Még várni kell a poszt-kvantumtitkosítás tényleges bevezetésére

Kvantum számítógép

Néhány hónappal ezelőtt írtam egy részletesebb összefoglalót arról, hogy a jogalkotó, a 2013. évi L. törvény módosításával előírta, hogy a hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell a poszt-kvantumtitkosítás alkalmazásra kötelezett szervezetek esetén a fizikailag elkülönített helyszíneik közötti kormányzati célú hálózaton, továbbá a publikus internet felületen zajló, az elektronikus hírközlési törvény szerinti szolgáltató igénybevételével vagy egyéb információs társadalommal összefüggő szolgáltatásaik igénybevétele során a hagyományos kriptográfiai alkalmazáson felüli biztonságot nyújtó poszt-kvantum titkosítási alkalmazással történő zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.

A napokban, a módosító törvény hatályosulásával összefüggésben, több médiában is cikkek jelentek meg arról, hogy “Előírás lett a poszt-kvantumtitkosítás.” Ez azonban messze nem pontos, mivel a vonatkozó rendelkezések tényleges hatályosulása egy konkrét feltételhez van kötve. Ezek a szabályok egyébként az egyes energetikai és közlekedési tárgyú, valamint kapcsolódó törvények módosításáról szóló 2021. évi CXXXVI. törvényben jelentek meg eredetileg, és így kerültek bele a 2013. évi L. törvénybe.

A lényeg azonban az, hogy a törvényszöveg alapján felhatalmazást kapott a Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH) elnöke, hogy rendeletben határozza meg a poszt-kvantumtitkosítás alkalmazásra kötelezett szervezeteket, a poszt-kvantumtitkosítás alkalmazást nyújtó szervezet nyilvántartásba vételére vonatkozó részletes szabályokat, a poszt-kvantumtitkosítás alkalmazást nyújtó szervezet informatikai rendszerelemei zártsága tanúsítására vonatkozó részletes szabályokat, és végezetül: a tanúsítást végző szervezet nyilvántartásba vételére vonatkozó részletes szabályokat.

Ez azért fontos, mert az egyes energetikai és közlekedési tárgyú, valamint kapcsolódó törvények módosításáról szóló 2021. évi CXXXVI. törvénnyel megállapított új és módsító szabályokat az SZTFH elnökének a poszt-kvantumtitkosítás alkalmazást nyújtó szervezet nyilvántartásba vételére vonatkozó részletes szabályokat tartalmazó, a törvényben meghatározott szervezetekre vonatkozó rendeletei hatálybalépését követő 60. naptól kötelesek alkalmazni a rendeletekben meghatározott poszt-kvantumtitkosítás alkalmazásra kötelezett szervezetek.

Az SZTFH elnöke viszont, bár kibocsátotta az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról szóló 31/2022. (II. 14.) SZTFH rendeletet, de az nem a poszt-kvantumtitkosításról szól, hanem az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) szóló, 2019. április 17-i (EU) 2019/881 európai parlamenti és tanácsi rendelet végrehajtásához szükséges rendelkezéseket állapítja meg.

A ténylegesen hatályba léptető SZTFH rendelet(ek) hiányában pedig a gyakorlatban nem alkalmazható még a 2013. évi L. törvény számos pontja. A poszt-kvantumtitkosítás területéről egyébként viszonylag friss hír, hogy Magyarország is csatlakozott az Európai Unió által 2019-ben indított EuroQCI kezdeményezéshez, melynek célja, hogy az európai országok létrehozzák az első, kvantumos titkosításra épülő távközlési csatornákat.

Az ITCafé beszámlójából kiderül, hogy az ehhez kapcsolódó pályázaton nyertes QCIHungary konzorcium célja a nemzeti kvantumkommunikációs infrastruktúra kiépítése. A konzorcium tagjai: a Kormányzati Informatikai Fejlesztési Ügynökség, a Wigner Fizikai Kutatóközpont, az Eötvös Loránd Tudományegyetem (ELTE) Informatikai Kara, a Budapesti Műszaki és Gazdaságtudományi Egyetem (BME) Villamosmérnöki és Informatikai Kara, valamint a Magyar Telekom és a Vodafone mint partnerek.

Az egész világon zajlik egyébként a megfelelő poszt-kvantumtitkosítási eljárások kutatása, kiválasztása. Az egyik legfontosabb az amerikai NIST által végzett vizsgálat, melynek eredményeként, első körben, összesen négy algoritmus került kiválasztása egy többfordulós eljárás eredményeként. A biztonságos webhelyek elérésekor használt, általános titkosításhoz a NIST a CRYSTALS-Kyber  algoritmust választotta, míg a digitális aláírásokhoz a CRYSTALS-DilithiumFALCON és a SPHINCS+ algoritmusokat. A szabványosítás lezárásáig azonban még akár két évet is várni kell, kérdés, hogy addig sikerül-e a bizalmasságot fenntartani.

Nemrégiben egyébként kisebb szenzációként tálalta a sajtó, hogy az egyik, végül nem kiválasztott, de a programban részt vevő algoritmust, a SIKE-t viszonylag csekély számítási kapacitással sikerült feltörni. Ez is mutatja, hogy a technológia megszilárdulásához vezető úton még bőven lehetnek kockázatot jelentő veszélyforrások, buktatók, amellett is, hogy bizonyos szolgáltatók ennek ellenére már megjelentek ezen a területen is.

Érdekes lehet még