Šifre koje danas štite vaše banke imaju rok trajanja

Kada se prijavite na e-Građanin, povučete novac s mobilnog bankarstva ili pošaljete poruku preko Signala, u pozadini se odvija matematički ritual stariji od četvrt stoljeća: vaš preglednik i server razmijene ključeve pomoću algoritama poput RSA, ECDH ili ECDSA. Svi se oni oslanjaju na isti trik — postoje matematički problemi koje klasično računalo praktično ne može riješiti u razumnom vremenu (faktorizacija velikih brojeva, problem diskretnog logaritma).

Postoji, međutim, jedan tip stroja za koji ti problemi nisu teški: dovoljno veliko kvantno računalo. Shorov algoritam iz 1994. teorijski razbija RSA i kriptografiju eliptičke krivulje u polinomnom vremenu. Praktične implementacije takvog računala još ne postoje, ali se očekuju u sljedećih 10 do 15 godina — a to je dovoljno blizu da industrija već danas mijenja temelje internetske sigurnosti. Ovaj članak objašnjava što je postkvantna kriptografija (PQC), gdje je već uvedena u 2026., koje su obveze za hrvatske organizacije i što vi kao korisnik možete očekivati.

NIST je u kolovozu 2024. odabrao nasljednike RSA-a

Američki NIST (National Institute of Standards and Technology) pokrenuo je natječaj za postkvantne algoritme još 2016. godine. Od više desetaka prijavljenih kandidata, nakon osam godina javne kriptoanalize, 13. kolovoza 2024. finalizirana su prva tri standarda:

  • FIPS 203 — ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism), bivši CRYSTALS-Kyber. Služi za razmjenu ključeva — zamjena za RSA i ECDH koji se koriste u TLS-u, IKE/IPsec-u i sličnim protokolima.
  • FIPS 204 — ML-DSA (Module-Lattice-Based Digital Signature Algorithm), bivši CRYSTALS-Dilithium. Digitalni potpisi — zamjena za RSA potpise i ECDSA-u u kodu, e-mailu, dokumentima i certifikatima.
  • FIPS 205 — SLH-DSA (Stateless Hash-Based Digital Signature Algorithm), bivši SPHINCS+. Konzervativna pričuvna varijanta potpisa koja se ne oslanja na rešetkaste pretpostavke nego samo na sigurnost hash funkcija — sporija, ali matematički "drugačiji ulog" za slučaj da se rešetkaste sheme jednog dana pokažu slabima.

Standardi za FN-DSA (bivši Falcon, planiran kao FIPS 206) i dodatne potpisne algoritme još su u draftu. ML-KEM i ML-DSA u 2026. su radne tehnologije s referentnim implementacijama u OpenSSL-u, BoringSSL-u, libsodiumu i Bouncy Castleu.

"Harvest now, decrypt later" — zašto je migracija već gorući problem

Najlakša pogreška je razmišljanje: "Kvantnih računala nema, imam vremena". Realna prijetnja danas zove se HNDL ("harvest now, decrypt later"): napadač koji presretne i pohrani vaš šifrirani promet 2026. ne treba ga razbiti danas — može pričekati 2035. ili 2040. kada se pojavi kriptografski relevantno kvantno računalo i tada dešifrirati sve odjednom.

To čini PQC migraciju retroaktivnim problemom: svaki podatak koji morate čuvati tajnim 10+ godina (medicinski kartoni, ugovori, državne tajne, intelektualno vlasništvo) već danas mora ići preko postkvantnih kanala. ENISA je u svojim publikacijama 2024./2025. eksplicitno upozorila operatere ključnih usluga da HNDL tretiraju kao aktivnu, a ne hipotetsku prijetnju.

Što je već uključeno u 2026.

Vijest koju većina korisnika nije primijetila: dobar dio vašeg dnevnog HTTPS prometa već je hibridno postkvantan.

  • Chrome je 2024. uveo eksperimentalnu razmjenu ključeva X25519Kyber768Draft00, a tijekom 2025. ju je prebacio na finalni X25519MLKEM768 i uključio prema zadanom. Slično je napravio i Firefox. Cloudflare je u ožujku 2025. izvijestio da približno 38 % njihovog ljudskog HTTPS prometa prolazi kroz hibridni postkvantni handshake.
  • Apple iMessage PQ3 uveden je u veljači 2024. uz iOS 17.4, iPadOS 17.4, macOS 14.4 i watchOS 10.4. Apple je u drugoj polovici 2024. dovršio prijelaz svih postojećih razgovora na PQ3, što ga čini najvećim postkvantnim deploymentom na potrošačkom tržištu.
  • Signal je još u rujnu 2023. uveo PQXDH — postkvantnu inačicu početne razmjene ključeva (X3DH).
  • Cloudflare, AWS i Google Cloud podržavaju ML-KEM u svojim TLS terminacijama, KMS-u i VPN proizvodima.
  • OpenSSH 9.9 (kraj 2024.) uveo je mlkem768x25519-sha256 kao zadanu razmjenu ključeva za novije klijente; ako u terminalu vidite tu liniju kod ssh -v, vaša SSH veza je već postkvantna.

Većina ovih implementacija je hibridna: kombinira klasični algoritam (X25519, ECDH) i postkvantni (ML-KEM-768) tako da je veza sigurna ako je sigurniji bilo koji od dva. To je svjesna sigurnosna mreža — rešetkasta kriptografija je relativno mlada i industrija ne želi staviti sva jaja u jednu košaru dok ne prođe nekoliko godina javne analize.

EU okvir — PQC ulazi u NIS2

Europska Unija je u travnju 2024. objavila Preporuku o postkvantnoj kriptografiji, a u lipnju 2025. zajedno s NIS Cooperation grupom koordiniranu mapu puta za prelazak. Mapa postavlja tri jasna roka:

  • kraj 2026. — države članice trebaju imati nacionalne PQC strategije i započeti tranziciju
  • kraj 2030. — kritična infrastruktura mora biti prebačena na PQC
  • kraj 2035. — širi prelazak za što više sustava

U siječnju 2026. Europska komisija objavila je prijedlog COM(2026) 13 final — ciljano izmjene NIS2 direktive koje eksplicitno ugrađuju PQC obveze u tekst direktive. Nakon usvajanja, sve organizacije koje potpadaju pod NIS2 (banke, telekomi, energetski sektor, javna uprava, zdravstvo, digitalna infrastruktura) imat će izričitu obvezu uključiti tranziciju na postkvantnu kriptografiju u svoje strategije upravljanja rizicima.

Za hrvatske institucije ovo je važno iz dva razloga. Prvo, Zakon o kibernetičkoj sigurnosti koji prenosi NIS2 u hrvatski pravni okvir nužno će kroz buduće izmjene preuzeti i PQC obveze. Drugo, hrvatske banke koje su prošle prvu godinu DORA-e već imaju mehanizam upravljanja kriptografskim rizikom — PQC se prirodno nadovezuje na taj okvir.

Što ovo praktično znači — po razinama

Za pojedinca

Vrlo malo izravnih koraka. Ažurirajte preglednik (Chrome, Firefox i Edge u trenutnim verzijama već koriste hibridni postkvantni TLS), ažurirajte sustav (Apple uređaje, Windows 11 24H2+, novije Linux distribucije). Ako koristite Signal ili iMessage, PQC dio je već aktivan. Lozinke, 2FA i ostali higijenski koraci ostaju jednako važni — kvantno računalo ne lomi vašu lozinku, lomi javnu kriptografiju.

Za freelancere i mala IT poduzeća

Napravite kratak popis sustava kroz koje teku tajni podaci s rokom čuvanja duljim od pet godina (ugovori, KYC dokumenti, izvorni kod). Pri prvom sljedećem ažuriranju koristite biblioteke i klijente koji podržavaju hibridni PQC TLS: novije verzije OpenSSL-a, BoringSSL-a, libsodiuma, OpenSSH-a 9.9+, WireGuard implementacija koje su uvele eksperimentalne PQC mode. VPN klijente i SSH klijente postavite da preferiraju postkvantne razmjene ključeva tamo gdje je server podržava.

Za srednje i velike organizacije pod NIS2/DORA

Sastavite kriptografski inventar: gdje se u vašim sustavima koristi RSA, ECDH, ECDSA — knjižnice, certifikati, HSM-ovi, IoT firmware, interni RPC. Bez tog inventara migracija je puko nagađanje. Predvidite nadogradnju PKI — certifikatne autoritete koji izdaju i kvantno-otporne certifikate (Sectigo, DigiCert i Entrust već nude pilot programe). Pripremite se za veće potpise: ML-DSA-65 potpis je oko 3 KB nasuprot oko 64 B kod ECDSA — kod IoT uređaja, blockchaina i sustava s ograničenim propusnostom to nije zanemarivo.

Najčešća pogrešna shvaćanja

"Kvantnog računala još nema, mogu čekati." Ignorira HNDL — danas presretnut šifrirani promet 2035. postaje otvoreni tekst.

"Promijenit ću RSA u ML-KEM i gotov sam." PQC migracija je kripto-agilnost — sposobnost da brzo izmijenite algoritam kada se otkrije slabost. To znači apstrakciju algoritma u kodu, a ne hardkodirane funkcije.

"Hibridi su prevelika složenost." Trenutno su industrijski konsenzus: ako bilo koji od dva algoritma drži, veza je sigurna. To je jeftina osigurana mreža dok rešetkaste sheme prikupljaju još koju godinu javne kriptoanalize.

Što očekivati 2026.–2027.

Tijekom 2026. realno je očekivati da Hrvatska donese ažuriranu nacionalnu strategiju kibernetičke sigurnosti s eksplicitnim PQC poglavljem (rok iz EU mape puta). Browser vendori i CDN-ovi nastavit će gurati udio postkvantnog prometa preko 50 %. NIST će vjerojatno finalizirati i FIPS 206 (FN-DSA / Falcon) i dovršiti drugi krug izbora dodatnih potpisnih shema. Banke i telekomi koji su u prvoj godini DORA-e izgradili registar kriptografskih ovisnosti imat će relativno lak prelazak; oni koji su čekali — bolne dvije godine.

Postkvantna kriptografija nije više akademska tema. To je infrastrukturna promjena slična prelasku s IPv4 na IPv6, samo s tvrdim rokom koji ne pišu standardi, nego napredak fizike — i regulatori koji su ga konačno priznali.