Skammtatölvunarfræði er að "stela núna, leysa í framtíðinni"

Leyfðu mér að vera hreinskilinn: Gögnin þín eru ekki lengur örugg.

Ekki brotin í dag, heldur geymd og afkóðuð þegar skammtatölvur eru orðnar þroskaðar. Þessi árás er kölluð "uppskera núna, afkóða seinna" (Harvest Now, Decrypt Later), og hún er að gerast.

Vandamálið er brýnna en þú heldur

Skammtatölvunarfræði er oft álitin fjarlæg fræðileg ógn. Ronit Ghose, yfirmaður framtíðar fjármála hjá Citi Research, bendir á að þetta hugarfar sé að setja fjármálaþjónustu í hættu.

"Your encrypted data is already being stolen: Quantum computing is often treated as a distant, theoretical cybersecurity issue. That mindset is already putting financial services at risk."

Þetta er ekki óþarfa áróður. Núverandi almenningslykla dulkóðun (RSA, ECC) mun vera gagnslaus fyrir framan nógu öfluga skammtatölvu. Shor reikniritið getur þáttað stórar heiltölur á margliða tíma, sem þýðir að 2048 bita RSA lykill verður gagnslaus.

Tímalínuvandamálið

Kjarnavandamálið er ekki "hvort skammtatölvunarfræði muni koma", heldur "hvenær hún muni koma".

• Bjartsýn áætlun: Hagnýt skammtatölva innan 5-10 ára
• Varfærnisleg áætlun: 15-20 ár
• Raunveruleiki: Líftími gagna getur verið allt að 10-20 ár

Ef gögnin sem þú dulkóðar í dag eru enn viðkvæm eftir 15 ár (sjúkraskrár, fjárhagsupplýsingar, ríkisleyndarmál), þá ertu þegar í hættu.

Framfarir í dulmálsfræði eftir skammta (PQC)

Góðu fréttirnar eru þær að lausnin er á leiðinni. NIST staðlaði fyrstu lotuna af dulmálsreikniritum eftir skammta árið 2024:

• CRYSTALS-Kyber: Fyrir lykilinnslátt
• CRYSTALS-Dilithium: Fyrir stafrænar undirskriftir
• SPHINCS+: Án stöðu hash undirskrift

Slæmu fréttirnar eru þær að það tekur tíma að flytja yfir í þessar reiknirit - fyrir stór samtök getur það tekið mörg ár.

Ný vídd í öryggi aðfangakeðjunnar

Þetta er ekki varnarmál einstakra samtaka. Áhugavert dæmi: Chrome viðbót fannst vera að stela fyrirtækjagögnum og 2FA kóðum.

"Una estensione Chrome ruba i dati aziendali e i codici 2FA" — Red Hot Cyber

Þetta minnir okkur á: Áður en við hugsum um skammtaógnina er grunnöryggi enn fullt af göllum. Árásir á aðfangakeðjuna, áhætta þriðja aðila, framhjáhlaup auðkenningar - þessi vandamál hverfa ekki vegna tilkomu skammtatölvunarfræði.

Mótun gervigreindar og netöryggis

Ein athyglisverð þróun: Gervigreind + netöryggi er að verða gríðarlegt atvinnutækifæri.

"AI Cybersecurity will be a huge career opportunity." — @vihanjain

Þetta er ekki bara til að verjast árásum sem knúnar eru af gervigreind, heldur einnig til að auka öryggisrekstur með gervigreind: ógnagreining, óeðlileg auðkenning, sjálfvirk svörun. En gervigreind hefur einnig í för með sér nýja áhættu - eitrun líkana, andstæð dæmi, öryggisákvarðanir sem byggjast á ofskynjunum.

Raunverulegar ráðleggingar fyrir fyrirtæki

1. Gerðu grein fyrir dulkóðuðum eignum: Greindu hvaða gögn þarf að vernda til langs tíma
2. Búðu til PQC flutningsáætlun: Ekki bíða til síðustu stundar
3. Styrktu grunnöryggi: VAPT (veikleika mat og skarpskyggni próf) ætti ekki að vera einu sinni verkefni, heldur stöðugur lífsferill
4. Fylgstu með aðfangakeðjunni: Hvert tól þriðja aðila er hugsanlegt árásaryfirborð
5. Fjárfestu í hæfileikum: Hæfileikar sem bæði skilja gervigreind og öryggi verða afar af skornum skammti

Niðurstaða

Skammtaógnin er ekki vísindaskáldskapur, heldur stærðfræðileg staðreynd. Munurinn er bara: Ertu að undirbúa þig núna, eða ertu að bæta úr því eftir að árásin hefur átt sér stað?

Valið er þitt. En mundu: Árásarmennirnir eru þegar á bak við þig og þeir eru að safna öllum gögnum sem þú dulkóðar í dag.