Soutěž NIST: Jak se zrodily první globální post-kvantové standardy

V roce 2026 se již post-kvantová kryptografie (PQC) stala pevnou součástí našich bezpečnostních protokolů. Cesta k tomuto stavu však nebyla přímočará. Vše začalo ambiciózní mezinárodní soutěží pod taktovkou amerického Národního institutu standardů a technologie (NIST), která měla za úkol najít náhradu za algoritmy jako RSA a ECC, jež by budoucí kvantové počítače dokázaly hravě prolomit.

Od stovek návrhů k finální trojici

Soutěž, která oficiálně začala již v roce 2016, prošla několika náročnými koly testování, matematické analýzy a kryptoanalytických útoků. Cílem bylo identifikovat algoritmy, které jsou odolné proti Shorově algoritmu a zároveň dostatečně efektivní pro provoz na současném hardwaru. V srpnu 2024 NIST konečně publikoval první tři oficiální standardy, které dnes považujeme za základ naší digitální bezpečnosti:

• ML-KEM (dříve Kyber): Algoritmus založený na strukturovaných mřížkách, určený pro obecné šifrování a výměnu klíčů. Vyniká rychlostí a relativně malou velikostí klíčů.
• ML-DSA (dříve Dilithium): Primární standard pro digitální podpisy, rovněž založený na mřížkové kryptografii, který poskytuje vysokou úroveň bezpečnosti a efektivity.
• SLH-DSA (dříve SPHINCS+): Záložní schéma pro digitální podpisy založené na hašovacích funkcích. Je sice pomalejší, ale jeho bezpečnostní předpoklady jsou odlišné od mřížek, což poskytuje kritickou diverzitu v případě neočekávaného průlomu v kryptoanalýze.

Implementace v české infrastruktuře v roce 2026

V České republice jsme v posledních dvou letech svědky masivní migrace na tyto standardy. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal jasná doporučení pro kritickou informační infrastrukturu, která vyžadují přechod na tzv. hybridní režim. Ten kombinuje klasickou kryptografii (např. ECDH) s novými post-kvantovými algoritmy (ML-KEM), což zajišťuje ochranu dat i v případě, že by se v budoucnu objevila slabina v jednom z těchto schémat.

Proč na tom záleží právě teď?

Ačkoliv stabilní a dostatečně výkonný kvantový počítač schopný prolomit současné šifrování je stále předmětem vývoje, strategie „Sklidit teď, dešifrovat později“ (Harvest Now, Decrypt Later) představovala reálnou hrozbu. Útočníci mohli sbírat zašifrovaná data již před lety s nadějí, že je rozšifrují za deset let. Standardy NIST z roku 2024 tuto hrozbu efektivně eliminovaly a rok 2026 potvrzuje, že zvolené algoritmy jsou robustní a implementovatelné i v komplexních systémech státní správy a bankovnictví.

Budoucnost a další vlny standardizace

Soutěž NIST však publikací prvních tří standardů neskončila. Aktuálně probíhá hodnocení další sady algoritmů pro digitální podpisy, které nejsou založeny na mřížkách, aby se minimalizovalo riziko „společného selhání“. Jako experti sledujeme zejména vývoj v oblasti kódové kryptografie a izogenií eliptických křivek, které by mohly přinést ještě menší velikosti klíčů v příštích revizích standardů koncem tohoto desetiletí.