Davide Maniscalco, regionalny koordynator ds. pomocy, specjalista ds. prawnych i prywatności Swascan, Tinexta Group
Narodowy Instytut Standardów i Technologii (NIST) Departamentu Handlu Stanów Zjednoczonych wybrał pierwszą grupę narzędzi kryptograficznych zaprojektowanych, aby wytrzymać atak przyszłego komputera kwantowego.
W rzeczywistości przetwarzanie kwantowe ma taką moc przetwarzania, że stanowi potencjalne zagrożenie naruszenia środków bezpieczeństwa stosowanych do ochrony prywatności w połączonych systemach ekosystemu cyfrowego i, bardziej ogólnie, dla bezpieczeństwa naszych informacji cyfrowych.
I rzeczywiście, systemy kryptograficzne klucza publicznego obecnie „w terenie” wykorzystują matematykę do ochrony poufnych informacji elektronicznych, zapewniając, że informacje cyfrowe są niedostępne dla niepożądanych stron trzecich.
Jednak wystarczająco wydajny komputer kwantowy, oparty na innej technologii niż dzisiejsze komputery konwencjonalne, może szybko rozwiązać problemy matematyczne leżące u podstaw dzisiejszych systemów kryptograficznych, naruszając tym samym ich poufność.
I odwrotnie, algorytmy odporne na kwantowe opierają się na problemach matematycznych (głównie sieciach strukturalnych, ale także funkcjach haszujących), które zarówno konwencjonalne, jak i komputery kwantowe powinny mieć trudności z rozwiązywaniem.
Algorytmy są przeznaczone do dwóch głównych zadań, do których powszechnie stosuje się kryptografię:
- kryptografia ogólna, wykorzystywana do ochrony informacji wymienianych w sieci publicznej;
- podpisy cyfrowe, używane do uwierzytelniania tożsamości.
Ogłoszenie nadchodzącego wydania standardów kryptograficznych jest wynikiem sześcioletnich wysiłków kierowanych przez NIST, który w 2016 r. zaprosił kryptografów z całego świata do opracowania, a następnie kontrolowania metod kryptograficznych, które mogłyby wytrzymać atak z przyszłego komputera kwantowego.
Cztery wybrane algorytmy kryptograficzne staną się zatem częścią post-kwantowego standardu kryptograficznego NIST, który ma zostać sfinalizowany za około dwa lata.
Do ogólnej kryptografii NIST wybrał algorytm CRYSTALS-Kyber charakteryzujący się stosunkowo małymi kluczami kryptograficznymi, które dwie strony mogą łatwo wymieniać z większą szybkością działania.
W przypadku podpisów cyfrowych, często używanych do weryfikacji tożsamości podczas transakcji cyfrowej lub do zdalnego podpisywania dokumentu, NIST wybrał trzy algorytmy CRYSTALS - Dilithium, FALCON i SPHINCS +.
Ale dlaczego ogłoszenie przez NIST post-kwantowych algorytmów kryptograficznych jest tak ważne technologicznie w kontekście geopolitycznym?
Powszechnie wiadomo, że rząd chiński przeznaczył aż 10 miliardów dolarów na promowanie obliczeń kwantowych, zwiększając inwestycje rządowe o ponad 7%.
W przeciwieństwie do tego, Departament Handlu Stanów Zjednoczonych zakazał ośmiu powiązanym z Chinami podmiotom technologicznym w realizacji strategii mającej na celu zapobieganie wykorzystywaniu nowych technologii amerykańskich lub, co gorsza, wykorzystywaniu ich do postępów w chińskich obliczeniach kwantowych, funkcjonalnych do zastosowań wojskowych, z ich dalszym rozwojem. możliwość złamania szyfrowania lub opracowania niezniszczalnego szyfrowania.
W związku z tym właśnie w tych dniach szefowie MI5 i FBI wydali wspólne ostrzeżenie o rosnącym zagrożeniu ze strony Chin.
W szczególności dyrektor FBI Christopher Wray powiedział, że chiński rząd „stanowi największe długoterminowe zagrożenie dla bezpieczeństwa gospodarczego i narodowego, dla Wielkiej Brytanii, Stanów Zjednoczonych oraz sojuszników w Europie i poza nią”.
Następnie Wray wyraźnie ostrzegł, że chiński rząd „stanowi jeszcze poważniejsze zagrożenie dla zachodnich firm i jest gotowy ukraść ich technologie”.
Wynika z tego, że ogłoszenie NIST musi być przyjęte ze świadomością, że wyścig o kryptografię post-kwantową jest jednocześnie kwestią bezpieczeństwa narodowego, na globalnym poziomie geopolitycznym, oraz prywatności (poufność danych) w ekosystemie cyfrowym. Internetu wszystkiego.
I faktycznie, trzeba powiedzieć, że chociaż obecne algorytmy kryptograficzne są dość bezpieczne przed konwencjonalnymi atakami, to jednak nie są odporne i na pewno nie będą odporne na ataki kwantowe, dlatego (częściowo) rządy na całym świecie są przeznaczając miliardy inwestycji na nową gorączkę złota.
W tym scenariuszu, podczas gdy rozwój technologii kwantowej trwa szybko, nie możemy pominąć scenariusza, w którym wrodzy aktorzy i hakerzy kryminalni eksfiltrują zaszyfrowane zestawy danych, zastrzegając sobie prawo do zastosowania wykorzystania kwantowego dopiero w późniejszym czasie.
Z tych powodów NIST oraz Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), w celu lepszego przygotowania się do potencjalnego wydania w 2024 r. nowych standardów kryptograficznych, zalecają przeprowadzenie inwentaryzacji systemów organizacyjnych dla aplikacji wykorzystujących kryptografię kluczy. oficjalnie wydany) w warunkach laboratoryjnych.
Jednak konieczne będzie dobre przygotowanie do edukacji i przygotowania infrastruktury publicznej, prywatnej i krytycznej do tej nowej transformacji.
Podczas gdy standard jest w fazie rozwoju, NIST nadal zachęca ekspertów ds. bezpieczeństwa do zbadania nowych algorytmów i rozważenia, w jaki sposób ich aplikacje będą z nich korzystać, ale nie do wprowadzania ich jeszcze do swoich systemów, ponieważ algorytmy mogą się nieznacznie zmienić przed sfinalizowaniem standardu.