Kauno technologijos universiteto Informatikos fakulteto (KTU IF) profesorius ir Kibernetinio saugumo kompetencijų centro vadovas prof. dr. Šarūnas Grigaliūnas
Postkvantinis saugumas dažnai laikomas ateities problema, susijusi su kvantiniais kompiuteriais, galinčiais įveikti šiandien naudojamus duomenų šifravimo metodus. Tačiau naujausios diskusijos verčia sunerimti – problemos prasideda gerokai ankščiau nei kvantiniai kompiuteriai taps pakankamai galingi laužyti šiuo metu plačiai naudojamus viešojo rakto algoritmus.
Pavojus kyla ne tik iš ateities kvantinės galios, bet ir iš šiandien kritinėse sistemose paliktos pasenusios kriptografijos, neaiškių protokolų ir nepakankamai valdomų integracijų.
Postkvantinis saugumas – šių dienų būtinybė
Vienas pavojingiausių mitų yra įsitikinimas, kad jeigu sistema naudoja kriptografiją, ji automatiškai yra saugi.
Kriptografija sensta. Algoritmai, raktų ilgiai, protokolai ir sertifikatai turi gyvavimo ciklą. Jei organizacija nemato, kokius mechanizmus naudoja, ji negali įrodyti, kad jos pasitikėjimo grandinė tebėra saugi.
Todėl postkvantinis saugumas tampa ne ateities vizija, o šiandienos būtinybe – nuolat atnaujinamu ir aktyviai valdomu apsaugos modeliu, leidžiančiu realiu laiku stebėti, adaptuoti ir patvirtinti duomenų apsaugos mechanizmus.
Kitaip tariant, silpnas šifravimas arba pasenęs kriptografinis parašo mechanizmas nėra vien teorinė grėsmė. Jeigu tokie mechanizmai naudojami pasitikėjimo infrastruktūroje, jie gali tapti šiandienos problema – dar iki to momento, kai kvantiniai kompiuteriai taps praktiškai prieinami puolėjams.
Rimtas rizikos signalas Registrų centre
Šį susirūpinimą sustiprino prof. dr. Šarūno Grigaliūno ir Mariaus Gaubo atlikta Registrų centro wPKITSP sąsajos dokumentų analizė ir neprisijungus vykdomos kriptografinės simuliacijos. wPKITSP sąsaja dokumentuose aprašoma kaip pasitikėjimo paslaugų komponentas, naudojamas autentifikacijai, pasirašymui, sertifikatų gavimui, interneto sertifikato būsenos protokolo (angl. Online Certificate Status Protocol, OCSP) patikrai ir laiko žymoms. Tai nėra paprastas interneto puslapis ar eilinė aplikacijų programavimo sąsaja (angl. application programming interface, API). Tai pasitikėjimo grandinės dalis, nuo kurios gali priklausyti teisinė ir įrodomoji elektroninių veiksmų vertė.
Svarbu pabrėžti ribą: vertinimas atliktas be aktyvaus prisijungimo prie Registrų centro infrastruktūros, be skenavimo, bandymų apeiti sistemas ir be eksploatavimo veiksmų. Todėl ši analizė nesudaro pagrindo teigti, kad įvyko įsilaužimas, duomenų nutekėjimas ar kad konkretūs asmens duomenys buvo neteisėtai pasiekti. Tačiau ji sudaro pagrindą kalbėti apie rimtą kriptografinės ir protokolinės rizikos signalą, kurį sistemos valdytojas turėtų patvirtinti arba paneigti produkcinės konfigūracijos patikrinimu.
Registrų centro atvejis svarbus ne todėl, kad jis leistų daryti skubotas išvadas apie incidentą. Jis reikšmingas todėl, kad parodo sisteminę problemą: kritinėje infrastruktūroje negali likti dviprasmiškų kriptografinių režimų, pasenusių algoritmų ir neaiškaus suderinamumo su senomis integracijomis. Tokie dalykai turi būti tikrinami iki incidento, o ne po jo.
Kriptografiją reikia tikrinti dabar
Detali analizė atskleidė virtinę kritinių spragų, kurios kelia ypač didelį susirūpinimą dėl patikėjimo paslaugų saugumu. Sistemos vis dar remiamasi beviltiškai pasenusiu kriptografiniu profiliu – parametrų pasirašymui naudojama moderniame skaitmeniniame pasaulyje visiškai nebetinkama ir nesaugi SHA1 maišos funkcija, ignoruojant šiuolaikinius HMAC ar struktūrinius XML/JWS standartus.
Maža to, į dienos šviesą išlindo ir skandalingi neatitikimai tarp deklaruojamos politikos bei realaus WSDL (angl. Web Services Description Language, liet. žiniatinklio paslaugų aprašo kalba) kontrakto. Nors oficialiai tvirtinama, kad žemiausias leistinas algoritmas yra SHA256, techninėse schemose vis dar šmėkščioja atgyvenę MD5 bei SHA1, atverdami pavojingas integracines ir vadinamąsias „downgrade“ rizikas nieko neįtariantiems klientams.
Tačiau didžiausią šoką sukėlė net ne atgyvenusių algoritmų naudojimas, o fundamentalūs protokolo dizaino defektai – simuliacijos įrodė, kad dėl primityvaus parametrų sujungimo į vieną eilutę be aiškių ribų ar formatavimo, sistemoje susidaro nevienareikšmė situacija, kai skirtingi duomenų rinkiniai teoriškai gali virsti visiškai tokia pat pasirašoma eilute, taip apsaugant tik informacijos „kratinį“, o ne tikrąją operacijos prasmę.
Šią dramatišką situaciją dar labiau blogina matoma panaudojimo (angl. replay-resistance) grėsmė, nes parašai formuojami be privalomų laiko žymų (angl. timestamp) ar unikalių identifikatorių (angl. nonce), todėl neaiškūs atsakymai gali išlikti validūs nepateisinamai ilgai.
Galiausiai, žvelgiant į ateitį, nerimą kelia aklas prisirišimas prie klasikinio RSA-2048 standarto. Kadangi jis neturi absoliučiai jokio atsparumo kvantiniams kompiuteriams, ilguoju laikotarpiu tapatybės įrodymai gali prarasti savo teisinę vertę, todėl sistemos kūrėjams žūtbūt būtina diegti kriptografinį lankstumą (angl. crypto-agility) ir skubiai bei audituojamai pereiti prie šiuolaikinių saugumo standartų.
Pagrindinės postkvantinių algoritmų standartų bazės jau nebereikia laukti. 2024 m. Nacionalinis standartų ir technologijų institutas (angl. National Institute of Standards and Technology, NIST) paskelbė pirmuosius tris postkvantinės kriptografijos standartus, tokius kaip FIPS 203, paremtą ML-KEM raktų įtvirtinimo mechanizmu, FIPS 204, paremtą ML-DSA skaitmeninių parašų algoritmu, ir FIPS 205, paremtą SLH-DSA atsarginių parašų logika. Tai leidžia organizacijoms pereiti nuo teorinių diskusijų prie valdomų pilotų ir praktinio diegimo.
Turi tapti infrastruktūros dalimi
Valstybės institucijos, bankai, e. prekybos platformos, sveikatos priežiūros sistemos, universitetai ir kritinės infrastruktūros operatoriai vis dažniau remiasi integracijomis, sertifikatais, API parašais, laiko žymomis ir automatizuotu tapatybės patvirtinimu. Jeigu šių grandinių kriptografinis pagrindas tampa neaiškus, silpnėja ne tik IT komponentas, bet ir pasitikėjimas visa skaitmenine paslauga.
Gyventojams nereikia panikuoti. Šis vertinimas nėra pranešimas apie įsilaužimą. Tačiau organizacijoms jis turėtų būti aiškus priminimas: kriptografija nėra foninė techninė detalė, kurią galima palikti tiekėjui ar senai dokumentacijai. Ji turi būti inventorizuojama, tikrinama, atnaujinama ir įrodoma audito lygmeniu.
Silpna kriptografija dažnai nematoma tol, kol sistema veikia. Ji nepasirodo kaip nulūžęs serveris ar klaidos pranešimas vartotojui. Tačiau kai kalbame apie pasitikėjimo infrastruktūrą, kriptografinis neapibrėžtumas pats savaime yra rizika.
Būtini sprendimai nacionaliniu mastu
Lietuvai postkvantinis saugumas turi būti strateginė nacionalinio atsparumo dalis. Jis neturėtų apsiriboti pavienių institucijų techniniais atnaujinimais. Reikia nacionalinio požiūrio į kriptografijos inventorių, tiekėjų reikalavimus, ilgalaikių duomenų apsaugą, viešojo sektoriaus integracijas ir kritinės infrastruktūros pasitikėjimo grandines.
Ši kryptis Lietuvoje jau formuojama per kvantinio ryšio infrastruktūros iniciatyvas ir KTU dalyvavimą Europos kvantinės komunikacijos infrastruktūros (angl. Quantum Communication Infrastructure, QCI) ekosistemoje. „Lat-LitQN“ projekto metu siekiama sukurti ir išbandyti pirmąjį tarpvalstybinį kvantinių ryšių magistralinį tinklą tarp Latvijos ir Lietuvos, o PIONIER-Q-SAT kryptis siejama su palydovinės kvantinės komunikacijos infrastruktūra ir EuroQCI segmentu. Tačiau QKD (angl. Quantum Key Distribution, liet. kvantinis raktų paskirstymas) ir QCI neturi būti suprantami kaip postkvantinės kriptografijos (angl. Post-Quantum Cryptography, PQC) pakaitalas – tai papildančios kryptys. QKD gali padėti apsaugoti konkrečius ryšio kanalus ir raktų paskirstymą, o PQC turi tapti masinių skaitmeninių paslaugų, API, sertifikatų, VPN, TLS ir skaitmeninių parašų migracijos pagrindu.
Strategiškai teisingas kelias Lietuvai yra ne pasirinkti vieną technologiją, o sukurti kvantinėms grėsmėms atsparų kriptografinį sluoksnį. Tai reiškia PQC, QKD ten, kur jis tikslingas, kriptografijos inventorių, QARS rizikos vertinimą, kuris padeda paversti abstrakčią kriptografinę riziką aiškiu prioritetu, tiekėjų reikalavimus ir nuolatinį audituojamą keitimo mechanizmą.
Ne panika, o kriptografinė branda
wPKITSP atvejis turėtų tapti proga ne panikai, o brandžiai diskusijai. Jei faktinė produkcinė konfigūracija neatitinka dokumentuotų rizikingų režimų, tai turi būti aiškiai patvirtinta. Jei atitinka, reikia skubiai pašalinti SHA1 ir MD5 priėmimo galimybes, sutvarkyti WSDL ir dokumentaciją, pakeisti paprastą parametrų konkatenavimą į struktūrinį kanonizavimo (angl. canonicalization) modelį, įdiegti nonce, timestamp, requestId ir replay cache kontrolę, o ilgalaikėje perspektyvoje – parengti PQC ir hibridinės migracijos planą.
Jei atitinka, reikia skubiai pašalinti SHA1 ir MD5 priėmimo galimybes, sutvarkyti WSDL (Web Services Description Language – žiniatinklio paslaugų aprašymo kalba) ir dokumentaciją, pakeisti paprastą parametrų konkatenavimą į struktūrinį kanonizavimo (angl. canonicalization) modelį, įdiegti nonce (vienkartinį skaičių), timestamp (laiko žymą), requestId (užklausos identifikatorių) ir replay cache (pakartotinių užklausų / pakartojimo atakų kontrolės mechanizmą), o ilgalaikėje perspektyvoje – parengti PQC ir hibridinės migracijos planą.
Tai platesnė pamoka visoms organizacijoms: kriptografija turi tapti valdoma infrastruktūros dalimi, kaip ugniasienės taisyklės, pažeidžiamumų valdymas ar saugos operacijų centrų (SOC) stebėsena. Reikia ne tik turėti šifravimą, bet ir žinoti, kur jis yra, kokia jo būsena, kada jis turi būti pakeistas ir kaip tai įrodoma.
Postkvantinis saugumas prasideda ne 2035 metais ir ne tada, kai rinkoje atsiras pakankamai galingas kvantinis kompiuteris. Jis prasideda šiandien – nuo klausimo, ar mūsų pasitikėjimo grandinėse vis dar nėra SHA1, MD5, RSA-only priklausomybės, neaiškaus pasirašomo turinio ar tiekėjo kelio be kriptografinio lankstumo. Jeigu šių klausimų neužduodame dabar, ateities grėsmė tampa šiandienos valdymo klaida.
About the Author
