Europa

Google varnar att kvantdatorer kan knäcka dagens kryptering till 2029

Uppmanar banker och myndigheter skynda övergång till efterkvantkryptografi, angripare kan redan stjäla data nu och låsa upp senare medan offentliga system ingen tar kostnaden förrän efter intrånget

Bilder

One of Google’s quantum computers in California. Encryption currently in use ‘could easily be broken in coming years’, it said. Photograph: Reuters One of Google’s quantum computers in California. Encryption currently in use ‘could easily be broken in coming years’, it said. Photograph: Reuters theguardian.com

Google varnar för att kvantdatorer kan bli kapabla att knäcka i dag allmänt använda krypteringssystem redan till 2029 och uppmanar banker, myndigheter och teknikleverantörer att skynda på övergången till så kallad efterkvantkryptografi.

Enligt The Guardian menar Google att nuvarande kryptering ”lätt skulle kunna knäckas” av en tillräckligt stor kvantmaskin inom de närmaste åren. Företaget uppger att man justerat sin interna hotmodell och prioriterar övergången till efterkvantlösningar för autentisering och digitala underskrifter. Budskapet är inte att en sådan dator finns i dag, utan att ledtiden för att byta kryptografi i stora system är så lång att det i sig är riskabelt att vänta på ett definitivt datum.

Kvantberäkning är fortfarande hårt begränsad av ingenjörsmässig verklighet: systemen kräver extrem kylning eller mycket exakt laserinriktning, och dagens maskiner är för små och instabila för de ”kryptografiskt relevanta” angrepp som oroar säkerhetsmyndigheter. Ändå finns ett praktiskt hot redan nu, i en annan form. The Guardian beskriver strategin ”lagra nu, dekryptera senare”: angripare kan stjäla krypterade uppgifter i dag och spara dem tills det blir möjligt att låsa upp dem. Det gör uppgraderingar till en kapplöpning mot klockan för allt som har lång hållbarhetstid – försvarsupphandlingar, diplomatisk korrespondens, industrikonstruktioner, patientjournaler och betalningsuppgifter.

Europas utsatthet är delvis teknisk och delvis institutionell. Kryptografi är inbyggd i identitetsinfrastruktur, skattesystem, upphandlingsportaler, bankernas betalningsräls och programvaruförsörjningskedjor hos tusentals offentliga underleverantörer. De dyraste misslyckandena tenderar att uppstå där ansvaret är utsmetat: en myndighet köper ett ”säkert” system, en annan driver det, en tredje granskar det, och ingen bär kostnaden för ett intrång förrän efter händelsen. I privat sektor kan en komprometterad autentisering slå ut ett företag; i offentlig sektor blir det ofta ett flerårigt saneringsprogram finansierat av skattebetalarna.

Stater sätter redan tidslinjer. Storbritanniens nationella cybersäkerhetscentrum har uppmanat organisationer att vara förberedda till 2035, men Googles varning om 2029 krymper planeringshorisonten för högvärdiga mål och för system som inte snabbt kan bytas ut. Autentisering är en flaskhals: om underskrifter och certifikat fallerar blir allt från programuppdateringar till medborgarinloggningar misstänkliggjort.

Själva övergången kommer inte att kosta lika för alla. Stora moln- och plattformsleverantörer kan sprida omställningen över globala maskinparker; mindre banker, kommuner och aktörer inom kritisk infrastruktur får räkna med skräddarsydda uppgraderingar, upphandlingsfördröjningar och leverantörsberoende. Kommer intrånget först, kommer fakturan ändå – bara med sämre förhandlingsläge och större brådska.

Googles varning handlar om datorer som ännu inte finns. Arbetet man kräver gäller system som redan gör det.