Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) je pripravil gradivo »Varna digitalna prihodnost v dobi kvantnih računalnikov – prehod v post-kvantno kriptografijo (PQC)«, ki obravnava vpliv razvoja kvantnega računalništva na varnost digitalnih sistemov.
»V uradu so z izdajo tega informativnega biltena potrdili, da razvoj kvantnega računalništva ustvarja realna varnostna tveganja, na katera se je treba začeti pripravljati in to že letos. To je na nek način streznitev za trg, ki je doslej kvantne grožnje videl v veliki meri kot trženjski trik ponudnikov kriptografksih rešitev in storitev,« je dejal Mitja Trampuž, direktor podjetja CREPALUS.
Gradivo prinaša osnovne informacije o tveganjih in podaja primere groženj, ki jih lahko doživijo organizacije v primeru napada s kvantnim računalnikom. Hkrati odkriva osnove post-kvantne kriptografije (PQC) ter usmerja organizacije k prehodu na kvantno varne kriptografske algoritme.
Mitja Trampuž, direktor podjetja CREAPLUS in podpredsednik Sekcije za kibernetko varnost, ZIT GZS: »Pomembno je, da dokument ni le informativno gradivo temveč v njem URSIV eksplicitno priporoča, da zavezanci po ZInfV-1 ter druge organizacije, ki niso neposredno zavezane temu zakonu, začnejo z aktivnostmi za prehod na post-kvantno kriptografijo.«
Obenem prenaša mejnike, ki jih je za prehod na PQC opredelila EU in sicer, da države do 31. decembra letos sprejmejo nacionalni načrti prehoda na PQC ter zaženejo prve poskusne projekte. EU v svojih smernicah za prehod na PQC, ki jih je objavila v dokumentu EU roadmap za PQC svetuje, da naj bo 31. decembra 2030 zaključen prehod na post-kvantno kriptografijo za entitete z visokim tveganjem, do 31. decembra 2035 pa še za vse ostale entitete.
»Roki, ki jih za predlaga EU se morda zdijo precej oddaljeni. Vendar se je treba zavedati, da kriptografski projekti v večjih organizacijah trajajo precej časa. Še posebej pri post-kvantni kriptografiji bo to zahteven projekt, saj bo treba nadgraditi ali zamenjati celoten kriptografski inventar, kar vključuje tudi razmeroma visoke naložbe v programsko in strojno opremo ter prilagoditev samih informacijskih rešitev,« je pojasnil Trampuž.
Trampuž organizacijam svetuje, naj čimprej izvedejo popis kriptografskega inventarja ter pripravijo oceno tveganj, ki naj izhaja tako iz ranljivosti trenutno uporabljenih kriptografskih rešitev kot tudi posledic njihovega morebitnega zloma. Poleg tega naj upoštevajo, koliko časa in sredstev bi bilo potrebnih za prehod na PQC in oblikujejo realne časovnice prihoda ter dodelijo ustrezna finančna sredstva in kadre. Po ocenah EU so tvegane predvsem organizacije in sistemi, kjer bi razkritje podatkov tudi po desetih letih ali več od zdaj povzročilo veliko škodo.
