Alt tyder på, at eksisterende krypteringsteknologier kan brydes meget let ved brug af kvantecomputere, der kan være en realitet allerede om 10-15 år.
»Risikoen er ekstrem, hvis sådanne maskiner findes, men de findes formodentlig ikke i dag. Ja, det er en katastrofe. De sikre kommunikationsløsninger vil blive brudt. Men som med alle andre katastrofer afhænger konsekvenserne af, hvordan man imødegår det,« sagde Ole Kasper Olsen under NSM Security Conference, der bliver afholdt i Oslo i denne uge.
Olsen er forsker i den kryptografiske udviklingsenhed hos norges Nasjonal sikkerhetsmyndighet – NSM – og har 10 års erfaring i evaluering og certificering af kryptosystemer til applikationer. Arbejdet med kryptologi hos NSM kan spores tilbage til 1942 i London, hos NSMs organisatoriske forløber, FO / S (Forsvarets Overkommando/Sikkerhetsstaben.)
Allerede sent på den
Det største problem i dag er relateret til information, der har behov for langsigtet beskyttelse, i ti år eller mere. Selvom denne information er krypteret på en måde, der ikke kan brydes i dag, kunne situationen være anderledes om nogle år.
Hvis en hacker opsnapper eller stjæler den krypterede information i dag og gemmer den, indtil den kan dekrypteres af kvantecomputere i løbet af et årti eller deromkring, kan dette være et problem, der skal tages højde for allerede nu. En god del information, der er følsom i dag, vil stadig være det på dette tidspunkt.
For de fleste af os, der normalt kun bruger kryptering for at forhindre adgang til netbank og andre små følsomme tjenesteydelser, udgør disse perspektiver ikke nogen overhængende fare. Hvor meget du eller jeg havde på vores konto for 10 til 15 år siden, er sandsynligvis af ringe interesse for de fleste – i hvert fald givet, at de er nødvendige ressourcer for at drive en kvantecomputer er enorme.
Det betyder sandsynligvis, at brugen af sådanne kvantecomputere til at knække kryptering kun vil gælde for statsstøttede aktører. Sådanne maskiner vil selvfølgelig også kunne bruges til andre formål.
Ingen alternativer klar
Den anden side af problemet er, at vi ikke har nogen løsning i dag. Olsen rejste et scenarie, hvor information, som nogen sender, skal forblive sikkert i ti år.
»Lad os sige, at kvantecomputere kommer i 2030. Det betyder, at brug af udstyr med kryptografi, der kan brydes af kvantecomputere, skal ophøre i 2020. I dag er der ingen standardiseret kvanteresistente krypteringsalgoritmer til rådighed,« siger han.
Sådanne nye algoritmer skal derfor udvikles på grundlag af kendte matematiske fundamenter, der er resistente. Ifølge Olsen er der indtil videre for lidt viden om det matematiske grundlag til at kunne stole på det.
NIST (National Institute of Standards and Technology) i USA – som ifølge Olsen er en anerkendt standardiseringsorgan til kryptografiske algoritmer – har startet en proces, der minder om en turnering. Her forsøger man at bryde indsendte forslag til kryptering. Ifølge Olsen vil denne proces sandsynligvis løbe til omkring 2022/23, inden den når en endelig standard.
Nogle råd med på vejen
Spørgsmålet er om dette tidligt nok. Svaret afhænger af den enkelte virksomheds behov for langsigtet beskyttelse af data. De berørte virksomheder kan dog foretage visse forberedelser, der hjælper med at forhindre, at ventetiden bliver yderligere forlænget.
Olsens råd omfatter, at man fremover anskaffer systemer, der er fleksible nok til at tillade, at sårbare algoritmer kan udskiftes, når der kommer kommer gode, kvanteresistente alternativer.
I mellemtiden må virksomheder vurdere, om der skal træffes specifikke foranstaltninger for at beskytte visse værdier i de kommende år, indtil de kvanteresistente alternativer er blevet tilgængelige.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
