Suomalaisen kriittisen verkko- ja muun infrastruktuurin toimijoista vasta murto-osa on varautunut kvanttitietokoneiden tulevaisuuden kykyyn murtaa salaukset tietoliikenteestä. Tämä ilmenee tutkimuskeskus VTT:n Huoltovarmuuskeskukselle tekemästä selvityksestä, jonka oheen on tehty myös alan yrityksille tietopaketti ja tiekartta tarvittavista muutoksista salausalgoritmeihin ja kriittiseen tiedonsiirtoon.

Kvanttitietokoneiden arvioidaan saavuttavan 5–15 vuoden kuluttua kyvyn murtaa tietoliikenteen salaukset. Vaikka aikaa näyttäisi olevan, siirtymistä uudenlaiseen salaukseen ei ole VTT:n selvityksen mukaan syytä lykätä. Maailmantilanne on myös muuttunut. Vihamieliset valtiot ja kyberrikolliset voivat jo nyt tallentaa kannaltaan kiinnostavien organisaatioiden tietoliikennettä odottamaan aikaa, jolloin salaukset voidaan purkaa. Kvanttikoneiden kehitys voi myös edetä ennakoitua nopeammin.

Suomen huoltovarmuuskeskukselle toteutettuun selvitykseen vastasi sata organisaatiota, joiden vastaukset paljastivat karusti, että valmius on heikolla tolalla. Vasta kolme prosenttia oli varannut resursseja kvanttiturvalliseen salaukseen siirtymiseksi.

’’Kolme neljästä on tietoisia kvanttiuhasta, mutta odotukset ovat kovin optimistisia. Yli puolet organisaatioista uskoi, että ne voivat vaihtaa salausalgoritmit, vaikka vain neljäsosalla oli tiedossa, mitä ja millaista salausta koskevaa tekniikkaa ja menetelmiä on tällä hetkellä käytössä”, kertoo VTT:n salausmenetelmien erikoistutkija Visa Vallivaara.

Vaikka aikaa on vielä niin ensimmäiset kvanttiturvallisten salausalgoritmien standardit ovat tulossa jovuoden 2024 aikana. Siirtymisen niiden käyttöön voi sen jälkeen käynnistää. Sertifioituja versioita ja kaupallisia sovelluksia saapunee saataville pari vuotta myöhemmin.

Selvityksen yhteyteen VTT ja Huoltovarmuuskeskus ovat laatineet kvanttiturvallisiin algoritmeihin siirtymisestä ohjeistavan varautumistiekartan, joka näyttää miten ja missä järjestyksessä kannattaa edetä, jos toimii kriittisen infrastruktuurien alalla.  Siirtymä kvanttiturvalliseen salaukseen täytyy suunnitella ja sen toteuttamiseen täytyy varata resursseja. Tiekartan alkupuoleen kuuluu myös avainhenkilöstön koulutus ymmärtämään, miksi ja miten siirtyä kvanttiturvallisiin algoritmeihin.

VTT:n selvityksen mukaan Yhdysvalloissa ja Britanniassa suositellaan, että siirrytään kerralla. Euroopassa Ranskassa ja Saksassa halutaan käyttää hybridimenetelmiä, jotka kuitenkin hidastavat toimintoja. Ne ovat myös mutkikkaampia, jolloin virheiden riski on suurempi. Suomessa valmius on selvästi jäljessä naapurimaista. Koko Eurooppa taas laahaa Yhdysvaltojen ja muiden englanninkielisten maiden perässä.

Yhdysvalloissa laki vaatii selvityksen mukaan jo, että viranomaisilla on oltava kvanttiturvalliset algoritmit vuoteen 2030 mennessä. Jos yritys siellä haluaa tehdä viranomaisten kanssa yhteistyötä, sen täytyy todistaa, että kvanttiturvallisuus on huomioitu. Tämä koskee myös suomalaisia yrityksiä, jos niiden liiketoimintaan liittyy jokin viranomainen.

Vallivaara pitää huolestuttavana, ettei Suomessa ja EU:ssa ole salausmenetelmistä mitään sääntelyä. Saksassa monet yritykset myös toivovat sääntelyä, koska silloin algoritmien vaihtotarve ja siihen liittyvät kustannukset on helppo perustella.

Kriittisen infrastruktuurin haasteena on myös se, että uudet kvanttiturvalliset algoritmit vaativat nykyistä salausta enemmän muistia ja suorituskykyä. Esimerkiksi älykorttien rajat tulevat siksi usein vastaan, eikä siirtyminen välttämättä onnistu. Kehitteillä on kuitenkin myös kevyempiä salausalgoritmeja. Huoltovarmuuskeskus järjestää kriittisen infrastruktuurin organisaatioille 10.6.2024 webinaarin ja työpajan, jossa se esittelee tiekartan kvanttiturvallisen salaukseen siirtymisestä.

Kuvituskuva: VTT kvanttitutkimus