Praktisk sett er kvantedatamaskiner fortsatt år unna, men US Cybersecurity and Infrastructure Agency anbefaler fortsatt at organisasjoner begynner forberedelsene til migrasjon til den post-kvantekryptografiske standarden.
Kvantedatamaskiner bruker kvantebiter (qubits) for å levere høyere datakraft og hastighet, og forventes å være i stand til å bryte eksisterende kryptografiske algoritmer, som RSA og elliptisk kurvekryptografi. Dette vil påvirke sikkerheten til all elektronisk kommunikasjon samt datakonfidensialitet og integritet. Sikkerhetseksperter har advart om at praktiske kvantedatamaskiner kan være mulig om mindre enn ti år.
Nasjonalt institutt for standarder og teknologi kunngjorde de fire første kvanteresistente algoritmene som vil bli en del av den post-kvantekryptografiske standarden i juli, men den endelige standarden forventes ikke før i 2024. Likevel oppfordrer CISA kritiske infrastrukturoperatører til å begynne forberedelsene på forhånd.
"Selv om kvantedatateknologi som er i stand til å bryte offentlige nøkkelkrypteringsalgoritmer i gjeldende standarder ennå ikke eksisterer, må myndigheter og kritiske infrastrukturenheter - inkludert både offentlige og private organisasjoner - samarbeide for å forberede en ny post-kvantekryptografisk standard for å forsvare seg mot fremtidige trusler, sier CISA.
For å hjelpe organisasjoner med planene deres utviklet NIST og Department of Homeland Security Veikart for postkvantekryptering. Det første trinnet bør være å lage en oversikt over sårbare kritiske infrastruktursystemer, sa CISA.
Organisasjoner bør identifisere hvor og til hvilket formål offentlig nøkkelkryptering brukes, og merke disse systemene som kvantesårbare. Dette inkluderer å lage en oversikt over de mest sensitive og kritiske datasettene som må sikres over lengre tid, og alle systemer som bruker kryptografiske teknologier. Å ha en liste over alle systemene vil lette overgangen når det kommer tider for å bytte.
Organisasjoner må også vurdere prioritetsnivået for hvert system. Ved å bruke inventar- og prioriteringsinformasjonen kan organisasjoner utvikle en systemovergangsplan for når den nye standarden publiseres.
Sikkerhetseksperter oppfordres også til å identifisere standarder for anskaffelse, cybersikkerhet og datasikkerhet som må oppdateres for å gjenspeile post-kvantekrav. CISA oppfordrer til økt engasjement med organisasjoner som utvikler post-kvantestandarder.
Byråets fokus på inventaret gjenspeiler anbefalingene fra Wells Fargo på RSA-konferansen tidligere i år. I en sesjon som diskuterte finansgigantens kvantereise, foreslo Richard Toohey, teknologianalytiker ved Wells Fargo, at organisasjoner skulle begynne sin kryptobeholdning.
"Oppdag hvor du har forekomster av visse algoritmer eller visse typer kryptografi, fordi hvor mange mennesker var bruker Log4j og hadde ingen anelse fordi den ble begravd så dypt?» Toohey sa. "Det er et stort spørsmål, å kjenne til alle typer kryptografi som brukes gjennom hele virksomheten din med alle tredjepartene dine - det er ikke trivielt. Det er mye arbeid, og det må startes nå.»
Wells Fargo har et "veldig aggressivt mål" om å være klar til å kjøre post-kvantekryptografi om fem år, ifølge Dale Miller, sjefsarkitekten for informasjonssikkerhetsarkitektur hos Wells Fargo.
Migrering av industrielle kontrollsystemer (ICS) til post-kvantekryptografi vil være en stor utfordring for operatører av kritisk infrastruktur, hovedsakelig fordi utstyret ofte er geografisk spredt, sa CISA i varselet. Likevel oppfordret CISA kritiske infrastrukturorganisasjoner til å inkludere i sine strategier handlingene som trengs for å håndtere risikoer fra kvantedatabehandlingsevner.
CISA er ikke den eneste som slår alarm om å komme i gang. I mars satte Quantum-Safe Working Group of the Cloud Security Alliance (CSA) en frist til 14. april 2030, innen hvilken bedrifter skulle ha sin post-kvanteinfrastruktur på plass.
«Ikke vent til kvantedatamaskinene er i bruk av våre motstandere med å handle. Tidlige forberedelser vil sikre en jevn migrering til post-kvantekryptografistandarden når den er tilgjengelig, sa CISA.
