Nykyiset salausjärjestelmät kohtaavat uusia haasteita entistä tehokkaamman kvanttilaskennan edessä. Organisaatiot voivat valmistautua kvanttiaikakauteen vahvistamalla ohjelmistojen toimitusketjun turvallisuutta ja varmistamalla tuotteiden häiriönsietoisuuden pitkällä aikavälillä pitämällä käyttämistään salausmenetelmistä ajantasaista listaa, jota kutsutaan salausteknologioiden materiaaliluetteloksi (CBOM, Cryptography Bill of Materials). Salausteknologioiden materiaaliluettelosta yritykset saavat käsityksen nykyisistä salausmenetelmistään, mikä auttaa valmistautumaan kvanttiturvalliseen salaukseen.
Kvanttilaskenta muovaa salauksen tulevaisuudennäkymiä
Kvanttilaskentateknologian kehitys on kiihtynyt voimakkaasti viime vuosina. Suurissa vikasietoisissa kvanttitietokoneissa tulee teknologian kehittyessä olemaan tietyillä alueilla eksponentiaalisesti parempi laskentateho perinteisiin tietokoneisiin verrattuna. Tästä seuraa huomattavia ongelmia, sillä monet nykyiset salausalgoritmit perustuvat siihen, ettei tietokoneiden laskentateho riitä pinnan alla piilevien matemaattisten ongelmien ratkaisemiseen.
Marraskuussa 2024 Yhdysvaltain standardisointi- ja teknologiainstituutti NIST julkaisi alustavan julkisen luonnoksen (englanniksi) kvanttiturvalliseen salaukseen siirtymisestä. Luonnoksessa todetaan odotetusti, että nykyiset digitaaliset allekirjoitusalgoritmit (ECDSA, EdDSA, RSA) ja avaintenvaihtoprotokollat (FFDH, ECDH, RSA) vanhenevat vuoteen 2030 mennessä ja niiden käyttö kielletään kokonaan vuodesta 2035 eteenpäin. Kvanttiturvalliseen salaukseen siirtymisen aikataulu on siis valmis. Myös Euroopan komissio julkaisi vuonna 2024 suosituksen kvanttiturvalliseen salaukseen siirtymisen koordinoidusta toteutussuunnitelmasta. Myös 18 EU-jäsenmaahan sijoittuneiden yhteistyökumppanien yhteisessä lausunnossa (englanniksi) painotetaan asian tärkeyttä.
On selvää, että nyt on aika toimia. Salausteknologioiden materiaaliluettelon laatiminen ja ylläpitäminen ovat ensimmäisiä askeleita, joita organisaatiot voivat ottaa kvanttiturvalliseen salaukseen siirtymisessä.
Salausresurssien luettelointi
Salausteknologioiden materiaaliluettelossa (CBOM) kuvataan eri salausresurssit ja niiden riippuvuussuhteet. Salausresursseja ovat algoritmit, protokollat, varmenteet, avaimet, ja salasanat. Algoritmit ja protokollat on yleensä toteutettu avoimesti saatavilla olevissa ohjelmistokirjastoissa (esim. OpenSSL), joita ohjelmistokehittäjät käyttävät. Salausresurssin ominaisuudet määrittävät sen toiminnallisuuden, turvallisuustason ja sopivuuden tiettyihin käyttötapauksiin ja siksi myös ominaisuudet on tärkeä luetteloida. Esimerkiksi algoritmi (esim. AES) on salausresurssi. Algoritmin variantti (esim. AES-128-GCM) määrittää algoritmin ominaisuudet (avaimen pituuden ja toimintamallin).
Alla on esitetty muutamia yleisiä salausresurssien tyyppejä:
- Salausavaimet:
- Välttämättömiä salauksessa ja salauksen purussa.
- Kirjaa luetteloon esimerkiksi avaimen tallennustyyppi, omistaja sekä algoritmin tunniste, tallennusmuoto ja tila (aktiivinen tai vanhentunut)
- Varmenteet:
- Salauksessa käytettäviin julkisiin avaimiin yhdistettyjä elektronisia tunnisteita.
- Sisällytä luetteloon varmenteen voimassaoloaika, omistaja ja myöntänyt valtuuttaja.
- Algoritmit:
- Salausalgoritmeja käytetään esimerkiksi tietojen salaukseen, sähköiseen allekirjoittamiseen ja todentamiseen.
- Seuraa, mitä algoritmeja järjestelmissäsi käytetään. Määritä kvanttihyökkäyksille alttiit algoritmit.
- Protokollat:
- TLS:n ja IPsecin kaltaiset protokollat edesauttavat ohjelmistokomponenttien välisiä salaustoimintoja.
- Seuraa riippuvaisuuksia, merkitsemällä muistiin protokollan version ja käyttöönoton tiedot.
Kun salausteknologioiden materiaaliluettelo on valmis, sitä voidaan hyödyntää automatisoidussa päätöksenteossa. Tärkeää on esimerkiksi tunnistaa heikot salausalgoritmit sekä pitkäaikaista salausta vaativat tiedot. Järjestelmille asetetaan toisinaan myös salausteknisiä vaatimuksia ja salausteknologioiden materiaaliluettelo auttaa näiden vaatimusten arvioinnissa.
Teknologisia valintoja
Ohjelmistoteknologian näkökulmasta salausteknologioiden materiaaliluettelon luomiseen ei ole yhtä pakettiratkaisua. Organisaatiot joutuvat huomioimaan useita teknisiä ratkaisuja, kehittäessään CBOM-työkaluaan tai arvioidessaan sopivaa kaupallista ratkaisua.
Ensin on huomioitava luetteloitava kohde. Se voi olla hakemisto tiedostojärjestelmässä, lähdekoodin repositorio, virtuaalikone tai ohjelmistokontti tai ohjelmistorajapintojen välinen verkkoliikenne. Kohteelle valitaan sopiva skannausmenetelmä. Esimerkiksi lähdekoodinrepositorion skannaaminen edellyttää erilaista lähestymistapaa kuin virtuaalikoneen tai ohjelmistokontin skannaaminen. Käyttötapauksen mukaan voi olla tarpeen skannata päivitettäviä palveluita verkkoportissa, tehdä lähdekoodin staattinen analyysi salauskirjastojen riippuvaisuustarkastusta varten tai hallita varmenteita ja avaimia tiedostojärjestelmää seuraamalla.
Tärkeintä on laatia salausteknologioiden materiaaliluettelo mahdollisimman pian valitusta teknologiasta riippumatta. Kvanttiuhat eivät välttämättä koskaan toteudu, mutta materiaaliluettelon laatiminen tekee ohjelmistojen toimitusketjusta huomattavasti turvallisemman. Valmiiksi laadittu materiaaliluettelo helpottaa ohjelmointivirheiden löytämistä turvallisuuden kannalta kriittisistä ohjelmistoista, jolloin vaaratilanteisiin voidaan reagoida aiempaa nopeammin. Luettelosta on apua myös vanhentuneiden tai äärimmäisen haavoittuvien algoritmien päivittämisessä. Kaikki tämä vaikuttaa osaltaan ohjelmistojen toimitusketjun turvallisuuteen.
Verkkosivuiltamme saat tietoa siitä, miten voit varmistaa ohjelmistojen toimitusketjun turvallisuuden ja valmistautua tulevaan kvanttiaikakauteen. Ota ensiaskel digitaalisen omaisuuden suojaamiseksi jo tänään!
