Dezvoltarea accelerată a tehnologiei cuantice ar putea pune în pericol sistemele de criptare utilizate astăzi de instituții financiare, guverne și alte organizații care gestionează informații sensibile.
Un nou raport al Financial Services Information Sharing and Analysis Center (FS-ISAC) avertizează că lipsa de acțiune în domeniul securității post-cuantice riscă să lase companiile nepregătite în fața amenințărilor viitoare, scrie DarkReading.
Amenințarea viitorului se referă la decriptarea datelor din prezent
Deși computerele cuantice capabile să încalce sistemele de criptare publică, precum RSA-2048, ar putea fi la 10-20 de ani distanță, specialiștii spun că pregătirea trebuie începută acum.
Motivul este strategia numită harvest now, decrypt later, „colectează acum, decriptează mai târziu”, prin care actori statali sau grupuri cibernetice stochează date criptate, cu scopul de a le descifra în viitor, când tehnologia va permite acest lucru.
Mike Silverman, director de strategie și inovație la FS-ISAC, avertizează că „nicio criptare nu este sigură pentru totdeauna”, iar companiile trebuie să devină criptografic agile, adică să-și poată schimba rapid algoritmii de criptare pentru a răspunde amenințărilor emergente.
Predicțiile din industrie sunt din ce în ce mai optimiste privind progresele în domeniu: Google estimează că o cheie RSA de 2048 biți ar putea fi spartă cu aproximativ un milion de qubiți, o performanță de 20 de ori mai eficientă decât estimările anterioare.
În prezent, cel mai avansat procesor cuantic are 6.100 de qubiți, fiind dezvoltat de Institutul Tehnologic din California.
Rebecca Krauthamer, CEO al firmei QuSecure, afirmă că „momentul cuantic” ar putea veni mai repede decât credem: „Odată ce se atinge un prag critic, progresul devine exponențial, exact cum s-a întâmplat cu inteligența artificială.”
Planuri de tranziție și termene care par destul de clare
Conform Teoremei lui Mosca, perioada în care datele trebuie să rămână sigure (X) plus timpul necesar pentru a actualiza sistemele de criptare (Y) trebuie să fie mai scurtă decât timpul rămas până la apariția computerelor cuantice relevante. Altfel, organizațiile riscă să piardă informații confidențiale.
Agențiile de reglementare au început deja să stabilească termene pentru tranziția la criptografie post-cuantică (PQC).
Uniunea Europeană cere, de altfel, companiilor de infrastructură critică să finalizeze migrarea până în 2030, iar Canada impune ca sistemele guvernamentale cu prioritate ridicată să fie adaptate până la sfârșitul lui 2031.
În Statele Unite, Institutul Național de Standarde și Tehnologie (NIST) intenționează să elimine complet algoritmii vulnerabili până în 2035.
Pentru a se pregăti, companiile trebuie să-și inventarieze aplicațiile, protocoalele și serviciile externe, creând o „hartă de dependențe criptografice”. Aceasta permite identificarea zonelor de risc ridicat și prioritizarea actualizărilor.
Daniel dos Santos, director de cercetare la Forescout Technologies, avertizează însă că multe organizații „încă folosesc software de zeci de ani” și vor avea nevoie de ani întregi pentru a face tranziția.
Deși provocările sunt majore, soluțiile există deja, spune Krauthamer. „Este o cursă contra cronometru, dar una pe care o putem câștiga dacă începem pregătirile acum”.