Kvanttitietokoneesta ja -laskennasta odotetaan seuraavaa vallankumousta tietojenkäsittelyn maailmassa. Arvioiden mukaan se voi olla isompi, kuin AI, mutta lopullinen totuus jää nähtäväksi. Selvää on, että sille on kuitenkin paljon tilausta suurteholaskennassa kun etsitään vaikkapa uusia lääkemolekyylejä, tai mallinnetaan ilmaston tapahtumia 1000 vuoden aikajänteellä. Aina välillä näkee myös pienenä sivuhuomiona sen vaikutuksen tietoliikennemaailmaan. Vaikutus on kuitenkin valtaisa ja siihen kannattaa alkaa varautumaan jo nyt.
Keskeinen termi on "Cryptograhically Relevant Quantum Computer" (CRQC). Määritelmän mukaisesti kyseessä on suuritehoinen ja vikasietoinen kvanttitietokone, jolla esimerkiksi Shorin algoritmin avulla pystytään purkamaan nykypäivän salausmekanismeja, esimerkiksi RSA- tai ECC-algoritmeja. Tällaisen tietokoneen syntymisen todennäköisyyttä kuvaa Global Risk Institute "Quantum Threat Timeline Report" -raportissaan siten, että vuoteen 2033 mennessä pessimistinen arvio on 17 prosenttia ja optimistinen 33 prosenttia. Vastaavasti vuoteen 2043 mennessä luvut ovat 56 ja 78 prosenttia. Ei varma, mutta melko varma.
Kun vuosiluvut ovat kovin kaukana, niin miksi tähän pitäisi kiinnittää jo nyt huomiota? Tämä johtuu "Harvest Now, Decrypt Later" -periaatteesta. Periaatteen mukaisesti hyökkääjä kerää sensitiivistä tietoa ja purkaa sen sitten kun se on mahdollista. Maailmalla liikkuu koko ajan vaikka kuinka paljon dataa, joka on julkisena erittäin vahingollista vielä kymmenienkin vuosien päästä. Mietitään vaikka meidän omaa "Tiitisen listaa". On arvioitu, että erityisesti valtiollisilla toimijoilla on vahva intressi suorittaa tämän tyyppistä toimintaa, joskin kukaan ei tiedä varmasti.
Periaatteessa tämä uhka koskee kaikkia, sillä koko Internet perustuu nykyisin salaukseen. Erilaisia Lan-to-Lan-tunneleita juoksee ristiin ja rastiin toimijoiden välillä. Työntekijät ottavat yhteyttä "kotiverkkoon" IPSec-tunneleiden tai SSL-portaalin kautta ja web-liikenne on TLS-salattua. Googlen "HTTPS encryption on the web" -raportin mukaan jopa yli 95% kaikesta web-liikenteestä on jo salattua. Yritysverkoissa osuus on ehkä vähän pienempi, mutta siihen suuntaan ollaan menossa. Salattu yhteys on keskeinen tietoliikenteen osatekijä ja olisi vaikea kuvitella hyvin suunniteltua ja toteutettua ympäristöä, missä salausta ei käytettäisi.
Kvanttitietokone ei ole kuitenkaan ihan kaikkivoipainen, vaikka se jonkinlainen epäjumala tuleekin todennäköisesti olemaan. Sen kyvyt tulevat erityisesti esille julkisen avaimen mekanismien kanssa. Edellä mainittu Shorin algoritmi pystyy murtamaan esimerkiksi RSA-, DH- ja ECC-mekanismit. Tämä aiheuttaa sen, että käytännössä kaikki nykyaikaiset protokollat, kuten TLS, VPN-toteutukset ja digitaaliset allekirjoitukset ovat vaarassa. Erityisesti viimeisin on valtaisa uhkakuva, sillä nykyisin luottamusketjut pohjautuvat sertifikaatteihin, joilla on aina joku juurivarmenne. Mikäli juurivarmenne pystyttäisiin korkkaamaan, koko luottamusketju menisi rikki ja tällöin käyttäjät eivät voisi enää varmistua onko esimerkiksi verkkosivu aidosti se, mitä se väittää olevan.
Sen sijaan symmetrisen avaimen menetelmät eivät ole yhtä haavoittuvia kvanttikoneen yrityksille. Silläkin puolella kvanttikone toki nopeuttaa asioita, mutta käytännössä tämä tarkoittaa nykyisen tiedon valossa, että avaimien pituus noin puolittuu. Esimerkiksi varsin yleisessä käytössä oleva AES-128 olisikin siis "ainoastaan" AES-64, joka on vaikea, muttei mahdoton, murtaa. Tästä on toki vähän erilaisia näkemyksiä, mutta karkealla tasolla voidaan ajatella näin.
Miten kvanttikoneen tulemiseen sitten pystyy varautumaan? Olennaisia tekijöitä ovat Post-Quantum-kryptografian (PQC) mukaisten uusien algoritmien käyttäminen asymmetrisen salauksen puolella, bittimäärän lisääminen symmetrisellä puolella ja salausavainten kvanttijakaminen (Quantum Key Distribution, QKD). Lisäksi olisi hyvä ymmärtää, mitä salauksia on käytössä tänä päivänä.
Uusien algoritmien osalta NIST (National Institute of Standards and Technology) on tehnyt pitkään kehitystyötä uusien, kvanttitietokoneen kestävien algoritmien, rakentamisessa. Ensimmäinen aihetta käsittelevä työpaja pidettiin 2015 ja ensimmäiset kolme uutta algoritmia julkaistiin elokuussa 2024. Ensimmäinen on FIPS203 (ML-KEM, Module-Lattice-Based Key-Encapsulation Mechanism), joka on tarkoitettu turvalliseen avaintenvaihtoon osapuolien välillä. Toinen on FIPS204 (ML-DSA, Module-Lattice-Based Digital Signature Standard), joka on tarkoitettu turvallisten allekirjoitusten muodostamiseen. Kolmas on FIPS205 (SLH-DSA, Stateless Hash-Based Digital Signature Algorithm), joka on myös tarkoitettu turvallisten allekirjoitusten muodostamiseen. Kaksi jälkimmäistä eroaa käyttökohteiltaan. FIPS204 on suunnattu yleisesti allekirjoitusten muodostamiseen, kun FIPS205:sta käytetään korkean tietoturvan ympäristöissä, missä turvallisuus on tärkeämpää kuin suorituskyky. Näitä voivat olla esimerkiksi kriittinen infrastruktuuri tai valtiolliset luokitellut dokumentit. Edellisten lisäksi NIST julkisti maaliskuussa 2025 neljännen kandidaatin standardoitavaksi. Tämä on HQC (Hamming Quasi-Cyclic) ja sen käyttökohteita ovat järjestelmät, joissa tarvitaan pitkän aikavälin salausta - tyypillisesti samanlaisia ympäristöjä, kuin FIPS205:n osalta.
Bittimäärän lisääminen symmetrisellä puolella on suhteellisen suoraviivaista. Keskeinen algoritmi on AES (Advanced Encryption Standard) 128-bittisellä versiolla. Sitä käytetään käytännössä kaikkialla. NIST kuitenkin suosittelee, että AESista aletaan käyttämään 256-bittistä versiota, koska se jättää riittävän marginaalin kvanttitietokoneiden muodostamaa uhkaa vastaan. AES-256 on laajasti tuettu esimerkiksi TLS 1.2/1.3-versioissa, paikallisen levyn salauksessa (BitLocker, FileVault), pilvipalveluissa sekä vaikkapa MACsec-mekanismissa eri valmistajien toimesta. Olennaista tässä on kääntää ominaisuus päälle, vaikka se heikentääkin kokonaissuorituskykyä jonkin verran.
Vaikka symmetrinen, eli varsinaisen datan salaus, muutettaisiinkin AES-256-pohjaiseksi, jää jäljelle vielä salausavainten vaihtaminen. Tähän vahvin mekanismi on kvanttipohjainen avaintenjakelu (Quantum Key Distribution, QKD). Tässä taustalla on hyödyntää kvanttimekaanisia ilmiöitä salausavainten välittämiseen kommunikoiville osapuolille. Kvanttimekaniikan kautta voidaan varmistua että ulkopuolinen ei pysty salakuuntelemaan avainta, koska kvanttitilan mittaaminen muuttaa sitä. Vastaavasti se estää myös kopioiden tekemisen. QKD voidaan toteuttaa kuituyhteyksillä tai satelliittiverkossa. Optinen QKD on kallis ja toimii vain rajoitetuilla etäisyyksillä (100-200 km) ilman toistimia. Satelliittiverkossa käytetään esimerkiksi lasereita informaation välittämiseen ja se on halvempi ja toimii isommillakin etäisyyksillä. Kumpaakin on jo nyt hyödynnetty laajasti ympäri maailmaa, myös EU-alueella.
Mitä tästä kaikesta pitäisi sitten ajatella? Jos toimit kriittisen infrastruktuurin parissa, tai haluat datasi olevan salaista vielä tulevaisuudessakin, tulisi sinun miettiä asiaa tarkemmin. Kevyt selvitys nykyisestä tilanteesta auttaa asiassa ja sen jälkeen voikin määritellä toimenpiteet, jolla päästään paremman tietoturvan piiriin. Jos aihe tuntuu vaikealta, niin kysele meitä apuun. Lähdetään yhdessä kvanttimatkalle tulevaisuuteen!