Quantumcomputing is een technologie die zich momenteel snel ontwikkelt, en die quantummechanica combineert met hogere wiskunde en computertechnologie om problemen op te lossen die te ingewikkeld zijn voor klassieke computers. En omdat quantumcomputing is gebaseerd op totaal andere principes dan klassieke computers en dus met heel andere machines werkt, is de wet van Moore niet van toepassing. De ongelooflijke en snel toenemende kracht van quantumcomputing zorgt er nu al voor dat de manier verandert waarop we computers gebruiken voor het oplossen van problemen, analyseren van informatie en beschermen van gegevens.
Vandaag de dag voeren zelfs de meest geavanceerde supercomputers hun berekeningen uit op basis van binaire transistors en rekenprincipes die al sinds de uitvinding van de computer in gebruik zijn – en dat was meer dan een eeuw geleden. Met dit klassieke rekenmodel kunnen veel problemen met complexe variabelen niet worden opgelost.
Maar omdat quantumcomputing gebruikmaakt van quantumvariabelen kunnen dergelijke berekeningen net zo snel worden gemaakt als de berekeningen voor klassieke problemen door een klassieke computer.
Quantumcomputing maakt het mogelijk om variabiliteiten met vele nuances op een niet-traditionele manier op te lossen. Wetenschappers zien dan ook vele voordelen voor systemen die een hoge mate van complexiteit kennen en waarin ogenschijnlijk willekeurige factoren een rol spelen, zoals weersvoorspelling, medicijnen en chemie, financiën, handel en vervoer, cybersecurity, echte kunstmatige intelligentie en natuurlijk quantumfysica.
Ook de snelste en krachtigste supercomputers voeren hun berekeningen uit volgens de zogeheten 'brute force'-methode. Dit houdt in dat elke mogelijke uitkomst in een lineair traject wordt 'uitgeprobeerd' totdat een ervan de oplossing blijkt te zijn.
Quantumcomputers doen het anders: die slaan het lineaire traject over en bekijken alle mogelijke uitkomsten tegelijk met behulp van quantummechanica. Quantumcomputing kijkt naar waarschijnlijkheden in plaats van binaire eenheden. Met deze vorm van rekenen kunnen problemen worden opgelost die te omvangrijk of ingewikkeld zijn om binnen een redelijke tijd te worden berekend door een klassieke computer. Een klassieke computer kan grote hoeveelheden gegevens ordenen en categoriseren, maar kan geen gedragspatronen binnen de dataset voorspellen.
Omdat quantumcomputing werkt op basis van waarschijnlijkheid, kunnen alle waarschijnlijke toestanden van de gehele dataset worden overwogen. Daarmee kan het gedrag van één afzonderlijk gegeven binnen de grote en complexe dataset worden berekend.
En zoals klassieke computers goed zijn in bepaalde typen berekeningen (en andere niet), is quantumcomputing goed in bepaalde toepassingen – maar niet geschikt voor alle soorten berekeningen. De meeste experts zijn het erover eens dat klassieke supercomputers en quantumcomputers elkaar zullen aanvullen; ze voeren elk extreem zware berekeningen uit maar in verschillende toepassingen, die passen bij de manier waarop ze hun berekeningen uitvoeren.
Om quantumcomputing te begrijpen is enig begrip nodig van de onderliggende principes
van de beweging, positie en relaties van quantumdeeltjes.
Op quantumniveau kunnen fysieke systemen tegelijkertijd in meerdere toestanden bestaan. Totdat het systeem wordt geobserveerd of gemeten, bevindt het zich in alle posities tegelijk. Quantumcomputers maken gebruik van dit basisprincipe van de quantummechanica en werken met het potentieel van het systeem, waarbij alle mogelijke uitkomsten tegelijkertijd in een berekening bestaan. In het geval van quantumcomputing kan het systeem bestaan uit fotonen, gevangen ionen, atomen of quasideeltjes.
Quantumtoestanden kunnen interfereren met andere quantumtoestanden. Interferentie kan de vorm aannemen van het opheffen of vergroten van een amplitude. Een van de manieren om interferentie te visualiseren is door tegelijkertijd twee stenen in een plas water te laten vallen. Waar de golfbewegingen elkaar ontmoeten, worden de pieken hoger en de dalen dieper. Deze interferentiepatronen zorgen ervoor dat quantumcomputers algoritmen kunnen uitvoeren die totaal verschillen van de algoritmen van klassieke computers.
Op quantumniveau raken systemen zoals deeltjes met elkaar verstrengeld en spiegelen ze elkaars gedrag, ook over zeer grote afstanden. Door de toestand van het ene systeem te meten, kan een quantumcomputer 'weten' wat de toestand is van het andere systeem, waarmee het is verstrengeld. Praktisch gezien kan een quantumcomputer bijvoorbeeld de spin van elektron B weten door de spin van elektron A te meten – ook al bevindt elektron B zich op miljoenen kilometers afstand.
De klassieke computer maakt voor berekeningen combinaties van binaire eenheden, ook wel bits genoemd. En dat is meteen de basis van de beperking van klassieke rekenkracht: berekeningen worden genoteerd in een taal die op ieder moment één van twee toestanden kan hebben: 0 of 1. Bij quantumcomputing worden berekeningen genoteerd in de taal van de quantumtoestand, die 0 of 1 kan zijn, maar ook alles tussen 0 en 1 in superpositie. Dit type informatie-eenheid wordt een 'quantum computer bit' ofwel qubit genoemd.
Door de specifieke eigenschappen van qubits kan informatie exponentieel groeien in een systeem. Omdat er met meerdere toestanden tegelijk wordt gewerkt, kunnen qubits enorme hoeveelheden informatie vertegenwoordigen, veel meer dan een bit. De rekenkracht van een quantumcomputer is daarom moeilijk te overschatten. Bij het combineren van qubits groeit de rekenkracht vele malen sneller dan bij klassieke computers. En omdat qubits geen fysieke ruimte innemen zoals processorchips, zou het volgens sommige metingen mogelijk zijn om oneindige rekenkracht te creëren.
Om quantumcomputing te begrijpen, is enig begrip nodig van de onderliggende principes van de beweging, positie en relaties van quantumdeeltjes.
De hardware voor quantumcomputers is heel anders dan die van de serverparken waarmee supercomputers worden geassocieerd. Quantumberekeningen worden gemaakt door deeltjes in een toestand te plaatsen waarin ze kunnen worden gemeten zonder dat ze worden veranderd of verstoord door omliggende deeltjes. In de meeste gevallen betekent dit dat de computer zelf tot bijna het absolute nulpunt moet worden gekoeld en dat de qubits moeten worden beschermd tegen ruis met laagjes goud. Vanwege deze delicate en exacte voorwaarden kunnen quantumcomputers alleen worden gebouwd in zeer gespecialiseerde omgevingen.
Met betrekking tot de toepassing van quantumcomputing in de praktijk is het belangrijk om er rekening mee te houden dat het nu nog niet zover is. Momenteel staat quantumcomputing nog echt in de kinderschoenen en worden quantumcomputers hierdoor in hoge mate beperkt. De onderzoekers en ingenieurs in het vak zijn het er echter over eens dat de ontwikkelingen sneller gaan dan verwacht. De toepassing van quantumcomputing zal ongetwijfeld veranderen naarmate de technologie zich ontwikkelt, maar er liggen nu al veelbelovende toepassingen in het verschiet.
Ondanks de snelheid van de ontwikkelingen en de potentiële impact is functionele quantumcomputing momenteel nog grotendeels theorie. Quantumcomputers die kunnen rekenen en modelleren op de schaal van echte quantumwaarschijnlijkheid zijn voorlopig nog toekomstmuziek. De vraag hoeveel jaar het nog duurt voordat die computers er zijn, is moeilijk te beantwoorden. Maar gezien de voortschrijdende ontwikkelingen kunnen we eerder vroeger dan later de quantumcomputer verwachten.
In 2023 maakte IBM, een van de bedrijven die vooroplopen op het gebied van quantumcomputing, bekend dat ze met hun Heron-quantumchip een verwerkingsproces met 133 qubits hadden gehaald. IBM wil in 2024 drie Heron-processors aan elkaar koppelen. Eén krachtige Heron-chip kan 1800 gates uitvoeren met een lage foutmarge. IBM heeft een roadmap gepubliceerd waarin ze aangeven in 2029 hun doel van foutgecorrigeerde quantumcomputing te bereiken.
De meest experts op het gebied verwachten dat bruikbare quantumcomputing binnen 10 jaar (en mogelijk sneller) commercieel haalbaar is. Sommige natiestaten zullen dat punt mogelijk eerder bereiken.
Momenteel is een van de belangrijkste vormen van digitale versleuteling de RSA-methode (Rivest-Shamir-Adleman), ook wel bekend als public key cryptography ofwel cryptografie op basis van openbare sleutels. Rivest, Shamir en Adleman beschreven het RSA-algoritme al in 1977 en tientallen jaren later is het nog steeds een uitzonderlijk sterk versleutelingssysteem dat zijn sporen ruimschoots heeft verdiend.
RSA is gebaseerd op twee digitale sleutels die samen een groot priemgetal vormen. Het vermenigvuldigen van twee bekende getallen voor het berekenen van een priemgetal is voor klassieke computers heel eenvoudig; maar voor de omgekeerde bewerking zijn ze veel minder geschikt. Klassieke computers hebben veel moeite om de twee factoren van een priemgetal te ontbinden met behulp van de 'brute force'-methode. Dat betekent dat een RSA-algoritme een praktisch niet te kraken code is, omdat ook de krachtigste supercomputer de waarde van de sleutels niet binnen een redelijke tijd kan berekenen. Het ontsleutelen van de hedendaagse 2084-bits RSA-versleuteling zou de snelste supercomputer ongeveer 300 biljoen jaar kosten.
Maar dat is waar quantumcomputing een bedreiging vormt. Quantumcomputers kunnen alle waarschijnlijkheden tegelijkertijd analyseren en hoeven dus niet, zoals de klassieke computers, alle mogelijke uitkomsten een voor een te bekijken. Dat betekent dat ze de berekening wel binnen een redelijke tijd zouden kunnen uitvoeren. Quantumcomputers zijn perfect voor het ontbinden van grote priemgetallen in de juiste factoren, waarmee RSA in feite wordt gekraakt. Men voorspelt dat in de nabije toekomst RSA-versleuteling in een paar maanden kan worden gekraakt door een quantumcomputer, en dat geavanceerdere quantumcomputers dit zelfs binnen enkele uren of minuten zullen kunnen.
Cybersecurity-experts houden zich niet alleen bezig met de toekomstige dreigingen, wanneer quantumcomputing praktisch haalbaar zal zijn, maar ook met de bedreigingen voor de gegevens van nu.
In afwachting van toekomstige quantumcapaciteit kunnen overheden en cybercriminelen nu al gegevens gaan verzamelen, om die later te ontsleutelen. Die gegevens worden gestolen en in hun versleutelde toestand opgeslagen, in de hoop dat ze kunnen worden ontsleuteld wanneer de cybercrimineel de beschikking heeft over een bruikbare quantumcomputer. Ook oude gegevens kunnen nog belangrijke informatie bevatten over de activiteiten van overheden en bedrijven, naast privégegevens van gebruikers, klanten, patiënten enzovoort.
Hoewel echt functionele quantumcomputers er nog lang niet zijn, zijn de potentiële digitale ontwrichting, en het nu al stelen van gegevens om die later te ontsleutelen, een enorme bedreiging voor gegevensintegriteit. Daarom werken de grootste cybersecuritybedrijven en -specialisten nu al aan het ontwikkelen van beveiligingsmaatregelen zodat gegevens worden beschermd tegen ontsleuteling door een quantumcomputer – nu en in de toekomst.
Post-quantumcryptografie, ofwel PQC, is een cryptografisch systeem voor de bescherming van gegevens tegen ontsleuteling door zowel klassieke computers als quantumcomputers.
PQC is niet alleen bedoeld om bescherming te bieden tegen toekomstige quantumcomputers, maar ook om moeiteloos te werken met de hedendaagse protocollen en netwerksystemen. Goed geïmplementeerde PQC-maatregelen worden in hedendaagse systemen geïntegreerd om gegevens te beschermen tegen alle mogelijke actuele en toekomstige aanvallen, ongeacht wat voor computer daarvoor wordt gebruikt.
En terwijl quantumcomputers nog in de kinderschoenen staan, hebben cybersecurity-experts al PQC-algoritmen gemaakt die bescherming bieden tegen quantumaanvallen. Deze beveiligingstools zullen zich net zo blijven ontwikkelen als quantumcomputing; maar de huidige beveiligingsmaatregelen zijn ontworpen om, mits goed geïmplementeerd, quantumdreigingen een stap voor te blijven.
Het National Institute of Standards and Technology heeft al aanbevelingen opgesteld voor het gebruik van PQC ter voorbereiding op de dreiging van quantumcomputers. Dit zijn:
Overlappende benamingen en algoritmen kunnen leiden tot misverstanden over de technologie en de dreigingen.
De term die waarschijnlijk het vaakst verkeerd wordt gebruikt, is 'post-quantumcomputing', afgekort tot 'PQC'. Deze benaming heeft tot nogal wat verwarring geleid, want de afkorting is hetzelfde als die van 'post-quantumcryptografie'. Maar in de wereld van de quantumcomputerwetenschap bestaat er niet zoiets als 'post-quantumcomputing'. De juiste term voor de machine is 'quantumcomputer' en de term 'quantumcomputing' beschrijft het vakgebied en proces. En ook lang nadat geavanceerde en praktisch bruikbare machines werkelijkheid zijn geworden, zullen ze 'quantumcomputers' heten, niet 'post-quantumcomputers'.
Quantumcryptografie en post-quantumcryptografie hebben allebei quantummechanica als basis, maar het zijn niet dezelfde cryptografische technologieën. In de quantumcryptografie wordt de fundamentele aard van onvoorspelbaarheid gebruikt voor het versleutelen en ontsleutelen van gegevens, waarbij informatie rechtstreeks in de qubits zelf wordt gecodeerd. Momenteel maakt de bekendste versie van quantumversleuteling gebruik van de eigenschappen van qubits om gegevens zodanig te beveiligen dat een poging om ze te ontsleutelen zonder toestemming leidt tot fouten in de qubits. Deze vorm van quantumversleuteling werkt een beetje zoals een alarm op een deur of raam; bij onbevoegde toegang gaat een alarm af.
Post-quantumcryptografie is gebaseerd op wiskundige vergelijkingen, net als klassieke versleuteling. Het verschil zit in de complexiteit van de vergelijkingen. Bij PQC wordt er gebruikgemaakt van quantumeigenschappen om vergelijkingen op te stellen die zo moeilijk op te lossen zijn dat zelfs quantumcomputers dat niet zomaar kunnen. Een van de voordelen van PQC is dan ook deze basis van zeer moeilijk op te lossen vergelijkingen. En omdat het gebruikmaakt van dezelfde basisstructuren als de huidige, klassieke versleuteling, kan het worden ingezet met vergelijkbare methoden en dus de meeste systemen van tegenwoordig beschermen.
Quantumcryptografen hebben al verschillende sets algoritmen ontwikkeld ter bescherming tegen quantumdreigingen. Deze sets verschillen onderling, afhankelijk van de vereiste prestaties. Sommige systemen kunnen zwaardere PQC-problemen aan, terwijl voor andere een minder veeleisende oplossing voldoende is. En net als bij andere vormen van klassieke versleuteling zijn verschillende PQC-sets geschikt voor verschillende gebruiksscenario's. De volgende drie sets worden beschouwd als sterke PQC.
Kyber is gebaseerd op een standaard die Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM) wordt genoemd door NIST. Het is een asymmetrisch cryptosysteem dat gebruikmaakt van het mathematische probleem Module Learning With Errors (M-LWE). Kyber wordt gebruikt voor sleuteluitwisseling en public key encryption als een quantumversie van TLS/SSL voor veilige websites.
Dilithium is een roosterschema dat is gebaseerd op een techniek genaamd Fiat-Shamir with Aborts. Dit is een set oplossingen op basis van het kleinste hele getal. Het Dilithium-algoritme is het kleinste op roosters gebaseerde schema voor het ondertekenen van openbare sleutels. NIST beveelt Dilithium dan ook aan als PQC-oplossing voor digitale handtekeningen.
SPHINCS+ is een op hashes gebaseerde set voor digitale ondertekening die gebruikmaakt van HORST en W-OTS in de beveiliging tegen quantumaanvallen. De openbare en persoonlijke sleutels die worden gemaakt met SPHINCS+ zijn klein, ondanks dat de handtekening langer is dan bij Dilithium en Falcon. SPHINCS+ wordt behandeld in FIPS 205.
Falcon is een op roosters gebaseerde oplossing voor digitale ondertekening, die is gebaseerd op een hash-and-sign-methode. De naam is een acroniem voor 'Fast Fourier Lattice-based compact signatures over NTRU.' De voordelen van FALCON zijn een kleine openbare sleutel en kleine handtekening.
World Quantum Readiness Day
Voorbereiden op een post-quantumwereld
Quantum Advisor Program
Cryptomiddelen voor PQC-gereedheid identificeren
Ponemon Institute PQC report