Filter

Blog

Q-Day kan være tættere på, end du tror

Hvornår Q-Day indtræffer, ved ingen. Men det er ikke datoen, der er afgørende – det er, om din organisation er klar. Læs, hvorfor forberedelse til post-quantum cryptography bør begynde nu, og hvilke skridt virksomheder kan tage for at beskytte deres data og digitale tillid.

Læsetid: 7 minutter

Kristian von Staffeldt

Chief Security Architect, Conscia Danmark

Q-Day kan være tættere på, end du tror – featured image

Spring til:

I flere år har budskabet om quantum computing været det samme: Teknologien er lovende, men den ligger stadig et stykke ude i fremtiden. Derfor har mange organisationer betragtet de sikkerhedsmæssige konsekvenser som vigtige – men ikke presserende.

Problemet er, at udviklingen næppe bliver lineær. Inden for quantum computing kan der være lange perioder med små fremskridt, efterfulgt af hurtige gennembrud. Derfor er det risikabelt at antage, at der er god tid til at forberede sig.

Q-Day betegner det tidspunkt, hvor kvantecomputere bliver i stand til at bryde den asymmetriske kryptografi, som en stor del af vores digitale tillid bygger på. Det gælder blandt andet RSA og elliptiske kurver (ECC), der bruges til nøgleudveksling og digitale signaturer.

Ingen ved præcis, hvornår Q-Day indtræffer. Det afgørende er heller ikke datoen, men hvor godt organisationer er forberedt. En overgang til post-quantum cryptography tager tid, og konsekvenserne af at starte for sent kan være betydelige.

Hvorfor tidslinjen kan ændre sig hurtigere end forventet

En af grundene til, at samtalen om quantum computing har ændret sig, er, at udviklingen ikke længere følger én forudsigelig vej. Flere forskellige hardwareteknologier udvikles parallelt, de største teknologivirksomheder offentliggør stadig mere ambitiøse roadmaps, og både virksomheder og regeringer investerer massivt i området.

Det betyder ikke, at et gennembrud er lige om hjørnet. Men det betyder, at forventningerne til udviklingen kan ændre sig hurtigere, end mange organisationer er vant til.

Samtidig spiller AI en stadig større rolle i forskning og udvikling. AI bliver allerede brugt til modellering, optimering og eksperimenter, og kan derfor være med til at accelerere udviklingen af kvanteteknologier.

Det gør ikke forudsigelserne mere sikre. Til gengæld understreger det, at lange tidshorisonter ikke bør tages for givet. Når flere teknologier udvikler sig og understøtter hinanden, kan fremskridt ske hurtigere end forventet.

Risikoen handler ikke kun om, hvornår gennembruddet bliver kendt

Der er en anden grund til ikke at være for tilbøjelig til at slå koldt vand i blodet: Organisationer får måske ikke meget varsel. Et kryptografisk gennembrud bliver ikke først farligt, når det bliver offentliggjort. Det bliver farligt, når nogen kan udnytte det. Historien giver et godt eksempel. Under Anden Verdenskrig blev det vellykkede brud på Enigma-koden holdt hemmeligt, fordi fordelen ikke kun lå i selve gennembruddet, men også i, at modparten ikke vidste, at det var sket.

Det samme princip er relevant i en quantum-kontekst. Hvis en aktør opnår et kryptografisk gennembrud, før resten af markedet forventer det, kan organisationer stå i en situation, hvor følsom kommunikation, digitale signaturer eller tidligere opsamlede krypterede data er i risiko, før konsekvenserne er fuldt forstået. Derfor bør Q-Day ikke betragtes som én enkelt offentlig begivenhed. Det er mere præcist at se det som et tidspunkt, hvor tilliden til den eksisterende kryptografi begynder at blive udfordret – medmindre organisationer har forberedt sig i god tid.

Kryptografi har altid haft en begrænset levetid

Der er en vigtig historisk læring i alt dette. Kryptografiske standarder holder ikke for evigt. Med tiden bliver algoritmer, der engang blev betragtet som robuste, forældede i takt med, at computerkraften øges, og nye angrebsmetoder udvikles.

Vi har set det før med ældre standarder som DES, RC4 og Triple DES. De tjente alle deres formål i deres samtid, men blev med tiden erstattet af stærkere alternativer. Det var ikke et tegn på, at kryptering som koncept havde slået fejl. Det var et tegn på, at sikkerhed skal udvikle sig i takt med de trusler og den teknologi, der omgiver den.

Det er en vigtig pointe for virksomhedsledere. Overgangen til post-quantum cryptography er ikke en helt ny type udfordring. På mange måder er det endnu et kapitel i en velkendt historie: Betroede standarder bliver forældede, organisationer tilpasser sig, og de, der planlægger i god tid, kan gennemføre overgangen med færre forstyrrelser.

Forskellen denne gang er omfanget. Moderne IT-miljøer er dybt afhængige af public-key cryptography, og mange organisationer har en betydelig mængde legacy-teknologi, som skal håndteres. Selvom udfordringen i princippet er velkendt, vil overgangen sandsynligvis være mere kompleks i praksis

Mange organisationer er ikke klar til en hurtigere udvikling

Selvom det præcise tidspunkt fortsat er usikkert, står én ting allerede klart: Mange organisationer er ikke i stand til at reagere hurtigt.

Kryptografi er ofte dybt integreret i applikationer, enheder, certifikater, VPN’er, identity systems og third-party platforme. I nogle tilfælde er den hard-coded. I andre tilfælde er den indbygget i produkter, som organisationen ikke har fuld kontrol over. Derfor er en migration ikke blot et simpelt skifte. Det er et længere forløb, der omfatter kortlægning, prioritering, test og en gradvis udskiftning.

Der er også en organisatorisk udfordring. Mange virksomheder har endnu ikke et fuldt overblik over, hvor kryptografi anvendes, hvem der har ansvaret for den, eller hvilke systemer der beskytter de mest følsomme data med den længste levetid. Nogle mangler også de interne kompetencer til at lede overgangen.

Derfor kan en migration, som kan tage flere år, blive presserende langt hurtigere end forventet. Hvis forberedelsen tager et årti, er usikkerheden omkring Q-Day ikke en grund til at vente – den er en grund til at begynde tidligere.

Hvad organisationer bør gøre nu

Den umiddelbare prioritet er ikke at forudsige den præcise dato for Q-Day. Den er at reducere risikoen for at stå uforberedt, hvis udviklingen accelererer. Det begynder med at identificere organisationens mest følsomme data, de systemer, der er afhængige af sårbar public-key cryptography, og de tjenester, hvor et tab af tillid kan få størst konsekvenser, hvis digital signatures eller sikker kommunikation ikke længere kan betragtes som pålidelige.

Herefter bør organisationer opbygge et cryptographic inventory og styrke deres cryptographic agility. I praksis betyder det at skabe overblik over, hvor kryptografiske algoritmer anvendes, hvor vanskelige de er at udskifte, og hvordan kryptografi over tid kan adskilles fra tæt koblet applikationslogik. Organisationer, der begynder dette arbejde nu, vil være bedre rustet til at implementere post-quantum kontroller på en struktureret måde – og samtidig bedre i stand til at bevare tilliden, når markedet begynder at stille spørgsmålet: Hvem er reelt klar?

Q-Day kan stadig ligge længere ude i fremtiden, end nogle forventer. Den kan også komme tidligere, end mange har planlagt efter. Netop den usikkerhed er grunden til, at emnet fortjener opmærksomhed allerede nu. Organisationer, der forbereder sig i god tid, satser ikke på en dramatisk overskrift. De anerkender, at tillid, robusthed og langsigtet sikkerhed er lettere at beskytte, før presset bliver synligt. Når det gælder quantum security, er den største risiko ikke kun at tage fejl af datoen. Den er at undervurdere, hvor lang tid en sikker overgang faktisk tager.

Kvantesikker kryptografi – Alarmtilstand eller rettidig omhu?

Denne blog er skrevet i forlængelse af en tidligere blog, der også handler om Quantum, fra nogle af mine kollegaer, men mindst lige så meget på baggrund af mine egne reflektioner efter at have besøgt …

Læs

Om forfatteren

Kristian von Staffeldt

Chief Security Architect, Conscia Danmark

Seneste Blog indlæg

Relateret

Resourcer