I praktiken är kvantdatorer fortfarande år borta, men US Cybersecurity and Infrastructure Agency rekommenderar fortfarande att organisationer börjar förbereda sig för migration till den post-kvantkryptografiska standarden.
Kvantdatorer använder kvantbitar (qubits) för att leverera högre datorkraft och hastighet, och förväntas kunna bryta befintliga kryptografiska algoritmer, såsom RSA och elliptisk kurvkryptografi. Detta skulle påverka säkerheten för all onlinekommunikation samt datakonfidentialitet och integritet. Säkerhetsexperter har varnat för att praktiska kvantdatorer kan vara möjliga på mindre än tio år.
National Institute of Standards and Technology tillkännagav de fyra första kvantresistenta algoritmerna som kommer att bli en del av den post-kvantkryptografiska standarden i juli, men den slutliga standarden väntas inte förrän 2024. Trots det uppmuntrar CISA kritiska infrastrukturoperatörer att påbörja sina förberedelser i förväg.
"Medan kvantberäkningsteknik som kan bryta krypteringsalgoritmer för offentliga nyckel i de nuvarande standarderna ännu inte existerar, måste myndigheter och kritiska infrastrukturenheter - inklusive både offentliga och privata organisationer - arbeta tillsammans för att förbereda en ny post-kvantkryptografisk standard att försvara sig mot framtida hot”, säger CISA.
För att hjälpa organisationer med sina planer utvecklade NIST och Department of Homeland Security Färdkarta för postkvantkryptering. Det första steget bör vara att skapa en inventering av sårbara kritiska infrastruktursystem, sa CISA.
Organisationer bör identifiera var och i vilket syfte kryptografi med offentlig nyckel används och markera dessa system som kvantsårbara. Detta inkluderar att skapa en inventering av de mest känsliga och kritiska datauppsättningarna som måste säkras under en längre tid, och alla system som använder kryptografisk teknik. Att ha en lista över alla system skulle underlätta övergången när det är dags att byta.
Organisationer kommer också att behöva bedöma prioritetsnivån för varje system. Med hjälp av inventerings- och prioriteringsinformationen kan organisationer sedan utveckla en systemövergångsplan för när den nya standarden publiceras.
Säkerhetspersonal uppmuntras också att identifiera standarder för förvärv, cybersäkerhet och datasäkerhet som måste uppdateras för att återspegla post-kvantkrav. CISA uppmuntrar ökat engagemang med organisationer som utvecklar post-kvantstandarder.
Byråns fokus på inventeringen återspeglar rekommendationerna från Wells Fargo på RSA-konferensen tidigare i år. I en session som diskuterade finansjättens kvantresa föreslog Richard Toohey, teknikanalytiker på Wells Fargo, att organisationer skulle börja sin kryptoinventering.
"Upptäck var du har förekomster av vissa algoritmer eller vissa typer av kryptografi, eftersom hur många människor var använder Log4j och hade ingen aning för att den var begravd så djupt?” Toohey sa. "Det är en stor fråga, att känna till alla typer av kryptografi som används i hela ditt företag med alla dina tredje parter - det är inte trivialt. Det är mycket arbete, och det kommer att behöva påbörjas nu."
Wells Fargo har ett "mycket aggressivt mål" att vara redo att köra post-kvantkryptografi om fem år, enligt Dale Miller, chefsarkitekten för informationssäkerhetsarkitektur på Wells Fargo.
Att migrera industriella kontrollsystem (ICS) till post-kvantkryptering kommer att vara en stor utmaning för operatörer av kritisk infrastruktur, främst eftersom utrustningen ofta är geografiskt spridd, sa CISA i varningen. Trots det uppmanade CISA organisationer med kritisk infrastruktur att i sina strategier inkludera de åtgärder som behövs för att hantera risker från kvantberäkningskapacitet.
CISA är inte den enda som slår larm om att komma igång. I mars satte Quantum-Safe Working Group of the Cloud Security Alliance (CSA) en deadline till den 14 april 2030, inom vilken företag ska ha sin post-kvantinfrastruktur på plats.
"Vänta inte tills kvantdatorerna används av våra motståndare för att agera. Tidiga förberedelser kommer att säkerställa en smidig migrering till post-kvantkryptografistandarden när den väl är tillgänglig, säger CISA.
