Агентство национальной безопасности США выпустило FAQ под названием «Часто задаваемые вопросы о квантовых вычислениях и постквантовой криптографии», в котором оно исследует потенциальные последствия для национальной безопасности будущего, выходящего за рамки классических вычислений и криптографии.
В частности, АНБ исследует потенциальные проблемы безопасности, которые возникнут в связи с предполагаемым созданием «криптографически релевантного квантового компьютера» (CRQC).
CRQC — это квантовый суперкомпьютер будущего, достаточно мощный, чтобы взламывать современные схемы шифрования, разработанные для классических вычислений. Предполагается, что он сможет расшифровывать алгоритмы асимметричного шифрования, которые практически невозможно взломать с помощью существующих или даже будущих суперкомпьютеров.
Экспертов по безопасности беспокоит возможность того, что квантовые системы могут попасть в руки злоумышленников. По данным АНБ, «внедрение новой криптографии во все системы национальной безопасности может занять 20 или более лет».
Агентство заявляет, что «CRQC может подорвать работу широко распространенных алгоритмов открытых ключей, используемые для цифровых подписей». При этом системы национальной безопасности США используют криптографию с открытым ключом в качестве критически важного компонента для защиты конфиденциальности. В АНБ констатируют, что «без эффективного смягчения последствий использование квантового компьютера с преступным умыслом может иметь разрушительные последствия» для этих систем и страны. Агентство рекомендует использовать подписи SP 800-208 на основе хэшей, если они реализованы на должным образом проверенных криптографических модулях для защиты систем в специализированных сценариях.
Более ранние документы АНБ, опубликованные Эдвардом Сноуденом, показывали, что агентство инвестировало $ 79,7 млн в исследовательскую программу, целью которой было выяснить, можно ли использовать квантовый компьютер для взлома традиционных протоколов шифрования. Это особенно важно, учитывая, что уже существует алгоритм Шора, который может использовать квантовый компьютер в подобных целях. Единственное, что мешает реализации алгоритма Шора на квантовом уровне, — это то, что он требует на порядки больше кубитов, чем используется в самых современных системах. Однако появление таких систем считается вопросом времени.
В качестве возможной меры защиты от взлома с помощью квантового компьютера рассматривается постквантовая криптография — схемы шифрования, предназначенные для того, чтобы приостановить или полностью остановить работу будущих CRQC. АНБ заявило, что работает над алгоритмами «квантово-устойчивых открытых ключей», которые смогут использовать частные поставщики правительства США. Но их развертывание в настоящее время, когда угрозы постквантовой эпохи видятся далекими, вызовет проблемы с точки зрения функциональной совместимости инфраструктуры. АНБ считает, что использование предварительно разделенных симметричных ключей в соответствии со стандартами станет лучшим краткосрочным решением, чем реализация экспериментальных постквантовых асимметричных алгоритмов.
АНБ указывает, что постквантовая криптография будет реализована с помощью Национального института стандартов и технологий (NIST), который «находится в процессе стандартизации квантово-устойчивой общедоступной информации». В 2020 году институт объявил о старте третьего этапа стандартизации с участием трех кандидатов на цифровую подпись и четырех кандидатов на асимметричное шифрование. Дополнительно рассматривается восемь альтернатив.
Агентство подчеркивает, что его «намерение состоит в том, чтобы… удалить квантово-уязвимые алгоритмы и заменить их подмножеством квантово-устойчивых алгоритмов, выбранных NIST».