Securitatea cibernetică este pe cale să sufere o revizuire majoră. Guvernul SUA a finalizat un set de standarde pentru a proteja comunicațiile prin Internet de atacurile viitoarelor computere cuantice care ar putea face ineficiente majoritatea protecțiilor digitale actuale.

Orientările includ un algoritm pentru comunicații securizate prin criptare și doi algoritmi de semnătură digitală care împiedică hackerii să uzurpare identitatea unui utilizator sau dispozitiv cunoscut. Se așteaptă să fie adoptate la nivel global. Institutul Național de Standarde și Tehnologie al SUA (NIST) din Gaithersburg, Maryland, a selectat cei trei algoritmi printr-un proces care a început în 2016 și a solicitat ajutorul specialiștilor în criptografie din întreaga lume. NIST a anunțat o selecție preliminară a patru algoritmi în 2022 și a finalizat acum standardele pentru trei dintre ei.

„Este grozav să văd că în sfârșit au fost lansate”, spune Peter Schwabe, inginer criptografic la Institutul Max Planck pentru Securitate și Confidențialitate din Bochum, Germania, care a proiectat trei dintre cele patru sisteme.

„Aceste standarde finalizate oferă instrucțiuni pentru integrarea lor în produse și sisteme de criptare”, spune Dustin Moody, un matematician la NIST care conduce efortul de standardizare. „Încurajăm administratorii de sistem să înceapă imediat integrarea în sistemele lor, deoarece integrarea completă va dura timp.”

Păstrați datele în siguranță

Comunicațiile și tranzacțiile digitale, cum ar fi cumpărăturile online, se bazează aproape universal pe un set mic de algoritmi de criptare cu cheie publică. Aceste sisteme permit două părți să facă schimb de informații în siguranță. Fiecare parte are propria sa cheie publică, o secvență de numere pe care o oferă oricui dorește să le trimită un mesaj. Destinatarul poate apoi decripta mesajul folosind o cheie privată pe care numai el o cunosc.

Dar sistemele actuale cu chei publice sunt cunoscute a fi vulnerabile la decriptare folosind un algoritm cuantic dezvoltat de Peter Shor, un matematician acum la Institutul de Tehnologie din Massachusetts din Cambridge. În 1994 – într-o perioadă în care nici măcar cele mai rudimentare calculatoare cuantice nu existau și când comunicațiile prin internet abia începeau să devină mainstream – Shor a arătat că astfel de mașini vor putea rapid să spargă cele mai populare sisteme cu cheie publică. Acest lucru ar putea pune, de asemenea, dispozitive precum cardurile de credit și permisele de securitate în pericol de a fi piratate.

Treizeci de ani mai târziu, eforturile de a construi computere cuantice au făcut pași mari, dar mașinile sunt încă la cel puțin un deceniu de a rula algoritmul lui Shor pe orice altceva decât numere cu câteva cifre. Cu toate acestea, Shor și alții au avertizat împotriva automulțumirii.

Noul algoritm de criptare selectat de NIST se numește CRYSTALS-Kyber. Schwabe și colegii săi l-au dezvoltat dintr-o tehnică propusă pentru prima dată în 2005 de informaticianul Oded Regev de la Universitatea din New York. Schwabe spune că implementarea ar trebui să fie relativ lină în aplicațiile cu care majoritatea utilizatorilor sunt familiarizați - navigarea pe web și aplicațiile pentru smartphone. „Browserele vor migra rapid, la fel ca aplicațiile de mesagerie și sistemele de videoconferință”, spune el. Ar putea dura mai mult pentru dezvoltatorii de dispozitive mici la internet sau WiFi conectate să ajungă din urmă, adaugă el.

Deși CRYSTALS-Kyber ar trebui să fie rezistent la atacurile de la calculatoarele cuantice, niciunul dintre algoritmii de cheie publică existenți - inclusiv cei trei selectați de NIST - nu sunt dovedit matematic a fi complet siguri, iar cercetătorii vor continua să lucreze la alternative, pentru orice eventualitate. NIST însuși evaluează „două grupuri suplimentare de algoritmi care ar putea servi într-o zi drept standarde de rezervă”, a spus institutul într-un comunicat.

Deși anunțul NIST a făcut acum acest lucru oficial, algoritmii „post-cuantici” există de ani de zile. Unele companii precum Cloudflare și IBM au început deja să le integreze în sistemele lor, în timp ce altele au întârziat să se adapteze. „Multe organizații nu au început încă să lucreze la migrația post-cuantică, invocând lipsa standardelor – o situație care a fost denumită criptoprocrastinare „, a scris Bas Westerbaan, un matematician la firma de servicii de internet Cloudflare, într-o postare pe blog anul trecut. Specialiștii în securitate speră că anunțul NIST va convinge acum majoritatea celorlalte organizații să înceapă ceea ce este probabil să fie o tranziție lungă și complicată.