Europejski Instytut Norm Telekomunikacyjnych (ETSI) wzywa organizacje do pilnego rozpoczęcia migracji na kryptografię odporną na ataki kwantowe (PQC). Eksperci ostrzegają, iż zagrożenie ze strony komputerów kwantowych jest realne, a firmy muszą działać już teraz, aby chronić swoje dane przed atakami typu “zbieraj teraz, odszyfruj później”.
Era komputerów kwantowych, zdolnych do złamania większości w tej chwili stosowanych algorytmów szyfrujących, zbliża się szybciej, niż wielu się wydaje. W związku z tym ETSI, jedna z kluczowych europejskich organizacji standaryzacyjnych, bije na alarm, podkreślając, iż czekanie na pojawienie się w pełni funkcjonalnego komputera kwantowego jest skrajnie ryzykowne. Głównym zagrożeniem, na które wskazują eksperci, jest strategia “zbieraj teraz, odszyfruj później” (store-now, decrypt-later). Polega ona na tym, iż cyberprzestępcy już dziś masowo kradną i przechowują zaszyfrowane dane, z zamiarem ich odszyfrowania w przyszłości, gdy tylko uzyskają dostęp do odpowiedniej mocy obliczeniowej. Dane, które muszą pozostać poufne przez lata – takie jak tajemnice państwowe, dane medyczne czy własność intelektualna – są szczególnie narażone.
W odpowiedzi na rosnące zagrożenie, ETSI oraz inne organizacje, takie jak amerykańska Agencja Bezpieczeństwa Narodowego (NSA) i unijna ENISA, opracowały konkretne rekomendacje i harmonogramy działania. ETSI zaleca trzystopniowe podejście do migracji. Pierwszy etap to stworzenie szczegółowego inwentarza wszystkich zasobów kryptograficznych w organizacji, aby zidentyfikować, które systemy i dane są zagrożone. Drugi etap to przygotowanie szczegółowego planu migracji, uwzględniającego zależności między systemami i priorytety. Ostatni, trzeci etap, to faktyczne wdrożenie nowych, kwantowo-odpornych algorytmów i zarządzanie całym procesem. Unia Europejska wyznaczyła już konkretne cele: infrastruktura krytyczna i systemy wysokiego ryzyka powinny przejść na PQC najpóźniej do końca 2030 roku.
Pilną potrzebę działania najlepiej obrazuje tzw. twierdzenie Mosci, które pomaga oszacować ryzyko. Określa je prosta nierówność: jeżeli X (czas, przez który dane muszą być bezpieczne) + Y (czas potrzebny na migrację systemów) jest większe niż Z (czas, jaki pozostał do zbudowania komputera kwantowego), to organizacja jest w poważnym niebezpieczeństwie. Biorąc pod uwagę, iż migracja złożonych systemów IT w dużej korporacji może trwać choćby dekadę, a eksperci oceniają prawdopodobieństwo złamania szyfru RSA-2048 w ciągu najbliższych 5-10 lat jako wysokie, dla wielu firm nierówność ta jest już spełniona. Przesłanie ETSI jest jednoznaczne: proces planowania i wdrażania kryptografii kwantowej musi rozpocząć się natychmiast.
