Kvantové výpočty „sbírají nyní, dešifrují v budoucnu“

Řeknu to na rovinu: vaše data už nejsou v bezpečí.

Ne že by byla prolomena dnes, ale jsou ukládána a čekají, až kvantové počítače dospějí a dešifrují je. Tento útok se nazývá „Harvest Now, Decrypt Later“ (Sklízej nyní, dešifruj později) a už se děje.

Problém je naléhavější, než si myslíte

Kvantové výpočty jsou často považovány za vzdálenou teoretickou hrozbu. Ronit Ghose, globální vedoucí pro budoucnost financí v Citi Research, poukazuje na to, že tento přístup ohrožuje finanční služby.

"Your encrypted data is already being stolen: Quantum computing is often treated as a distant, theoretical cybersecurity issue. That mindset is already putting financial services at risk."

Není to strašení. Současné šifrování veřejným klíčem (RSA, ECC) bude bezmocné proti dostatečně výkonným kvantovým počítačům. Shorův algoritmus dokáže rozložit velká celá čísla v polynomiálním čase, což znamená, že 2048bitové klíče RSA budou k ničemu.

Problém s časovou osou

Zásadní otázkou není „zda kvantové výpočty přijdou“, ale „kdy přijdou“.

• Optimistický odhad: praktické kvantové počítače se objeví během 5-10 let
• Konzervativní odhad: 15-20 let
• Realita: životní cyklus dat může trvat 10-20 let

Pokud jsou data, která dnes šifrujete, citlivá i za 15 let (zdravotní záznamy, finanční data, státní tajemství), pak už jste v ohrožení.

Pokrok v postkvantové kryptografii (PQC)

Dobrou zprávou je, že řešení je na cestě. NIST v roce 2024 standardizoval první várku postkvantových kryptografických algoritmů:

• CRYSTALS-Kyber: pro zapouzdření klíčů
• CRYSTALS-Dilithium: pro digitální podpisy
• SPHINCS+: bezstavové hašovací podpisy

Špatnou zprávou je, že migrace na tyto algoritmy vyžaduje čas – pro velké organizace to může trvat roky.

Nový rozměr bezpečnosti dodavatelského řetězce

Nejde o problém obrany jedné organizace. Zajímavý případ: Bylo zjištěno, že rozšíření Chrome krade firemní data a 2FA kódy.

"Una estensione Chrome ruba i dati aziendali e i codici 2FA" — Red Hot Cyber

To nám připomíná: Než se budeme zabývat kvantovými hrozbami, základní bezpečnost je stále plná mezer. Útoky na dodavatelský řetězec, rizika třetích stran, obcházení autentizace – tyto problémy nezmizí s příchodem kvantových výpočtů.

Průnik AI a kybernetické bezpečnosti

Trend, který stojí za pozornost: AI + kybernetická bezpečnost se stává obrovskou kariérní příležitostí.

"AI Cybersecurity will be a huge career opportunity." — @vihanjain

Nejde jen o obranu proti útokům řízeným AI, ale také o posílení bezpečnostních operací pomocí AI: detekce hrozeb, identifikace anomálií, automatizovaná reakce. Ale AI také přináší nová rizika – otravování modelů, adversariální příklady, bezpečnostní rozhodnutí chybná kvůli halucinacím.

Praktické rady pro podniky

1. Inventarizace šifrovaných aktiv: Identifikujte, která data vyžadují dlouhodobou ochranu
2. Vytvořte plán migrace PQC: Nečekejte na poslední chvíli
3. Posilte základní bezpečnost: VAPT (hodnocení zranitelnosti a penetrační testování) by nemělo být jednorázovým projektem, ale kontinuálním životním cyklem
4. Zaměřte se na dodavatelský řetězec: Každý nástroj třetí strany je potenciální útočná plocha
5. Investujte do talentů: Talenty, které rozumí AI i bezpečnosti, budou extrémně vzácné

Závěr

Kvantová hrozba není sci-fi, ale matematická skutečnost. Rozdíl je pouze v tom: připravujete se nyní, nebo napravujete škody po útoku.

Volba je na vás. Ale pamatujte: útočníci jsou už za vámi a sbírají všechna data, která dnes šifrujete.