Tällä hetkellä sekä Suomessa että maailmalla puhutaan paljon niin kvanttiteknologioista kuin kyberturvallisuudestakin. Vaikka äkkiseltään saattaa näyttää, että nämä kaksi alaa ovat melko kaukana toisistaan, löytyy niiden väliltä ajankohtaisuuden lisäksi myös muita mielenkiintoisia samankaltaisuuksia.
Turvallinen, turvaton, ei kumpikaan vai molemmat?
Kvanttifysiikan tunnetuin tarina lienee Erwin Schrödingerin ajatusleikki kissasta, joka on suljettuna laatikkoon myrkkypullon ja radioaktiivisen aineen kanssa. Radioaktiivisen aineen hajoaminen laukaisee tapahtumaketjun, jolla myrkkypullo rikkoutuu ja kissaparka kuolee. Kvanttifysikaalisen tulkinnan mukaan radioaktiivisen aineen atomit voivat olla superpositiossa, eli useissa eri tiloissa yhtä aikaa. Näin atomiydin yhtä aikaa on ja ei ole hajonnut, ja kissa on ja ei ole kuollut. Tällaista superpositiokissaa ei tosin ikinä pysty näkemään, sillä laatikkoon kurkistaminen pakottaa systeemin valitsemaan jommankumman tilan, ja kissa joko kuolee tai selviytyy.
Yksi kybermaailman perustavanlaatuisia oletuksia taas on Hyppösen laki, joka toteaa, että jos laite on älykäs, niin se on myös haavoittuvainen. Kaikkia järjestelmän haavoittuvuuksia ei kuitenkaan yleensä tunneta, joten kaikki järjestelmät ovat olemassa eräänlaisessa Schrödingerin turvallisuustilassa, turvallisen ja turvattoman olomuodon superpositiossa. Järjestelmän tarkkaileminen, käyttäminen tai testaaminen määrittää sen, kumpaan suuntaan järjestelmän turvallisuuden tila romahtaa.
Tarkkailijan motiivit
Kvanttifysiikan näkökulmasta tarkkailijan motiiveilla ei yleensä ole merkitystä. Tarkkailijan ei tarvitse olla edes tietoinen, pelkkä kyky havaintojen tekemiseen riittää. Tietoturvan tapauksessa tilanne on eri: systeemin puolustajan tekemä valvonta ja mittaaminen edesauttavat systeemiä siirtymään kohti turvallista tilaa, ja hyökkääjän kolkuttelu päinvastoin vetää sitä turvattomaan suuntaan. Sekä puolustajat että hyökkääjät ovat todennäköisesti ihmisiä, tai vähintäänkin ihmisten ohjelmoimia botteja.
Alkuperäisessä Schrödingerin ajatuskokeessa kissan hengissä selviämisen todennäköisyys oli 50 prosenttia. Valitettavasti kybermaailmassa kuitenkin vallitsee niin sanottu epäreiluusperiaate: hyökkääjälle riittää löytää yksi reitti järjestelmään, mutta puolustajien on oltava jatkuvasti valppaana kaikkien teknisten ja inhimillisten haavoittuvuuksien keskellä. Sen vuoksi tietoturvan superpositio romahtaa suuremmalla todennäköisyydellä turvattomaan tilaan.
Epätarkkaa tietoa
Kvanttifysiikan maailmasta suhteellisen tuttu käsite on myös Heisenbergin epätarkkuusperiaate. Sen mukaan hiukkasen paikkaa ja liikemäärää ei voida mitata tarkasti yhtä aikaa. Kyberturvallisuuden epätarkkuusperiaatteen mukaan puolestaan ei voida tarkasti tietää kaikkia tahoja, jotka hyödyntävät tiettyä järjestelmän haavoittuvuutta, ja toisaalta jos hyökkäävä taho tunnetaan tarkasti, ei voida olla varmoja siitä, mitä kaikkia haavoittuvuuksia hyökkääjä käyttää.
Tämä johtaa kybermaailmassa ns. nollapäiväparadoksiin. Jos hyökkääjällä on käytössään puolustajalle tuntematon haavoittuvuus, niin puolustaja ei voi varautua siihen. Toisaalta vaikka kyseinen tuntematon haavoittuvuus paljastuu puolustajalle, ei hyökkääjä välttämättä poistu järjestelmästä. Tämä johtuu yllä mainitusta kybermaailman epätarkkuusperiaatteesta.
Vaikka yllä käsittelemme vakavia aiheita hieman pilke silmäkulmassa, on mielestämme hauska huomata, että näillä kahdella kuumalla teknologian alueella on ehkä yllättäviäkin yhtäläisyyksiä. Täällä VTT:llä panostamme merkittävästi molempiin teknologioihin mm. kvanttitietokoneen hankinnan sekä kvanttiturvallisten salausmenetelmien tutkimuksen kautta. Me uskomme, että kyberturvallisuus ja kvanttiteknologiat voivat hyötyä yhteistyöstä ja että osaamista yhdistämällä voimme löytää mielenkiintoisia uusia menetelmiä.
