Cybersikkerhed er ved at gennemgå en større revision. Den amerikanske regering har færdiggjort et sæt standarder for at beskytte internetkommunikation mod angreb fra fremtidige kvantecomputere, der kan gøre de fleste nuværende digitale beskyttelser ineffektive.

Retningslinjerne omfatter en algoritme til sikker kommunikation gennem kryptering og to digitale signaturalgoritmer, der forhindrer hackere i at efterligne en kendt bruger eller enhed. De forventes at blive vedtaget globalt. Det amerikanske National Institute of Standards and Technology (NIST) i Gaithersburg, Maryland, valgte de tre algoritmer gennem en proces, der begyndte i 2016 og fik hjælp fra kryptografispecialister verden over. NIST havde annonceret et foreløbigt udvalg af fire algoritmer i 2022 og har nu færdiggjort standarderne for tre af dem.

"Det er dejligt at se, at de endelig er blevet frigivet," siger Peter Schwabe, en kryptografisk ingeniør ved Max Planck Institute for Security and Privacy i Bochum, Tyskland, som har designet tre af de fire systemer.

"Disse færdiggjorte standarder giver instruktioner til at integrere dem i produkter og krypteringssystemer," siger Dustin Moody, en matematiker ved NIST, som leder standardiseringsindsatsen. "Vi opfordrer systemadministratorer til at begynde at integrere i deres systemer med det samme, da fuld integration vil tage tid."

Hold data sikker

Digital kommunikation og transaktioner såsom online shopping er næsten universelt baseret på et lille sæt kryptografialgoritmer med offentlige nøgler. Disse systemer giver to parter mulighed for at udveksle oplysninger sikkert. Hver part har sin egen offentlige nøgle, en sekvens af numre, som de giver til alle, der ønsker at sende dem en besked. Modtageren kan derefter dekryptere beskeden ved hjælp af en privat nøgle, som kun de kender.

Men nuværende offentlige nøglesystemer er kendt for at være sårbare over for dekryptering ved hjælp af en kvantealgoritme udviklet af Peter Shor, en matematiker nu ved Massachusetts Institute of Technology i Cambridge. I 1994 - på et tidspunkt, hvor ikke engang de mest rudimentære kvantecomputere eksisterede, og da internetkommunikation lige var begyndt at blive mainstream - viste Shor, at sådanne maskiner hurtigt ville være i stand til at knække de mest populære offentlige nøglesystemer. Dette kan også bringe enheder som kreditkort og sikkerhedskort i fare for hacking.

Tredive år senere har bestræbelserne på at bygge kvantecomputere gjort store fremskridt, men maskinerne er stadig mindst et årti væk fra at køre Shors algoritme på andet end tal med få cifre. Ikke desto mindre har Shor og andre advaret mod selvtilfredshed.

Den nye krypteringsalgoritme valgt af NIST hedder CRYSTALS-Kyber. Schwabe og hans kolleger udviklede det ud fra en teknik, der først blev foreslået i 2005 af datalog Oded Regev ved New York University. Schwabe siger, at implementeringen skal være forholdsvis glat i de applikationer, de fleste brugere kender - web-browsing og smartphone-apps. "Browsere vil migrere hurtigt, ligesom beskedapps og videokonferencesystemer," siger han. Det kan tage længere tid for udviklere af små internet- eller WiFi-tilsluttede enheder at indhente det, tilføjer han.

Selvom CRYSTALS-Kyber burde være modstandsdygtig over for angreb fra kvantecomputere, er ingen af ​​de eksisterende offentlige nøglealgoritmer - inklusive de tre udvalgt af NIST - matematisk bevist at være fuldstændig sikre, og forskerne vil fortsætte med at arbejde på alternativer, for en sikkerheds skyld. NIST selv evaluerer "to yderligere grupper af algoritmer, der en dag kan tjene som backup-standarder," sagde instituttet i en erklæring.

Selvom NIST-meddelelsen nu har gjort dette officielt, har "post-kvante" algoritmer eksisteret i årevis. Nogle virksomheder som Cloudflare og IBM er allerede begyndt at integrere dem i deres systemer, mens andre har været langsommere til at tilpasse sig. "Mange organisationer er endnu ikke begyndt at arbejde med post-kvantemigrering, med henvisning til manglen på standarder - en situation, der er blevet omtalt som kryptoprocrastination " skrev Bas Westerbaan, en matematiker hos internetservicefirmaet Cloudflare, i et blogindlæg sidste år. Sikkerhedsspecialister håber, at NIST-meddelelsen nu vil overtale de fleste andre organisationer til at begynde, hvad der sandsynligvis vil blive en langvarig og kompliceret overgang.