I praksis er kvantecomputere stadig år væk, men US Cybersecurity and Infrastructure Agency anbefaler stadig, at organisationer begynder forberedelserne til migration til den post-kvante kryptografiske standard.
Kvantecomputere bruger kvantebits (qubits) til at levere højere computerkraft og hastighed og forventes at være i stand til at bryde eksisterende kryptografiske algoritmer, såsom RSA og elliptisk kurvekryptografi. Dette vil påvirke sikkerheden af al onlinekommunikation samt datafortrolighed og integritet. Sikkerhedseksperter har advaret om, at praktiske kvantecomputere kan være mulige på mindre end ti år.
National Institute of Standards and Technology annoncerede de første fire kvanteresistente algoritmer som bliver en del af den post-kvante-kryptografiske standard i juli, men den endelige standard forventes først i 2024. Alligevel opfordrer CISA kritiske infrastrukturoperatører til at begynde deres forberedelser på forhånd.
"Mens kvantecomputerteknologi, der er i stand til at bryde offentlige nøglekrypteringsalgoritmer i de nuværende standarder endnu ikke eksisterer, skal offentlige og kritiske infrastrukturenheder - inklusive både offentlige og private organisationer - arbejde sammen for at forberede en ny post-kvantekrypteringsstandard at forsvare sig imod fremtidige trusler,” siger CISA.
For at hjælpe organisationer med deres planer udviklede NIST og Department of Homeland Security Post-kvantekryptering køreplan. Det første skridt bør være at skabe en opgørelse over sårbare kritiske infrastruktursystemer, sagde CISA.
Organisationer bør identificere, hvor og til hvilket formål, offentlig nøglekryptografi bliver brugt, og markere disse systemer som kvantesårbare. Dette inkluderer oprettelse af en opgørelse over de mest følsomme og kritiske datasæt, der skal sikres i længere tid, og alle systemer, der bruger kryptografiske teknologier. At have en liste over alle systemerne ville lette overgangen, når det kommer tid til at skifte.
Organisationer skal også vurdere prioritetsniveauet for hvert system. Ved at bruge opgørelses- og prioriteringsoplysningerne kan organisationer derefter udvikle en systemovergangsplan for, hvornår den nye standard udgives.
Sikkerhedsprofessionelle opfordres også til at identificere standarder for erhvervelse, cybersikkerhed og datasikkerhed, som skal opdateres for at afspejle post-kvantekrav. CISA tilskynder til øget engagement med organisationer, der udvikler post-kvantestandarder.
Styrelsens fokus på opgørelsen afspejler anbefalingerne fra Wells Fargo ved RSA-konferencen tidligere i år. I en session, der diskuterede den finansielle gigants kvanterejse, foreslog Richard Toohey, teknologianalytiker hos Wells Fargo, at organisationer påbegyndte deres kryptoopgørelse.
"Opdag, hvor du har forekomster af bestemte algoritmer eller visse typer kryptografi, fordi hvor mange mennesker var bruger Log4j og havde ingen anelse om det fordi den var begravet så dybt?” sagde Toohey. "Det er en stor forespørgsel, at kende alle typer kryptografi, der bruges i hele din virksomhed med alle dine tredjeparter - det er ikke trivielt. Det er meget arbejde, og det skal i gang nu.”
Wells Fargo har et "meget aggressivt mål" om at være klar til at køre post-kvantekryptografi om fem år, ifølge Dale Miller, chefarkitekten for informationssikkerhedsarkitektur hos Wells Fargo.
Migrering af industrielle kontrolsystemer (ICS'er) til post-kvantekryptering vil være en stor udfordring for kritiske infrastrukturoperatører, primært fordi udstyret ofte er geografisk spredt, sagde CISA i advarslen. Alligevel opfordrede CISA kritiske infrastrukturorganisationer til at inkludere de nødvendige handlinger i deres strategier for at imødegå risici fra kvantecomputere.
CISA er ikke den eneste, der slår alarm om at komme i gang. I marts satte Quantum-Safe Working Group fra Cloud Security Alliance (CSA) en deadline til den 14. april 2030, inden for hvilken virksomheder skulle have deres post-kvanteinfrastruktur på plads.
"Vent ikke med at handle, indtil kvantecomputerne er i brug af vores modstandere. Tidlige forberedelser vil sikre en jævn migrering til post-kvantekryptografistandarden, når den er tilgængelig,” sagde CISA.
