Debatten om kvantesikkerhet bør preges av nyanser og innsikt i hvordan teknologiene kan samspille og utfylle hverandre, snarere enn å bli fremstilt som gjensidig utelukkende alternativer.
«NSM oppfordrer alle virksomheter til å imøtekomme kvantetrusselen innen 2030.» Slik lyder oppfordringen i et nytt notat Nasjonal sikkerhetsmyndighet (NSM) nylig har publisert, som i tillegg er beskrevet i Digi.
Utgangspunktet – at virksomheter allerede i dag må sikre seg mot morgendagens trusler – støtter jeg fullt og helt. «Harvest now, decrypt later» er nemlig en reell trussel mot data med lang levetid. Det gjelder for eksempel helse- og pasientdata.
Ulike metoder
Det er imidlertid en vesentlig nyanse og et premiss som mangler i debatten. Ofte handler kvantesikkerhetsdebatten om et valg mellom to teknologier: Kvantesikker kryptografi (PQC) og kvantekryptering (QKD). Det blir redusert til et teknologireligiøst spørsmål, og det skader debatten og kan hemme evnen til å kvantesikre nettverk.
De to teknologiene er, som NSM også beskriver i notatet, ganske forskjellige. Nettopp derfor er det også vesentlig å forstå at de ikke utelukker hverandre, men kan og bør fungere i kombinasjon på hvert sitt område.
De aller fleste virksomheter vil ganske riktig måtte stifte bekjentskap med PQC. Metoden er for eksempel kompatibel med nettlesere og enklere å implementere, og den er derfor opplagt å bruke til såkalt last mile – altså fra en myndighet og ut til den enkelte borger.
QKD har imidlertid også sine unike kvaliteter, som notatet likeledes beskriver. Det er mulig å skape en kommunikasjonsvei med full integritet og konfidensialitet. Ondsinnede aktører kan forhindre kommunikasjonen, men de kan verken avlese eller endre den. Derfor er den opplagt på enkelte backbone-forbindelser mellom datasentre, eller mellom en myndighet og et datasenter. Det er den også fordi den er bedre egnet til å sikre linjer med store mengder konfidensielle data. Teknologien vil derfor være relevant for færre organisasjoner og på langt færre forbindelser, men den har sin relevans i mer spesielle brukssituasjoner.
Umoden teknologi
Med det sagt, så er QKD-teknologien ennå ikke moden. Men det er for så vidt ikke PQC heller. Mye nettverksutstyr kan ikke oppdateres fordi algoritmene er hardkodet i utstyret, eller fordi utstyret ikke har tilstrekkelig prosessorkraft til å drive de avanserte algoritmene PQC bygger på.
Å skifte ut krypteringsalgoritmer i en statlig myndighets vidt forgrenede nettverk og applikasjonsportefølje, vil derfor fint kunne utvikle seg til et femårsprosjekt. Derfor blir prosjektet raskt både dyrt og tidkrevende.
Begge teknologier krever derfor ytterligere investeringer og utvikling. Det betyr imidlertid ikke at organisasjoner bare kan lene seg tilbake og vente på at teknologien er fullmoden. Næringslivet og offentlige organisasjoner må gjøre seg praktiske erfaringer med de kvantesikre teknologiene – akkurat som Norsk Helsenett.
Kun på den måten kan vi bygge opp kompetanse og foredle teknologiene, slik at næringslivet og det offentlige er i stand til å etterleve det ønsket NSM gir uttrykk for: Å imøtekomme kvantetrusselen innen 2030.
Overgangen til et kvantesikkert samfunn berører alle samfunnskritiske funksjoner
