Přestože počítačoví vědci věří, že Q-Day (den, kdy kvantové počítače budou schopny překonat klasické šifrovací systémy) bude stále trvat čtyři nebo pět let, než přijde, ignorovat problém není dobrý nápad. Zlomyslní aktéři, pracující jak pro organizovaný zločin, tak pro nepřátelské vlády, již shromažďují data, API klíče a citlivé podnikové duševní vlastnictví s cílem dešifrovat je, jakmile kvantové počítače dospějí.
Kvantové výpočty umožní během několika hodin rozluštit to, co by klasickému počítači trvalo tisíce let. A to není sci-fi. V hyperpropojeném světě, jako je ten dnešní, je velmi pravděpodobné, že mnoho hráčů bude mít začátkem příští dekády k dispozici vysokokapacitní kvantové počítače.
V této realitě není radno se nechat zmást a myslet si, že existují naléhavější bezpečnostní problémy, které je třeba řešit, nebo že aktualizace kryptografie je technický problém, který mohou řešit poskytovatelé IT nebo systémoví integrátoři. Příprava na Q-Day by měla být strategickou prioritou pro jakoukoli veřejnou nebo soukromou společnost, protože přijetí kvantově odolných algoritmů k ochraně důvěrných dat bude zásadní pro udržení důvěry zákazníků a občanů.
V praxi to znamená nutnost provést komplexní přechod na postkvantovou kryptografii (PQC). V roce 2024 dokončil americký Národní institut pro standardy a technologie (NIST) proces standardizace pro tři algoritmy PQC, speciálně navržené tak, aby odolávaly útokům kvantových počítačů. Zároveň Gartner již zahrnul postkvantovou kryptografii jako strategický technologický trend poté, co předpověděl, že kvantové počítače by mohly v roce 2029 ohrozit stávající šifrování veřejného klíče.
Čekání není životaschopná strategie
V některých odvětvích, jako jsou finanční služby, se zdá, že mnoho společností čeká, až jim regulační orgány řeknou, co mají dělat. Ale příprava na Q-Day daleko přesahuje problém dodržování předpisů; Jde o problém pověsti a kontinuity podnikání: velký kybernetický útok by mohl ochromit organizaci a donutit zákazníky a zainteresované strany, aby hledali cestu ven.
Pokud se organizace nepřipraví včas, Q-Day může dokonce vést ke kolapsu důvěry. I když se to může zdát jako zdlouhavé, kvantové počítače by mohly být použity k dešifrování citlivé komunikace, padělání certifikátů a obcházení digitálních podpisů, což by způsobilo širokou zkázu. Podvodník by například mohl vytvořit falešný certifikát, který oklame prohlížeč uživatele, aby si myslel, že navštěvuje legitimní webovou stránku elektronického obchodu, a poté jej vyzve k zadání údajů o kartě. Padělání digitálních certifikátů by také usnadnilo zlovolným aktérům distribuci malwaru schopného obejít antivirovou obranu nebo usnadnit phishing.
Bohužel přechod na postkvantovou kryptografii není jednoduchý a ojedinělý. Jak zdůrazňuje Gartner, příprava na PQC bude vyžadovat více práce, než bylo vynaloženo na překonání Y2K. Tento přechod bude vyžadovat pečlivé plánování, testování a v konečném důsledku i kryptografickou agilitu – schopnost rychle přijímat nové kryptografické algoritmy podle potřeby. Vzhledem k tomu, že ke změně přispěje znepokojivý nedostatek profesionálů na Q-Day, existuje reálné nebezpečí, že mnoho organizací nebude připraveno na Q-Day.
Krypto je všude
Jednou z největších výzev je fragmentace krypto ekosystému: většina organizací používá kryptoměny od různých dodavatelů na různých místech, včetně místních serverů, cloudových služeb a produkčních a předprodukčních/testovacích systémů. U velkých společností může být fragmentace tohoto ekosystému v důsledku fúzí a akvizic obzvláště závažná.
Výše uvedené je navíc problém, který ovlivňuje IT systémy organizace a zařízení, která připojují. Zatímco většina prohlížečů již PQC podporuje, mnoho zařízení IoT, čteček čipových karet a dalších přístupových systémů ještě ne. Je také možné, že některá z těchto zařízení nepodporují aktualizace OTA (Over-the-Air).
Ve většině případů vývojáři implementovali kryptografii ad hoc způsobem; neexistuje žádný centrální záznam udávající, které systémy se kde používají. Digitální certifikáty jsou navíc často zašifrovány přímo do softwarové aplikace nebo zařízení, což ztěžuje jejich úpravu. Tyto problémy jsou umocněny skutečností, že týmy DevSecOps obecně nerozumí kryptografii, zatímco nejzkušenější inženýři již odešli do důchodu nebo jsou příliš zaneprázdněni podporou starších systémů.
Kde začít a čemu dát přednost?
Jak začít s přípravou na Q-Day? Prvním krokem je vytvoření týmu věnovaného vytváření kryptografického inventáře, který zaznamenává knihovny, certifikáty a klíče používané všemi systémy. Bohužel velká část této práce bude muset být provedena ručně, protože neexistují žádné automatizované nástroje schopné plně auditovat kryptografii organizace. Velká společnost by si měla ponechat až rok na vybudování tohoto krypto inventáře.
Příprava na Q-Day daleko přesahuje problém dodržování předpisů; Je to problém pověsti a kontinuity podnikání.
Při implementaci PQC je důležité začít ochranou kriticky důležitých aplikací a dat s dlouhou dobou pokrytí: data, která zůstanou citlivá, a tudíž cenná pro hackery i po roce 2029. Některá data, například lékařské záznamy, mohou mít neomezenou dobu pokrytí, zatímco jiná, jako jsou čísla kreditních karet, mohou mít pokrytí několik let.
Rovněž by měly být upřednostněny starší platformy, jako jsou ty, které nepodporují TLS 1.3, nejbezpečnější verzi tohoto protokolu a vyžadující povolení šifer PQC. Kromě toho je pro vývojáře důležité integrovat robustní správu životního cyklu certifikátů a kryptografickou agilitu do svých procesů nepřetržité integrace/průběžného doručování.
V organizacích s velmi omezenými zdroji, jako jsou organizace ve veřejném sektoru, by mohla být postkvantová kryptografie implementována současně s dalšími upgrady IT. Pokud například upgradujete svou webovou aplikaci a ochranu API (WAAP) nebo systémy správy identit a přístupu, bylo by možné současně upgradovat odpovídající šifrování PQC.
Příprava na Q-Day je strategickou prioritou a cvičením, které vyžaduje spoustu času a zdrojů, ale je nejlepší to neodkládat. Čím dříve začnete, tím větší je šance na ochranu dobrého jména organizace.
David Warburton, ředitel F5 Labs
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
