Kvantecomputere og IT-sikkerhed: Hvad bør du tænke over?

Introduktion

Ulven kommer, himlen styrter ned over ørerne på mig, aldrig før har vi set noget lignende. Mængden af ulykker, trusler og clickbait lignende overskrifter har aldrig været større, men er det hele så slemt, som man læser?

Kvantecomputere og kvantematematik er begyndt at fylde mere og mere i nyhedsbilledet (med rette), men det betyder ikke nødvendigvis, at himlen er ved at falde ned om ørerne på os. Det betyder nok nærmere, at det, der alene var visioner og drømme for nogle år siden, faktisk er blevet virkelighed i dag.

Der er flere store spillere og regeringer, der investerer massivt; Hvert år byder på ny udvikling, og kvantecomputere har allerede fundet anvendelse inden for videnskab og ‘kvantenære’ felter.

Men hvad betyder det så for jeres virksomhed, og betyder det i det hele taget noget?

Et af de sikkerhedsområder, som vi hører meget om, er, at den måde, som vi krypterer på i dag, måske kan gå hen og være nyttesløs?

Da kryptering i dag basalt set er ombytning af nogle tal (på en snedig måde), vil en kvantecomputer meget hurtigt kunne bryde krypteringen. Det er simpelthen, fordi den er så hurtig til at regne. Men er det en udfordring og et egentligt problem?

For at dykke ned i det er vi nødt til at sprede problematikken ud over et større område, og behandle det enkeltvis.

Fakta: Shor’s algoritme

Shor’s algoritme er en kvantealgoritme udviklet af Peter Shor i 1994, som løser problemet med at faktorisere store tal. Disse matematiske problemer danner grundlaget for sikkerheden i mange traditionelle krypteringsmetoder, såsom RSA. Metoderne fungerer ved at gøre det ekstremt svært og tidskrævende for klassiske computere at finde de primtal, der multipliceres sammen for at danne en offentlig nøgle.

Shor’s algoritme udnytter kvantecomputers evner til at udføre parallelle beregninger. Det gør det muligt at faktorisere store tal på en tidsskala, der er eksponentielt hurtigere end klassiske metoder.

Situationen, som vi kender den

1. Vores virksomhed har fortrolige data, og dem vil vi gerne passe på. Hvad gør vi?

Se, det er et godt spørgsmål, og faktisk lidt svært at svare på. Den computer, I sidder og arbejder på, har formentlig en helt klassisk processor i sig, og det bliver udfordringen. Hvis man skal forsøge at anvende nye krypteringsmetoder, der gør det svært for kvantecomputere at bryde igennem, vil det kræve så store ressourcer, at det formentligt vil være ulideligt at arbejde på enheden. Det betyder i praksis, at vi nok er nødt til at sætte vores lid til de store producenter (Microsoft, Apple, Google osv.) og få dem til at ændre i måden, deres applikationer arbejder på, så vi kan flytte “sikkerhedsaben” over til dem.

2. Vi vil gerne passe på vores data, når vi flytter dem. Hvad gør vi?

Der er begyndt at komme netværksudstyr, som faktisk understøtter kryptering, der er svær at dekryptere for kvantecomputere. Det betyder, at det udstyr har specifikke ASIC, som netop kan løse problematikken i hardware og dermed ikke forsinke netværket. Det bliver helt sikkert noget, som virksomheder, der arbejder med data med høj fortrolighed eller data, som har enorm stor værdi, kommer til at kigge ind i. Desværre falder man direkte tilbage til den første problemstilling, når data ender på server eller klient, så området kan ikke stå alene.

3. Harvest now, decrypt later!

Nogle af de store spillere på kvante-banen har været ude at fortælle historien om, at man mistænker fremmede lande og organisationer for at samle krypteret data op og gemme det, for på et senere tidspunkt at kunne kryptere det!

Ja, det lyder jo som noget fra en sci-fi-film, men det kan sagtens vise sig at være rigtigt: Men hvis det er rigtigt, så er det formentligt allerede en operation, der foregår lige nu… Og så er den ligesom tabt.

Kvantesikker: Hvad betyder det?

Der er i dag to overordnede tilgange til at opnå kvantesikkerhed:

1) Post-quantum cryptography (PQC), som udvikler nye matematiske algoritmer, der er robuste over for både klassiske og kvantebaserede angreb. Disse algoritmer implementeres på eksisterende digitale infrastrukturer, hvilket gør dem praktiske og kompatible med dagens systemer.

2) Quantum key distribution (QKD), der bruger kvanteteknologi til at skabe og distribuere krypteringsnøgler. QKD udnytter kvantemekaniske principper som super-position og entanglement for at sikre, at enhver aflytning af kommunikationen straks opdages.

Hvor PQC fokuserer på softwarebaserede løsninger, kræver QKD dedikeret kvantehardware.

Hvem er ansvarlig for din kryptering?

Når virksomheder ønsker at blive kvantesikre, opstår spørgsmålet: Hvem har ansvaret for krypteringen? For mange virksomheder er krypteringen ofte ikke noget, de selv styrer direkte, men en integreret del af de produkter, de køber fra leverandører som fx Microsoft. I disse tilfælde bliver rejsen til kvantesikring en snak med ens leverandør.

Hvis man har egenudviklet software, som indeholder kryptering, så står man over for en anden udfordring, som ofte kræver specialiseret viden og en detaljeret plan for migrering.

Opsummering: Hvad bør ”man” gøre?

Skal ”man” lære at programmere en kvantecomputer? Skal man ansætte en fysiker i sikkerhedsafdelingen? Sikkert ikke…

Kvantecomputer er noget, man som virksomhed kommer til at skulle forholde sig til i højere eller mindre grad de næste par år. Om det er om 2 år eller 10 år kan være svært at spå om, men det er teknologi, som bliver tilgængelig i den ”nærmeste fremtid”.

Det vigtige er at forholde sig til situationen og ikke gå i panik eller negligere det.

Start med en risikovurdering: Er jeres virksomhed i farezonen – altså er der mange, der vil stjæle jeres data? Hvis det er tilfældet, har I med garanti allerede nogle procedurer omkring, hvordan I skal behandle det. Her kan I med fordel begynde at læse med på artikler og indlæg om sikring af data, for de begynder at dukke op.

Hvis I ønsker at være first mover på kvantesikringsteknologien, så giv gas! Men vær opmærksom på, at det her er Cutting Edge teknologi, og det kan meget vel ændre sig markant de næste par år –  så en klassisk liste over fordele og ulemper vil nok være en god ide.

Kan man tillade sig at være ligeglad? Tjah, hvis vi kigger tilbage på de sidste 20 år, må man nok indrømme, at teknologi har ændret måden, vi agerer på i dagligdagen markant.

  • Det er de færreste, der køber GPS’er i dag
  • Philips Hue har gjort, at mange ikke køber lysdæmpere længere, da det kan styres i pæren
  • Vi betaler med telefoner og ure
  • Biler kan tankes derhjemme og ikke kun på tankstationer

Så jo, teknologi kan ændre vores hverdag –  så hvis du er nået hertil i indlægget, vil jeg nok mene, at I bør kaste lidt tid efter emnet 😀

 

Vil du vide mere?