Ikke bare sitt og vent på Q-day
Kvanteteknologi utfordrer ikke bare morgendagens kryptering, den endrer hvordan vi bør tenke sikker kryptering nå. Den dagen robuste kvantemaskiner blir tilgjengelig er det for sent.
Kvantedatamaskiner er fremdeles på forskningsstadiet, men utviklingen går fort. De cyberkriminelle venter ikke, de høster data allerede nå, vel vitende om at de kan lese senere. Du bør heller ikke vente på utviklingen.
Den såkalte Q-day omtaler den dagen en robust kvantedatamaskin kan knekke dagens kryptografi. Noen snakker om at det kan skje så tidlig som i 2029. Men akkurat når det vil skje, og i ytterste konsekvens om det i det hele tatt vil skje, vet ingen helt sikkert.
– Det vi vet, er at teknologien blir bedre, og at en robust og kraftig kvantemaskin rykker stadig nærmere. Samtidig har vi teknologi for å kryptere som er sikkert etter Q-day også, sier Dag Oscar Olsen, Channel manager i IBM Norge.
– Spørsmålet flere bør stille seg, er om man skal vente til Q-day med å ta det i bruk.
Han er redd for at Q-day blir sett på som et nytt Y2K – tusenårsskiftet – en ny hype fra IT-bransjen. Det er imidlertid flere grunner til at denne trusselen må tas med et helt annet alvor.
– Denne gangen vet vi ikke akkurat når det skjer, skaden kan inntreffe både før og etter selve dagen, og det som er utsatt er det vi har mest behov for å beskytte, advarer Olsen.
De kriminelle venter ikke
«Harvest now, decrypt later», omtaler en trend man ser blant cyberkriminelle. Den beskriver hvordan de kriminelle forholder seg til krypterte data i påvente av Q-day.
– Krypterte data som havner i hendene på kriminelle er ikke lenger ubrukelige. De kan lagre dem nå, og dekryptere når kvantemaskinene blir tilgjengelig, sier han.
Dette er trender man allerede ser spor av ved datainnbrudd i dag. Store mengder data lastes ned selv om de er krypterte, og i prinsippet ubrukelige.
Skaff deg oversikt!
Kryptering har blitt en del av hverdagen vår uten at vi tenker så mye over det. Det brukes for å sikre banktjenester, det sikrer forbindelser over internett, data på harddisker eller i databaser kan være kryptert, og mye mer.
– Vi sikrer ting vi gjør over nett. Bruker du to-faktor autentisering for å sikre en applikasjon, kan du gå ut fra at kryptering er en del av bildet, forteller Olsen.
– Jo nærmere vi kommer Q-day, jo viktigere vil det være å forstå hva slags kryptering som benyttes hvor, hvem som oppbevarer nøkler, og hvilke data som er kryptert på hvilken måte, sier han.
Han tror mange vil bli overrasket når de ser hvilken rolle kryptering spiller for å sikre virksomheten. En oversikt vil være steg nummer en for å sikre seg. Ved å observere og prioritere kryptografien man har, kan man opprette en CBOM (Cryptography Bill of Materials), som gir oversikt over hele bildet.
Foto: IBM
Den nye kodeknekkeren
I mange av dagens sikre løsninger kan hvem som helst kryptere og sende, men bare mottaker lese. Slik kryptografi bruker en offentlig nøkkel som bare kan brukes til å kryptere, og en privat nøkkel som bare kan brukes til å dekryptere meldinger.
Den som knekker den private nøkkelen, kan lese alt. For å klare det, kreves beregning av store primtall, som vil ta år med dagens maskinpark. En robust kvantemaskin vil redusere regnejobben til minutter.
Akkurat hvordan kvantemaskinen klarer det, er vanskelig både å forestille seg å forklare. Svært forenklet kan man si at den har mer enn bare null eller en som utgangspunkt. Og der dagens prosessorer kan jobbe i parallell, jobber kvantemaskinen i mange dimensjoner. Det øker kraften eksponentielt.
– Dette gjør den dessverre godt egnet til å knekke dagens krypto når den kommer, sier Olsen.
Det finnes medisin
Heldigvis finnes det allerede i dag løsninger som vil virke også etter Q-day, såkalt kvantesikker kryptografi.
IBM har et verdensledende forskermiljø, ikke bare på kvantetemaskiner, men også på sikkerhet. De har utviklet en portefølje som bistår med alt fra å skaffe oversikt, til å automatisere overgangen til en kvantesikker hverdag.
– Det som er viktig å forstå i dag, er at kryptering før og etter kvantemaskinen er to forskjellige ting, og at det allerede i dag finnes framtidssikker kryptering, sier Olsen.
– Hvor lenge man skal vente med å ta skrittet over, blir til syvende og sist en risiko-vurdering. Mitt råd vil uansett være å skaffe seg oversikt så tidlig som mulig. Det kan være naivt og farlig å tenke på at dette skjer først om noen år, avslutter han.
IBM er verdensledende på forskning og utvikling av kvantemaskiner.
Kryptering og kryptonøkler brukes i alt fra banktransaksjoner og dokumenter til telefoner, apper og mye annet vi bruker i hverdagen. Selv om krypterte data er sikre nå, kan stjålne data leses på et tidspunkt når dagens kryptering er brutt («harvest now, decrypt later»)
Derfor er det viktig å forstå hva, hvor og hvordan man oppbevarer krypterte data.
IBMs Guardium Quantum Safe hjelper deg med en såkalt CBOM (Cryptography Bill of Materials), som leverer oversikten.
