistemelor Naționale de Securitate (NSS) în era post-cuantică. CNSA 2.0 înlocuiește CNSA 1.0 și mandatează următorii algoritmi post-cuantici:

ML-KEM (Mecanism de Încapsulare a Cheilor Bazat pe Rețele Modulare), standardizat ca FIPS 203 și bazat pe algoritmul CRYSTALS-Kyber, este algoritmul de stabilire a cheilor aprobat. ML-KEM înlocuiește RSA și ECDH pentru schimbul de chei în protocoale precum TLS. Sunt definite trei seturi de parametri: ML-KEM-512 (nivel de securitate echivalent cu AES-128), ML-KEM-768 (AES-192) și ML-KEM-1024 (AES-256). CNSA 2.0 specifică ML-KEM-1024 pentru aplicațiile NSS.

ML-DSA (Algoritm de Semnătură Digitală Bazat pe Rețele Modulare), standardizat ca FIPS 204 și bazat pe CRYSTALS-Dilithium, este algoritmul de semnătură digitală aprobat pentru majoritatea aplicațiilor, înlocuind RSA-PSS și ECDSA. ML-DSA oferă securitate a semnăturilor cu dimensiuni de chei mai mici decât alternativele bazate pe hash și operațiuni de semnare și verificare relativ rapide.

SLH-DSA (Algoritm de Semnătură Digitală Fără Stare Bazat pe Hash), standardizat ca FIPS 205 și bazat pe SPHINCS+, este un algoritm de semnătură digitală alternativ, cu securitate bazată pe funcții hash mai degrabă decât pe matematica rețelelor — oferind diversitate de securitate în cazul în care criptografia bazată pe rețele este slăbită de progresele matematice viitoare. SLH-DSA are dimensiuni de semnătură semnificativ mai mari și operațiuni mai lente decât ML-DSA, dar este potrivit pentru aplicațiile în care algoritmii bazați pe rețele nu sunt permiși sau în care este necesară diversitate suplimentară de securitate.

Calendarul de tranziție CNSA 2.0: NSA cere ca noile Sisteme Naționale de Securitate implementate începând din 2025 să suporte algoritmii CNSA 2.0. Sistemele existente au un calendar de migrare etapizat, cu jaloane intermediare și un termen ferm de 2030 pentru finalizarea tranziției. Sistemele care nu pot fi migrate până în 2030 trebuie să dispună de planuri de excepție sau de înlocuire aprobate.

Impactul asupra Software-ului de Apărare: TLS, Firmware și PKI

TLS 1.3 cu KEM post-cuantic. Cea mai imediat impactantă schimbare este înlocuirea algoritmilor de schimb de chei TLS. TLS 1.3, standardul actual pentru comunicațiile web și API criptate, folosește ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) pentru stabilirea cheilor. Conform CNSA 2.0, acesta trebuie înlocuit cu sau completat de ML-KEM. IETF a publicat RFC 9180 și proiecte conexe pentru încapsularea cheilor PQC în TLS. Bibliotecile TLS majore (OpenSSL, BoringSSL) au implementat suport experimental pentru suite de cifrare PQC; suportul de nivel de producție se maturizează rapid.

Semnături digitale pe firmware. Sistemele de armament și platformele hardware militare folosesc semnături digitale pentru a verifica integritatea firmware-ului — asigurarea criptografică că firmware-ul nu a fost manipulat între fabricare și implementare. Aceste semnături au durată lungă de viață (cheia de semnare poate fi utilizată pentru întreaga durată de producție a unei platforme, 10–20 de ani) și, prin urmare, prezintă un risc mai ridicat din partea atacurilor HNDL. CNSA 2.0 specifică faptul că semnarea firmware-ului pentru hardware-ul NSS ar trebui să facă tranziția la ML-DSA sau SLH-DSA.

Migrarea PKI. Infrastructura PKI de apărare — autorități de certificare, infrastructură de revocare a certificatelor, gestionarea certificatelor pentru utilizatori, dispozitive și servicii — folosește chei RSA sau ECC în întregime. Migrarea PKI înseamnă nu doar emiterea de noi certificate post-cuantice, ci și retragerea certificatelor vechi, distribuirea de noi ancore de încredere către toate sistemele dependente și asigurarea că toate software-urile care validează certificate pot procesa formate de certificate post-cuantice. Aceasta este o migrare de infrastructură complexă, de mai mulți ani, care trebuie să înceapă acum pentru a respecta termenul-limită din 2030.

Abordarea Hibridă în Timpul Tranziției

În timpul perioadei de tranziție, când sistemele sunt parțial migrate și trebuie să interopereze atât cu omoloage CNSA 1.0, cât și CNSA 2.0, o abordare de criptografie hibridă combină algoritmi clasici și post-cuantici în același schimb de protocol. Într-o conexiune TLS hibridă, sunt incluse atât o cotă de cheie ECDHE, cât și o cotă de cheie ML-KEM; cheia finală de sesiune este derivată din ambele. Aceasta oferă securitate atât împotriva adversarilor clasici (dacă PQC are slăbiciuni neprevăzute), cât și a adversarilor cuantici (dacă criptografia clasică este spartă).

Abordarea hibridă este susținută de NSA pentru perioada de tranziție ca strategie „cu curea și bretele”: nu slăbește securitatea clasică, adăugând totodată rezistență cuantică. NIST SP 800-227 (IPD) oferă îndrumări privind mecanismele de stabilire a cheilor hibride. Programele de apărare ar trebui să implementeze suite de cifrare hibride acum — acest lucru reduce riscul cuantic al atacurilor HNDL asupra comunicațiilor actuale, în timp ce tranziția completă către PQC pur se desfășoară.

Concluzie cheie: Furnizorii de software de apărare presupun adesea că migrarea post-cuantică este o preocupare viitoare pentru proprietarii de sisteme, mai degrabă decât o obligație curentă de dezvoltare. Acest lucru este incorect. Cerința CNSA 2.0 ca noile sisteme NSS să suporte algoritmi post-cuantici începând din 2025 înseamnă că software-ul livrat clienților DoD începând din 2025 trebuie să includă implementări criptografice capabile post-cuantic. Produsele construite astăzi doar cu biblioteci criptografice clasice vor eșua la evaluarea de conformitate atunci când vor fi implementate față de o infrastructură conformă cu CNSA 2.0.