Cybersäkerhet är på väg att genomgå en stor översyn. Den amerikanska regeringen har slutfört en uppsättning standarder för att skydda internetkommunikation från attacker från framtida kvantdatorer som kan göra de flesta nuvarande digitala skydd ineffektiva.

Riktlinjerna inkluderar en algoritm för säker kommunikation genom kryptering och två digitala signaturalgoritmer som förhindrar hackare från att utge sig för en känd användare eller enhet. De förväntas bli antagna globalt. US National Institute of Standards and Technology (NIST) i Gaithersburg, Maryland, valde ut de tre algoritmerna genom en process som började 2016 och tog hjälp av kryptografispecialister över hela världen. NIST hade tillkännagett ett preliminärt urval av fyra algoritmer 2022 och har nu färdigställt standarderna för tre av dem.

"Det är fantastiskt att se att de äntligen har släppts", säger Peter Schwabe, en kryptografisk ingenjör vid Max Planck Institute for Security and Privacy i Bochum, Tyskland, som designade tre av de fyra systemen.

"Dessa färdiga standarder ger instruktioner för att integrera dem i produkter och krypteringssystem", säger Dustin Moody, en matematiker på NIST som leder standardiseringsarbetet. "Vi uppmuntrar systemadministratörer att börja integrera i sina system omedelbart eftersom fullständig integration kommer att ta tid."

Håll data säker

Digital kommunikation och transaktioner som onlineshopping är nästan universellt baserade på en liten uppsättning kryptografiska algoritmer för offentliga nyckel. Dessa system tillåter två parter att utbyta information på ett säkert sätt. Varje part har sin egen publika nyckel, en nummersekvens som de ger till alla som vill skicka ett meddelande till dem. Mottagaren kan sedan dekryptera meddelandet med en privat nyckel som bara de känner till.

Men nuvarande system med offentliga nyckel är kända för att vara sårbara för dekryptering med hjälp av en kvantalgoritm som utvecklats av Peter Shor, en matematiker nu vid Massachusetts Institute of Technology i Cambridge. 1994 – vid en tid då inte ens de mest rudimentära kvantdatorerna existerade och när internetkommunikation precis började bli mainstream – visade Shor att sådana maskiner snabbt skulle kunna knäcka de mest populära systemen med offentliga nyckel. Detta kan också utsätta enheter som kreditkort och säkerhetskort i riskzonen för hackning.

Trettio år senare har ansträngningarna att bygga kvantdatorer gjort stora framsteg, men maskinerna är fortfarande minst ett decennium borta från att köra Shors algoritm på något annat än siffror med några siffror. Ändå har Shor och andra varnat för självgodhet.

Den nya krypteringsalgoritmen som valts av NIST kallas CRYSTALS-Kyber. Schwabe och hans kollegor utvecklade det från en teknik som först föreslogs 2005 av datavetaren Oded Regev vid New York University. Schwabe säger att distributionen bör vara relativt smidig i de applikationer som de flesta användare känner till - webbsurfning och smartphoneappar. "Webbläsare kommer att migrera snabbt, liksom meddelandeappar och videokonferenssystem", säger han. Det kan ta längre tid för utvecklare av små Internet- eller WiFi-anslutna enheter att komma ikapp, tillägger han.

Även om CRYSTALS-Kyber borde vara motståndskraftig mot attacker från kvantdatorer, är ingen av de befintliga publika nyckelalgoritmerna - inklusive de tre som NIST valt ut - matematiskt bevisade att vara helt säkra, och forskare kommer att fortsätta arbeta med alternativ, för säkerhets skull. NIST själv utvärderar "två ytterligare grupper av algoritmer som en dag skulle kunna fungera som backupstandarder", sa institutet i ett uttalande.

Även om NIST-meddelandet nu har gjort detta officiellt, har "postkvantum"-algoritmer funnits i flera år. Vissa företag som Cloudflare och IBM har redan börjat integrera dem i sina system, medan andra har varit långsammare att anpassa sig. "Många organisationer har ännu inte påbörjat arbetet med postkvantmigrering, med hänvisning till bristen på standarder - en situation som har kallats kryptoprokrastinering " skrev Bas Westerbaan, en matematiker på internettjänstföretaget Cloudflare, i ett blogginlägg förra året. Säkerhetsspecialister hoppas att NIST-meddelandet nu kommer att övertala de flesta andra organisationer att påbörja vad som sannolikt kommer att bli en lång och komplicerad övergång.