Όταν από το 1999 ο χρόνος θα γύριζε και θα ξεκινούσε η αρχή μιας νέας χιλιετίας, υπήρχε μεγάλη αναστάτωση σχετικά με τα ηλεκτρονικά συστήματα και την επιβίωση των ηλεκτρονικών υπολογιστών. Ο φόβος ήταν ότι όταν τα ρολόγια χτυπούσαν μεσάνυχτα της 1ης Ιανουαρίου 2000, τα συστήματα υπολογιστών, αβέβαια για το έτος, θα αποτύγχαναν να λειτουργήσουν και θα προκαλούσαν μαζικές διακοπές ρεύματος, τα συστήματα μεταφορών και τραπεζών θα έκλειναν και θα επακολουθούσε εκτεταμένο χάος.

Το πρόβλημα αυτό έγινε γνωστό με τον όρο “Year 2000 bug”, γνωστό και ως millennium bug και σε συντομογραφία Y2K. Οι κύριοι υπολογιστές που χρησιμοποιούνται σε σημαντικούς τομείς όπως οι τράπεζες, οι επιχειρήσεις κοινής ωφέλειας, οι επικοινωνίες, οι ασφάλειες, η κατασκευή και η κυβέρνηση θεωρήθηκαν οι πιο ευάλωτοι. Το πρόβλημα δεν ήταν μόνο με συστήματα που εκτελούσαν συμβατικό λογισμικό, αλλά επεκτάθηκε σε συσκευές όπως ιατρικός εξοπλισμός, συστήματα ελέγχου θερμοκρασίας και ανελκυστήρες που χρησιμοποιούσαν τσιπ υπολογιστών. Υπολογίζεται ότι σχεδόν 308 δισεκατομμύρια δολάρια δαπανήθηκαν παγκοσμίως για την αντιμετώπιση του προβλήματος του Y2K, με περισσότερα από 130 δισεκατομμύρια δολάρια να δαπανήθηκαν μόνο στις ΗΠΑ. Όμως, χάρη στον διεθνή συντονισμό και τις προσπάθειες, το πρόβλημα του Y2K αντιμετωπίστηκε σωστά.

Με την έλευση και τις ραγδαίες εξελίξεις των κβαντικών υπολογιστών, ο κόσμος κοιτάζει επίμονα ένα πρόβλημα παρόμοιου μεγέθους. Ονομάζεται Y2Q (Years to Quantum) και αναμένεται να επηρεάσει τα περισσότερα συστήματα πληροφοριών και επικοινωνιών. Στην πραγματικότητα, η Cloud Security Alliance δημιούργησε ένα ρολόι αντίστροφης μέτρησης Y2Q, ορίζοντας αυθαίρετα την 14η Απριλίου 2030, ως την προθεσμία μέχρι την οποία ο κόσμος πρέπει να αναβαθμίσει την υποδομή των πληροφοριακών συστημάτων του για να αντιμετωπίσει την απειλή του Y2Q.

Το bug Y2Q σχετίζεται με τους αλγόριθμους που ασφαλίζουν επί του παρόντος τα συστήματα από κυβερνοεπιθέσεις. Αυτοί οι αλγόριθμοι βασίζονται σε πολύπλοκα μαθηματικά προβλήματα που είναι πρακτικά δυσεπίλυτα για τους παραδοσιακούς υπολογιστές, αλλά οι μεγάλοι και επαρκώς ικανοί κβαντικοί υπολογιστές, που κάνουν χρήση της κβαντικής μηχανικής, έχουν τη δυνατότητα να τα λύσουν σε ώρες ή και λεπτά.

Εάν κακόβουλοι φορείς έχουν πρόσβαση σε τέτοια κβαντική υπολογιστική ισχύ, θα μπορούσαν να σπάσουν την ασφάλεια των κυβερνητικών και εταιρικών συστημάτων, να διαταράξουν ή ακόμα και να βλάψουν τις δημόσιες υπηρεσίες και τις υποδομές κοινής ωφέλειας, να διαταράξουν τις οικονομικές συναλλαγές και να διακυβεύσουν προσωπικά δεδομένα. Αυτή είναι η μεγάλης κλίμακας απειλή γνωστή ως Y2Q.

Πολλές μεγάλες εταιρείες όπως το Yahoo! Και το LinkedIn έχει πέσει θύματα των μεγαλύτερων παραβιάσεων δεδομένων στον 21ο αιώνα, με τον αριθμό αυτών που επηρεάζονται να κυμαίνεται από 117 εκατομμύρια στελέχη (LinkedIn το 2012) έως και 3 δισεκατομμύρια χρήστες (Yahoo το 2013). Αν τέτοιες μέγα εικονικές διαρρήξεις ακούγονται τρομακτικές, είναι απλώς ο πρόλογος.

Από τη δεκαετία του 1970, το κρυπτοσύστημα RSA, το οποίο χρησιμοποιεί πολύ μεγάλους πρώτους αριθμούς για τη δημιουργία δημόσιων κλειδιών που χρησιμεύουν ως βάση του πρωτοκόλλου ασφαλείας για τα δεδομένα που κοινοποιούνται στο Διαδίκτυο, έχει αποδειχθεί σχετικά αποτελεσματικό. Αν και ο Peter Shor των Bell Labs δημοσίευσε μια εργασία το 1994 που έδειχνε ότι ένας κβαντικός αλγόριθμος θα μπορούσε να σπάσει το κρυπτοσύστημα RSA, μηχανές που μπορούν να εκτελέσουν έναν τέτοιο αλγόριθμο δεν έχουν ακόμη αναπτυχθεί. Ως εκ τούτου, κατέστη δυνατή η ανάπτυξη μεγαλύτερων δημόσιων κλειδιών γρηγορότερα από ό,τι έχουν επιταχύνει οι υπολογιστές, διασφαλίζοντας ότι το κρυπτοσύστημα RSA συνεχίζει να λειτουργεί

Το 2019, Κινέζοι ερευνητές μετέτρεψαν το πρόβλημα παραγοντοποίησης ακεραίων σε εργασία βελτιστοποίησης. Χρησιμοποίησαν κβαντική μηχανή εξειδικευμένη σε προβλήματα βελτιστοποίησης, για να συνυπολογίσουν τον ακέραιο αριθμό 376289 με μόλις 94 qubits. Περαιτέρω βελτιστοποιήσεις επέτρεψαν στους ερευνητές να παραγοντοποιήσουν τον πολύ μεγαλύτερο αριθμό 1005973 με μόνο 89 qubits. Μια πολύ πρόσφατη παγκόσμια έρευνα επαγγελματιών ασφάλειας που πραγματοποιήθηκε από την Dimensional Research δείχνει ότι από τους ερωτηθέντες 614 επαγγελματίες ασφαλείας, το 61 τοις εκατό πιστεύει ότι οι κβαντικές επιθέσεις θα εξουδετερώσουν την τρέχουσα τεχνολογία κρυπτογράφησης μέσα σε μόλις 2 χρόνια. Το 28% πιστεύει ότι οι τρέχουσες τεχνολογίες κρυπτογράφησης θα τεθούν σε κίνδυνο μέσα σε 3-5 χρόνια.

Y2Q

Για να επιτύχουμε καλύτερη κατανόηση της απειλής Y2Q, πρέπει να συγκρίνουμε και να συζητήσουμε ορισμένες ομοιότητες και συγκεκριμένες διαφορές μεταξύ Y2Q και Y2K.

Οι ομοιότητες περιλαμβάνουν:

  • Και τα δύο πυροδοτούνται από φόβο, αβεβαιότητα και αμφιβολία.
  • Και τα δύο έχουν τη δυνατότητα να έχουν μεγάλης κλίμακας αντίκτυπο στα υπολογιστικά συστήματα παγκοσμίως.
  • Η εφαρμογή μιας λύσης απαιτεί πολλούς εκπαιδευμένους μηχανικούς.
  • Και στις δύο περιπτώσεις, η δοκιμή και η επικύρωση είναι πολύ κρίσιμα μέρη της λύσης.
  • Υπάρχουν παγκόσμιες προσπάθειες και συνεργασίες, σε όλες τις ΗΠΑ, την Ευρώπη και την Ασία, για την αντιμετώπιση του προβλήματος, συμπεριλαμβανομένης της συμμετοχής των κυβερνήσεων. Για παράδειγμα, οι ΗΠΑ έχουν επιβάλλει νόμους με ιδιαίτερη εστίαση στο Y2Q όπως και για το Y2K.
  • Και στις δύο περιπτώσεις, τα προγράμματα ηλεκτρονικών υπολογιστών και η υποδομή των επιχειρήσεων και των λειτουργικών συστημάτων πρέπει να επανεξεταστούν, να αξιολογηθούν, να διορθωθούν και να αναβαθμιστούν.

Οι διαφορές είναι πιο σοβαρές:

  • Χρονοδιάγραμμα: στην περίπτωση του Y2K, υπήρχε μια πολύ σαφής προθεσμία: αν δεν διορθωθεί, το πρόβλημα θα έπληττε τα συστήματα υπολογιστών στις αρχές του νέου αιώνα. Στην περίπτωση του Y2Q, δεν γνωρίζουμε πότε θα είναι διαθέσιμοι επαρκώς ισχυροί κβαντικοί υπολογιστές που μπορούν να σπάσουν τους αλγόριθμους κρυπτογραφίας που χρησιμοποιούνται αυτήν τη στιγμή. Υπάρχει πλήρης αβεβαιότητα ως προς τα χρονοδιαγράμματα.
  • Πηγή απειλής: με το Y2K, ήταν σίγουρο ότι το πρόβλημα ήταν εσωτερικό στα συστήματα. η πηγή του Y2Q είναι πάντα εξωτερική με κακόβουλες προθέσεις να προκαλέσει ζημιά ή βλάβη.
  • Λύση: αν και το Y2K ήταν ένα τεράστιο πρόβλημα, h επίλυσή του ήταν απλή. Για την επίλυση του προβλήματος Y2Q, υπάρχουν πολλές προτεινόμενες λύσεις. Οι δύο κύριες λύσεις που περιγράφονται παραπάνω έχουν και οι δύο τις δικές τους πολυπλοκότητες στην εφαρμογή τους.
  • Εκτέλεση: με το Y2K, υπήρχε σαφής προθεσμία για το πότε έπρεπε να ενημερωθούν ή να αναβαθμιστούν όλα τα συστήματα ενός οργανισμού. Ήταν μια εφάπαξ δραστηριότητα και μόλις επιδιορθώθηκε το πρόβλημα λύθηκε. Για το Y2Q, χρειάζεται να γίνει λεπτομερής ανάλυση συστημάτων και δεδομένων. Μετά την προετοιμασία ενός οδικού χάρτη για τη διόρθωση ή την αναβάθμιση αυτών των συστημάτων, το αποτέλεσμα μπορεί να είναι ένα πολυετές έργο και όχι μια εφάπαξ δραστηριότητα. Οι οργανισμοί πρέπει να επιτύχουν μια κατάσταση ευελιξίας κρυπτογράφησης με δυναμικούς κύκλους παρακολούθησης και ενημέρωσης.
  • Ορατότητα ζημιάς: η πιθανή ζημιά που προκαλείται από το Y2K, αν δεν αντιμετωπιστεί, αναμενόταν να είναι άμεσα ορατή ή αισθητή. Με το Y2Q οι ζημιές ενδέχεται να μην είναι ορατές ή να μην εμφανιστούν λόγω της φύσης της απειλής. Ο κακόβουλος παράγοντας μπορεί να μην αποκαλυφθεί αμέσως και θα μπορούσε να προκαλέσει βλάβη σε μεταγενέστερο χρονικό σημείο.

Εμπειρογνώμονες του κλάδου, κυβερνητικές υπηρεσίες και οργανισμοί προτύπων που υποστηρίζονται από κυβερνήσεις και ιδιωτικούς οργανισμούς σε όλο τον κόσμο εργάζονται για να δώσουν λύση στο πρόβλημα του Y2Q. Προτείνονται δύο κρίσιμες επιλογές: μετα-κβαντική κρυπτογραφία (PQC) και διανομή κβαντικού κλειδιού (QKD).

Οι αλγόριθμοι PQC έχουν σχεδιαστεί για να είναι ανθεκτικοί σε κυβερνοεπιθέσεις που περιλαμβάνουν τόσο κλασικούς όσο και κβαντικούς υπολογιστές. Αυτοί οι αλγόριθμοι εξακολουθούν να βασίζονται σε κλασικές μαθηματικές πολυπλοκότητες και υπολογιστικές τεχνικές. Αναμένεται να αντικαταστήσουν υπάρχοντες αλγόριθμους που είναι ευάλωτοι σε απειλές από κβαντικούς υπολογιστές.

Το QKD είναι ένας μηχανισμός για ασφαλείς επικοινωνίες που εφαρμόζει κρυπτογραφικά πρωτόκολλα βασισμένα στις αρχές της κβαντικής φυσικής. Το QKD απαιτεί πρόσθετο ειδικό υλικό. Το QKD ως τεχνολογία είναι ακόμα υπό ανάπτυξη, επομένως, το PQC αναμένεται να είναι η πιο κοινή μορφή κβαντικής ασφαλούς κρυπτογραφίας που θα υιοθετηθεί παγκοσμίως. Είναι σχεδιασμένο με κλασικές μεθόδους και αναμένεται να λειτουργεί στην υπάρχουσα υποδομή χωρίς την ανάγκη ειδικού υλικού, σε αντίθεση με το QKD.

Ο καλύτερος τρόπος για να αντιμετωπιστεί το πρόβλημα του Y2Q είναι να η ανάπτυξη του «crypto-agility» (κρυπτο- ευελιξία), η ικανότητα γρήγορης εναλλαγής μεταξύ κρυπτογραφικών προτύπων, η εφαρμογή των καλύτερων διαθέσιμων λύσεων ανά πάσα στιγμή και η προετοιμασία για περισσότερες αλλαγές στο μέλλον. Μόνο το crypto-agility μπορεί να βοηθήσει τις εταιρείες να διευκολύνουν τη μετάβαση προστατεύοντας από κβαντικές επιθέσεις, ελαχιστοποιώντας τον αντίκτυπό τους και βοηθώντας στην ταχύτερη ανάκαμψη. Θα επιτρέψει επίσης στις εταιρείες να ελαχιστοποιήσουν το κόστος αντιμετώπισης του προβλήματος, το οποίο θα επεκταθεί από τις λειτουργικές απώλειες που προκαλούνται από ζητήματα κυβερνοασφάλειας έως τις επενδύσεις στην αντικατάσταση ευάλωτου εξοπλισμού και αναβαθμίσεις πρωτοκόλλου, που θα μπορούσαν όλα να προσθέσουν εκατοντάδες δισεκατομμύρια δολάρια σε όλες τις βιομηχανίες .

Δεν θα είναι εύκολο να ασχοληθεί κανείς με την κυβερνοασφάλεια μόλις οι κβαντικοί υπολογιστές γίνουν πραγματικότητα. Η πρόληψη και η έγκαιρη δράση είναι μονόδρομος γιατί η κβαντική αντίστροφη μέτρηση έχει ήδη ξεκινήσει.