ITS blog: Novinky v oblasti post‑kvantové kryptografie – únor 2026

Začátek roku 2026 přinesl zásadní posuny v oblasti post‑kvantové kryptografie – od aktualizovaných standardů NIST až po nové legislativní návrhy Evropské komise.

Technologičtí giganti jako Google a Cloudflare integrují PQC napříč svými platformami, zatímco výzkumníci upozorňují na nové AI‑asistované útoky mířící na první softwarové implementace. Tento přehled shrnuje klíčové události a jejich praktické dopady na IT infrastrukturu a strategické plánování firem.

Standardizace: Diverzifikace a agilita jako základní pilíř

V lednu 2026 publikoval NIST aktualizovanou roadmapu k 10. výročí zahájení PQC projektu. Letos má být finalizován draft standardu pro algoritmus HQC (Hamming Quasi‑Cyclic), který slouží jako code‑based záloha pro lattice‑based algoritmus ML‑KEM. Současně probíhá příprava specifikací pro tzv. „on‑ramp“ podpisy.

V únoru 2026 proběhlo odborné review dokumentu NISTIR 8547 (Transition to PQC), který nově definuje požadavky na kryptografickou agilitu. Dokument zdůrazňuje zejména to, že hardware nasazovaný v roce 2026 musí být schopen aktualizace na PQC standardy bez fyzické výměny.

Klíčové dopady a doporučení (Executive Briefing)

• Přidání algoritmu HQC jako zálohy znamená, že evropské firmy nesmí sázet vše pouze na lattice‑based kryptografii.
• Pokud by se objevila slabina v algoritmech jako ML‑KEM, systémy postavené čistě na nich budou zranitelné.
• Strategické plánování vyžaduje implementaci schémat umožňujících přepnutí na alternativní matematické rodiny bez kompletního přepsání systému.
• Dokument NISTIR 8547 se stává klíčovým pro auditory a nákupčí. V ČR se na něj budou auditoři odvolávat při prověrkách shody s kybernetickým zákonem.
• Nákup hardwaru, který není „crypto‑agile“ (firewally, HSM moduly, routery), vytváří technologický dluh. Každé nové výběrové řízení musí vyžadovat softwarovou definovatelnost šifrovacích algoritmů.

Průmyslové implementace: PQC jako nová norma provozu

Integrace post‑kvantové bezpečnosti se stává prioritou velkých technologických hráčů. Google 6. února 2026 oficiálně oznámil závazek k plošné integraci PQC napříč celým ekosystémem. PQC je nově klíčovým prvkem bezpečnosti AI systémů, aby bylo možné chránit modely i trénovací data proti budoucím kvantovým útokům.

Cloudflare zároveň oznámil plošné nasazení hybridního klíče ML‑KEM pro služby Cloudflare One (SASE). Implementace probíhaly v rámci beta testů WAN‑as‑a‑Service a IPsec během ledna 2026.

Pragmatický dopad pro CZ/EU sítě

• AI modely se stávají klíčovým firemním aktivem a jejich ochrana pomocí PQC je zásadní pro dlouhodobou bezpečnost duševního vlastnictví.
• Lokální vývojáři využívající Google API musí počítat s komunikací přes PQC tunely, což může zatěžovat starší integrační servery.
• Delší PQC klíče mohou u Cloudflare způsobit problémy s velikostí paketů nebo vyšší latencí handshake.
• CISO musí zahájit audit propustnosti a parametrů MTU v podnikové síti před aktivací PQC režimů.

Výzkum a útoky: AI jako nástroj k prolamování implementací

V lednu 2026 vydala společnost F5 Labs výzkumný report upozorňující na nárůst AI‑asistované analýzy postranních kanálů (side‑channel analysis) zaměřené na první implementace PQC. Zatímco algoritmy samotné jsou matematicky robustní, jejich softwarové implementace mohou obsahovat zranitelnosti.

ISACA zároveň publikovala v lednu 2026 „12‑Month Playbook“ zdůrazňující rizika útoků typu „Harvest Now, Decrypt Later“ (HNDL), která významně akcelerují adopci PQC zejména v bankovním sektoru.

Ochranná opatření a audity

• Útočníci využívají AI k analýze mikroskopických změn v čase nebo spotřebě energie procesoru během šifrování.
• Audit zdrojového kódu musí ověřovat, zda implementace PQC nevykazuje úniky skrze postranní kanály.
• Firmy musí používat výhradně certifikované kryptografické knihovny (např. Bouncy Castle, WolfSSL) a vyhnout se vlastním neověřeným implementacím.
• Pokud organizace archivuje citlivá data s požadavkem na dlouhodobé utajení (např. 20+ let), musí být schopna doložit ochranu proti HNDL útokům. Bez plánu na přešifrování dat organizace brzy neprojde auditem.

Legislativa: Od doporučení k vynucování

Tlak na adopci PQC se přesouvá do roviny regulací. Americká CISA 23. ledna 2026 zveřejnila seznam produktových kategorií (cloud, síťový HW, endpoint security), které musí povinně podporovat PQC.

Evropská komise 20. ledna 2026 představila návrh směrnice (COM(2026) 13) doplňující NIS2. Dokument klade důraz na harmonizovaný postup migrace na PQC a posilování odolnosti dodavatelských řetězců.

Dopady na infrastrukturu a compliance řízení

• Nařízení CISA ovlivní i Evropu – globální dodavatelé nebudou vyrábět verze hardwaru bez podpory PQC speciálně pro evropský trh.
• České firmy začnou dostávat PQC technologie automaticky v rámci aktualizací, a proto je nutné řídit jejich aktivaci, aby nedošlo k přetížení sítí.
• Nová směrnice EU zavádí povinnou inventuru kryptografických aktiv.
• Subjekty kritické infrastruktury musí zmapovat používané šifrovací mechanismy a připravit detailní časový plán migrace. Bez znalosti výskytu RSA v síti nebude možné doložit shodu se směrnicí.

Závěr

Post‑kvantová kryptografie se rychle stává novým provozním standardem napříč všemi vrstvami IT – od nutnosti zajištění kryptografické agility v hardwaru až po kontrolu MTU parametrů v síťové infrastruktuře. Organizace musí bezodkladně zahájit inventarizaci svých kryptografických aktiv a přejít od izolovaných testů k ucelenému migračnímu plánu.

Máte‑li zájem o konzultaci ohledně auditu vaší síťové propustnosti a kryptografické infrastruktury z hlediska připravenosti na PQC, rád vám s analýzou pomohu.

text: František Kovařík, ITS