Nadchodzi dzień, gdy padnie szyfrowanie. Amerykanie mają plan na armagedon

Amerykanie nie czekają na dzień, w którym ktoś pokazowo złamie dzisiejsze szyfrowanie. Zaczęli przygotowania tak, jakby ten dzień i tak miał nadejść. Najważniejsze systemy federalne mają dostać kryptografię odporną na komputery kwantowe szybciej, niż wcześniej zakładano, bo stawką nie jest tylko przyszłe bezpieczeństwo. Stawką są przede wszystkim dane, które ktoś może kraść już dziś i otworzyć dopiero za kilka lat.

Na samym początku wyjaśnijmy jedną sprawę. Komputery kwantowe nie sprawią, że nagle każde hasło, każdy przelew i każda rozmowa w naszym codziennym komunikatorze staną się jawne. Zagrożenie jest znacznie konkretniejsze i przez to też groźniejsze. Chodzi głównie o kryptografię asymetryczną, czyli tę używaną m.in. przy wymianie kluczy i podpisach cyfrowych.

To właśnie tam komputery kwantowe mogą w przyszłości uderzyć najmocniej. Dzisiejsze systemy bezpieczeństwa zakładają, że pewne problemy matematyczne są praktycznie nie do rozwiązania dla klasycznych komputerów w rozsądnym czasie. Duży, stabilny komputer kwantowy mógłby ten rachunek zmienić. Nie dlatego, że kwanty są w jakikolwiek sposób magiczne, tylko dlatego, że dla wybranych zadań dysponują zupełnie innym sposobem obliczeń.

O tym ryzyku pisaliśmy już tak naprawdę wiele lat temu w tekście Komputer kwantowy złamie obecne algorytmy szyfrujące w chwilę. Jest problem. Wtedy brzmiało to jeszcze jak ostrzeżenie z przyszłości. Teraz jednak administracja USA dopisała do tej przyszłości daty, obowiązki i wykonawców.

Chodzi głównie o to, że ktoś może już teraz zbierać zaszyfrowane dane i przechowywać je na później, żeby odszyfrować je wtedy, gdy pojawią się odpowiednie możliwości technologiczne. Ten scenariusz określa się jako harvest now, decrypt later (zbierz teraz, odszyfruj później). Właśnie dlatego nie ma sensu czekać, aż komputery kwantowe będą powszechnie dostępne. Przygotowania trzeba zacząć znacznie wcześniej.

Dane rządowe, wojskowe, infrastrukturalne, medyczne czy gospodarcze często mają bardzo długi termin przydatności wywiadowczej. Tajemnica sprzed 2026 r. może nadal być cenna w 2032 r. albo 2035 r. Jeśli dziś ktoś przechwytuje zaszyfrowaną komunikację, archiwizuje ją i czeka, to przejście na nowe algorytmy dopiero po dniu Q, czyli hipotetycznym momencie, w którym komputery kwantowe staną się zdolne do łamania obecnych metod szyfrowania, będzie spóźnione o całe lata.

Nowe rozporządzenie wykonawcze ustawia administracji federalnej USA twardy kierunek. Systemy wysokiej wartości i systemy o wysokim wpływie mają przejść na kryptografię postkwantową przy wymianie kluczy do 31 grudnia 2030 r. Podpisy cyfrowe mają zostać przeniesione na nowe rozwiązania do 31 grudnia 2031 r. To harmonogram sprzątania całego państwowego zaplecza cyfrowego.

Największy problem z taką migracją nie polega na podmianie jednego algorytmu w jednej aplikacji. Problem polega na tym, że szyfrowanie jest tak naprawdę wszędzie. W serwerach, urządzeniach sieciowych, usługach chmurowych, systemach logowania, certyfikatach, podpisach, oprogramowaniu dostawców, starych aplikacjach, których nikt nie ruszał od lat, i sprzęcie, który działa, więc nikt nie chce go dotykać.

Właśnie dlatego jednym z najciekawszych elementów amerykańskiego planu jest kryptograficzny bill of materials, czyli coś w rodzaju spisu kryptografii użytej w danym produkcie lub systemie. Skoro przy oprogramowaniu mówi się o SBOM, czyli wykazie komponentów software’owych, to przy kryptografii administracja chce wiedzieć, jakie algorytmy, biblioteki i moduły naprawdę chronią konkretne systemy.

Bez tego migracja będzie po prostu zwykłą zgadywanką na oślep. Nie da się wymienić podatnych mechanizmów, jeśli nie wiadomo, gdzie są. A w dużych organizacjach kryptografia bywa niczym jak instalacja elektryczna w starym budynku: wszyscy korzystają, ale dopiero remont pokazuje, jak dziwnie poprowadzono przewody.

Amerykański NIST opublikował już pierwsze finalne standardy kryptografii postkwantowej w 2024 r. Wśród nich są m.in. ML-KEM do ustanawiania kluczy oraz ML-DSA i SLH-DSA do podpisów cyfrowych. To ważny moment, bo bez standardów cała branża mogłaby ugrzęznąć w testowaniu konkurencyjnych, niekompatybilnych rozwiązań.

Pamiętajmy jednak, że standard to tak naprawdę dopiero początek. Trzeba go wdrożyć w produktach, przetestować w sieciach, przepuścić przez certyfikacje, sprawdzić wydajność, kompatybilność i wpływ na stare systemy. NIST ma do końca 2027 r. zrealizować pilotaż migracji na wybranych systemach. Równolegle proces walidacji modułów kryptograficznych ma zostać przyspieszony, bo inaczej nawet dobre algorytmy ugrzęzną w kolejce formalności.

Do tego dochodzi jeszcze przemysł. Nowe zasady mają objąć także wykonawców federalnych. To logiczne, bo państwowy system nie kończy się na serwerach agencji. Składa się z chmur, podwykonawców, sprzętu, aplikacji i dostawców, których kod trafia do infrastruktury publicznej. Jeśli oni zostaną ze starą kryptografią, migracja administracji będzie tylko częściowa.

To wszystko nie jest oderwaną od świata biurokratyczną aktualizacją. Niedawno pisaliśmy na naszym portalu o tym, że F-35 dostanie ochronę przed komputerami kwantowymi. Tam chodziło o modernizację elementu odpowiedzialnego za szyfrowanie i weryfikację podpisanego kodu w systemach samolotu. W myśliwcu problem jest oczywisty – nikt przecież nie chce maszyny, której oprogramowanie za kilka lat da się podrobić, złamać albo podważyć.

Bardzo podobny tok myślenia widać także w sektorze cywilnym. Signal i Apple wcześniej zaczęły wdrażać mechanizmy odporne na przyszłe ataki kwantowe. Pisaliśmy o tym przy okazji tekstu Mówią, że nic go nie złamie. Ten komunikator ma być odporny na komputery kwantowe oraz przy wdrożeniu postkwantowej ochrony w iMessage: Tak Apple przygotował się na przyszłość. Nadchodzą zabezpieczenia odporne na komputery kwantowe.

Różnica polega jednak na skali. Komunikator może zaktualizować protokół. Producent telefonu może wdrożyć nowy mechanizm w systemie. Państwo musi zinwentaryzować tysiące systemów, umów, dostawców i urządzeń, a potem sprawić, żeby wszystko nadal działało.

Migracja do kryptografii postkwantowej może przypominać problem roku 2000. Nie dlatego, że chodzi o tę samą technologię, lecz dlatego, że najtrudniejsza część będzie nudna, droga i rozproszona. Trzeba znaleźć stare zależności, naprawić systemy, przetestować skutki uboczne i zrobić to zanim zegar wybije godzinę, której nikt nie umie dokładnie wskazać.

Przeczytaj także:

Najgorszy możliwy scenariusz to czekanie na dowód, że zagrożenie jest realne. Gdy taki dowód się pojawi, będzie już za późno dla danych przechwyconych wcześniej. Właśnie dlatego amerykańskie przyspieszenie nie jest paniką, tylko spóźnionym realizmem. Właśnie tak powinno się dziś mówić o komputerach kwantowych: bez bajkopisarstwa o natychmiastowym końcu internetu, ale też bez głupiego uspokajania, że jeszcze mamy czas. Czas jest dokładnie tym zasobem, który trzeba teraz wydać na migrację. Kto go zmarnuje, będzie potem udawał zaskoczonego, że przyszłość przyszła punktualnie.