A kvantumszámítógép "most lop, a jövőben old meg"

Hadd legyek egyenes: az adataid már nincsenek biztonságban.

Nem ma törik fel őket, hanem elmentik, és csak akkor fejtik meg, amikor a kvantumszámítógépek elég fejlettek lesznek. Ezt a támadást "Most arat, a jövőben dekódol" (Harvest Now, Decrypt Later) néven ismerik, és már zajlik.

A probléma sürgetőbb, mint gondolnád

A kvantumszámítást gyakran távoli, elméleti fenyegetésként kezelik. Ronit Ghose, a Citi Research globális pénzügyi jövőért felelős vezetője rámutat, hogy ez a gondolkodásmód veszélybe sodorja a pénzügyi szolgáltatásokat.

"Your encrypted data is already being stolen: Quantum computing is often treated as a distant, theoretical cybersecurity issue. That mindset is already putting financial services at risk."

Ez nem pánikkeltés. A jelenlegi nyilvános kulcsú titkosítás (RSA, ECC) tehetetlen lesz egy kellően erős kvantumszámítógép előtt. A Shor-algoritmus polinom idő alatt képes nagy egész számokat faktorizálni, ami azt jelenti, hogy egy 2048 bites RSA kulcs értéktelen lesz.

Az idővonal kérdése

A központi kérdés nem az, hogy "eljön-e a kvantumszámítás", hanem az, hogy "mikor jön el".

• Optimista becslés: 5-10 éven belül megjelennek a gyakorlati kvantumszámítógépek
• Konzervatív becslés: 15-20 év
• Valóság: az adatok életciklusa akár 10-20 év is lehet

Ha a ma titkosított adatok 15 év múlva is érzékenyek (egészségügyi nyilvántartások, pénzügyi adatok, államtitkok), akkor már veszélyben vagy.

A posztkvantum kriptográfia (PQC) fejlődése

A jó hír az, hogy a megoldás már úton van. A NIST 2024-ben szabványosította az első posztkvantum kriptográfiai algoritmusokat:

• CRYSTALS-Kyber: kulcsbeágyazáshoz
• CRYSTALS-Dilithium: digitális aláíráshoz
• SPHINCS+: állapotmentes hash aláírás

A rossz hír az, hogy az ezekre az algoritmusokra való átállás időbe telik – nagy szervezetek esetében ez évekig is eltarthat.

A beszállítói lánc biztonságának új dimenziója

Ez nem egyetlen szervezet védelmi kérdése. Egy érdekes eset: egy Chrome-bővítményről kiderült, hogy vállalati adatokat és 2FA kódokat lop.

"Una estensione Chrome ruba i dati aziendali e i codici 2FA" — Red Hot Cyber

Ez emlékeztet bennünket arra, hogy a kvantumfenyegetés figyelembevétele előtt az alapvető biztonság még mindig tele van sebezhetőségekkel. A beszállítói lánc támadások, a harmadik féltől származó kockázatok, a hitelesítés megkerülése – ezek a problémák nem fognak eltűnni a kvantumszámítás megjelenésével.

A mesterséges intelligencia és a kiberbiztonság találkozása

Egy figyelemre méltó tendencia: a mesterséges intelligencia + kiberbiztonság hatalmas karrierlehetőséggé válik.

"AI Cybersecurity will be a huge career opportunity." — @vihanjain

Ez nem csak a mesterséges intelligencia által vezérelt támadások elleni védekezés, hanem a biztonsági műveletek mesterséges intelligenciával való megerősítése is: fenyegetésészlelés, anomáliafelismerés, automatizált válasz. De a mesterséges intelligencia új kockázatokat is hordoz – modellmérgezés, ellenséges minták, hallucinációk által okozott biztonsági döntési hibák.

Gyakorlati tanácsok a vállalatok számára

1. Kriptográfiai eszközök felmérése: azonosítsa, mely adatok igényelnek hosszú távú védelmet
2. PQC migrációs terv kidolgozása: ne várjon az utolsó pillanatig
3. Az alapvető biztonság megerősítése: A VAPT (sebezhetőségi felmérés és behatolási tesztelés) ne egyszeri projekt legyen, hanem folyamatos életciklus
4. Fókuszban a beszállítói lánc: minden harmadik féltől származó eszköz potenciális támadási felület
5. Befektetés a tehetségekbe: a mesterséges intelligenciához és a biztonsághoz is értő tehetségek rendkívül szűkösek lesznek

Következtetés

A kvantumfenyegetés nem sci-fi, hanem matematikai tény. A különbség csak az, hogy most készülsz fel, vagy a támadás bekövetkezése után javítod ki.

A választás a tiéd. De ne feledd: a támadók már a hátad mögött vannak, és gyűjtik az összes ma titkosított adatodat.