Криптографія більше не може бути «налаштував і забув». Алгоритми старіють, обчислювальні потужності зростають, а на горизонті — квантові комп’ютери, здатні зламати нинішні стандарти шифрування. Канал IBM Technology у новому освітньому відео розбирає, чому організаціям потрібна криптоагільність — здатність швидко й безболісно оновлювати криптографічні механізми.
Чому криптоалгоритми мають «строк придатності»
Навіть найкращі криптоалгоритми не є вічними. Зі зростанням обчислювальної потужності те, що вважалося «золотим стандартом», поступово стає вразливим.
Від DES до AES: історія замін
- DES (Data Encryption Standard)
- Розроблений IBM у 1977 році, став масовим стандартом для приватного та державного секторів.
- У 1998 році система Deepcrack здійснила публічний брутфорс-злам DES менш ніж за добу, використовуючи також розподілені обчислення добровольців.
-
Лише у 2005 році DES офіційно визнали застарілим і депрекували — між фактичним зламом і формальною відмовою минули роки.
-
RC4
- Популярний симетричний шифр, створений у 1987 році.
-
У 2001 році було показано, що він зламаний, але до офіційної депрекації також минув тривалий час.
-
Triple DES (3DES)
- Тимчасовий «місток» після ослаблення DES: три послідовні операції DES з одним, двома або трьома 56-бітними ключами (шифрування–розшифрування–шифрування).
- Стандартизований у 1995 році як короткострокова заміна.
- У 2016 році продемонстровано вразливості, у 2018-му 3DES депрекували.
Щоб вийти з цього «латання дірок», Національний інститут стандартів і технологій США (NIST) провів відкритий конкурс і обрав AES (Advanced Encryption Standard). AES з 128-бітним ключем став новим базовим симетричним шифром (із можливістю використання довших ключів).
Висновок: алгоритми «добрі, поки не перестають бути добрими», а їхня заміна завжди запізнюється відносно моменту, коли вони фактично стають небезпечними.
Квантова загроза: що буде з AES та RSA
Наступний великий фактор, який змусить переглянути криптографію, — квантові комп’ютери.
Симетричні шифри: AES ще можна «підсилити»
Для симетричних алгоритмів, таких як AES, прогноз виглядає відносно керованим:
- AES‑128 уразливий до квантових атак у перспективі.
- Рекомендований підхід — подвоїти довжину ключа до 256 біт.
- За оцінками криптоекспертів, AES‑256 має залишатися стійким навіть проти найпотужніших квантових систем, які можна передбачити в осяжному майбутньому.
Але це означає, що всі реалізації, де сьогодні використовується AES‑128, доведеться переглядати й оновлювати.
Асиметричні шифри: RSA потребує повної заміни
З асиметричною криптографією ситуація складніша.
RSA — найпоширеніший алгоритм із відкритим і закритим ключем, який лежить в основі:
- обміну симетричними ключами;
- інфраструктури відкритих ключів (PKI);
- цифрових сертифікатів.
Для RSA просте збільшення довжини ключа не вирішує проблему в квантовому світі. Потрібні:
- нові постквантові (quantum-safe) алгоритми, спеціально розроблені для протидії квантовим атакам;
- масштабна заміна реалізацій RSA у коді та інфраструктурі.
Отже, перехід до квантобезпечної криптографії — неминучий, але пов’язаний із великими витратами, ризиками та тривалими міграціями. Саме тут з’являється концепція криптоагільності.
Що таке криптоагільність і чому вона критично важлива
Криптоагільність — це здатність системи швидко адаптувати криптографічні механізми у відповідь на:
- нові загрози;
- технологічні зрушення;
- виявлені вразливості,
— без порушення роботи інфраструктури та бізнес-процесів.
Ідея проста: ми знаємо, що алгоритми доведеться змінювати знову й знову. Тому замість разових болючих міграцій варто спроєктувати криптографію так, щоб її можна було оновлювати швидко й централізовано.
Поганий сценарій: шифрування «вшите» в код
Типовий підхід у багатьох організаціях:
- Розробник пише застосунок.
- У місці, де треба зашифрувати дані, він:
- знаходить реалізацію потрібного алгоритму (часто в open source),
- копіює фрагмент коду прямо в застосунок.
- Для розшифрування в іншому модулі — те саме: ще один вбудований фрагмент.
- Так повторюється десятки й сотні разів у різних сервісах.
Поки алгоритм вважається безпечним, усе працює. Але як тільки він стає вразливим, організація отримує проблему:
- потрібно відкривати код кожного застосунку;
- вручну замінювати криптографічні фрагменти;
- ризикувати, що під час змін щось зламається;
- витрачати багато часу й ресурсів, особливо якщо йдеться про сотні чи тисячі інстансів.
Це повна протилежність криптоагільності.
Кращий сценарій: модульний підхід із централізованими викликами
Агильний підхід передбачає іншу архітектуру:
- Усі криптооперації (шифрування, розшифрування, генерація ключів тощо) зосереджені в окремому модулі/сервісі.
- Застосунки не містять реалізацій алгоритмів у собі, а лише викликають цей модуль через чітко визначений інтерфейс.
- Коли алгоритм потрібно змінити:
- оновлюється один модуль;
- усі застосунки автоматично починають використовувати нову реалізацію;
- ризики помилок і час міграції суттєво зменшуються.
У постквантовому сценарії це особливо важливо: нові алгоритми (post-quantum crypto) можна «підключити» в одному місці, і вся екосистема успадкує оновлений захист без тотального переписування коду.
Як досягти криптоагільності: покроковий підхід
Перехід до криптоагільної моделі — це не одна дія, а процес, який починається з інвентаризації й закінчується перебудовою архітектури.
1. Виявлення: де у вас криптографія
Перший крок — зрозуміти масштаб проблеми:
- Використовуються спеціальні інструменти для сканування коду та пошуку всіх місць, де застосовується шифрування, підпис, обмін ключами тощо.
- На основі результатів формується Cryptographic Bill of Materials (C‑BOM) — криптографічна специфікація/інвентар:
- які алгоритми використовуються;
- де саме;
- з якими параметрами (довжина ключа, режими тощо).
Без такого «каталогу» неможливо планувати системні зміни.
2. Оцінка: що слабке, що не квантобезпечне
Далі кожен знайдений випадок використання криптографії потрібно оцінити:
- чи є алгоритм депрекованим;
- чи є він квантобезпечним;
- чи достатня довжина ключа;
- чи відповідає він актуальним стандартам і політикам безпеки.
Це дозволяє розділити всі інстанси на:
- критично вразливі;
- застарілі, але ще не критичні;
- відносно безпечні, але не квантобезпечні;
- сучасні й стійкі.
3. Пріоритизація: що оновлювати першим
Для великих організацій повна заміна за один раз нереалістична. У прикладі, наведеному у відео, одна компанія має понад 4000 інстансів криптографії — оновити все за день неможливо.
Тому потрібна пріоритизація:
- які системи обробляють найчутливіші дані;
- які сервіси є критичними для бізнесу;
- де ризик експлуатації вразливості найвищий.
На основі цього формується план поетапної міграції.
4. Ремедіація: виправлення з прицілом на майбутнє
Коли доходить до фактичних змін у коді й конфігураціях, важливо:
- не просто замінити «старий алгоритм на новий»;
- а перебудувати архітектуру з урахуванням криптоагільності:
- винести криптооперації в окремі модулі/сервіси;
- стандартизувати інтерфейси виклику;
- закласти можливість швидкої заміни алгоритмів у майбутньому.
Логіка проста: якщо вже доводиться «залазити під капот», варто одразу зробити систему гнучкою, щоб наступний перехід — наприклад, до нових постквантових стандартів — був набагато простішим.
Квантова ера неминуча — гнучкість має стати стандартом
Історія DES, RC4, 3DES і перехід до AES показують: криптоалгоритми неминуче старіють, а їхня заміна завжди болюча, якщо система не спроєктована з урахуванням змін. Квантові комп’ютери лише прискорюють цю динаміку, загрожуючи як симетричним, так і асиметричним шифрам, що сьогодні широко використовуються.
Підготовка до квантової ери — це не лише про вибір нових алгоритмів. Це про архітектуру, яка дозволяє:
- швидко виявляти вразливі місця;
- централізовано оновлювати криптографію;
- мінімізувати вплив на бізнес-процеси.
Криптоагільність із «бажаної властивості» перетворюється на обов’язкову вимогу до будь-якої сучасної системи безпеки.
Джерело
The Rise of Crypto Agility: How to Secure Systems for the Quantum Era — IBM Technology