Kvanttitietokoneiden kehitys mullistaa digitaalista yhteiskuntaa ja vaikuttaa väistämättä tietoja suojaavien salausmenetelmien tehoon. VTT on selvittänyt kvanttiturvallisten salausmenetelmien nykytilaa ja tulevaisuuteen varautumista Suomessa. Organisaatioiden on nyt aika laatia suunnitelmat kohti turvallista kvanttisiirtymää. Työn tulokset julkaistiin Policy Briefissä 16.9.2022.
Nykyaikainen digitaalinen yhteiskunta on vahvasti riippuvainen kryptografiasta eli salausmenetelmistä, joilla suojataan yhtä lailla valtionsalaisuuksia kuin kansalaisten pankkiasiointia. Kvanttikoneita kehitetään hyödyllisiin tarkoituksiin kuten lääketutkimuksen apuvälineeksi, mutta koneiden laskentatehoa voidaan käyttää myös rikollisiin tai vihamielisiin tarkoituksiin. Tämä altistaa yhteiskunnan uusille riskeille.
Perinteiset salausmenetelmät eivät riitä turvaamaan tietoja kvanttikoneiden aikana, vaan tähän tarvitaan uusia kvanttiturvallisia suojausmenetelmiä (PQC, Post-Qvantum Cryptography). VTT:n PQC Finland -tutkimushankkeessa selvitettiin näitä menetelmiä sekä niiden standardointia ja käyttöönottoa maailmalla. Hankkeessa kehitettiin myös suomalaista kryptografian osaamista, verkostoitumista ja varautumista kvanttikoneiden ajalle.
Kvanttiturvallisia menetelmiä on jo olemassa – käyttöönotto valtava urakka
Ensimmäiset kvanttiturvalliset salausmenetelmät etenevät jo kohti standardointia. Hilapohjaiset salaus- ja allekirjoitusmenetelmät ovat selkeästi kilpailijoitaan parempia ja niistä parhaat on jo valittu standardoitavaksi. Toistaiseksi ei tunneta kvanttialgoritmia, jolla voitaisiin ratkaista hilaongelmia nopeammin kuin klassisella tietokoneella. Uusien salausmenetelmien käyttöönotto edellyttää suunnittelua, ja niiden valintaan on kiinnitettävä huomiota. Menetelmät vaativat myös lisätutkimuksia, ja osasta niistä on löydetty vakavia heikkouksia.
”Vanhojen järjestelmien päivittäminen kvanttiturvallisiksi on valtava urakka, joka vie aikaa. Niin julkisten kuin yksityistenkin organisaatioiden on varauduttava tähän siirtymään huolehtimalla järjestelmiensä ketteryydestä ja avainhenkilöidensä koulutuksesta”, sanoo PQC Finland tutkimushankkeen projektipäällikkö, erikoistutkija Visa Vallivaara VTT:ltä.
Lisähaastetta aiheuttaa se, että monilla organisaatioilla on velvollisuus suojella dataa kymmeniä vuosia. Tällöin uusia algoritmejä on otettava käyttöön perinteisten menetelmien rinnalla jo ennen kuin PQC-algoritmit on standardoitu. Osa uusista salausmenetelmistä soveltuu hybridiratkaisuihin toisia paremmin.
Suomi on kvanttiturvallisuuden edelläkävijä – salaustuoteteollisuudella suuri markkinapotentiaali
Suomi on tällä hetkellä eturintamassa sekä kvanttiteknologioiden että kvanttiturvallisen kryptografian kehittämisessä. Aseman säilyttämiseksi Suomen on tärkeää panostaa kvanttiturvallisten salausmenetelmien osaamiseen. Hyvin koulutettuja asiantuntijoita tarvitaan sekä alan tutkimukseen ja tuotekehitykseen että uusien teknologioiden toteuttamiseen.
”Kasvanut tietoisuus kyberturvallisuuden merkityksestä tietojärjestelmien suojaamisessa on lisännyt erityisesti turvakriittisillä toimialoilla toimivien asiakkaiden kiinnostusta PQC-menetelmien saamiseksi osaksi tuotetarjontaa", sanoo Insta Advance oy:n Kyber-yksikön teknologiajohtaja Tatu Männistö.
Kotimaiselle salaustuoteteollisuudelle on merkittävää markkinapotentiaalia niin EU:n hyväksymien viranomaistuotteiden markkinoilla kuin NATO-markkinoilla. Viranomaistuotteiden kehittäminen on hyvin suljettu ja suojeltu markkina, jolla menestyminen vaatii tiivistä yhteistyötä turvallisuusviranomaisten kanssa. Suuressa roolissa on myös salaustuotteiden toteutusturvallisuus, jonka tutkimukseen ja kehittämiseen on panostettava Suomessa myös jatkossa.
Policy Brief toteuttiin osana PQC Finland-tutkimushanketta 2020-2022. Hanketta rahoitti Business Finlandin Digital Trust -ohjelma.