S technickým ředitelem IBM Martinem Švíkem o počítačových šifrách, bezpečnostních rizicích jejich prolamování a o tom, jak daleko se dnešní vývoj kvantových počítačů už dostal.

Lidovky.cz: Kryptograf John Mattson ze společnosti Ericsson Research se na konci května vsadil, že kvantové počítače nezvládnou do roku 2050 prolomit 2048bitovou verzi šifry RSA. Tu používají banky a další instituce a v současnosti je při správném používání neprolomitelná. Vsadil byste si proti ní?
Vsadil. Už jenom kvůli tomu, že americký Národní institut standardů a technologie (NIST) v současnosti připravuje šifrovací algoritmy, které se mají používat jako ochrana před kvantovými počítači. NIST tvrdí, že do roku 2030 je extrémně vysoká pravděpodobnost prolomení drtivé většiny dnešních šifer. U RSA 2048 mluví NIST dokonce přímo o konci dekády. Velmi ale záleží na tempu vývoje a výpočetním výkonu kvantových počítačů.

Lidovky.cz: Jak to bude vypadat, až se povede šifrování prolomit? Přijde hon na banky? Tajné informace přestanou být tajné?
My se snažíme, aby se něco takového nestalo. Dnes už je rozvinutá takzvaná postkvantová kryptografie. Počítá se vznikem počítačů schopných prolomit současné šifry. Upozorňujeme společnosti a veřejnost, že je dobré s přechodem na nový typ šifrování začít. Nedá se to realizovat ze dne na den.

Lidovky.cz: Jak bude nový typ šifrování fungovat? Bude k němu potřeba kvantový počítač?
Nebude. V tomhle případě jsou kvantové počítače jen hrozba. Šifrování poběží na klasických strojích, jde jen o nový algoritmus. Je výpočetně náročnější, ale obyčejné počítače ho ještě zvládnou. Drtivá většina dnešních šifer používá velká prvočísla, jejichž hledání trvá na klasických strojích velmi dlouho. Kvantové počítače ho ale dokážou zkrátit.

Jakákoli z běžných šifer proto bude v dohledné době prolomitelná. NIST zatím vybral čtyři nové šifrovací algoritmy. Pravděpodobně dokážou současné šifry nahradit, bude to ale stát hodně úsilí i peněz. Tři z těchto algoritmů mimochodem vznikly ve spolupráci s IBM research a několika univerzitami. Autor čtvrtého už pro nás taky pracuje.


Lidovky.cz: Dobře. Co tedy kvantové počítače jsou?
Jde o výpočetní systém využívající dvě zvláštnosti chování elementárních částic. První z nich je kvantová superpozice. Podle ní se částice, která může existovat ve více stavech, za určitých okolností nachází ve všech těchto stavech současně. Druhému jevu se říká kvantové provázání. Znamená to, že dvě částice, které se navzájem ovlivňovaly, zůstávají propojené, i když se od sebe vzdálí.

Klasické počítače pracují s bity. Mohou nabývat dvou stavů – nula nebo jedna. Základ kvantového počítače tvoří, stejně jako u obyčejných počítačů nějaký prvek, který taky nabývá jen dva stavy. Může to být třeba foton. Kvůli kvantové superpozci ale dokáže být v obou těchhle stavech současně, místo bitů proto počítáme s takzvanými qubity. Jednotlivé qubity se dají vlivem kvantové provázanosti navzájem propojovat.

Množství stavů takového systému roste exponenciálně s jejich počtem. Počítač s jedním qubitem může mít dva na první stavů, tedy dva. Se dvěma qubity je to dva na druhou, tedy čtyři. S pouhými deseti qubity je to už dva na desátou, tedy 1024. Nad 265 qubitů se dostáváme k číslům větším než počet atomů ve vesmíru. Ten je zhruba deset na osmdesátou. V IBM jsme mezi lety 2021 a 2022 přešli z procesorů se 127 qubity na 433. Tím pádem už jsme ho překročili.

Lidovky.cz: To je pěkný nárůst...
Je to daleko rychlejší skok, než by odpovídalo Moorovu zákonu. Moorův zákon je empirické pravidlo, jímž se řídí výkon klasických počítačů. Počet tranzistorů, které se vejdou na integrovaný obvod, se podle něj zdvojnásobuje každých zhruba osmnáct měsíců. Výkon kvantových počítačů ale roste rychleji. Na konci letošního roku chceme představit poslední procesor sestavený z jednoho čipu. Měl by mít 1120 qubitů. Po něm plánujeme systémy sestavené z více navzájem propojitelných čipů.

V květnu podepsala IBM na summitu G7 dohodu s japonskou vládou a Tokijskou univerzitou o stavbě počítače, který bude mít sto tisíc qubitů. Jelikož jsme v jednom okamžiku schopni reprezentovat taková obrovská množství stavů, můžeme používat algoritmy vyvinuté speciálně pro kvantové počítače. Jeden z nich se jmenuje Shorův. Používá se k hledání prvočísel, která tvoří základ současných šifrovacích systémů.

Lidovky.cz: Jak takový stroj fyzicky funguje?
Existuje několik hardwarových architektur. K reprezentaci qubitů se používají supravodiče, fotony, ionty, nebo dokonce obvody vytvořené fotolitograficky – podobný princip jako u tvorby integrovaných obvodů. Ještě se diskutuje o tom, která cesta bude nejlepší. Stavitelé kvantových počítačů se ale vždycky snaží dostat něco, co reprezentuje qubit, do stavu kvantové superpozice. K tomu je potřeba, aby tu věc neovlivňovalo okolní prostředí. Často se proto musí chladit na teploty blízké absolutní nule. Jednotlivé qubity se pomocí kvantového provázání propojují navzájem.

Lidovky.cz: Máte při stavbě takových počítačů nějaké problémy?
Největší je s opravováním chyb. Jelikož nepracujeme v absolutní nule, ale kousek nad ní, čas od času dochází ke špatným výpočtům. Většina firem proto dnes řeší, jak se jich zbavit. Práce s kvantovým počítačem není klasické programování. Je to navrhování obvodů, kterými projdou data, a tím dojde k nějakému výpočtu. Problém je, že čím je obvod delší, tím je náchylnější k chybám. Proto je krájíme na kratší úseky.

Lidovky.cz: Znamená to, že se kvantové počítače staví k řešení jedné konkrétní úlohy, podobně jako třeba velké sálové stroje v první polovině minulého století?
Existují dva přístupy. Dalo by se jim říkat analogový a univerzální kvantový počítač. Analogový je opravdu sestavený na jednu konkrétní úlohu. Na univerzálním počítači se dá řešit jakýkoli problém. Stavba kvantových počítačů je ovšem náročná, zvládá ji jen hrstka hráčů. Sestavit univerzální počítač je ještě o něco těžší. Firmy, které se chtějí dostat k aplikovatelnosti dřív, proto volí analogové.

Lidovky.cz: K jakým výpočtům se kvantové počítače používají?
Máme tři pilíře, u kterých si myslíme, že by pro ně kvantové počítače mohly být užitečné. První jsou simulace. Spadají do nich například výpočty chování různých látek a materiálů při výrobě léčiv nebo baterií. Druhý pilíř je zrychlování umělé inteligence a třetí pilíř je optimalizace. Klasický příklad je logistika: plánování dopravy, nakládky a tak podobně. Materiálové simulace jsou zatím nejdál.

Lidovky.cz: Znamená to, že dokážete vyřešit třeba slavný problém obchodního cestujícího? Asi by bylo napřed potřeba říct, o co v něm jde…

Je to úloha, ve které máme nějaký graf, reprezentující města propojená různě dlouhými cestami. Obchodní cestující má mezi městy najít nejkratší trasu, která se zároveň vrací do výchozího bodu. Každé město by měl navštívit právě jednou. V blízké budoucnosti problém nevyřešíme ani s kvantovými počítači, ve vzdálenější budoucnosti by to ale mohlo jít. Dá se to říct i jinak: problém dokážeme vyřešit už dnes, jenže na to nemáme dost výpočetního výkonu a času.

Lidovky.cz: Jak to?
Když chcete vyřešit problém obchodního cestujícího, ale výpočet vám trvá tři měsíce, nemá to smysl. Tou dobou už bude cestující dávno doma. Některé optimalizační úlohy jsou poměrně triviální, dnešní superpočítače je přesto nevyřeší v rozumném čase. Kvantové počítače by mohly dobu výpočtu rozumně zkrátit. Další problém je přesnost. Třeba existující metoda řešení problému obchodního cestujícího je jen přibližná. Podobně je to s chemickými simulacemi. Algoritmy jsou, ale nejsou přesné.

Lidovky.cz: Liší se programování kvantových počítačů od klasických?
Určitě. Záleží na konkrétním algoritmu. Většina klasických postupů nemusí být na kvantovém počítači jednoduše aplikovatelná. Funguje to ale i obráceně, algoritmus z kvantového počítače zase nemusí běhat na klasickém. Programování bude mít odlišnou logiku. Potřebujeme lidi, kteří rozumí kvantové teorii. Až vytvoří základy, běžný programátor už ovšem nemusí vůbec poznat rozdíl. Nutno ale poznamenat, že na nejnižší kvantové úrovni je zároveň nejvyšší přidaná hodnota.

Lidovky.cz: Připadá mi, že podle vašeho popisu nástup kvantových počítačů běžný lidský život příliš neovlivní…
To bych neřekl. Téměř jistě změní průmysl. Zrovna Česká republika je přitom extrémně průmyslový stát. S kvantovými počítači už dnes experimentuje množství asijských firem vyrábějících displeje, s jejichž pomocí dokážou dosáhnout většího rozlišení. Získávají tak konkurenční výhodu. A jiná průmyslová odvětví budou následovat. Stejné je to s vývojem léků, kvantové počítače se už dnes zkoušejí uplatnit ve vývoji antibiotik.

Státy, které do nich nebudou investovat, se stanou jen konzumenty. Budou na tom hůř než ostatní, kteří budou vydělávat třeba na tom, že dokázali vyvinout účinnější baterie. Problém je i v tom, že nikdo neví, kdy přesně kvantové počítače překonají klasické.

Lidovky.cz: Proč je to tak důležité?
Před časem jsme měli na téma kvantové bezpečnosti diskusi s některými klienty. Na jejím začátku říkali: „Nás nemůžete překvapit. Víme, že můžeme být ještě dalších dvacet nebo třicet let v klidu.“ Ovšem když jsme jim předvedli, jak daleko už kvantové počítače jsou, začali nás brát vážně. Před třemi měsíci psaly Financial Times o vědeckém výzkumu čínského týmu, podle nějž stačí k prolomení RSA šifry, o které jsme se bavili na začátku, stroj s 378 qubity. Nedá se to snadno ověřit. Je možné, že ve výzkumu jsou chyby.

Lidovky.cz: A kdyby nebyly?
Nevíme, jestli čínská vláda disponuje takovým vybavením, v bezpečnostních kruzích to ale vyvolalo pozdvižení. I NIST zkrátil odhad, dokdy se RSA podaří prolomit. Na konci roku definitivně vybere algoritmy, které budou garantovat bezpečnost počítačů. Naprostá většina dnešních šifer je postavená na stejném principu. Proto jsou v nebezpečí. Hrozí ještě další věc: mnoho vlád dnes ukládá veškerou internetovou komunikaci podle hesla „sbírej dnes a dešifruj později“. Počítají s tím, že až dojde k prolomení šifer, budou si moci data zpětně rozluštit.

Lidovky.cz: Takže když někdo ze čtenářů používal šifrovaný telefon, aby vykradl banku, hrozí mu, že stát jeho komunikaci časem prolomí a zavře ho?
Stát se to může. Pravděpodobnější ale je, že jednotlivci nebudou zajímaví. Půjde spíš o průmyslové vlastnictví, informace potřebné k vývoji zbraní a tak podobně.