Kvanttiturvalliset salausmenetelmät (PQC) ovat kryptografisia menetelmiä, joiden turvallisuus perustuu kvanttilaskennalle vastustuskykyisiin matemaattisiin ongelmiin.
Kvanttiturvallisten salausmenetelmien perusajatus
Kvanttiturvallisilla salausmenetelmillä tarkoitetaan kryptografisia menetelmiä, jotka on suunniteltu kestämään myös kvanttitietokoneiden tulevaisuudessa mahdollistamat hyökkäykset. Englanninkielinen termi näillä menetelmille on Post-Quantum Cryptography (PQC).
PQC ei ole yksittäinen teknologia tai valmis ratkaisu, vaan joukko erilaisia kryptografisia algoritmeja ja menetelmiä. Näiden menetelmien yhteinen tavoite on korvata sellaiset salausmenetelmät, joiden turvallisuus heikkenee merkittävästi kvanttilaskennan myötä.
PQC-algoritmit ovat kryptografisia algoritmeja, jotka kestävät murtumatta tehokkaan kvanttitietokoneen mahdollistamat hyökkäykset. Osa PQC-algoritmeista on vanhoja, kuten McEliece, mutta varsinaisesti kvanttitietokoneiden uhan varalta algoritmikehitys vauhdittui 2010-luvulla NIST:n (USA:n National Institute of Standards and Technology) PQC-algoritmien kehityskilpailun myötä. Koska kvanttilaskennan uhka on akuutein epäsymmetristen salausalgoritmien kohdalla, ovat PQC-algoritmit pääsääntöisesti epäsymmetrisiä. Monia symmetrisiä kryptografisia algoritmeja kuten AES riittävän pitkällä avainpituudella (256 bittiä) voidaan nykytietämyksellä pitää käytännössä kvanttilaskennan kestävinä, vaikka ne eivät olisikaan erityisesti suunniteltu kvanttilaskennan kestäviksi. Samalla PQC-algoritmilla on usein kehittäjiensä antama nimi (esim. Kyber) ja standardoinnin kautta annettu nimi (esim. ML-KEM, Modular-Lattice-Based Key Encapsulation Mechanism).
PQC-siirtymää mahdollistaa käynnissä oleva standardointityö. Esimerkiksi NIST on julkaissut PQC-algoritmien standardeja ja IETF (Internet Engineering Task Force) protokollamäärityksiä PQC-algoritmien käyttöön. Tämä standardointityö on kuitenkin vielä osittain kesken.
Mihin kvanttiturvallisia salausmenetelmiä käytetään?
Kvanttiturvalliset salausmenetelmät kohdistuvat erityisesti niihin kryptografisiin toimintoihin, joissa kvanttiuhka on merkittävin. Näitä ovat ennen kaikkea epäsymmetriseen kryptografiaan perustuvat toiminnot.
Keskeisiä käyttökohteita ovat:
• Avaintenvaihto, jossa kaksi osapuolta sopii yhteisestä symmetrisestä salaisesta avaimesta suojaamattoman verkon yli
• Digitaaliset allekirjoitukset, joilla varmistetaan tiedon eheys ja alkuperä
Näissä käyttötapauksissa nykyiset laajasti käytössä olevat algoritmit, kuten RSA ja elliptiset käyrät, eivät ole pitkällä aikavälillä kestäviä kvanttiuhkaa vastaan.
Entä symmetrinen salaus?
Tähän mennessä kehitetyt PQC-algoritmit perustuvat pääasiassa epäsymmetriseen kryptografiaan. Kvanttilaskenta vaikuttaa jossain määrin myös symmetristen salausalgoritmien vahvuuteen, mutta vaikutus on luonteeltaan erilainen ja vähäisempi.
Kvanttitietokoneille suunniteltu Groverin algoritmi mahdollistaa symmetristen salausavainten etsimisen nopeammin kuin klassisilla menetelmillä. Käytännössä tähän voidaan varautua kasvattamalla avainpituuksia, konservatiivinen arvio on pituuksien kaksinkertaistaminen. Tämän vuoksi esimerkiksi AES-algoritmia 256-bitin avainpituudella pidetään toistaiseksi kvanttilaskennan kestävänä.
Standardoidut PQC-algoritmit
PQC ei ole vain yksi algoritmi, vaan joukko algoritmeja, jotka korvaavat nykyiset kvanttilaskennalle haavoittuvat algoritmit. NIST on standardoinut ensimmäiset algoritmit elokuussa 2024:
· Federal Information Processing Standard (FIPS) 203 – avaintenvaihdon ensisijainen standardi. Sen etuihin kuuluvat suhteellisen pienet salausavaimet, joita kaksi osapuolta voi vaihtaa helposti, sekä sen nopeus. Standardi perustuu CRYSTALS-Kyber-algoritmiin, joka on nimetty standardissa ML-KEM:ksi.
· FIPS 204 – ensisijainen standardi digitaalisten allekirjoitusten suojaamiseen. Standardi käyttää CRYSTALS-Dilithium-algoritmia, jonka nimitys standardissa on ML-DSA (Module-Lattice-Based Digital Signature Algorithm).
· FIPS 205 – suunniteltu myös digitaalisille allekirjoituksille. Standardi käyttää Sphincs+-algoritmia, jonka nimi standardissa on SLH-DSA (Stateless Hash-Based Digital Signature Algorithm). Standardi perustuu erilaiseen matemaattiseen lähestymistapaan kuin ML-DSA, ja se on vaihtoehtoinen menetelmä ML-DSA:lle.
PQC-algoritmeja on useita muitakin eri asteilla standardointia, kuten FrodoKEM ISO:n standardointiprosessissa. Myös NIST on julkaisemassa lisää PQC-algoritmeja. Salausalgoritmien valinnassa on kuitenkin syytä olla konservatiivinen ja pitäytyä niissä, jotka ovat osoittaneet murtolujuutensa esimerkiksi vaativan PQC-standardointiprosessin kautta.
PQC osana nykyisiä järjestelmiä ja protokollia
Yksi kvanttiturvallisten salausmenetelmien keskeisistä ominaisuuksista on niiden yhteensopivuus nykyisen kryptografisen infrastruktuurin kanssa. PQC-menetelmät on suunniteltu siten, että ne voidaan integroida olemassa oleviin protokolliin ja järjestelmiin.
Käytännössä tämä tarkoittaa, että PQC-menetelmiä voidaan käyttää esimerkiksi:
• tietoliikenneprotokollissa (kuten TLS)
• julkisen avaimen infrastruktuureissa (PKI)
• sovelluskohtaisissa salausratkaisuissa
PQC ja kvanttiavaintenjakelu (QKD)
Kvanttiuhkaan varautumisessa esiintyy PQC:n ohella usein myös kvanttiavaintenjakelu (QKD, Quantum Key Distribution). PQC ja QKD edustavat kuitenkin kahta erilaista lähestymistapaa, eikä niitä tule sekoittaa toisiinsa.
PQC perustuu kryptografisiin algoritmeihin. Se soveltuu laajasti käytettäväksi nykyisissä verkoissa ja järjestelmissä. QKD puolestaan hyödyntää kvanttimekaniikan ilmiöitä salausavainten jakelun suojaamisessa ja edellyttää erikoistunutta laitteistoa ja onnistuu vain tiettyjen rajattujen siirtokanavien välityksellä.
PQC on yleiskäyttöinen ja skaalautuva ratkaisu kvanttiuhkaan varautumisessa. QKD soveltuu rajattuihin käyttötarkoituksiin ja siirtokanaviin, joissa sen tekniset ja toiminnalliset edellytykset täyttyvät. Tälläinen siirtokanava voi olla esimerkiksi vahvistimeton ns. musta valokuitu kahden luotetun pisteen välillä.
Kryptoketteryys - PQC-siirtymä ei ole kertaluonteinen asia
Vaikka kvanttiturvalliset salausmenetelmät tarjoavat keinon vastata kvanttiuhkaan, ne eivät poista tarvetta salausratkaisuiden jatkuvalle seurannalle ja kehittämiselle. Kryptografinen uhkakuva muuttuu ajan myötä, ja myösPQC-menetelmien turvallisuutta arvioidaan ja kehitetään jatkuvasti.
Järjestelmät on jatkossa suunniteltava ja hankittava niin, että kryptografisia algoritmeja voidaan vaihtaa nopeasti ilman laajoja uudelleenrakennuksia.
Kryptoketteryys (cryptographic agility) tarkoittaa järjestelmän kykyä vaihtaa kryptografisia algoritmeja ja parametreja hallitusti ilman merkittäviä muutoksia järjestelmän rakenteeseen tai toimintaan.
Ilman kryptoketteryyttä jokainen algoritmimuutos voi vaatia laajoja järjestelmämuutoksia, mikä hidastaa siirtymää ja kasvattaa kustannuksia. Kryptoketterät ratkaisut mahdollistavat sen, että uusia algoritmeja voidaan ottaa käyttöön ja vanhoja poistaa käytöstä hallitusti ja vaiheittain.
Kryptoketteryys tukee myös varautumista tuleviin muutoksiin, kun kvanttiturvalliset menetelmät kehittyvät ja uhkamaailma kryptografiassa muuttuu.