Er kvantecomputere klar til at bryde RSA i 2025?

RSA bygger på et tilsyneladende enkelt matematiktrick: vælg to store primtal p og q, gang dem sammen til et modul N = p·q, og offentliggør N. For at udlede den private nøgle skal en modstander kunne finde tilbage til p og q, altså løse heltalsfaktorisering. For klassiske computere vokser regnetiden for de hurtigste algoritmer (som f.eks. General Number Field Sieve) sub-exponentielt, men stadig så hurtigt, at selv med verdens samlede CPU-kraft ville det tage astronomisk lang tid at knække moderne nøgler som RSA-2048. Derfor har faktorisering - og dét, at den er praktisk uoverkommelig - været fundamentet under alt fra TLS-handshakes til firmware-signering i årtier.

I 1994 viste Peter Shor, at en fejltolerant kvantecomputer kan køre en helt anden algoritme, nu kendt som Shor’s algoritme, der løser faktorisering i polynomiel tid. Hemmeligheden ligger i kvantefænomenet kvantesuperposition, hvor et register af n qubits kan repræsentere 2ⁿ tilstande samtidigt, kombineret med kvante-Fourier-transformation, som udtrækker den periodiske struktur i det talteoretiske problem. Resultatet er, at den beregning, der kræver milliarder af år på klassisk hardware, i princippet kan skaleres ned til timer eller dage, når - og kun når - vi råder over hundredtusindvis af logiske qubits med fejlrater på omkring 10^-12.

Det er netop derfor alarmklokkerne ringer: RSA og beslægtede kryptosystemer driver i dag det meste af internettets sikkerhedslag. TLS-sessioner sikrer vores netbanker, VPN-tunneller beskytter virksomheds-trafik, S/MIME krypterer e-mails, og kode-signering garanterer software-integritet. Skulle en modstander få fat i en fuldt skalerbar kvantecomputer, vil de kunne rekonstruere private nøgler fra opsnappede certifikater og derefter dekryptere tidligere optaget trafik eller udstede falske signaturer. Det betyder, at selv data, der er indsamlet og lagret i dag, kan blive kompromitteret i morgen - en trussel kendt som “høst nu, dekryptér senere”. Derfor er forståelsen af Shor’s algoritme og dens potentielle konsekvenser rykket fra teoretisk nysgerrighed til akut strategisk nødvendighed.

Først et hurtigt reality-check på hardwaren: Supraledende kredsløb dominerer i dag antallet af demonstrerede qubits - IBM har lovet en 1.121-qubit chip (“Condor”) og Google kører omkring 70-100 fysiske qubits på sin Sycamore-platform - mens ionfælder (IonQ, Quantinuum) leverer færre, men mere sammenkoblede og koherente qubits med fejlrater helt ned til 10^-4. Neutral-atomsystemer (Pasqal, QuEra) har vist skalerbarhed til tusinder af qubits, men med langsommere gate-tider, og fotonbaserede arkitekturer (PsiQuantum m.fl.) satser på silicium-fotonik til fremtidig masseproduktion. Trods de flotte tal er alle disse maskiner stadig såkaldte NISQ-enheder - “Noisy Intermediate-Scale Quantum” - hvor støj og fejlrater stiger eksplosivt med kredsstørrelsen.

Nøglen til at true RSA er fejltolerance. For at køre Shors algoritme i fuld skala kræves qubits, hvor hver logisk operation kan fejlrettes tusinder af gange uden at ødelægge tilstanden. Man taler derfor om to lag: fysiske qubits (dem vi faktisk bygger) og logiske qubits (de fejlrettede, programmerbare enheder ovenpå). Aktuelle qubit-lifetimes (T₁, T₂) ligger i området 100-300 µs for supraledere og få sekunder for ionfælder; det er nok til små demonstrationsforsøg - fx faktorisering af 21 eller 247 - men langt fra stabilt nok til at køre millioner af porte, som RSA-2048 kræver.

Hvor meget hardware skal der til? Nyere ressourceestimater (Fowler 2023, Gheorghiu 2024) peger på ≈ 370 000 logiske qubits og 25-30 dage wall-clock-tid til at faktorisere et RSA-2048-certifikat, hvis man bruger en overfladekode med 10^-3 gatesfejl. Hvis fejlraten kan presses ned til 10^-4, falder behovet til ca. 160 000 logiske qubits og et par dage runtime. Med de nuværende fejlkorrektionskoder betyder det en multiplikator på 1 000-10 000 fysiske qubits per logisk qubit - altså et sted mellem 10⁸ og 10⁹ fysiske qubits. Hertil kommer et kolossalt cryo- og kontrol-setup (klassiske FPGA-racks, mikrobølge-kabler, lasere osv.) og en software-stack, der kan håndtere real-time feed-forward.

Sammenligner vi med kapaciteten i 2025, er afstanden stadig astronomisk. Selv med optimistiske roadmaps når IBM, Google og Silicon Quantum Computing måske 10-15 000 fysiske qubits mod slutningen af året; ionfælder kan skalere til et par tusind; foton-projekterne forbliver på prototype-niveau. Det lyder imponerende, men er stadig minimum fire størrelsesordener fra de hundrede millioner fysiske qubits, der kræves for at bryde RSA-2048. Fejlkorrektion på én logisk qubit er muligvis inden for rækkevidde i 2025; en fuldt fejltolerant computer, der kan true Internet-kryptering, ligger fortsat mindst et årti - og sandsynligvis længere - ude i horisonten.

Med jævne mellemrum blusser historier op om, at “kvantecomputer bryder RSA”. Nærlæser man papers og presse­meddelelser opdager man dog, at det typisk handler om faktorisering af små tal - ofte under 100 bit og kørt på simulerede kvante­maskiner eller på special­hardware, der slet ikke skalerer til virkelige nøgler. Rekorden for en ægte kvante­maskine er i skrivende stund blot RSA-249 (829 bit), og demonstrationerne krævede intensiv klassisk for- og efterbehandling. De akademiske gennembrud er vigtige milepæle, men de ændrer ikke den grundlæggende konklusion: Der er endnu ingen maskine - hverken i IBM, Google, Alibaba eller hos efterretningstjenester - som kan håndtere de astronomiske ressourcer, Shors algoritme behøver til en 2048-bit nøgle.

For at se hvorfor, hjælper det at sætte tal på. Afhængigt af implementationen kræver Shor omkring 3-6 logiske qubits pr. bit af RSA-nøglen og op mod 10¹² logiske gate-operationer. Med nuværende fejl­rater betyder det fejlkorrektion i stor skala; hver logisk qubit pakkes ind i tusindvis af fysiske qubits. Nedenstående tabel illustrerer forskellen mellem hype og hardware:

Konklusionen er, at vi næppe ser en kvante­maskine, som bryder RSA i 2025; selv optimister taler om tidligst 2030’erne, mens flere eksperter peger på 2040-2050. Men tidslinjen er kun ét aspekt. Angribere kan allerede i dag ”høste nu, dekryptér senere”: De opfanger krypteret trafik, gemmer den og venter på den dag, kvante­hardware og software matcher tabellens krav. Har dine data en levetid på 10-20 år - tænk IP-rettigheder, sundheds­journaler, nationale sikkerheds­interesser - er truslen reel nu. Derfor bør organisationer allerede i 2025 planlægge overgang til post-kvante-kryptografi, selvom RSA fortsat er sikker mod praktiske angreb de næste mange år.

Første skridt er at få overblik over, hvad I rent faktisk beskytter. Lav en detaljeret crypto-inventarisation: hvilke protokoller, biblioteker og nøgler anvendes hvor, hvem ejer dem, og hvor længe skal de holdes hemmelige? Kombinér dette med en dataretentions-analyse, der kortlægger, hvilke databærende systemer indeholder materiale med en levetid på 5, 10 eller 20+ år. Det er netop disse langlivede aktiver - kundedata, sundheds-journaler, IP-arkiver og statslige registre - der allerede i dag risikerer at blive opsnappet af angribere under strategien “høst nu, dekryptér senere”.

Næste trin er at designe jeres organisation til crypto agility. Det betyder, at I indbygger mulighed for at skifte algoritmer uden at skulle redesigne hele applikationen. Praktisk kan det ske ved at: 1) abstrahere kryptografiske operationer bag veldefinerede API-lag, 2) konfigurere tydelige versionsfelter i egne wire-protokoller, og 3) automatisere nøgle-rotation og certifikat-udrulning. Start med de flows, der håndterer data med længst levetid og/eller højest følsomhed, og lad mindre kritiske systemer følge efter i takt med modenheden.

Herefter skal de post-kvante algoritmer i spil. Sæt pilotsystemer op, hvor NIST’s kommende standarder testes i praksis: ML-KEM (Kyber) til nøgleudveksling og ML-DSA (Dilithium) til digitale signaturer. I moderne TLS-stakke (OpenSSL ≥3.2, BoringSSL, wolfSSL m.fl.) kan I aktivere hybride ciphersuites, der kombinerer Kyber med ECDHE for ”dobbelt beskyttelse”. Tænk også på hardware: Ældre HSM’er kan ikke nødvendigvis håndtere nye nøgletyper, så planlæg firmware-opgraderinger eller udskiftning. Hele nøglelivscyklussen - generering, backup, rotation og destruktion - skal gennemgås, så de post-kvante nøgler håndteres sikkert.

Endelig skal organisationen og leverandørkæden med om bord. Opdater kontrakter og udbud med krav om PQC-support, tilføj kontroller til jeres governance-rammeværk (fx ISO 27001 Annex A 8.30) og indfør et træningsprogram, så udviklere, drift og indkøb kender forskellen på klassisk og post-kvante kryptografi. Mål fremdriften via KPI’er som ”andel af systemer med hybrid TLS” og ”tid til algoritmeskift”. Når ledelse, processer og teknologi er på linje, står I stærkt til, at selv hvis nogen skulle bygge en kvantecomputer, der kan bryde RSA i morgen, vil det ikke være jeres data, der først ligger på bordet.