Postkvantová kryptografie

Proč postkvantová kryptografie právě teď

Postkvantová kryptografie (PQC) označuje třídu kryptografických algoritmů, které jsou navrženy tak, aby odolaly útokům klasických i budoucích kvantových počítačů. Motivací je především Shorův algoritmus, jenž teoreticky rozbíjí dnes dominantní schémata založená na faktorizaci a diskrétním logaritmu (RSA, Diffie–Hellman, ECDH/ECDSA). Druhým hybatelem je scénář „harvest now, decrypt later“ – útočník dnes pasivně ukládá šifrovaný provoz a po nástupu dostatečně výkonných kvantových strojů jej zpětně dešifruje. Organizace proto musí plánovat migraci k PQC s dostatečným předstihem vzhledem k požadované době utajení dat (crypto-deprecation horizon).

Hrozby kvantového výpočtu vůči současné kryptografii

• Asymetrická kryptografie: Shorův algoritmus efektivně řeší faktorizaci i diskrétní logaritmy, čímž kompromituje RSA, DH, ECDH, ECDSA a EdDSA při dostatečně velkém počtu kvantových qubitů a nízké chybovosti.
• Symetrická kryptografie a hašování: Groverův algoritmus poskytuje kvadratické zrychlení hrubé síly. Dopad je mitigován zdvojnásobením bezpečnostní rezervy (např. AES-256 místo AES-128, delší výstup hašovacích funkcí).
• Infrastruktura PKI a protokoly: Ohrožení podpisů a výměny klíčů se dotýká TLS, SSH, IPsec, S/MIME, Code Signing, dokumentových podpisů a blockchainových validací.

Rodiny postkvantových algoritmů

Návrhy PQC stojí na problémech, pro které nejsou známy efektivní kvantové algoritmy:

• Mřížové (lattice-based): Schémata pro výměnu klíčů/šifrování (např. Kyber) a digitální podpisy (např. Dilithium, Falcon). Předností je rychlost a dobrá implementační praxe, výzvou jsou větší klíče a pečlivá side-channel ochrana.
• Kódové (code-based): Příkladem je Classic McEliece s velmi velkými veřejnými klíči, ale dlouhodobou kryptanalytickou historií a rychlou dešifrací.
• Hašové podpisy: SPHINCS+ nabízí minimální kryptografické předpoklady, relativně velké podpisy a vyšší výpočetní náročnost, ale jednoduchost analýzy.
• Multivariační a další: Některé návrhy jsou vhodné pro specifické scénáře, nicméně část z nich byla v minulosti kryptanalyticky oslabena.

Standardizace a doporučení z praxe

Standardizační úsilí se soustředí především na americký NIST (výběr finalistů a profilů pro výměnu klíčů a podpisy), dále IETF (integrace do TLS, IPsec, QUIC), ETSI a ISO. Vznikají profily pro certifikáty X.509, protokoly KEMTLS, hybridní handshake i formáty pro podpisy kódu a dokumentů. Organizace by měly sledovat aktuální doporučení a referenční implementace, zejména pro kombinace „klasický + postkvantový“ (hybridní režimy).

Hybridní kryptografie jako most k budoucnosti

Hybridní přístup kombinuje klasické a PQC mechanismy tak, aby byla zachována kompatibilita a současně posílena odolnost vůči budoucímu kvantovému útočníkovi. Typické varianty:

• Hybridní výměna klíčů: ECDH + KEM (např. X25519 + Kyber) s concatenation-KDF a robustními klíčovými derivacemi.
• Hybridní podpisy: Dvojité podepisování (např. ECDSA + Dilithium) nebo composite keys v certifikátech.
• Protokolové profily: TLS 1.3/QUIC s PQC KEM v rámci rozšíření, S/MIME s PQC podpisy a šifrováním, SSH s hybridními klíči hostitele.

Kritéria výběru algoritmů a parametrů

1. Úroveň bezpečnosti: Mapa k bezpečnostním úrovním (např. „NIST Level 1–5“) a k odpovídajícím symetrickým ekvivalentům (AES-128/192/256).
2. Výkonnost a latence: Časy generování klíčů, šifrování/podepisování, verifikace; kritické pro handshake v TLS/QUIC a autentizaci IoT.
3. Velikost artefaktů: Veřejné klíče, ciphertexty, podpisy, certifikáty; dopad na MTU, fragmentaci a paměťové limity zařízení.
4. Odolnost vůči side-channel útokům: Konstantní čas, maskování, ochrana před power/EM analýzou, fault injection.
5. Implementační zralost: Dostupnost knihoven (C, Rust, Java, Go), formální verifikace, interoperabilita a test vectors.
6. Licenční a IP aspekty: Osvojení algoritmů s jasným právním rámcem pro komerční distribuci.

Architektonický princip: kryptografická agilita

Krypto-agilita znamená schopnost systému rychle měnit algoritmy, parametry a klíčové velikosti bez zásadních zásahů do byznys logiky. Praktické zásady:

• Abstrahovat kryptografii za rozhraní (např. HPKE/KEM, signature provider) a vyvarovat se „hard-coded“ voleb.
• Verzovat klíče, certifikáty a politiky; udržovat algorithm negotiation na úrovni protokolů.
• Automatizovat rotace a canary deployments pro nové sady šifer.

Migrační strategie pro podniky a instituce

1. Inventarizace kryptografie: Seznam protokolů, knihoven, klíčů, certifikátů, HSM, vzdálených závislostí (API, dodavatelé), doby utajení dat.
2. Ohodnocení rizik a priorit: Kritičnost systémů, regulatorní dopady, dlouhodobá citlivost dat, hrozba „HNDL“ a smluvní závazky.
3. Pilotní projekty a hybrid: Zkušební nasazení PQC v neprodukčních zónách, A/B testování latence a velikostí paketů, sběr metrik.
4. Upgrade infrastruktury PKI: Schopnost vydávat PQC (případně hybridní) certifikáty, rozšíření CSR, nové OID, CRL/OCSP propustnost.
5. Protokolové integrace: TLS/QUIC, IPsec, WireGuard, SSH, S/MIME, PDF/Doc podpisy, kódové podpisy, časová razítka.
6. Správa klíčů a HSM: Podpora PQC v HSM/KMS, úložiště klíčů, audit a bezpečnostní politiky, zálohování a obnovy.
7. Školení a procesy: DevSecOps integrace, secure coding pro PQC, provozní runbooky a incident response.
8. Plán komunikace: Koordinace s partnery a dodavateli, smluvní požadavky na PQC kompatibilitu a termíny.

Implementační výzvy a typické pasti

• Velké klíče a podpisy: Riziko fragmentace v sítích s nízkým MTU; nutné testovat PMTU discovery, QUIC datagramy a TLS rekordy.
• Side-channel bezpečnost: Mnohé implementace PQC jsou citlivé na časování a cache; vyžadují pečlivé constant-time kódování a maskování.
• Kryptanalytická evoluce: Parametry a doporučení se mohou měnit; nutná agilita a SBOM pro rychlé záplaty.
• Interoperabilita: Odlišné dráty/serializace (např. TLS rozšíření, COSE/CMS profily) – vyžaduje testování mezi implementacemi.
• Dodavatelský řetězec: Závislosti na knihovnách třetích stran, které nemusí držet krok s PQC; potřeba smluvních SLA.

Pouzití v různých doménách

• Web a mobilní aplikace: TLS 1.3 s hybridní KEM, podpora v prohlížečích a CDN, dopady na latenci první návštěvy.
• IoT a průmysl: Omezená paměť/CPU; vhodné jsou lehčí mřížová schémata, případně hašové podpisy pro firmware, s důrazem na OTA aktualizace.
• E-mail a dokumenty: S/MIME s PQC podpisy a šifrováním, archivní podepisování s dlouhodobými časovými razítky.
• Blockchain a DLT: Plány pro přechod z ECDSA/EdDSA na PQC podpisy, dopady na adresní formáty a velikost bloků.
• Kritická infrastruktura: Segmentace, out-of-band řízení, HSM s PQC, formální hodnocení bezpečnosti.

Výkonnostní a provozní metriky

Pro řízení rizika a nákladů definujte a sledujte tyto metriky:

• Handshake čas (p50/p95) v TLS/QUIC s PQC/hybridními sadami.
• Velikost certifikátů a řetězů vs. průměrná doba stažení a ověření OCSP/CRL.
• CPU a paměť v klientech/servery při podepisování/verifikaci, šifrování/dešifrování.
• Chybovost a retry rate v důsledku MTU/fragmentace.
• Pokrytí testy interoperability napříč knihovnami a platformami.

Bezpečnostní inženýrství a verifikace

• Formální specifikace: Modely protokolů s PQC rozšířeními a důkazní závazky.
• Penetrační testy: Zaměřené na handshake, serializaci, chybové větve a downgrade útoky.
• Side-channel testy: DPA/CPA/EMA a fault injection na referenčním i produkčním HW.
• Supply-chain bezpečnost: SBOM, reproducibilní buildy, podepisování artefaktů PQC podpisy.

Governance, regulace a compliance

Přechod na PQC je multi-disciplinární úkol. Vyžaduje jasné politiky pro výběr schémat, minimální úrovně bezpečnosti, životní cyklus klíčů, požadavky na audit, dokumentaci výjimek a kontrolu třetích stran. Sektory jako finance, zdravotnictví nebo veřejná správa mohou mít specifické rámce a termíny pro adopci PQC a archivní důvěryhodnost.

Referenční integrační vzorce

• TLS 1.3 (server-first): Povolit hybridní KEM v experimentech, měřit L7 metriky, postupně rozšiřovat na více edge lokalit.
• PKI upgrade: CA umí vydat hybridní certifikáty (composite keys), klienti validují oba podpisy, OCSP/CRL škálují.
• Kódové podpisy: Build pipeline produkuje dvojité podpisy (klasický + PQC); aktualizátory přijímají oba.
• IoT OTA: Firmware podepsán SPHINCS+ či Dilithium, manifesty s verzováním algoritmů, bezpečná rotace klíčů.

Roadmapa adopce: 6 fází

1. Discovery: Plná evidence kryptografie a klasifikace dat.
2. Design: Volba algoritmů, hybridních profilů, KPI a metrik.
3. Pilot: Laboratorní a omezená produkční nasazení s telemetrií.
4. Scale-out: Rozšíření na klíčové služby, update PKI a HSM.
5. Decommission: Postupné vypínání ohrožených schémat, povinné PQC.
6. Continuous agility: Průběžná aktualizace podle nových standardů a kryptanalýzy.

Specifika výkonu a optimalizace

• Batching a kešování: Keš veřejných klíčů a certifikátů, OCSP stapling, 0-RTT v QUIC v kombinaci s PQC KEM.
• Hardware akcelerace: Využití vektorových instrukcí, případně dedikovaných akcelerátorů; zvažte dopady na postranní kanály.
• Minimalizace přenosů: Komprese certifikátů, optimalizace řetězců a reuse session keys.

Otevřené výzvy a budoucí směry

• Formální bezpečnost mřížových schémat vůči novým třídám útoků a parametrickým zmenšením.
• Uživatelská zkušenost a správa klíčů v masových službách, kde větší podpisy a certifikáty nesmí zhoršit UX.
• Kompatibilita s dlouhodobou archivací (LTV podpisy, vícečetná časová razítka, migrační podpisové řetězce).
• Standardizace hybridních certifikátů a jejich široká interoperabilita napříč ekosystémy.

Závěr

Postkvantová kryptografie není jednorázový upgrade, ale dlouhodobý program technologické, procesní a organizační změny. Vyžaduje krypto-agilní architekturu, promyšlenou migraci a průběžné sledování standardů i kryptanalýzy. Organizace, které začnou včas – s inventurou kryptografie, piloty hybridních schémat a posílením PKI a HSM – minimalizují riziko zpětného prolomení citlivých dat a zajistí si odolnost vůči budoucím kvantovým hrozbám.