Kvantové počítače zatím nejsou dost silné na prolomení RSA. Ale útočníci už dnes sbírají šifrovaná data s plánem je dešifrovat později — strategie „harvest now, decrypt later”. Migrace na post-kvantovou kryptografii není otázka jestli, ale kdy.

Proč jednat teď¶

V roce 2024 NIST finalizoval tři post-kvantové standardy: ML-KEM (dříve CRYSTALS-Kyber) pro výměnu klíčů, ML-DSA (CRYSTALS-Dilithium) pro digitální podpisy a SLH-DSA (SPHINCS+) jako zálohu založenou na hash funkcích. To znamená, že standardy existují — a regulátoři začínají vyžadovat akci.

Americká NSA stanovila rok 2035 jako deadline pro migraci vládních systémů. Evropská ENISA doporučuje hybridní přístup okamžitě. České NÚKIBu zatím konkrétní termín nenastavil, ale zákon o kybernetické bezpečnosti (ZoKB) a připravovaná implementace NIS2 migraci implicitně vyžadují pro kritickou infrastrukturu.

Problém „harvest now, decrypt later” (HNDL) je reálný zejména pro data s dlouhou dobou citlivosti — zdravotní záznamy, státní tajemství, finanční smlouvy, duševní vlastnictví. Data zachycená dnes mohou být čitelná za 10–15 let.

Co se mění technicky¶

Post-kvantové algoritmy se fundamentálně liší od RSA a ECC. Místo faktorizace velkých čísel nebo diskrétního logaritmu staví na matematických problémech, které jsou odolné i vůči Shorovu algoritmu:

• Mřížkové problémy (lattice-based): ML-KEM a ML-DSA — rychlé, relativně malé klíče, dobře prostudované
• Hash-based podpisy: SLH-DSA — konzervativní, velké podpisy, ale minimální kryptografické předpoklady
• Kódové problémy: BIKE, HQC — kandidáti ve 4. kole NIST, zatím nestandardizované

Praktický dopad na vývojáře: větší klíče a podpisy. ML-KEM-768 má veřejný klíč 1184 bajtů (vs. 32 bajtů u X25519). ML-DSA-65 podpis má 3309 bajtů (vs. 64 bajtů u Ed25519). To ovlivňuje TLS handshake, certifikáty, IoT zařízení s omezenou pamětí.

Hybridní přístup — zlatý standard přechodu¶

Nikdo rozumný nepřepne z RSA na ML-KEM přes noc. Správný postup je hybridní kryptografie — kombinace klasického a post-kvantového algoritmu. Pokud se jeden ukáže jako slabý, druhý stále chrání.

Google Chrome a Cloudflare už nasadily hybridní TLS (X25519 + ML-KEM-768) do produkce. AWS Key Management Service podporuje post-kvantový TLS. Signal messenger přešel na PQXDH protokol kombinující X25519 s ML-KEM.

OpenSSL 3.5+ — hybridní TLS konfigurace¶

ssl_conf = ssl_sect

[ssl_sect]

system_default = system_default_sect

[system_default_sect]

Groups = x25519_mlkem768:x25519:secp256r1

SignatureAlgorithms = mldsa65:ecdsa_secp256r1_sha256:rsa_pss_rsae_sha256

Inventarizace — kde všude máte kryptografii¶

Největší výzva migrace není technická — je to viditelnost. Většina organizací netuší, kde všude používají kryptografii. Systematický audit zahrnuje:

• TLS/mTLS: Webové servery, API gateway, service mesh, load balancery
• Certifikáty: PKI infrastruktura, code signing, S/MIME
• Data at rest: Šifrování disků, databází, backupů, key vaults
• Aplikační kryptografie: JWT tokeny, HMAC, šifrování v kódu
• Hardware: HSM moduly, TPM čipy, smartkarty, IoT senzory
• Third-party: SaaS integrace, VPN tunely, API partnerů

Nástroje jako IBM Quantum Safe Explorer nebo open-source Cryptobom pomáhají s automatizovanou inventarizací. Výstupem by měl být Cryptographic Bill of Materials (CBOM) — seznam všech kryptografických závislostí.

Plán migrace ve 4 fázích¶

Fáze 1: Inventarizace (1–3 měsíce)¶

Zmapujte veškerou kryptografii v organizaci. Vytvořte CBOM. Identifikujte data s dlouhou dobou citlivosti — ta mají nejvyšší prioritu.

Fáze 2: Testování (3–6 měsíců)¶

Nasaďte hybridní kryptografii v testovacím prostředí. Změřte dopad na výkon — ML-KEM je rychlý (encapsulace ~30 μs), ale větší klíče zvyšují latenci TLS handshake o 5–15 %. Otestujte kompatibilitu s existujícími systémy.

Fáze 3: Postupný rollout (6–18 měsíců)¶

Začněte s nejvíce exponovanými systémy — veřejné API, VPN, komunikační kanály. Použijte hybridní režim. Monitorujte. Postupně rozšiřujte.

Fáze 4: Plná migrace (18–36 měsíců)¶

Nahraďte klasickou kryptografii všude, kde je to možné. Aktualizujte HSM firmware. Obnovte certifikáty. Aktualizujte compliance dokumentaci.

Specifika pro český trh¶

České firmy v regulovaných odvětvích (bankovnictví, zdravotnictví, energetika) by měly sledovat:

• NIS2 implementace: Nový zákon o kybernetické bezpečnosti bude vyžadovat „state of the art” kryptografii
• DORA (finanční sektor): Od ledna 2025 vyžaduje pravidelné testování kryptografické odolnosti
• eIDAS 2.0: Evropská digitální identita bude potřebovat post-kvantové podpisy
• NÚKIB doporučení: Sledujte aktualizace minimálních bezpečnostních standardů

Co můžete udělat dnes¶

Nemusíte čekat na kvantový počítač. Začněte pragmaticky:

1. Aktualizujte knihovny — OpenSSL 3.5+, BoringSSL, liboqs už podporují ML-KEM/ML-DSA
2. Zapněte hybridní TLS na veřejných endpointech — Chrome a Firefox to podporují
3. Auditujte kryptografii — vytvořte CBOM pro kritické systémy
4. Vzdělávejte tým — post-kvantová kryptografie vyžaduje nové znalosti
5. Plánujte budget — HSM upgrade a certifikační procesy stojí čas i peníze

Shrnutí¶

Post-kvantová kryptografie přešla z akademické teorie do praxe. Standardy existují, nástroje jsou dostupné, velcí hráči už migrují. Pro české firmy v regulovaných odvětvích je čas začít s inventarizací a hybridním přístupem. Kdo počká na Q-Day, bude pozdě.

CORE SYSTEMS pomáhá s kryptografickým auditem, návrhem migrační strategie a implementací post-kvantových řešení.