Квантното пресметување „краде сега, дешифрира во иднина“

Да бидам искрен: вашите податоци веќе не се безбедни.

Не се хакирани денес, туку се складирани и ќе бидат дешифрирани кога квантните компјутери ќе созреат. Овој напад се нарекува „Жетва сега, дешифрира подоцна“ (Harvest Now, Decrypt Later) и веќе се случува.

Проблемот е поитен отколку што мислите

Квантното пресметување често се смета за далечна теоретска закана. Ронит Госе, шеф за глобална финансиска иднина во Институтот Сити, истакнува дека овој начин на размислување ги става финансиските услуги во опасност.

„Вашите шифрирани податоци веќе се украдени: Квантното пресметување често се третира како далечен, теоретски проблем за сајбер-безбедноста. Тој начин на размислување веќе ги става финансиските услуги во ризик.“

Ова не е алармантно. Тековното шифрирање со јавен клуч (RSA, ECC) ќе биде беспомошно пред доволно моќни квантни компјутери. Алгоритмот на Шор може да разложи големи цели броеви во полиномско време, што значи дека 2048-битни RSA клучеви ќе бидат бескорисни.

Проблемот со временската рамка

Основното прашање не е „дали ќе дојде квантното пресметување“, туку „кога ќе дојде“.

• Оптимистичка проценка: практични квантни компјутери во рок од 5-10 години
• Конзервативна проценка: 15-20 години
• Реалност: животниот циклус на податоците може да биде долг и до 10-20 години

Ако податоците што ги шифрирате денес се уште се чувствителни по 15 години (медицински досиеја, финансиски податоци, државни тајни), тогаш веќе сте во ризик.

Напредок во пост-квантната криптографија (PQC)

Добрата вест е дека решението е веќе на пат. NIST ги стандардизираше првите пост-квантни криптографски алгоритми во 2024 година:

• CRYSTALS-Kyber: за капсулирање на клучеви
• CRYSTALS-Dilithium: за дигитални потписи
• SPHINCS+: потписи за хаширање без состојба

Лошата вест е што миграцијата кон овие алгоритми одзема време - може да потрае со години за големите организации.

Нова димензија на безбедноста на синџирот на снабдување

Ова не е проблем на одбрана на една организација. Интересен случај: Откриено е дека екстензија на Chrome краде корпоративни податоци и 2FA кодови.

„Una estensione Chrome ruba i dati aziendali e i codici 2FA“ — Red Hot Cyber

Ова не потсетува: пред да се размислува за квантните закани, основната безбедност е сè уште полна со пропусти. Нападите на синџирот на снабдување, ризиците од трети страни, заобиколувањето на автентикацијата - овие проблеми нема да исчезнат со појавата на квантното пресметување.

Пресек на вештачката интелигенција и сајбер-безбедноста

Тенденција што треба да се следи: AI + сајбер-безбедноста станува огромна можност за кариера.

„AI Cybersecurity will be a huge career opportunity.“ — @vihanjain

Ова не е само одбрана од напади водени од вештачка интелигенција, туку и користење на вештачка интелигенција за подобрување на безбедносните операции: откривање закани, препознавање аномалии, автоматизиран одговор. Но, вештачката интелигенција носи и нови ризици - труење на модели, противнички примероци, халуцинации кои водат до погрешни безбедносни одлуки.

Практични совети за бизнисите

1. Попишете ги шифрираните средства: идентификувајте кои податоци треба да се заштитат на долг рок
2. Развијте план за миграција на PQC: не чекајте до последниот момент
3. Зајакнете ја основната безбедност: VAPT (проценка на ранливост и тестирање на пенетрација) не треба да биде еднократен проект, туку континуиран животен циклус
4. Обрнете внимание на синџирот на снабдување: секоја алатка од трета страна е потенцијална површина за напад
5. Инвестирајте во таленти: талентите кои разбираат и вештачка интелигенција и безбедност ќе бидат исклучително ретки

Заклучок

Квантната закана не е научна фантастика, туку математички факт. Разликата е само: дали се подготвувате сега или ќе поправите откако ќе се случи нападот.

Изборот е ваш. Но, запомнете: напаѓачите веќе ви се зад грб и ги собираат сите податоци што ги шифрирате денес.