Kvantinių technologijų tema daugeliui yra suprantama maždaug tiek, kiek kiekvienas supranta mokslinę fantastiką. Tačiau šiandien tai jau nebėra tema iš mokslinės fantastikos skyriaus. Tai – realybė, galinti iš esmės pakeisti ne tik technologijų pasaulį, bet ir visą kibernetinio saugumo sistemą. Tokios valstybės kaip Kinija ir Rusija daug investuoja į kvantinių kompiuterių kūrimą, o pasaulis pradeda ruoštis vienam svarbiausių pokyčių skaitmeninėje eroje – perėjimui prie postkvantinės kriptografijos. Ne išimtis ir Lietuva. Tai plačiau komentuoja advokatas ir advokatų bendrijos „Lawcorpus“ vadovaujantysis partneris Rokas Venslauskas.
Diena Q: kodėl dabartinis šifravimas gali tapti nebesaugus
„Ruoštis tikrai reikia, nes artėja diena Q, kai dabartiniai visiems žinomi šifravimo metodai gali tapti nebesaugūs. Ne paslaptis, kad šiuolaikinė skaitmeninė infrastruktūra remiasi asimetrine kriptografija, kuri naudojama visur: interneto ryšiams apsaugoti, elektroniniam parašui, bankinėms sistemoms, debesų kompiuterijai, prisijungimams prie sistemų, programinės įrangos atnaujinimams ir net mūsų kasdieniam naršymui internete“, – teigia specialistas ir prideda, kad kriptografija šiandien yra neatsiejama kibernetinio saugumo dalis ir vienas svarbiausių mechanizmų, užtikrinančių duomenų konfidencialumą, vientisumą bei sistemų patikimumą.
Pasako R. Venslausko, dabartinis skaitmeninis pasaulis paremtas principu, kad tam tikrų matematinių uždavinių išspręsti praktiškai neįmanoma net ir labai galingais klasikiniais kompiuteriais. Būtent todėl šiandien plačiai naudojama asimetrinė kriptografija laikoma saugia. Pavyzdžiui, iš viešojo rakto atkurti privatų raktą užtruktų milijonus metų.
Vis dėlto, kvantiniams kompiuteriams šis iššūkis nėra neįveikiamas. Skirtingai nei įprasti kompiuteriai, jie naudoja kvantinius bitus, kurie dėl susietumo savybių gali vienu metu atlikti daugybę skaičiavimų.
„Paprastas praktinis pavyzdys: jeigu klasikinis kompiuteris bandytų atrakinti šimtą spynų tikrindamas raktus po vieną, kvantinis kompiuteris teoriškai galėtų tikrinti visas spynas vienu metu. Dėl šios priežasties kyla grėsmė dabartinei asimetrinei kriptografijai“, – aiškina advokatas.
Didžiausias artėjantis pavojus siejamas su vadinamuoju Shoro algoritmu. Ekspertai jau dabar įvardija, kad pakankamai galingas kvantinis kompiuteris galėtų iš viešojo rakto atkurti privatų raktą, o tai reikštų dabartinės viešojo rakto infrastruktūros žlugimą.
„Kitaip tariant, informacija, kuri šiandien laikoma saugia, ateityje gali tapti prieinama tretiesiems asmenims. Pasekmės verslui šiuo požiūriu būtų iš tiesų reikšmingos. Būtų pažeidžiami elektroniniai parašai, sertifikatai, prisijungimo sistemos, debesų infrastruktūra, VPN ryšiai bei kritinės informacinės sistemos. Paprastai tariant, organizacijos nebegalėtų būti tikros dėl perduodamų duomenų konfidencialumo, sistemų autentiškumo ar skaitmeninių tapatybių apsaugos“, – teigia R. Venslauskas.
Nuo tapatybės klastojimo iki tiekimo grandinių rizikų
Kita didelė grėsmė – tapatybės klastojimas. Jeigu kvantinis kompiuteris galėtų atkurti privatų raktą iš viešojo rakto, atsirastų galimybė apsimesti kitu asmeniu, organizacija ar net valstybės institucija. Tokiu atveju būtų galima klastoti elektroninius parašus, prisijungimus prie sistemų ar autentifikavimo procesus.
Ką jau kalbėti apie energetikos, finansų, transporto, sveikatos apsaugos ir valstybės informacines sistemas, kurios šiandien priklauso nuo šifruotų ryšių bei skaitmeninių sertifikatų. Pažeidus šias apsaugos priemones, atsirastų galimybė perimti sistemų valdymą, manipuliuoti duomenimis arba sutrikdyti esminių paslaugų veikimą.
„Dar didesnį nerimą kelia tai, kad dalis duomenų jau dabar gali būti renkama ir saugoma ateities iššifravimui. Kibernetinio saugumo ekspertai šį reiškinį vadina principu „surink dabar – iššifruok vėliau“. Kibernetiniai nusikaltėliai ar priešiškos valstybės jau dabar gali rinkti užšifruotus duomenis ir juos saugoti ateičiai. Kai tik kvantiniai kompiuteriai taps pakankamai galingi, šie duomenys galės būti iššifruoti. Vadinasi, tai, ką šiandien manome esant saugiai perduodama informacija, ateityje gali tapti vieša“, – perspėja advokatas.
Jis primena, kad nereikėtų pamiršti ir tiekimo grandinių. Programinės įrangos atnaujinimai ir techninės įrangos autentiškumas šiandien yra tikrinami naudojant skaitmeninius parašus. Jeigu šie parašai taptų pažeidžiami arba „nulaužiami“, organizacijos nebegalėtų būti tikros, kad gauna originalius gamintojų atnaujinimus. Vadinasi, atsivertų kelias kenkėjiško kodo platinimui per oficialias sistemas ir tiekimo grandines.
„Jeigu paklausite, kada įvyks ta diena Q, kai šis „siaubas baubas“ taps pajėgus nulaužti esamą kriptografiją, tikslios datos nėra. Tačiau prognozėse dažnai minimas 2030–2040 metų laikotarpis. Pavyzdžiui, technologijų bendrovė „Google“ yra užsiminusi, kad reikšmingas proveržis gali įvykti jau apie 2029 metus“, – sako R. Venslauskas ir prideda, kad šiandien svarbiausias klausimas jau nebėra tai, ar kvantiniai kompiuteriai atsiras. Esminis klausimas – ar valstybės ir organizacijos spės pasiruošti iki momento, kai dabartinė kriptografija taps nebesaugi. „Paradoksalu, tačiau ateina metas, kai turėsime pasirūpinti pačios kriptografijos apsauga – technologijos, kuri dešimtmečius saugojo mus pačius, t. y. mūsų duomenis.“
Postkvantinė kriptografija: numatomi perėjimo etapai
Būtent apie tai ir yra postkvantinė kriptografija. Tai naujos kartos algoritmai, kurie būtų atsparūs kvantinių kompiuterių atakoms. Lietuva jau rengia planus pereiti prie postkvantinės kriptografijos.
Numatyta, kad iki 2027 m. gegužės 1 d. vyks pasirengimo etapas. Organizacijos turės atlikti kriptografinę inventorizaciją – identifikuoti, kuriose sistemose naudojama asimetrinė kriptografija ir kokios technologijos gali tapti pažeidžiamos kvantinių kompiuterių.
Antrajame etape, iki 2031 m. sausio 1 d., esminiams kibernetinio saugumo subjektams aukštos rizikos sistemose bus privaloma diegti hibridinius sprendimus, kai kartu naudojama tiek dabartinė, tiek postkvantinė kriptografija.
Trečiasis etapas, planuojamas iki 2036 m. sausio 1 d., apims plataus masto diegimą, kuris reikš visišką perėjimą prie postkvantinės kriptografijos visų subjektų sistemose. Organizacijos turės atsisakyti pereinamųjų hibridinių modelių. Kartu bus užtikrinama atitiktis tarptautiniams ir Europos Sąjungos reikalavimams, vykdomas nuolatinis saugumo stebėjimas bei sistemų atnaujinimas.
„Vis dėlto tenka pripažinti, kad šis perėjimas nebus paprastas. Postkvantiniai algoritmai reikalauja daugiau skaičiavimo galios, atminties ir spartesnių tinklų, todėl dalis senos infrastruktūros nepalaikys naujų standartų. Organizacijoms teks investuoti į naują įrangą, o kai kuriais atvejais – net ir visiškai pakeisti sistemas, kurių programinė įranga negali būti atnaujinama“, – mintimis dalinasi specialistas.
Nepaisant to, technologijų gamintojai jau aktyviai ruošiasi šiems pokyčiams. Kuriami hibridiniai sprendimai, leidžiami programinės įrangos atnaujinimai ir vystomi nauji tinklo įrenginiai, pritaikyti darbui su postkvantiniais algoritmais. Debesų paslaugų tiekėjai diegia postkvantinę kriptografiją palaikančius sprendimus, atnaujina raktų valdymo sistemas, sertifikatų infrastruktūrą bei programinės įrangos pasirašymo mechanizmus.
Kodėl tai jau tampa verslo rizikų ir atitikties klausimu
Svarbu ir tai, kad kriptografija tiesiogiai siejasi su NIS2 direktyvos reikalavimais. Nors direktyvoje nėra aiškiai numatyta pareiga atlikti kriptografijos inventorizaciją, sisteminis NIS2 požiūris rodo, kad organizacijos turi identifikuoti savo IT išteklius, vertinti jų rizikas ir užtikrinti tinkamas saugumo priemones.
Kriptografijos inventorizacija tampa vienu svarbiausių pasirengimo postkvantinei erai etapų. Ji leidžia nustatyti naudojamus algoritmus, pažeidžiamas sistemas ir infrastruktūros dalis, kurias reikės atnaujinti ar pakeisti.
„Taigi, kai šiandien kalbame apie postkvantinę kriptografiją, ją reikėtų matyti ne kaip technologinę egzotiką iš fantastikos pasaulio, o kaip verslo rizikų valdymo, infrastruktūros planavimo ir reguliacinės atitikties klausimą.
Organizacijos, kurios pasirengimą pradės anksčiau, turės daugiau laiko testuoti sprendimus, modernizuoti sistemas ir išvengti skubotų bei brangių pokyčių ateityje. Būtent inventorizacija leis organizacijoms suprasti realų savo pasirengimo lygį artėjantiems pokyčiams“, – perspėja R. Venslauskas ir prideda, kad tikslaus termino dienai Q nėra, todėl kvantinių kompiuterių era gali prasidėti greičiau, nei dalis organizacijų spės atnaujinti savo infrastruktūrą.
