Posztkvantum kriptográfiára átállás
A Forescout Vedere Labs kutatása a posztkvantum kriptográfia (PQC) gyakorlati elterjedtségét vizsgálta az interneten, valamint vállalati IT, OT, IoT és IoMT környezetekben. A legfontosabb megállapítás, hogy bár a migráció felgyorsult, a kritikus rendszerek túlnyomó többsége továbbra sem áll készen a kvantumszámítógépek jelentette fenyegetésre. Az interneten elérhető SSH-szerverek száma meghaladja a 161 milliót, ezek közül azonban csak 19 millió (11,8%) támogat olyan OpenSSH-verziót, amely már képes NIST által szabványosított ML-KEM alapú hibrid kulcscserére. Ez ugyan 72%-os növekedést jelent az előző évhez képest (11,5 millióról 19 millióra), de azt is jelenti, hogy közel 90% továbbra is kizárólag klasszikus kriptográfiára támaszkodik. A fejlődés szinte teljes egészében az OpenSSH új verzióinak köszönhető, míg a beágyazott eszközökön széles körben alkalmazott Dropbear SSH esetében a PQC-támogatás mindössze 3%, ami különösen az OT- és IoT-környezetekben jelent problémát.
A vállalati eszközpark vizsgálata még nagyobb különbségeket mutat. Az IT-rendszerekben az OpenSSH-t futtató eszközök 50%-a már PQC-kompatibilis verziót használ, ugyanakkor ez az arány IoT-eszközöknél 28%, OT-rendszereknél 16%, míg orvostechnikai (IoMT) eszközöknél csupán 6%. A TLS-helyzet sem kedvező: bár az internetes szerverek 30%-a már támogatja a TLS 1.3 protokollt, amely lehetővé teszi a hibrid PQC-megoldások alkalmazását, a vállalati hálózatokban a tényleges PQC-képes TLS használata IT-eszközöknél is csak 8%, OT-rendszereknél pedig 0,8%. A kutatók szerint ennek oka, hogy a hosszú életciklusú ipari vezérlők, hálózati berendezések és orvostechnikai eszközök sok esetben nem frissíthetők, vagy a gyártók még nem biztosítanak számukra kvantumbiztos firmware-t.
A veszély nem a kvantumszámítógépek azonnali megjelenése, hanem a harvest now, decrypt later stratégia, amely során a támadók már ma is nagy mennyiségű titkosított adatot gyűjtenek azzal a céllal, hogy a jövőben kvantumszámítógépekkel visszafejtsék azokat. Emiatt különösen veszélyeztetettek azok az adatok, amelyeknek hosszú éveken át bizalmasnak kell maradniuk.
A Forescout szerint a szervezetek első lépése nem a teljes infrastruktúra azonnali lecserélése, hanem a kriptográfiai láthatóság megteremtése, pontosan fel kell térképezni, hogy mely rendszerek milyen titkosítási algoritmusokat és protokollokat használnak, ezt össze kell kapcsolni az eszközök üzleti és kockázati besorolásával, majd prioritás alapján megkezdeni a migrációt. Külön figyelmet kell fordítani azokra az OT-, IoT- és IoMT-eszközökre, amelyek várhatóan még évekig vagy akár évtizedekig üzemben maradnak, mivel ezek jelentik a kvantumbiztos átállás legnagyobb akadályát
