Kvantu skaitļošana "tagad zog, nākotnē atšifrē"

Atklāti sakot: jūsu dati vairs nav droši.

Ne jau šodien tiks uzlauzti, bet gan tiks saglabāti, lai tos atšifrētu, kad kvantu datori būs pietiekami attīstīti. Šāds uzbrukums tiek saukts par "tagad ievāc, nākotnē atšifrē" (Harvest Now, Decrypt Later), un tas jau notiek.

Problēma ir steidzamāka, nekā jūs domājat

Kvantu skaitļošana bieži tiek uzskatīta par tālu teorētisku apdraudējumu. Citi Research globālās finanšu nākotnes vadītājs Ronit Ghose norāda, ka šāda mentalitāte apdraud finanšu pakalpojumus.

"Your encrypted data is already being stolen: Quantum computing is often treated as a distant, theoretical cybersecurity issue. That mindset is already putting financial services at risk."

Tas nav biedējošs paziņojums. Pašreizējā publiskās atslēgas šifrēšana (RSA, ECC) būs bezspēcīga pietiekami jaudīga kvantu datora priekšā. Shor algoritms var sadalīt lielus veselus skaitļus polinoma laikā, kas nozīmē, ka 2048 bitu RSA atslēga būs bezjēdzīga.

Laika grafika problēma

Galvenais jautājums nav "vai kvantu skaitļošana ienāks", bet gan "kad tā ienāks".

• Optimistisks novērtējums: praktiski kvantu datori parādīsies 5-10 gadu laikā
• Konservatīvs novērtējums: 15-20 gadi
• Realitāte: datu dzīves cikls var ilgt līdz 10-20 gadiem

Ja dati, kurus šifrējat šodien, joprojām būs sensitīvi pēc 15 gadiem (medicīniskie ieraksti, finanšu dati, valsts noslēpumi), tad jūs jau esat apdraudēts.

Postkvantu kriptogrāfijas (PQC) progress

Labā ziņa ir tā, ka risinājums jau ir ceļā. NIST 2024. gadā standartizēja pirmo postkvantu kriptogrāfijas algoritmu partiju:

• CRYSTALS-Kyber: izmanto atslēgu iekapsulēšanai
• CRYSTALS-Dilithium: izmanto digitālajiem parakstiem
• SPHINCS+: bezstāvokļa jaucējkoda paraksts

Sliktā ziņa ir tā, ka pāreja uz šiem algoritmiem prasa laiku – lielām organizācijām tas var ilgt gadiem.

Jauna dimensija piegādes ķēdes drošībai

Tā nav viena organizācijas aizsardzības problēma. Interesants gadījums: tika atklāts, ka Chrome paplašinājums zog uzņēmuma datus un 2FA kodus.

"Una estensione Chrome ruba i dati aziendali e i codici 2FA" — Red Hot Cyber

Tas mums atgādina: pirms kvantu draudu apsvēršanas pamata drošība joprojām ir pilna ar ievainojamībām. Piegādes ķēdes uzbrukumi, trešo pušu riski, autentifikācijas apiešana – šīs problēmas nepazudīs kvantu skaitļošanas dēļ.

AI un kiberdrošības krustpunkts

Tendence, kurai jāpievērš uzmanība: AI + kiberdrošība kļūst par milzīgu karjeras iespēju.

"AI Cybersecurity will be a huge career opportunity." — @vihanjain

Tas ir ne tikai aizsardzība pret AI vadītiem uzbrukumiem, bet arī AI izmantošana, lai uzlabotu drošības operācijas: draudu noteikšana, anomāliju atpazīšana, automatizēta reaģēšana. Bet AI rada arī jaunus riskus – modeļu saindēšana, pretēji piemēri, halucināciju izraisīti drošības lēmumu pieņemšanas kļūdas.

Praktiski ieteikumi uzņēmumiem

1. Inventarizējiet šifrētos aktīvus: nosakiet, kuri dati ir jāaizsargā ilgtermiņā
2. Izstrādājiet PQC migrācijas plānu: negaidiet pēdējo brīdi
3. Stipriniet pamata drošību: VAPT (ievainojamības novērtēšana un iekļūšanas tests) nedrīkst būt vienreizējs projekts, bet gan nepārtraukts dzīves cikls
4. Pievērsiet uzmanību piegādes ķēdei: katrs trešās puses rīks ir potenciāls uzbrukuma virziens
5. Ieguldiet talantos: talanti, kas pārzina gan AI, gan drošību, būs ārkārtīgi reti

Secinājums

Kvantu draudi nav zinātniskā fantastika, bet gan matemātisks fakts. Atšķirība ir tikai tajā: vai jūs gatavojaties tagad, vai arī labojat situāciju pēc uzbrukuma.

Izvēle ir jūsu rokās. Bet atcerieties: uzbrucēji jau ir jums aiz muguras, un viņi vāc visus datus, kurus šifrējat šodien.