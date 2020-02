Gilles Brassard dnes působí primárně jako profesor informatiky na Montrealské univerzitě v Kanadě. V době, kdy se o kvantovou informační vědu zajímala jen hrstka „šílenců“, pomohl položit základy kvantové kryptografie a patří mu také prestižní místo mezi autory konceptu kvantové teleportace.

Mezi léty 1991 a 1997 působil jako šéfredaktor vědeckého časopisu Journal of Cryptology a je autorem tří odborných knih, které byly přeloženy do osmi jazyků. Je také členem Londýnské královské společnosti, Kanadského institutu pro pokročilý výzkum a mezinárodní asociace pro kryptologický výzkum. V domovské Kanadě se mu dostalo vědeckých ocenění NSERC Gerhard Herzberg Canada Gold Medal for Science and Engineering a Killam Prize for Natural Sciences a je držitelem několika čestných doktorátů doma i v Evropě.

V roce 2018 se stal prvním Kanaďanem, který obdržel mezinárodní Wolfovu cenu za fyziku a v loňském roce mu byla udělena také Miciusova kvantová cena. Mluvili jsme s ním před jeho evropskou přednáškou v rámci Insights in Technology Talks na Schaffhausen Institute of Technology ve Švýcarsku.

Jaký je váš názor na kryptografii založenou na kryptografické hašovací funkci, obstála by ve světě postkvantové kryptografie?

Možná vás to trochu překvapí, ale moje zcela upřímná odpověď zní, že nevím. Vím například, že řada kolegů přišla s návrhy, jak před kvantovými útoky zabezpečit RSA kryptografii a že některé z nich využívají právě hašovací funkci, ale nestudoval jsem detaily, takže si netroufám momentálně dávat fundovanou odpověď.

Když už jste zmínil RSA, můžete čtenářům zkusit přiblížit, v čem je hlavní problém šifrovacích metod založených na RSA a případně eliptických křivkách z pohledu kvantových algoritmů?

Výborně, to je mnohem jednodušší otázka. Stručná odpověď by mohla znít, že jejich hlavní problém je, že jsou z optiky kvantových algoritmů totálně rozbité. Pokud bychom měli k dispozici plnohodnotný obecný kvantový počítač, a ne jen jeho simulaci, která je za něj dnes často vydávána PR odděleními některých firem, tak RSA, DH, a dokonce i ECDSA bohužel nemají šanci obstát.

Dnes již bezpečně víme, že v případě RSA je útočník s kvantovým počítačem schopný rozlousknout klíč rychleji, než bude trvat na běžném počítači tento klíč vygenerovat. To, jestli je potřeba tyto kryptografické metody v jejich současné podobě nahradit, tedy není otázka, ale imperativ. Jde jen o to nalézt nejefektivnější způsob, jak to udělat.

Jinak, když se ještě vrátím k tomu kvantovému počítači, bavíme se tu o obecném kvantovém počítači s výpočetní silou minimálně několika tisíc kvantových bitů (qubitů), ne o malém kvantovém počítači/počítači pro řešení konkrétních úloh.

Dnes víme, že se v našem „klasickém světě“ RSA, ECDSA a Diffie-Hellman jeví jako bezpečné metody, ale nemůžeme dokázat, že tomu tak skutečně je. Oproti tomu ale umíme dokázat, že RSA, DH, a dokonce i ECDSA nejsou bezpečné metody v „kvantovém světě“. Stejná situace, jaká platila v klasickém světě pro RSA, ECDSA a DH, platí v kvantovém světě pro McEliece, New Hope a Frodo (mohou být bezpečné, ale neumíme to prokázat).