Η κβαντική μετάβαση δεν είναι απλώς ένα θέμα τεχνολογικής καινοτομίας, αλλά καθορίζεται από την αμείλικτη πραγματικότητα του χρόνου. Τα δεδομένα που σήμερα προστατεύουμε με μεθόδους όπως το RSA και ECC, μπορούν να υποκλαπούν σήμερα και να αποκρυπτογραφηθούν αύριο – το harvest-now-decrypt-later δεν είναι μια θεωρητική απειλή, αλλά μια ρεαλιστική στρατηγική των κακόβουλων επιτιθέμενων. Επιπλέον, η κανονιστική πίεση εντείνεται.
Στηριζόμενη σε κρίσιμους τομείς όπως η ναυτιλία, οι τράπεζες, οι τηλεπικοινωνίες και η ενέργεια, κάθε μήνας καθυστέρησης συνιστά τεχνολογικό χρέος που θα επωμισθούμε στο μέλλον.
Όποιος περιμένει μέχρι το 2031 για να πράξει, έχει ήδη μείνει πίσω. Στις Ηνωμένες Πολιτείες, το CNSA 2.0 της NSA θέτει επίμονους στόχους: «support and prefer» το CNSA 2.0 έως το 2025-2027 σε κάθε τομέα και «exclusively use» από το 2030 έως το 2033 για υπογραφές λογισμικού, δίκτυα, λειτουργικά συστήματα, browsers/servers και cloud. Στην πράξη, οι μεγάλοι προμηθευτές θα επιβάλουν προϊόντα και πρωτόκολλα με ρυθμούς που δεν θα έχουμε τη δυνατότητα να διαπραγματευθούμε από την Αθήνα. Θα ακολουθούμε.
Αν οι κρίσιμες υποδομές της Ελλάδας δεν έχουν ήδη σχέδιο για hybrid ciphersuites εντός TLS/IPsec, για code-signing με ML-DSA/SLH-DSA και για προσαρμογές σε PKI/HSM, θα βρεθούν σε μια κατάσταση αναγκαστικής αναβάθμισης που θα συνοδεύεται από αυξημένο ρίσκο διακοπών και ασυμβατότητας.
Η Ευρωπαϊκή Επιτροπή έχει αναλάβει δράση, επισημαίνοντας τη σημασία ενός συντονισμένου PQC transition roadmap με τη Σύσταση (ΕΕ) 2024/1101. Αυτή η σύσταση καλεί τα κράτη-μέλη να εκπονήσουν εθνικά σχέδια και να εγκαταστήσουν κοινά ορόσημα για τη διασυνοριακή διαλειτουργικότητα, υιοθετώντας ευρωπαϊκούς αλγορίθμους ως πρότυπα Ένωσης. Η Ελλάδα πρέπει να προχωρήσει πέρα από απλές «τεχνικές αναφορές» στους διαγωνισμούς και να θέσει ένα κρατικό σχέδιο μετάβασης με σαφείς ρόλους και προτεραιότητες, ώστε το Δημόσιο να μην επενδύει σε λύσεις των οποίων η συμμόρφωση θα αμφισβητείται στο μέλλον.
Σαφή πρότυπα υπάρχουν και μας καθοδηγούν στο πώς το QKD γίνεται δημιουργικός τομέας: η ETSI GS QKD 014 καθορίζει REST-based key delivery API και η ETSI GS QKD 015 ορίζει SDN-based διαχείριση και έλεγχο, μαζί με την οικογένεια ISO/IEC 23837 που παρέχει αξιολόγηση ασφάλειας σε γλώσσα Common Criteria. Οι ελληνικές αναθέτουσες αρχές πρέπει να απαιτούν conformance και interoperability δοκιμές, αποφεύγοντας να κλειδώνονται σε υλοποιήσεις που δεν θα έχουν μέλλον. Η μοναδική «καινοτομία» που οφείλουμε να αποφύγουμε είναι η προσήλωση σε έναν μόνο προμηθευτή.
Η τρέχουσα δημόσια διαβούλευση για την Εθνική Στρατηγική Κυβερνοασφάλειας 2026-2030 είναι μια κομβική ευκαιρία για να καθορίσουμε δεσμεύσεις: crypto-agility σε δημόσιες προμήθειες, υποχρεωτικά PQC-ready stacks για νέες υλοποιήσεις και προγραμματισμός μετάβασης σε υπογραφές ML-DSA/SLH-DSA για code-signing και PKI.
Αν δεν αποτυπωθούν αυτές οι στρατηγικές τώρα ως κρατική πολιτική, θα μεταφραστούν αργότερα σε έκτακτες δαπάνες. Όσοι νομίζουν ότι «δεν υπάρχουν ακόμα μεγάλοι κβαντικοί υπολογιστές» παραβλέπουν την πραγματικότητα. Το ζητούμενο δεν είναι το τι μπορεί να «σπάσει» σήμερα, αλλά τι θα αποκρυπτογραφηθεί αύριο από πληροφορίες που διακινούνται ήδη. Αρκεί να λάβει κανείς υπόψη την προειδοποίηση της Europol-led Quantum Safe Financial Forum για τον χρηματοπιστωτικό τομέα σχετικά με τον κίνδυνο που υπάρχει, με ορίζοντα δεκαετίας και με άμεσες προδιαγραφές προετοιμασίας.
Δυστυχώς, οι τεχνικές προσεγγίσεις είναι το λιγότερο απαιτητικό κομμάτι. Το πραγματικά δύσκολο κομμάτι εστιάζεται στη διοικητική προετοιμασία: προδιαγραφές διαγωνισμών που αναφέρονται σε επίσημα πρότυπα και όχι σε marketing, reference architectures ανά τομέα (χρηματοπιστωτικός τομέας, ενέργεια, υγειονομική περίθαλψη, μεταφορές) και interoperability tests με καθορισμένα κριτήρια επιτυχίας πριν από τη διαδικασία προμήθειας. Χωρίς αυτά τα βήματα, θα επαναλάβουμε το γνωστό ελληνικό σενάριο: πρώτα θα αγοράσουμε «κουτιά» και μετά θα αναζητούμε πώς να τα ενεργοποιήσουμε.
Ας το παραδεχτούμε: η quantum security δεν αποτελεί έργο ενός υπουργείου, ούτε μια απλή επιδότηση για να προωθηθεί η τεχνολογία μας. Είναι στρατηγική επιτυχίας και κυριαρχίας. Η Ελλάδα ήδη διαθέτει υποδομές όπως το HellasQCI, που μπορούν να αξιοποιηθούν εφόσον τη συνδυάσουμε με μια σοβαρή προσέγγιση για PQC migration και χρηματοδοτικά εργαλεία της ΕΕ (π.χ. EuroQCI/IRIS²) που απαιτούν συμμόρφωση με πρότυπα και πιστοποίηση. Έχουμε επίσης θεσμικές ευκαιρίες – τη νέα στρατηγική που είναι υπό διαβούλευση. Αυτό που μας λείπει είναι η πολυτέλεια του χρόνου. Το κόστος δεν συνίσταται μόνο στις αναβαθμίσεις, αλλά και στα δύο κόστος που μας περιμένει εάν καθυστερήσουμε: τώρα σε χαμένη προετοιμασία και αύριο σε κατεπείγουσες μεταβάσεις, διαταραχές υπηρεσιών και απώλειες αξιοπιστίας. Ο χρόνος κυλά. Το ερώτημα είναι αν θα κινηθούμε οργανωμένα ή αν θα παρασυρθούμε από τις εξελίξεις του κόσμου, θέτοντας σε κίνδυνο την αξιοπιστία μας ταυτόχρονα.
Το άρθρο δημοσιεύθηκε στο περιοδικό InfoCom
Γράφει ο Αθανάσιος Στάβερης-Πολυκαλάς, AI & Cybersecurity Specialist
Related Posts
Χάκερ που χρησιμοποιούν Leverage Tuoni C2 Framework Tool για να παραδίδουν μυστικά ωφέλιμα φορτία στη μνήμη
Χάκερ που εκμεταλλεύονται ευπάθειες στο Ivanti Connect Secure για να αναπτύξουν κακόβουλο λογισμικό MetaRAT
Το νέο Multi-Platform 01flip Ransomware υποστηρίζει αρχιτεκτονική πολλαπλών πλατφορμών, συμπεριλαμβανομένων των Windows και του Linux
