Kadangi dabartiniai šifravimo metodai taps pažeidžiami, verslams jau dabar būtina ruoštis perėjimui prie postkvantinės kriptografijos – naujos kartos šifravimo būdų, atsparių net ir kvantiniams kompiuteriams.

Reaguodama į šią grėsmę, Europos Komisija įpareigojo ES valstybes nares iki 2026 metų pabaigos parengti nacionalinius perėjimo prie postkvantinės kriptografijos planus ir pradėti jų įgyvendinimą.

Lietuvoje šį procesą koordinuoja Krašto apsaugos ministerija. Jos iniciatyva įsteigta Nacionalinė perėjimo prie postkvantinės kriptografijos koordinavimo darbo grupė parengė nacionalinį perėjimo prie postkvantinės kriptografijos planą bei gaires, kurios padės institucijoms sklandžiai pasirengti šiam pokyčiui.

„Džiaugiamės tuo, kad Lietuva viena pirmųjų Europoje susirūpino tuo, kad reikia kuo skubiau pradėti ruoštis naujos kartos šifravimui – postkvantiniam planui“, – sako pranešime cituojamas Kauno technologijos universiteto profesorius Šarūnas Grigaliūnas.

Raimonda Andrijauskienė.

Št. srž. Arno Čemerkos nuotr.

 

„Postkvantinę kriptografiją turės pradėti taikyti visos institucijos, identifikuotos kaip kibernetinio saugumo subjektai. Kitoms organizacijoms tai bus rekomenduojama“, – pažymi pranešime pacituota Raimonda Andrijauskienė, Nacionalinės perėjimo prie postkvantinės kriptografijos koordinavimo darbo grupės vadovė.

Ji taip pat atkreipia dėmesį, kad kaip tik šiuo metu Perėjimo prie postkvantinės kriptografijos gairės šiuo metu yra pateiktos viešosioms konsultacijoms Krašto apsaugos ministerijos tinklalapyje, o pasiūlymų ir pastabų laukiama iki gruodžio 12 d.

Kodėl tai aktualu ir verslui

Atsiradus pakankamai galingiems kvantiniams kompiuteriams, jie galės apskaičiuoti šiandien naudojamus šifravimo raktus, kurie dabar atrodo neįveikiami. Tai reiškia, kad jūsų organizacijos duomenys – verslo paslaptys, klientų informacija, finansiniai įrašai, konfidencialūs dokumentai – galės tapti lengvai pažeidžiami.

Dar pavojingiau tai, kad Lietuvai nedraugiškos valstybės jau dabar gali rinkti užšifruotus duomenis pagal principą „Harvest now, decrypt later“ (liet. „Rink dabar, iššifruok vėliau“) tam, kad ateityje, turėdamos kvantinius pajėgumus, juos iššifruotų. Tai ypač aktualu duomenims, kurie išliks vertingi po 5 ar 10 metų.

Kvantinis kompiuteris.

„Google“ nuotr.

 

Geopolitinis kontekstas ir technologinės galimybės

Kvantiniai kompiuteriai jau nėra ateities technologija. Kai Google neseniai pristatė savo naujausią kvantinį kompiuterį „Willow“, rezultatai privertė mokslininkus iš naujo įvertinti savo supratimą apie šios technologijos galimybes.

„Kai Google paleido naują modelį, spręsdami uždavinius, kurių dar nepaviešino, mokslininkai net susigraudino, pamatę rezultatus. Ar tai yra geras ženklas ar blogas? Sunku pasakyti. Bet greičiausiai tai reiškia viena – kad mes dar labai daug ko nežinome, per daug nesuvokiame dalykų, kuriuos galime suskaičiuoti“, – pasakoja prof. Š. Grigaliūnas. Anot jo, tai ne tik mokslo, bet ir geopolitinis klausimas. „Didžiosios valstybės, tokios kaip JAV, Kinija, Didžioji Britanija ir Europos Sąjunga lenktyniauja, kas turės kvantinį pranašumą: „Kažkas gali kontroliuoti duomenis. Tai yra tiek gynybos aspektas, tiek puolimo aspektas. Žinojimas – tai yra pranašumas, ypač, kai kalbame apie nacionalinį saugumą.“

Konkretūs 5 veiksmai, kurių verslams reikia imtis dabar

• 1. Informuokite vadovybę ir atsakingus IT saugumo padalinius apie kvantines grėsmes ir artėjančią būtinybę pereiti prie postkvantinės kriptografijos. Tai ne tik technologinis, bet ir strateginis kibernetinio saugumo klausimas.
• 2. Paskirkite projekto vadovą ir komandą, atsakingą už perėjimo prie postkvantinės kriptografijos koordinavimą bei įgyvendinimą organizacijoje.
• 3. Pradėkite kriptografijos taikymo inventorizaciją – sudarykite sąrašą sistemų ir paslaugų, kuriose naudojama kriptografija, įvertinkite kriptografijos tipą, raktų ilgius ir duomenų jautrumą.
• 4. Kalbėkite su tiekėjais – pasidomėkite, ar jų sprendimai pasirengę postkvantinei erai ir ar turi kriptografinio lankstumo galimybių. „Jau yra tiekėjų, kurie keičia algoritmus ir įrenginius taip, kad net kvantinis kompiuteris negalėtų perskaityti jūsų duomenų“, – pažymi KTU prof. Š. Grigaliūnas.
• 5. Dalinkitės patirtimi ir sekite tarptautinę pažangą – dalyvaukite mokymuose, konferencijose, stebėkite postkvantinių algoritmų standartizavimo eigą.

Prof. Šarūnas Grigaliūnas.

Alekso Stankevičiaus nuotr.

Laiko planas: nuo pasirengimo iki įgyvendinimo

2026-2027 m. bus pasirengimo etapas, per kurį organizacijos turėtų atlikti kriptografijos inventorizaciją, sudaryti projekto komandą ir identifikuoti aukštos rizikos sistemas.

2031 m. postkvantinė kriptografija turės būti taikoma visose aukštos rizikos sistemose.

2036 m. numatomas visiškas senųjų šifravimo algoritmų atsisakymas, o pereinamuoju laikotarpiu rekomenduojama taikyti hibridinius sprendimus – dabartinę ir postkvantinę kriptografiją kartu, kad būtų užtikrintas dvigubas atsparumas rizikai. „Labai aiškiai žinome, ką reikia padaryti per artimiausius dešimt metų“, – pabrėžia prof. Š. Grigaliūnas.

Realios pasekmės verslui

„Pirmiausia – yra grėsmė prarasti kritinės infrastruktūros kontrolę. Elektra, vanduo, dujos – tai būdai sukelti chaosą bet kurioje valstybėje. Antra – prarasti duomenų perdavimo saugumą. Galiausiai, gali nutikti taip, kad jūsų įmonės nuosavybės dokumentai bus perleisti be jūsų žinios, o sistema rodys, kad viskas teisėta“, – įspėja prof. Š. Grigaliūnas.

Profesorius pateikia konkretų scenarijų: „Vieną dieną galite sužinoti, kad jūsų įmonės nuosavybė perleista kam nors kitam. Jūs žinosite, kad jokių dokumentų nepasirašėte, bet sistema rodys priešingai. Juk kompiuteris nemeluoja.“