A kvantumszámítógépek megjelenése komoly számítási kapacitásnövekedést ígér. Ez nem pusztán a kalkulációs számítások felgyorsulását jelenti, hanem biztonsági kockázatot is rejt magában, különösen a web alapú kommunikációknál, ahol pl. RSA titkosítást használnak.
Európában elsőként, 2022 július 1-jén hatályba lépett a vonatkozó jogszabály, mely egy új fogalmat vezet be, a poszt-kvantumtitkosítást, amit két végpont közötti kommunikáció – és későbbi kiterjesztés után akár adattárolás – során kell alkalmaznia minden kormányzati célú, közszolgáltatást nyújtó szervezetnek, a közműszolgáltatóknak és a bankoknak. A pontos műszaki specifikáció és végrehajtási rendelet ugyan nem született még meg, de a jogalap a végrehajtáshoz elkészült.
Bár a jogszabály jelen változata csak a szervezetek kommunikációs csatornáinak védelmére tér ki, de az ehhez hasonló szabályozások ennél jóval szélesebb kört szoktak meghatározni: elég, ha csak a GDPR-ra gondolunk, ahol az adattovábbítás mellett a tárolt személyes adatok titkosítását és integritását is védendőnek jelölték meg. Vélhetőleg a jelen jogszabály pontosítására is sor kerül majd, hogy összhangban legyen a hasonló rendelkezésekkel.
Néhány napja – 6 évnyi elemzés után – az amerikai szabványügyi hivatal (NIST) nyilvánosságra hozta döntését, hogy mely „quantum-safe” algoritmusok alapján dolgozzák ki a poszt-kvantum titkosítási szabványt. Az általános titkosítás terén a CRYSTALS-Kyber algoritmus, míg a digitális aláírások esetén 3 algoritmus (CRYSTALS-Dilithium, FALCON és SPHINCS+) került kiválasztásra.
Elméletileg valamennyi jelenleg széles körben használt nyilvános kulcsú kriptográfiai algoritmus sebezhető a Shor-algoritmuson alapuló támadásokkal szemben, amelyeket csak nagyméretű kvantumszámítógéppel lehet megvalósítani. Bizonyos funkcióknál (pl. HTTPS kommunikációnál, SSL/TLS handshake esetén) elegendő lehet a web szerver-t konfigurálni, más funkcióknál viszont – üzenetszintű műveleteknél (pl. rejtjelezett SAML vagy OpenID Connect JWT-nél) – jobban bele kell nyúlni a kódokba, sőt, akár az adatbázisok szintjén is módosítást igényelhet a technológiaváltás (pl. rejtjelezett módon tárolt adatok esetében).
A törvényben megnevezett szervezeteknek el kell kezdeniük felkészülni a változásra. Míg bizonyos rendszerek (pl. mobiltelefonok) esetén az alkatrészek cseréje megoldja majd a problémát, más komponensek esetén (pl. villamosenergiatermelő és elosztó rendszerek) nagy valószínűséggel csak sokkal lassabban lesz elérhető a megfelelő módosítás. A különböző számítógépes rendszerek közötti interoperabilitás és az adatok archiválása további feladatokat határoz meg. Általános szabály azonban, hogy a kriptográfiai algoritmusokat nem lehet addig cserélni, amíg a rendszer minden eleme nem készült fel a változtatás feldolgozására. Az alkalmazott protokollok, sémák és infrastruktúra-elemek frissítését is meg kell oldani az új kriptográfiai algoritmus bevezetésével. A közelmúltban újabb sérülékenységet orvosoltak a szakemberek például a Java kódban, így várhatóan ebben az esetben sem lesz zökkenőmentes az átállás.
Az egyes algoritmusok különböző paraméterek mentén működnek, melyek alkalmazása úgyszintén komoly szakértelmet kíván. Következésképpen a jogszabály végrehajtása szakértői támogatást, az üzleti tevékenységhez való igazítást, akár erre szakosodott matematikus bevonását, auditját igényli, hogy az adott intézmény, szervezet rendszerei megfeleljenek az előírásoknak. Mivel Magyarország elsőként vezette be a szabályozást, érdemes figyelemmel kísérni, mi történik.
Az E-Group csapata már 2015 óta foglalkozik a témával és komoly szaktekintélynek számít. Amennyiben kérdése van, tanácsra szorul, keressen minket.