Ak majú vaše dáta - štátne tajomstvá, duševné vlastníctvo, zdravotné záznamy, či zmluvy hodnotu dlhšiu ako päť až desať rokov, sú v ohrození už dnes.
Ak kvantový počítač prelomí šifrovanie v elektronickom podpise, útočníci môžu následne falošne podpisovať dokumenty.
Q-Day
“Horizont pre použitie kvantového počítača v praxi vidím na rok 2035,” hovorí po chvíli uvažovania Milan Vojvoda, riaditeľ Ústavu matematiky a informatiky FEI STU. V tomto najviac dôveruje konzervatívnym odhadom Národného inštitútu pre normy a technológie NIST, hoci technologickí giganti ohlasujú kvantové počítače ešte do konca tejto dekády.
Q-Day čiže kvantový deň je míľnik, kedy kvantové počítače dosiahnu výpočtový výkon na prelomenie súčasných štandardov šifrovania. Ak sa nepripravíme, naša digitálna identita sa nebude dať s istotou verifikovať. Bankovníctvo, elektronické či cloudové služby budú čeliť riziku kompromitácie prihlasovacích údajov a digitálne certifikáty bude možno sfalšovať.
Najväčšia výzva je čas
Tie najlepšie tímy hľadajú stratégiu a odolnosť voči útokom kvantových počítačov. Algoritmy musia byť použiteľné na zariadeniach, v aplikáciách, v cloude aj na internete, a pritom výkonné aj na bežnom hardvéri. Počas migrácie na kvantovo odolné šifrovanie sa časť súčasných algoritmov odstráni a iné sa nahradia.
Technológia ochrany, čiže štandardizované postkvantové algoritmy už existujú a rozpočet možno naplánovať. Prechod na postkvantovú bezpečnosť nie je však aktualizácia jedným klikom. Ide o komplexnú migráciu celej architektúry.
Priekopníci
„Tému postkvantovej kryptografie sledujeme dlhodobo, no k reálnemu nasadeniu mohlo prísť až s dozretím technológií a štandardov, ktoré to umožňujú,” hovorí Ján Adamovský riaditeľ bezpečnosti v Slovenskej sporiteľni. “Sme súčasťou Erste Group, kde je už dnes prvé reálne nasadenie kvantovej výmeny kľúčov a kvantového šifrovania medzi dátovými centrami.” V tomto prípade ide o jeden z prvých produkčných pilotov tohto typu v európskom bankovníctve.
Banky sú a budú medzi prvými, ktoré nasadia šifrovanie odolné kvantovým počítačom, podobne ako vždy patrili medzi prvých adaptérov špičkových bezpečnostných technológií. “Pripravenosť na kvantové hrozby preto nevnímam len ako konkurenčnú výhodu. V horizonte niekoľkých rokov sa stane otázkou prežitia,” prízvukuje Ján Adamovský.
Pokrokoví nasledovatelia
Ďalším naliehavým príkladom postkvantovej bezpečnosti je energetika. Ak sa tam dnes vymieňajú senzory alebo iné IoT zaradenie, uvažuje sa použiteľnosť desať až pätnásť rokov, čo už pravdepodobne presahuje Q-Day.
Veľké firmy majú profesionálne tímy a s témou postkvantovej bezpečnosti pracujú, potvrdzuje Jiří Kohout z kyberbezpečnostnej spoločnosti Check Point Software Technologies. Ale je tu obrovské množstvo firiem, ktoré o probléme v živote nepočuli, nemajú oddelenie bezpečnosti a je to pre nich príliš abstraktné. Spoliehajú sa na to, že to za nich vyrieši poskytovateľ ich cloudovej služby, čo však bude fungovať iba čiastočne.
Bod mrazu
Takže aký je aktuálne záujem diskutovať o prechode na postkvantové šifrovanie? “Blízky nule, česť výnimkám,” hovorí Marián Illovský audítor kybernetickej bezpečnosti skupiny Cyllium. Čo je však horšie, v kritickej infraštruktúre a verejnej správe je často problémom záujem “hoci len” o témy bezpečnosti a aktuálnosti súčasných šifrovacích algoritmov.
“Šifrovanie je vysoko kvalifikovaná oblasť a riaditelia a majitelia firiem nemôžu byť kvalifikovanými kryptológmi,” pridáva sa Ladislav Líška zo spoločnosti smartCad, skúsený dodávateľ IT služieb. Dôležité však je, aby štatutári vedeli, aké povinnosti v tejto oblasti sa na nich vzťahujú podľa kyberzákona a pýtali sa na to dodávateľov.
Zákon síce umožňuje organizáciám plnenie bezpečnostných požiadaviek cez dodávateľa, ale žiadny štatutár sa takto nezbaví zodpovednosti.
Presne a k veci
Michal Srnec vedúci oddelenia informačnej bezpečnosti Aliter Technologies pomenúva kompetencie presne. Manažment nepotrebuje detaily o qubitoch ani Shorovom algoritme. Potrebuje pochopiť, že hovoríme o potenciálne disruptívnej technológii s veľkou neistotou v čase. Niekto hovorí 2030, niekto 2040, niekto si myslí, že to nepríde nikdy. Pripravovať sa však treba na scenár, kedy príde.
Téma postkvantovej bezpečnosti musí byť vždy v kontexte konkrétnej organizácie. Predstavenstvo by malo poznať odpoveď na dve otázky: Aké citlivé dáta dnes generujeme, ktoré budú citlivé aj o pätnásť rokov? A vieme vôbec, kde všade vo firme používame asymetrickú kryptografiu - v komunikácii, v podpisoch, v identite, v autentizácii? Bez týchto dvoch odpovedí je celá diskusia o postkvantovej kryptografii akademická.
Ak si manažment uvedomí, že nepozná odpoveď na druhú otázku, je tu argument, ktorý nie je o kvantovom počítači, ale o kryptohygiene všeobecne. A tá je zásadná bez ohľadu na to, či kvantum príde.
Investície na mieste
Prakticky sa na to pozerá Henrich Šnajder, manažér IT bezpečnosti Orange Slovensko: “Ak si dnes objednávate novú webovú stránku, aplikáciu alebo cloudové službu, pýtajte sa, či dodávateľ používa šifrovanie odolné voči kvantovým útokom.” A ak vám odpovie kladne, ešte ani vtedy nemáte dokonalé zabezpečenie. Vaše dáta sú vaša zodpovednosť a preto princíp nulovej dôvery platí aj tu a šifrovanie dát musíte mať zabezpečené aj na úrovni siete.
Pre bežné komerčné firmy sú dnes investície do postkvantovej kryptografie predčasné. Ak by si napríklad e-shop, výrobný podnik, či štandardné korporátne IT hneď teraz vyhradili významný rozpočet, odčerpajú si zdroje z oveľa pálčivejších rizík. A tými sú jednoznačne investície do manažmentu identít, zabezpečenia dodávateľského reťazca, aktualizácia softvéru a manažmentu zraniteľností, hovorí na základe skúseností Michal Srnec.
Kryptografická odolnosť
Malé firmy a bežní používatelia by sa mali zaujímať, či ich banky, emailové služby alebo poskytovatelia cloudu už na postkvantové štandardy prechádzajú. “Pre malých hráčov nie až takým rizikom priamy útok kvantovým počítačom. Riziko spočíva v tom, že zaostanú, pričom svet už bude digitálne v inej dimenzii,” vysvetľuje Milan Vojvoda.
V oblasti prechodu na postkvantovú kryptografiu Slovensko nasleduje európsku “cestovnú mapu” a v roku 2026 urobilo prvý rázny krok. Pre štát a kritickú infraštruktúru je prechod povinný, pre súkromný sektor slúži ako silné odporúčanie.