A kvantumszámítógépek kora már egy ideje a láthatáron van, bár még évekbe telhet, amíg nagyszabású kereskedelmi felhasználásuk realitássá válik. Ahogy az a csúcstechnológiákkal lenni szokott, a kvantumszámítógépeket is először a hadsereg fogja alkalmazni, utána pedig a nagyvállalatok. Ennek jeleit már most is láthatjuk: 2021-ben a Biden-adminisztráció stratégiai partnerséget jelentett be Ausztráliával és az Egyesült Királysággal, amely növeli a nagyhatalmi előnyt a katonai képességek és az olyan kritikus technológiák terén, mint a kiberbiztonság, a mesterséges intelligencia és a kvantumtechnológiák.
2022 óta
Az amerikai kvantumbiztonsági felkészültségről szóló törvény még ennél is tovább megy. Hangsúlyozza, hogy a kormányzati szervezeteknek (és a vállalatoknak is) meg kell kezdeniük a szükséges óvintézkedések megtételét a kvantumszámítógépek erejével bíró szereplőkkel szemben.
Pénzügyi adatok – A kiberbűnözők elsődleges célpontjai
A globális kiberbűnözéssel kapcsolatos veszteségek 2020-ban meghaladták az 1.000 milliárd dollárt. Ez a globális GDP több mint 1%-a. A
Cybersecurity Ventures kutatócég szerint az éves veszteségek 2025-re elérhetik a 10.000 milliárd (azaz 10 billió) dollárt is, ami a legjövedelmezőbb bűnözői szegmenssé teszi ezt a területet, értékesebbé, mint a teljes globális kábítószer-kereskedelem együttvéve. Gyakoribbá válnak a jóformán korlátlan erőforrásokkal rendelkező, államilag támogatott szereplők támadásai is.
Amellett, hogy ezek közvetlenül kormányzati szervezeteket vesznek célba, olyan vállalatokat is megpróbálnak majd megkárosítani, amelyek létfontosságúak a társadalmak és gazdaságuk számára. A pénzügyi szektorban például egy kiberbehatolás átlagos kárköltsége 5,71 millió dollár, ami 35%-kal több, mint az összes többi iparág átlaga.
Egy 2019-ben széles körben nyilvánosságra hozott esetben a Capital One amerikai bankból 100 millió ügyfél adata szivárgott ki. A bank a jogsértés kezelésének teljes költségét 100-150 millió dollárra becsülte. Ehhez jött még a hatóságok által kiszabott 80 millió dolláros bírság. Európában a vállalatokra nézve kötelező GDPR-rendelet ennél is magasabb büntetések kiszabását teszi lehetővé.
A Capital One esetében elmondható, hogy a banknak szerencséje volt, mert nem kerültek veszélybe fizetési adatok, kártyaszámok vagy bejelentkezési információk. Ha az elsődleges számlaszámok is (PAN) rossz kezekbe kerültek volna, a banknak még nagyobb anyagi és presztízsbeli veszteséggel kellett volna számolnia.
Hogyan fogja a kvantuminformatika feltörni a mai kriptográfiát?
Ahhoz, hogy bármilyen adattitkosítás hatékony legyen, kompromisszumot kell kötni a kényelem (a titkosításhoz/dekódoláshoz szükséges idő és számítási erőforrások) és a biztonság (a titkosítás feltöréséhez szükséges idő és számítási erőforrások) között. Amikor a kvantumteljesítmény végül általánossá válik, a korábban biztonságosnak tartott titkosítást könnyebben és olcsóbban lehet majd feltörni, ezért egy biztonságosabb technológiával kell helyettesíteni.
Eddig a titkosítás erősségének javítását leginkább az adattitkosításhoz használt kulcs hosszának módosításával érték el. Például a korábban széles körben használt 512 bites RSA-t már nem használják, azt felváltotta a 2048 bites megfelelője, amely az amerikai NIST szabványügyi intézet értékelése szerint 2030-ig meg fog felelni a követelményeknek.
A kvantuminformatika azonban megakasztja a bevált módszert. Minden jelenleg széles körben használt titkosítási algoritmus sebezhető egy prímfaktorizációnak nevezett eljárással szemben, aminek elvégzésére egy kvantumszámítógép kiválóan alkalmas. A Google vezérigazgatója, Sundar Pichai szerint a kvantumkriptográfia 5-10 év múlva elavulttá teszi a jelenlegi titkosítási megoldásokat.
A pénzügyi adatok veszélyben vannak
Munkamenetek rögzítése visszaélés céljából
Minden pénzügyi intézmény rendelkezik olyan titkos adatokkal, amelyeket hosszú ideig, akár 5-10 évig védeni kell. A jelenleg rögzített és tárolt titkosított kommunikációk (üzenetek, tranzakciók) feltörhetők lesznek, amikor majd elérhetővé válik a kvantumszámítási teljesítmény. Ez azt jelenti, hogy a támadó fel tudja törni a ma rögzített titkosított fájlokat és hozzáférhet az ügyfelek személyes pénzügyi információihoz. A kvantumfenyegetettség tehát már most is hatással van az üzleti életre.
A felkészülést el kell kezdeni
Még ha a kvantuminformatika távoli fenyegetésnek tűnik is, a biztonsági szintű bevezetése hosszabb időt fog igénybe venni, mint azt a vállalatok jellemzően gondolják. Ha megvárjuk, amíg a technológia a megvalósításához közeledik, vagy csak akkor reagálunk, amikor már rendelkezésre áll, már túl késő.
A kvantumbiztonságos kriptográfia klasszikus titkosításra is képes
A kvantumkockázatokat csökkentő technológiák már léteznek. A kvantumbiztonságos kriptográfia (QSC) – más néven posztkvantum-kriptográfia (PQC) – a kvantumtámadásokra érzékeny jelenlegi kriptográfiában használt algoritmusokat egy továbbfejlesztett változattal helyettesítheti, amely egyaránt képes ellenállni a klasszikus és a kvantumszámítógépek általi titkosításra jelentett fenyegetésnek.
Az áttérés előkészítése
A nagy szervezeteknek a kvantumfenyegetés kezelését be kell építeniük a hosszú távú ütemtervükbe, és meg kell határozniuk, hogy mely rendszereik lesznek az átállás szempontjából kiemelt prioritásúak. A kiemelt rendszerek és adatok közé kell sorolni azokat, amelyek érzékeny személyes adatokat, üzletileg kritikus adatokat tartalmaznak és dolgoznak fel, és általában véve a legnehezebben helyettesíthetők. A QSC protokollok szabványosítása gyorsan halad, és a NIST által ajánlott algoritmusok korai készlete gyakorlatilag már rendelkezésre áll, így a vállalatok megkezdhetik az átállási folyamatot.
Jövőálló titkosítás a Tectia Quantum-Safe segítségével
A nagyvállalatok és az államok versenyt futnak a kvantumszámítógépek kifejlesztéséért, így napról napra reálisabbá válik a bevezetésük. Ugyanakkor a tapasztalt kiberbiztonsági gyártók, mint például az SSH.COM, évek óta együttműködnek más szervezetekkel, hogy világszínvonalú posztkvantum-kriptográfiát hozzanak létre a kvantumfenyegetések mérséklésére.
A PQC algoritmusok évek óta fejlesztés alatt állnak, és folyamatban van a szabványosításuk. Annak érdekében, hogy a szervezeti kommunikáció jövőbiztos legyen jóval a kvantumszámítógépek megjelenése után is, az SSH.COM elindította a Tectia Quantum-Safe Editiont, egy új, kvantumbiztos SSH kliens/szerver alkalmazást, amely képes biztosítani a távoli hozzáférést (az SSH protokollal), a fájlátvitelt (az SFTP protokollal) vagy bármilyen típusú tunnel TCP-kapcsolatot.
Az SSH Tectia Quantum-Safe Edition hibrid megközelítést alkalmaz, amely egyesíti a hagyományos titkosítási algoritmusok biztonságát, illetve a PQC algoritmusok biztonságát az új kvantumtámadásokkal szemben. A megoldás teljes mértékben kompatibilis a korábbi Tectia és más SSH-kliensekkel és -szerverekkel.
Az SSH.COM 2022 szeptemberében a Relnet Partnernapon
jelentette be hivatalosan, hogy a kvantumbiztos megoldásai már elérhetők. Kérje a RelNet munkatársaitól a gyártói eszközök és a QSC technológia bemutatását!
Forrás
Why financial institutions should protect themselves with Quantum-Safe Cryptography (QSC)
Kapcsolódó tartalom
Jövőállóság kvantumbiztos titkosítással
SSH.COM képzések a RelNet eLearning programban