Kvanteapokalypsen kommer (forhåbentlig) først, når vi er klar

Forestil dig en dag, måske ikke så langt ude i fremtiden, hvor hele verden kender alle dine dybeste hemmeligheder. Det kan måske give en lille smule sved på panden.

Okay, det gælder ikke de hemmeligheder, der kun findes i dit hoved og din dagbog (hvis den altså er lavet af papir), men det gælder i hvert fald din søgehistorik, dine e-mails, private beskeder, anonyme indlæg, bankoplysninger, lokationshistorik og lægejournal.

Forestil dig så, at det gælder hele verdens hemmeligheder, herunder det globale finansielle system og kritisk infrastruktur. Sveden begynder at dryppe.

Det er en dag, som forskere, cybersikkerhedseksperter, hackere og nysgerrige sjæle tæller ned til. Den såkaldte Q-dag. Q for quantum, fordi det er en kvantecomputer, der kan afsløre dine og resten af verdens hemmeligheder. Q-dag er dermed dagen, hvor der bygges en kvantecomputer, der kan knække de mest udbredte former for kryptering, altså den public-key-kryptering, der sikrer vores færden på internettet og holder vores digitale data fortrolige, som vi gennemgik i sidste afsnit.

Men det er slet ikke sikkert, at det bliver sådan en svedig begivenhed, beroliger Ivan Bjerre Damgård, som vi mødte i går. “Det kommer fuldstændig an på omstændighederne,” siger han. “Man kan forestille sig, at offentligheden ved, at denne kvantecomputer er blevet bygget, og så er der formentlig global panik. Men man kan også forestille sig, at en eller anden stat har en kvantecomputer i kælderen, som de ikke fortæller nogen om, og så kan de ellers bare sidde og læse med, uden at nogen ved det.” Ikke nødvendigvis så beroligende, men det er svært at gå i panik over noget, som foregår, uden man ved det.

Q-dag kaldes også Y2Q med henvisning til den kollektive frygt op mod år 2000 for, at alle computere ville bryde sammen i år 2000. For at spare på computernes hukommelse valgte programmører i 1960’erne at skrive årstal med kun to tal. Ved årtusindskiftet, hvor vi gik fra 99 til 00, ville computersystemerne altså operere ud fra, at vi nu befandt os i 1900 og ikke 2000.

Ikke så godt. Særligt fordi computerne med tiden var blevet langt mere allestedsnærværende. “Computeren har været en velsignelse; hvis ikke vi handler hurtigt, kan den imidlertid blive denne tids forbandelse,” skrev den demokratiske senator Daniel Patrick Moynihan til Bill Clinton i 1996. Udover dem, der forberedte sig på katastrofen ved at købe et lager af dåsetomater og vandflasker, foregik der også en mere professionel prepper-aktion. Verdensbanken koordinerede en global indsats med det såkaldte International Y2K Cooperation Center, mens den daværende præsident i USA Clinton nedsatte et råd, der skulle håndtere datodilemmaet.

“På en måde leger vi russisk roulette,” siger fysikeren Michele Mosca, der var med til at lave den canadiske organisation Global Risk Institutes seneste rapport om kvantetrusler, til Wired. “Du vinder sandsynligvis, hvis du kun spiller en enkelt gang, men det er ikke et godt spil at spille.” Ifølge rapporten er der en tredjedel sandsynlighed for, at Q-dag falder før 2035.

“Nogle tror på, at det sker før 2035, og andre tror slet ikke på det. Vi kan ikke vide, hvem der har ret,” siger Ivan Bjerre Damgård.

Uanset hvem der får ret, sidder forskere og cybersikkerhedseksperter selvfølgelig ikke bare og triller tommelfingre, indtil Q-dagen måske, måske ikke, oprinder. De forbereder sig på det ved at udvikle en ny type kryptografi, altså kryptografiske algoritmer, der er sikre mod kvantecomputere, men også kan køre på eksisterende computere. Det er det, som hedder post-kvantekryptografi.

Det kommer vi til. Men først: Hvad er en kvantecomputer egentlig? Og hvorfor udgør de en trussel mod den gode, gamle kryptering?

Ikke noget kvantespring

Sideløbende med kapløbet om kunstig intelligens, som vi har hørt meget om i løbet af dette år, foregår det kvanteteknologiske kapløb. I 2025 advarede den amerikanske efterretningstjeneste om, at Kina og Rusland har udviklet nye kvantecomputere med højere ydeevne siden sidste år.

De computere, som vi bruger nu, regner med bits, som kun kan være 0 eller 1. Derimod bruger kvantecomputere kvantebits, der kan være 0, 1 eller en såkaldt superposition, altså en blanding af begge tilstande.

Kort sagt gør denne forskel, at kvantecomputere kan gøre visse, ikke alle, beregninger meget hurtigere. “Ting, der ville tage universets alder at beregne, selv på den mest kraftfulde supercomputer, kunne sandsynligvis udføres på få sekunder,” som Peter Knight, der er en af Storbritanniens førende kvanteeksperter, siger til BBC. Meget smart, bortset fra, at kvantebits er skrøbelige, hvilket indebærer, at de skal opbevares på en særlig og besværlig måde, såsom i meget kolde kryostatiske frysere eller i et vakuum.

I sidste afsnit konkluderede vi, at public-key-kryptering såsom RSA blandt andet fungerer på grund af vanskelighederne ved at faktorisere.

I 1994 udviklede den amerikanske datalog Peter Shor dog en kvantealgoritme til primtalsfaktorisering, og det er den, der er central for at bryde de eksisterende kryptografiske metoder. Teknologien er ved at indhente teorien. Kvanteapokalypsen kræver altså en stor kvantecomputer og Shors kvantealgoritme.

Derfor er kryptologer verden over i gang med at finde nogle nye algoritmer, som ikke bare lige kan løses af en kvantecomputer. “At skifte de algoritmer vi bruger til noget andet, det er en meget stor opgave, så det nytter  ikke noget, at man ingenting gør. Fordi hvis vi står og skal bruge sådan noget om 10 år, så har vi et væsentligt problem. Derfor er der arbejde i gang for at få skiftet ud,” siger Ivan Bjerre Damgård.

Men ligesom år 2000 kom og gik uden at computerne brød sammen, og at vi lagde mærke til noget nævneværdigt, da designfejlen blev rettet i tide, vil vi ifølge Ivan Bjerre Damgård ikke lægge mærke til det, hvis det lykkes at udskifte de kryptografiske metoder, inden Q-dagen oprinder: “I praksis udfører postkvantekryptografi præcis den samme opgave som nuværende krypteringsmetoder, men postkvantekryptografi kan bare ikke brydes af en kvantecomputer.”