Me Netprofilella toimimme vankasti teknologiaan liittyvän markkinointiviestinnän parissa. Jotta pysymme ajan hermolla, syvennymme välillä uusimpiin ilmiöihin jopa ohi asiakastehtävien. Itse sain äskettäin tilaisuuden setviä, miksi tarvitsemme pian kvanttikryptografiaa. Lue lisää ja ota askel kohti kvanttiaikaa!
Olen tuottanut yhdessä asiakkaideni kanssa huiman määrän tietoturvaan liittyviä sisältöjä, artikkeleista ja blogeista aina mittaviin oppaisiin ja raportteihin asti. Aihepiiri on aina ollut yksi nörttisieluni lempiaiheista. Siksi raivasin kalenteriaikaa syväsukellukselle kvanttikryptografian jännittävään maailmaan ja osallistuin Kyberturvallisuuskeskuksen Tietoturva 2024 -seminaariin.
Lavalle nousseet huippuasiantuntijat avasivat kvanttitietokoneiden ja salausalgoritmien yhteyden helppotajuisella tavalla. He tekivät selväksi, että jokaisen yrityksen täytyy alkaa varautua kvanttitietokoneiden tuloon. Ei ainoastaan bisneshyötyjen, vaan myös tietoturvan takia.
Lähivuosina kubittien voimin toimivat kvanttikoneet tuovat huimia uusia mahdollisuuksia liki kaikille toimialoille ja tieteelliseen tutkimukseen. Arviolta aikaisintaan kymmenen vuoden päässä häämöttää niin sanottu kvanttietu. Se tarkoittaa historian hetkeä, jolloin kvanttitietokone löylyttää suorituskyvyssä parhaan tavanomaisen supertietokoneen.
Teoriassa samalla hetkellä, kun kvanttietu koittaa, murentuvat kaikki nyt käytössä olevat internetin tietoliikenteen salaustekniikat.
Shorin algoritmi – innoittaja ja uhka samassa paketissa
Kvanttiuhka ilmeni jo vuonna 1994, kun matemaatikko Peter Shor julkaisi nimellään tunnetun kvanttialgoritmin. Siis hämmästyttävästi aikana, jolloin kvanttitietokoneet olivat pelkkää fantasiaa!
Shorin algoritmin avulla kvanttitietokone pystyy ratkaisemaan äärimmäisen nopeasti hyvin vaikeita matemaattisia ongelmia. Sellaisia, joihin nykyiset salausalgoritmit perustuvat eli niin sanottuja epäsymmetrisiä avaimia. Tavalliselle tietokoneelle vastaava laskentatehtävä on käytännössä mahdoton.
Hassua kyllä, Shorin algoritmi on toiminut sekä uhkan herättäjänä että inspiraationa kvanttitietokoneiden rakentamiselle. Yksi inspiroituneista on sattumoisin maailman johtaviin kvanttikonevalmistajiin kuuluva suomalainen IQM Quantum Computers. Seminaarissa yhtiön turvallisuus- ja puolustusjohtaja Jouni Flyktman kertoi, että vielä ei tiedetä tarkkaan, millainen suorituskyky kvanttitietokoneelta tarvitaan, että salausten murtaminen onnistuu.
Keskimääräinen arvio asettuu 20 miljoonaan fyysiseen kubittiin, jotka toimivat lähes virheettömästi. Jos kvanttikoneiden ennustettu kehitystahti säilyy, kriittinen raja voidaan saavuttaa jopa 12 vuoden kuluttua. Aikataulu tarkentuu lähivuosina.
Kvanttivaras voi kaapata salattua nettiliikennettä odottamaan tiirikkaa
Eniten odotin, mitä kerrottavaa mahtaa olla Yhdysvaltain kuuluisan standardointi- ja teknologiainstituutin NISTin tietoturvayksikön johtajalla Matthew Schollilla. Hän totesi ensin, että toistaiseksi voimme huoletta välittää luottamuksellista tietoa verkkoyhteyksillä, vaikka emme voi luottaa datan reittiin koko matkan varrella. Voimme turvallisesti jakaa tietoa yrityskumppanille, käyttää nettipankkia, tehdä verkko-ostoksia, katsoa omia terveystietoja verkossa tai lähettää mitä vain digitaalista läheisille.
”Miksi meidän sitten pitää välittää kvanttiuhkasta nyt, kun se ei ole vielä käsillä? Jos minä olisin verkkorikollinen, lataisin jo talteen kiinnostavan kohteen salattua tietoliikennettä. Odottaisin, että yhtenä päivänä pystyn purkamaan salauksen.”
Tosielämän kvanttivarkaat siis poikkeavat hieman kirjailija Hannu Rajaniemen huikeasta romaanista. Heidän haltuunsa tuskin joutuu tarpeeksi tasokkaita kvanttitietokoneita läheskään ensimmäisenä, mutta joskus niin varmasti käy. Silloin on myöhäistä miettiä, miten varmistaa tietosuoja, jos datan salausmenetelmän parasta ennen -päiväys on menneisyydessä.
Johtopäätös on, että kvanttilaskenta mullistaa myös kyberturvallisuuden. Scholl kehotti aloittamaan perehtymisen, analysoimaan uhkia ja valitsemaan, minkä nykyhetkellä luottamuksellisten tietojen täytyy säilyä luottamuksellisina vielä vuosien kuluttua.
Huippuasiantuntija Suvi Lampila tietoturvayhtiö SSH Communications Securitystä oikoi vaarallisia väärinkäsityksiä. Monet esimerkiksi luulevat, että kvantinkestävä salaus tarvitaan kvanttitietokoneisiin. Näin ei ole, vaan se tarvitaan päinvastoin kaikkiin tavallisiin tietokoneisiin ja tietoliikenteeseen.
Kvantinkestävät NIST PQC -salausalgoritmit tulevat jo kesällä
Jäämmekö kubittien armoille? Ei, sillä onneksi kyberasiantuntijat ahertavat parhaillaan uutta salaustekniikkaa. Sitä nimitetään harhaanjohtavasti kvanttiajan jälkeiseksi kryptografiaksi (post-quantum cryptography, PQC).
NIST käynnisti kehitystyön jo 2016 avaamalla laajan PQC-algoritmien kilpailun. Ehdotuksia tuli liki sata. Pudotuspelissä algoritmien vahvuutta on koeteltu reippaasti, ja kourallinen finalisteja valikoitui 2022. Nyt niitäkin on testattu ankarasti, ja tulokset näyttävät lupaavilta.
Huhtikuun aikana NIST järjestää vielä workshopin. Jos siinä kaikki menee odotusten mukaan, kesällä 2024 ilmestyy peräti kolme uutta kvantinkestävää salausalgoritmien standardia.
Mikä nousee kvanttialgoritmien suosikiksi: CRYSTALS-Dilithium, CRYSTALS-Kyber – vai sittenkin BIKE?
Pelkät standardit eivät kuitenkaan riitä. Ne pitää saada vikkelästi laajaan käyttöön, ja siksi NIST alkoi 2021 koota laajaa yhteenliittymää valmistelemaan maailman siirtymää kvanttiturvalliseen salaukseen. Mukaan on kutsuttu keskeisiä yrityksiä, joista yksi on SSH. Suomeenkin on perustettu vastaava kansallinen organisaatio PQC Finland.
Arkipäivässä salausalgoritmit tuntuvat etäisiltä. Ne ovat silti ihan lähellämme kaikkialla. Ne toimivat huomaamatta älypuhelimissa, tietokoneissa, wifi-tukiasemissa, kiinteissä modeemeissa, matkapuhelinverkossa, internetin joka kohdassa ympäri maailmaa. Kun näihin kaikkiin ilmestyy Shorin algoritmin kestävä uusi salaus, voimme julistaa: Tervetuloa, kvanttiaika!
Haluatko kuulla, millaisia digitaaliseen turvallisuuteen liittyviä sisältöjä yrityspäättäjille ja asiantuntijoille Netprofile pystyy tuottamaan yrityksellesi?