Bár a többségnek minden bizonnyal nem ez jut az eszébe róla, de az a helyzet, hogy áprilisban van a Kvantum Világnap (World Quantum Day), ami számtalan izgalmas téma tekintetében fontos, de IT téren van egy kiemelt aktualitása is: a biztonság. Mert bár technológia szempontjából a leendő kvantumszámítógépek óriási ugrást jelenthetnek majd sok területen, de a biztonságot illetően kifejezetten nagy veszélyeket is hordoznak: képesek lehetnek feltörni a jelenleg széles körben használt titkosítási rendszereket. S ha valaki úgy véli, hogy ebben nem érintett, akkor csak egy dolgot emelünk ki: a netbankolást védő HTTPS és TLS protokollokat is érteni a probléma. És még megannyi más, jelenleg megbízható titkosítási megoldást. A korábban nálunk is bemutatott, e2e titkosítású levelező rendszer, a Tuta fejlesztői viszont előre mennek a problémának – amit sokan még futurisztikusnak tartanak, ők valós fenyegetésként kezelik -, és kifejlesztettek egy TutaCrypt nevű titkosítási protokollt, amely már most kvantumrezisztens módon tud e-maileket titkosítani. A Tutao GmbH sajtószóvivőjét, Hanna Bozakovot kérdeztük arról, hogy milyen is pontosan egy kvantumbiztos titkosítás, amely már most működik, és hatékony megoldást jelenthet a kvantum-korszakra is.
TutaCrypt: kvantumbiztos titkosítás, amely már hatékony a kvantum-korszakra is
Mielőtt belevágnánk, egy érdekes extra adalék: a TutaCrypt nevű kvantumbiztos titkosítás már most is működik a Tuta levelezőben. Vagyis aki a Tuta – korábbi nevén Tutanota – e2e titkosítású e-mail rendszert használja, az tulajdonképpen hatványozottan biztos lehet abban, hogy a leveleit nem olvashatják illetéktelenek. A cég pedig gőzerővel dolgozik már a Tuta Drive szolgáltatáson is, amelyben ugyanezt a biztonságot kínálják majd a felhőben tárolt fájlok számára is. De ne szaladjunk még ennyire előre. A Tuta csapatának tagját, Hanna Bozakovot kérdeztük arról, mennyire aktuális a kvantumszámítógépek jelentette fenyegetés, mennyi időnk van a védelem kiépítésére, milyen módszerek tűnnek megfelelőnek, s ha valaki védekezni szeretne a kockázat ellen, akkor merre indulhat el.
Kezdjük egy kézenfekvő kérdéssel: tényleg valós fenyegetést jelentenek a kvantumszámítógépek a jelenlegi titkosítási rendszerekre?
Kétségtelenül! A kvantumszámítógépek képesek lehetnek feltörni azokat a széles körben használt titkosítási rendszereket, amelyek a mai digitális világunkat védik. A legtöbb modern kriptográfiai séma – például az RSA vagy az elliptikus görbéken alapuló kriptográfia (ECC) – olyan matematikai problémákon alapul, amelyek a hagyományos számítógépek számára nehezen megoldhatók (például a prímtényezőkre bontás vagy a diszkrét logaritmus). Azonban Peter Shor már 1994-ben publikálta a Shor-algoritmust, ami mindent megváltoztatott. Ez az új algoritmus képes feltörni az aszimmetrikus titkosítást – például a PGP-vel küldött végponttól végpontig titkosított e-maileket. Becslések szerint a Shor-algoritmus alkalmas néhány órán belül feltörni egy 2048 bites RSA kulcsot. Ehhez azonban kvantumszámítógép szükséges. Ez azt jelenti, hogy amint rendelkezésre áll egy kellően erős kvantumszámítógép, képes lesz visszafejteni korábban biztonságosnak vélt adatokat.
A fenyegetés azonban már most is jóval közelebb van, mint hinnénk: bár jelenleg nincs tudomásunk olyan kvantumszámítógépről, amely kellően stabil és elegendő kvantumbittel (qubit) rendelkezik a Shor-algoritmus futtatásához, a támadók már most megkezdhetik a titkosított adatok gyűjtését azzal a céllal, hogy később visszafejtsék őket – ez az ún. „Harvest now, decrypt later” stratégia. Ezért is olyan sürgető a poszt-kvantum kriptográfiára (PQC) való áttérés. A kvantumbiztos titkosítás kidolgozása már most elengedhetetlen.
Hogyan határoznád meg röviden a poszt-kvantum titkosítást, és miben különbözik a jelenleg széles körben alkalmazott módszerektől?
Az első, amit fontos tisztáznunk, az, hogy a poszt-kvantum titkosításnak semmi köze a kvantumszámítógépekhez! Nem szabad összekeverni a kvantumkriptográfiával, mint például a kvantumkulcs-megosztás, amely kvantummechanikai jelenségeken – mondjuk kvantum összefonódáson – alapul. A poszt-kvantum vagy kvantumálló kriptográfia használatához nincs szükség kvantumszámítógépre. Ez egyszerűen más típusú algoritmusokat alkalmaz, olyanokat, amelyek nem a prímtényezőkre bontásra vagy diszkrét logaritmusokra épülnek, de továbbra is futtathatók hagyományos számítógépeken. Olyan matematikai problémákon alapulnak, amelyek megoldása a kvantumszámítógépek számára is nehéznek számít. Az egyik legnépszerűbb ilyen megközelítés a rácsalapú (lattice-based) kriptográfia. A TutaCryptben például az ML-KEM (korábban Kyber) algoritmust használjuk e-mailek és naptárak kvantumbiztos titkosítására. Ezt az algoritmust az amerikai NIST is kiválasztotta poszt-kvantum szabványosítási folyamatában. Az ML-KEM egy “module learning with errors” nevű rácsproblémát alkalmaz – innen a név is. A cél az, hogy olyan algoritmusokat használjunk, amelyek klasszikus és kvantum támadások ellen egyaránt biztonságot nyújtanak.
Másrészt fontos tudni, hogy ez a bonyolultabb rész csak az aszimmetrikus titkosítást érinti, például az e-mailek, csevegések, fájl- vagy naptármegosztás esetén. A szimmetrikus titkosítás – például fájlok szerveren való tárolása – továbbra is megoldható az AES-256 algoritmussal, amely már most is kvantumbiztonságosnak számít, feltéve, hogy megfelelően hosszú kulcsot használunk.
Milyen főbb kihívásokkal szembesültetek a TutaCrypt nevű, kvantumbiztos titkosítás fejlesztése során, különös tekintettel arra, hogy nyílt forráskódú megoldásról van szó?
Az egyik legnagyobb kihívás egy olyan protokoll megtervezése volt, amely egyszerre nyújt erős poszt-kvantum biztonságot és gyakorlati használhatóságot, valamint hatékonyságot. Nem akartunk egy csak elméletben biztonságos rendszert létrehozni, amely a mindennapi használatra túl bonyolult vagy túl lassú. Mivel az emberek többsége mobiltelefonon használja az e-mailt, kulcsfontosságú volt olyan algoritmusokat választani, amelyek kvantumtámadásoknak is ellenállnak, ugyanakkor elég gyorsak ahhoz, hogy a felhasználók másodpercek alatt titkosíthassák vagy épp visszafejthessék az e-mailjeiket. Pont úgy, ahogy a titkosítatlan üzenetek esetén megszokták. Ha a hatékonyság hiányozna a képletből, a legtöbben egyszerűen nem használnának titkosítást, ez pedig teljesen ellentétes lenne a céljainkkal.
A Tuta kliens oldali kódja teljes egészében nyílt forráskódú. Ez nem jelentett problémát, sőt segítette a projektet. Mások is megvizsgálhatják a kódot, és továbbra is bátorítunk mindenkit, hogy tanulmányozza a Tuta forrását. Mi is követjük Linus törvényét, mely szerint kellően sok szem előtt minden hiba felszínre kerül. Célunk, hogy a Tuta titkosítása biztonságos és megbízható legyen, s a nyílt forráskód ehhez elengedhetetlen feltétel.
A TutaCrypt egy hibrid protokollként van leírva. Mit jelent ez pontosan és miért választottátok ezt a megközelítést?
A hibrid protokoll azt jelenti, hogy egy kriptográfiai protokollon belül klasszikus és poszt-kvantum algoritmusokat is alkalmazunk. A TutaCrypt esetében ezzel a módszerrel valósítjuk meg az úgynevezett„többrétegű védekezést” (defense in depth). Még ha az egyik algoritmust valamilyen módon fel is törnék, a másik továbbra is biztosítja az adatok védelmét. Például a hagyományos algoritmusunk, az elliptikus görbéken alapuló x25519, jól bevált és jelenleg biztonságosnak tekinthető, de a jövőben kvantumszámítógépek képesek lehetnek feltörni. Ezzel szemben az ML-KEM kvantumbiztonságosnak számít, és képes lehet ellenállni a kvantumtámadásoknak. Ugyanakkor mivel még új algoritmusról van szó, további tesztelésre van szükség ahhoz, hogy kizárhassuk az esetleges gyengeségeket. Így amíg a két algoritmus közül legalább az egyik biztonságos, a hibrid protokoll is biztonságos marad. Emellett a megközelítésünk összhangban van a NIST ajánlásaival is, amely szintén támogatja a hibrid titkosítást.
Hogyan biztosítjátok, hogy a TutaCrypt összhangban legyen a NIST által kiválasztott algoritmusokkal, illetve pontosan mely algoritmusokon alapul?
A TutaCrypt a NIST által kiválasztott Kyber algoritmust alkalmazza poszt-kvantum kulcsbecsomagolásra, amely az e-mailek végponttól végpontig történő titkosítását végzi. A Kybert a NIST 2022-ben választotta ki a poszt-kvantum kriptográfiai szabványosítás részeként, és az egyik legígéretesebb kvantumbiztos algoritmusnak tartják.
Folyamatosan nyomon követjük a NIST szabványosítási projektjének fejleményeit és ajánlásait, hogy naprakészen igazodjunk a legújabb kriptográfiai szabványokhoz. A Kybert ötvözzük az X25519 algoritmussal, hogy hibrid titkosítást valósítsunk meg, ezzel biztosítva az előre- és visszamenőleges kompatibilitást is.
Mennyire hozzáférhető ez a technológia más fejlesztők vagy cégek számára, akik kvantumálló rendszereket szeretnének létrehozni?
A Tuta-nál elkötelezettek vagyunk a nyílt forráskód és a tudásmegosztás mellett. A TutaCrypt teljes kódja GPLv3 licenc alatt elérhető, így mások is tanulmányozhatják és felhasználhatják. Ez azonban nem olyan egyszerű, hogy csak kimásolunk néhány kódrészletet. A titkosítást integrálni kell egy konkrét termékbe: nálunk ez az e-mailek és naptárbejegyzések végponttól végpontig történő titkosítására szolgál. Mindenesetre a TutaCrypt az első protokoll, amely lehetővé teszi a kvantumbiztonságos e-mail titkosítást, és biztosak vagyunk benne, hogy más e-mail szolgáltatók is meg fogják vizsgálni a kódot.
Mint a bevezetőben is írtuk, már elérhető a kvantumbiztonságos e-mail titkosítás a Tuta Mailben. Hogyan fogadták ezt a felhasználók, és milyen szerepet játszik a Tuta Drive fejlesztése ebben az áttörésben?
A visszajelzések rendkívül pozitívak. Felhasználóink nagyra értékelik, hogy a Tutában már most ott van a kvantumbiztos titkosítás. Örülnek, hogy nemcsak beszélünk az adatvédelemről és biztonságról, hanem valóban újítunk és elébe megyünk a fenyegetéseknek. Megnyugtató számukra, hogy adataik biztonságban vannak, nemcsak most, hanem a jövőben is. A kvantumbiztonságos titkosítás mostantól alapértelmezett minden belső e-mail esetén, és egyszerűen használható opcióként elérhető jelszóval védett külső levelekhez is. Ez minden adatbiztonság iránt érdeklődő számára jó hír.
A Tuta Drive, a most készülő, titkosított felhőalapú tárolószolgáltatásunk, a következő lépés a fejlesztési tervünkben. Akárcsak a Tuta Mail, ez is kvantumbiztonságos titkosítási protokollokat fog használni, így a felhasználók fájljai és dokumentumai is védve lesznek a kvantumfenyegetésekkel szemben. Ezekkel az eszközökkel egy teljes, titkosított ökoszisztémát kínálunk – e-mail, naptár és felhő –, amely lehetőséget ad arra, hogy a népszerű Google-termékeket biztonságos alternatívákkal váltsák ki.
Hogyan látja a kvantum-számítástechnika gyors fejlődésének hatását a felhőalapú adattárolásra és az adatvédelemre?
Nem szeretem a közhelyeket, de ez tényleg egy kétélű kard: egyrészt a kvantum-számítástechnika lesz a következő nagy technológiai forradalom, hatalmas előrelépésekkel például az anyagtudomány vagy az orvostudomány területén. Másrészt viszont komoly fenyegetést jelent a jelenlegi IT-infrastruktúránkra, különösen a titkosítás terén. Az egész internet a biztonságos titkosításon alapul, és itt nemcsak az e-mailek végponttól végpontig történő titkosításáról beszélünk, hanem például a HTTPS, TLS protokollokról is, amelyek lehetővé teszik a biztonságos internetbankolást, az egészségbiztosítóval való titkosított kommunikációt stb. Ezért van szükség arra, hogy már most befektessünk a poszt-kvantum kriptográfiába. Enélkül az internet nem működik majd úgy, ahogy most ismerjük.
Mi várható a következő 5-10 évben?
A következő 5–10 évben várhatóan megjelenik az első olyan kvantumszámítógép, amely képes lesz gyakorlatban is feltörni a hagyományos titkosítást. A fenyegetés azonban már most is jelen van, gondoljunk csak a korábban megemlített „Harvest now, decrypt later” stratégiára. Ha tehát van olyan adat, amelyet a következő tíz évben is titkosnak szeretnénk tartani, már ma el kell kezdeni a kvantumbiztonságos titkosításra való áttérést.
Mit tanácsolsz azoknak a cégeknek vagy fejlesztőknek, akik most ismerkednek a kvantumbiztos titkosítással? Mikor, hol kezdjék, és mire figyeljenek?
Kezdjék el most azonnal! A kvantumfenyegetés távolinak tűnhet, de a kriptográfiai átállás időigényes. Gondoljunk csak például a hardverekre, amelyek ellenőrzik, hogy milyen kód fut rajtuk. Ha ez klasszikus digitális aláírási sémákon alapul, ezek kvantumtámadással feltörhetők lesznek, és így akár tetszőleges kód is futtatható lesz a készüléken. Ez a probléma minden olyan területen jelentkezik, ahol nehéz lecserélni a meglévő kriptográfiai algoritmusokat. Mi a Tuta-nál éppen ezért már eleve a “kripto-agilitás” elveinek megfelelően terveztük újra alkalmazásainkat. Ez azt jelenti, hogy a jövőben gyorsan cserélhetjük vagy bővíthetjük kriptográfiai algoritmusainkat, ha szükséges.
Ha valaki a saját projektjét szeretné a kvantumbiztos titkosítás irányába frissíteni, kezdje azzal, hogy megismeri a NIST által kiválasztott algoritmusokat, például az ML-KEM-et és a Dilithiumot. Vizsgáljon meg nyílt forráskódú projekteket, például a TutaCryptet, hogy lássa, miként néz ki egy gyakorlati megvalósítás, és vonja le ebből a saját projektjére vonatkozó tanulságokat. Fontos megérteni, hogy a kvantumbiztonságos titkosítás nem egy egyszeri “javítás”, hanem folyamatos procedúra. Állandóan figyelni kell az új fejleményeket. Mi is így tettünk, amikor a 2024-es NIST publikációk alapján frissítettük a Kyber-t ML-KEM-re. Szóval itt érdemes kezdeni.
És végül: élvezzék! A titkosítás elsőre unalmasnak tűnhet, de valójában nagyon izgalmas, különösen most, hogy egy teljesen új típusú fenyegetéssel nézünk szembe, amelyre fel kell készülnünk.










