Salasanojen aika on ohi. Kvanttitietokoneet pakottavat koko tunnistautumisen ja kryptografian uudelleenarviointiin. Kyse ei ole yksittäisestä algoritmista vaan koko digitaalisen luottamuksen rakenteesta, kirjoittaa Yubicon teknologiajohtaja Christopher Harrell.
Salasana on pitkään ollut digitaalisen turvallisuuden perusta. Se on ollut asia, jonka käyttäjä tietää ja jonka avulla hän todistaa olevansa oikea henkilö. Kvanttiaikakaudella tämä ajatus murtuu, mutta ei siksi, että kvanttitietokone murtaisi itse salasanan. Ongelma on syvemmällä.
Salasana ei ole varsinainen suoja, vaan vain syöte kryptografiselle järjestelmälle. Kun käyttäjä kirjautuu palveluun, salasana käynnistää ketjun, joka perustuu julkisen avaimen kryptografiaan. Tämän ketjun varassa ovat salatut yhteydet, digitaaliset allekirjoitukset ja koko verkon luottamusmalli. Kvanttitietokoneet uhkaavat juuri tätä perustaa.
Kvanttitietokone ei hyökkää salasanoja vastaan eikä arvaile merkkejä perinteisessä mielessä. Sen vahvuus kohdistuu julkisen avaimen algoritmeihin, kuten RSA:han ja elliptisiin käyriin, joita käytetään laajasti tunnistautumisessa ja allekirjoituksissa. Kun nämä algoritmit voidaan murtaa, salasanan pituudella tai monimutkaisuudella ei ole enää merkitystä.
Tämä muuttaa koko turvallisuusajattelun. Jo nyt on mahdollista tallentaa salattua verkkoliikennettä ja purkaa se myöhemmin, kun laskentateho kehittyy riittävän pitkälle. Tämä niin sanottu harvest now, decrypt later -uhka koskee erityisesti pitkäikäistä ja arvokasta dataa, kuten identiteettejä, taloudellisia tapahtumia ja viranomaisjärjestelmiä. Salasana ei suojaa tällaista tietoa, jos sen taustalla oleva kryptografia ei ole kvanttiturvallista.
On tärkeää ymmärtää myös rajat. Kvanttikone ei tee kaikkea turvattomaksi. Symmetrinen kryptografia kestää hyvin, eikä kvanttilaskenta tee phishingistä helpompaa tai salasanojen brute force -hyökkäyksistä äkillisesti tehokkaita. Silti vaikutus on perustavanlaatuinen, koska digitaalinen luottamus nojaa juuri niihin algoritmeihin, jotka kvanttikoneiden myötä heikkenevät.
Tässä mielessä salasana ei ole ongelma. Ongelma on se, mihin se nojaa. Kvanttiaikana salasana ei suojaa mitään, jos koko järjestelmä sen ympärillä ei ole rakennettu kestämään uusia hyökkäysmalleja. Turvallisuuden painopiste siirtyy pois siitä, mitä käyttäjä tietää, kohti sitä, mitä käyttäjä hallitsee ja tietoisesti hyväksyy.
Harrellin kirjoituksen ydinviesti on, että kvanttiaika ei ole paniikin hetki vaan suunnittelun hetki. Siirtymä vie vuosia, ja juuri siksi järjestelmien on oltava kryptografisesti ketteriä. Algoritmien on voitava vaihtua ilman, että koko infrastruktuuri romahtaa. Samalla käyttäjäkokemuksen on pysyttävä yksinkertaisena.
Salasana ei siis katoa yhdessä yössä. Mutta kvanttiaikana se ei enää muodosta suojaa yksinään. Digitaalinen luottamus rakennetaan jatkossa fyysisempien autentikaattorien, tarkoituksellisten hyväksyntöjen ja kvanttiturvallisen kryptografian varaan, vaikka käyttäjän näkökulmasta kyse olisi yhä vain yhdestä painalluksesta.
Teollisuuden ja kenttälaitteiden tallennus ei ole enää pelkkää muistia, vaan osa järjestelmän kyberturvaa. Silicon Motionin DefendMax tekee SSD:stä aktiivisen suojakerroksen, joka estää datan korruptoitumisen, torjuu hyökkäyksiä ja pitää järjestelmän käynnissä myös pahimmissa häiriötilanteissa.
