România se află într-un moment în care pregătirea pentru era post-criptare devine o prioritate strategică, fiind necesară adaptarea tehnologică și operațională la progresele în calculul cuantic. Deși standardele pentru criptografia post-cuantică au fost finalizate în august 2024, implementarea la scară largă rămâne o provocare, ceea ce accentuează riscurile legate de securitatea datelor sensibile pe termen lung.
Riscurile emergente ale calculului cuantic asupra criptografiei
Majoritatea sistemelor de criptografie cu cheie publică, precum RSA și criptografia pe curbe eliptice, pot fi vulnerabile în fața unor computere cuantice suficient de performante. Algoritmul lui Shor, aplicat în aceste cazuri, permite spargerea criptografiei actuale, afectând mecanismele de autentificare, schimb de chei și semnătură digitală. Riscurile sunt accentuate de fenomenul „harvest now, decrypt later”: atacatorii pot colecta date criptate și le pot păstra până când tehnologia cuantică le va permite decriptarea.
Implicațiile nu se limitează la viitor; datele care trebuie protejate pentru mai mulți ani, cum ar fi documente guvernamentale, informații medicale sau proprietate intelectuală, sunt deja expuse acestei vulnerabilități. În cazul unor breșe, impactul va putea fi resimțit în timp, chiar dacă momentul exact al vulnerabilității nu a fost încă atins.
Deși evoluțiile tehnice în calculul cuantic promit această vulnerabilitate, tranziția spre computere cuantice capabile să afecteze criptografia publică are încă un parcurs plin de necunoscute tehnice. În prezent, principalul focus nu este pe panicare, ci pe pregătire și adaptare, evitând astfel migrarea haotică și costisitoare.
Criptografia post-cuantică ca răspuns tehnologic
Criptografia post-cuantică nu utilizează hardware cuantic, ci algoritmi noi dezvoltați pentru calculatoare clasice, pentru a rezista atacurilor cuantice și celor clasice. În august 2024, NIST a finalizat standardele pentru trei algoritmi: ML-KEM pentru schimbul de chei și ML-DSA, respectiv SLH-DSA pentru semnături digitale. Aceasta marchează un moment critic, deoarece standardizarea brută a acestor algoritmi constrânge organizațiile să planifice mai serios migrations și adaptări tehnice.
În plus, se lucrează la algoritmi de rezervă, inclusiv în cadrul standardului HQC, selectat pentru dezvoltarea ulterioară, pentru a evita dependența de o singură familie de soluții. Tranziția nu înseamnă doar înlocuirea algoritmilor, ci trebuie să țină cont de cerințele de spațiu, performanță și compatibilitate cu infrastructura existentă, precum și costurile legate de implementare.
Organizațiile trebuie să realizeze inventarul criptografic pentru a identifica aplicațiile vulnerabile, serverele, dispozitivele și dependențele software. Fără această etapă, migrarea va fi dificil de coordonat și de gestionat.
Provocările și pașii pentru o pregătire eficientă
Deși unele entități, precum Google și Apple, au început deja să integreze algoritmi post-cuantici în produsele lor, infrastructura vastă și veche a sistemelor publice și private din România face ca actualizarea să fie un proces lent. Disfuncționalitățile, incompatibilitățile și costurile de implementare pot duce la amânări chiar și pentru organizații conștiente de riscuri.
Prioritizarea activelor și sistemelor critice, precum cele din domeniul sănătății, energiei, banking și guvernamental, devine crucială. Acestea trebuie să înceapă un proces de inventariere și planificare pe termen lung, ghidată de regulile și recomandările oficiale, precum cele ale CISA și NIST, pentru a evita vulnerabilități active.
De asemenea, tranziția trebuie să fie etapizată și modulară, pentru a putea fi adaptată la evoluțiile tehnologice și la particularitățile fiecărei organizații. Administrarea corectă a cheilor, configurarea și formarea personalului rămân componente esențiale, pentru a evita greșelile comune și pentru a menține un nivel înalt de securitate.
Barierelor principale ale migrației spre criptografie post-cuantică
Costurile și inerția infrastructurii actuale reprezintă cele mai mari obstacole în implementarea soluțiilor post-cuantice. Înlocuirea algoritmilor, actualizarea infrastructurii, testarea și ajustarea sistemelor existente pot duce la întreruperi și creșterea cheltuielilor. Organizațiile trebuie să gestioneze coherența între diferite componente, pentru a evita erorile și vulnerabilitățile.
Un alt factor este și complexitatea tehnologică, care necesită resurse specializate. Multe companii mici și medii nu dețin resurse interne suficiente pentru a evalua și implementa aceste schimbări, fapt ce conduce, adesea, la amânări.
Implementarea corectă a criptografiei post-cuantice necesită și o disciplină riguros gestionată: greșelile în configurare, cheile gestionate deficitar și dependențele uitate pot submina orice sistem de securitate, indiferent de algoritm.
Ce trebuie făcut pentru a fi cu adevărat pregățit
Pregătirea pentru era post-criptare începe cu inventarierea datelor și a aplicațiilor care utilizează criptografie vulnerabilă, în special cele care trebuie protejate pentru perioade lungi de timp. Aceasta facilitează un plan clar de migrare și prioritizează sistemele critice.
Organizațiile trebuie să adapteze politicile de achiziție și proiectare, astfel încât soluțiile noi să fie compatibile cu standardele post-cuantice. În plus, este necesară dezvoltarea unei infrastructuri flexibile, capabile să suporte actualizări și înlocuiri rapide, fără a compromite integritatea.
Pregătirea realistă nu implică panică, ci maturitate tehnologică și discuție coerentă despre implementare. Neînceperea procesului în mod planificat poate genera riscuri strategice, mai ales în contextul economiei digitale, unde încrederea și securitatea informației sunt fundamentale.
Autoritățile, companiile și instituțiile trebuie să fie conștiente că proiectele de adaptare vor cere timp și resurse, dar că întârzierea poate avea costuri mult mai mari în viitor.