KOMMENTAR | Thomas Tømmernes

POTENSIELL KATASTROFE: Undersøkelser viser at de færreste systemansvarlige har oversikt over hvor og hvor mye kryptering som benyttes i egen virksomhet. Dette er en potensiell katastrofe, skriver Thomas Tømmernes.

Er kryptering bare kjedelig?

Jeg er den første til å innrømme at jeg har tenkt på kryptering som litt kjedelig og u-sexy. For meg er det noe som bare alltid har vært der og fungert. Men nå står vi overfor en enorm utfordring som vi alle må ta innover oss.

Thomas Tømmernes Thomas Tømmernes Thomas Tømmernes direktør for cybersikkerhet i Atea Group
Publisert

Som programleder i podkasten Før alarmen går, får jeg muligheten til å prate med mange av Norges fremste spesialister innen IT-sikkerhet. Og forrige uke, slapp vi en episode der jeg spør krypteringsekspertene: Kan vi fortsatt stole på en 50 år gammel algoritme, og hvorfor er det nå kappløp mellom kvantemaskiner og nye krypteringsalgoritmer? 

Jeg blir skremt av «Q-day» 

Det som skremmer meg aller mest er det faktum at det tar mange hundre år å knekke krypteringsnøklene med dagens maskinkraft, men bare noen timer når kvantemaskiner blir tilgjengelige for både «shady» myndigheter og IT-kriminelle. 

Foreløpig kan ingen si nøyaktig når kvantedatamaskiner når den graden av stabilitet som kreves for å knekke dagens mest brukte algoritmer. Dette skjæringspunktet omtales som «Q-Day». Det som er verdt å merke seg er at noen av de fremste forskningsmiljøene ikke lenger bruker begrepet «tiår» når de estimerer Q-Day, men «år». 

Thomas Tømmernes

Thomas Tømmernes er direktør for cybersikkerhet i Atea Group (Foto: Atea)

LES OGSÅ:

Enorm utvikling

Kryptering står igjen i sentrum av en intens debatt. Det skjer nesten 50 år etter at Ron Rivest, Adi Shamir og Leonard Adleman utviklet RSA cryptosystem i 1977. Dette er fortsatt et av de mest brukte kryptografiske algoritmene, og oppfinnelsen revolusjonerte informasjonssikkerhet, og la grunnlaget for utviklingen av en rekke applikasjoner innen sikker kommunikasjon. 

Når vi vet hvor raskt teknologi innen IT og digitalisering blir utdatert, så er det bare å ta av seg hatten for en teknologi har beskyttet data og kommunikasjon i mer enn 50 år. Samtidig kan vi nå stå foran et teknologisk skifte som vil endre spillereglene.

Roper varsko

Våre egne sikkerhetsmyndigheter, NSM, har allerede ropt varsko rundt problemstillingen og skriver i sin guide for NSMs kryptografiske anbefalinger: «Forbered deg på fremveksten av kvantedatamaskiner: Lag og implementer en plan for en vellykket migrasjon til kvante-sikker kryptografi». 

Rådene baserer seg på trusselen vi kaller «harvest now – decrypt later», som faktisk er at IT-kriminelle stjeler store mengder krypterte data. De lagrer disse til de får tilgang til maskinkraft som klarer å knekke krypteringsnøklene og synligjøre dataene. Et gjennombrudd innen dekrypteringsteknologi, vil gjøre den lesbar i fremtiden – en hypotetisk dato kalt «Y2Q» (en referanse til Y2K) eller «Q-Day» 

De færreste har oversikt

Undersøkelser viser at de færreste systemansvarlige har oversikt over hvor og hvor mye kryptering som benyttes i egen virksomhet. Dette er en potensiell katastrofe. Ekspertenes råd er å utføre en analyse så raskt som mulig, og lage en plan for hvordan man kan bytte ut dagens krypteringssertifikater og algoritmer til kvantesikker kryptering.

Men etter samtalen med krypteringseksperten har jeg virkelig blitt skremt, og ønsker å bidra til at alle som har en eller annen form for ansvar for virksomhetenes IT-løsninger blir oppmerksomme på denne problemstillingen. 

kvantedatamaskiner thomas tømmernes kryptering kommentar debatt cybersikkerhet computerworld sikkerhet