ETSI alarmuje: Rozpoczął się wyścig z czasem w migracji na kryptografię odporną na ataki kwantowe

Europejski Instytut Norm Telekomunikacyjnych (ETSI) wzywa organizacje do pilnego rozpoczęcia migracji na kryptografię odporną na ataki kwantowe (PQC). Eksperci ostrzegają, że zagrożenie ze strony komputerów kwantowych jest realne, a firmy muszą działać już teraz, aby chronić swoje dane przed atakami typu “zbieraj teraz, odszyfruj później”.

Era komputerów kwantowych, zdolnych do złamania większości obecnie stosowanych algorytmów szyfrujących, zbliża się szybciej, niż wielu się wydaje. W związku z tym ETSI, jedna z kluczowych europejskich organizacji standaryzacyjnych, bije na alarm, podkreślając, że czekanie na pojawienie się w pełni funkcjonalnego komputera kwantowego jest skrajnie ryzykowne. Głównym zagrożeniem, na które wskazują eksperci, jest strategia “zbieraj teraz, odszyfruj później” (store-now, decrypt-later). Polega ona na tym, że cyberprzestępcy już dziś masowo kradną i przechowują zaszyfrowane dane, z zamiarem ich odszyfrowania w przyszłości, gdy tylko uzyskają dostęp do odpowiedniej mocy obliczeniowej. Dane, które muszą pozostać poufne przez lata – takie jak tajemnice państwowe, dane medyczne czy własność intelektualna – są szczególnie narażone.

W odpowiedzi na rosnące zagrożenie, ETSI oraz inne organizacje, takie jak amerykańska Agencja Bezpieczeństwa Narodowego (NSA) i unijna ENISA, opracowały konkretne rekomendacje i harmonogramy działania. ETSI zaleca trzystopniowe podejście do migracji. Pierwszy etap to stworzenie szczegółowego inwentarza wszystkich zasobów kryptograficznych w organizacji, aby zidentyfikować, które systemy i dane są zagrożone. Drugi etap to przygotowanie szczegółowego planu migracji, uwzględniającego zależności między systemami i priorytety. Ostatni, trzeci etap, to faktyczne wdrożenie nowych, kwantowo-odpornych algorytmów i zarządzanie całym procesem. Unia Europejska wyznaczyła już konkretne cele: infrastruktura krytyczna i systemy wysokiego ryzyka powinny przejść na PQC najpóźniej do końca 2030 roku.

Pilną potrzebę działania najlepiej obrazuje tzw. twierdzenie Mosci, które pomaga oszacować ryzyko. Określa je prosta nierówność: jeśli X (czas, przez który dane muszą być bezpieczne) + Y (czas potrzebny na migrację systemów) jest większe niż Z (czas, jaki pozostał do zbudowania komputera kwantowego), to organizacja jest w poważnym niebezpieczeństwie. Biorąc pod uwagę, że migracja złożonych systemów IT w dużej korporacji może trwać nawet dekadę, a eksperci oceniają prawdopodobieństwo złamania szyfru RSA-2048 w ciągu najbliższych 5-10 lat jako wysokie, dla wielu firm nierówność ta jest już spełniona. Przesłanie ETSI jest jednoznaczne: proces planowania i wdrażania kryptografii kwantowej musi rozpocząć się natychmiast.