Odnowienie certyfikatu to teraz decyzja kwantowa

Osoba odpowiedzialna za bezpieczenstwo, ktora odnawia partie certyfikatow TLS lub podpisuje obraz oprogramowania ukladowego, wykonuje rutynowe zadanie, ktore niesie teraz wybor z ery kwantowej. 9 lipca Cloudflare powiedzial jasno, ze nie bedzie czekac na lepsze podpisy postkwantowe i uzyje ML-DSA, algorytmu znormalizowanego w zeszlym roku. Firma chce byc w pelni zmigrowana do 2029 roku, przed krajowymi terminami przypadajacymi miedzy 2030 a 2035 rokiem.

Powodem jest harmonogram, nie preferencja. Sprzet kwantowy i otaczajace go oprogramowanie stale sie rozwijaja, a sama migracja zajmuje lata, by dotrzec do kazdego certyfikatu i urządzenia. Zbyt pozny start, a nie wybor zlego algorytmu, jest prawdziwa ekspozycja.

Postkwant ma latwa i trudna polowe

Najwiecej uwagi trafia do szyfrowania i groźby zbierania dzis, by odszyfrowac jutro, gdzie nowa wymiana kluczy o nazwie ML-KEM chroni dane w tranzycie. Ta polowa jest już mocno zaawansowana w przegladarkach i serwerach.

Podpisy to trudniejsza polowa. Uwierzytelniaja certyfikaty, kod, oprogramowanie ukladowe, dokumenty i tozsamosc, i zyja w lancuchach certyfikatow, urzadzeniach wbudowanych i dlugowiecznych korzeniach, ktorych nikt nie wymienia z dnia na dzien. Podpisy ML-DSA sa wieksze od tych, ktore zastepuja, a kazda warstwa - przegladarki, biblioteki, urzedy certyfikacji i sprzęt - musi dodac obsluge, zanim zmiana stanie sie realna.

Lepsze podpisy to runda NIST, nie produkt

NIST podniosl dziewieciu dodatkowych kandydatow na podpis - FAEST, HAWK, MAYO, MQOM, QR-UOV, SDitH, SNOVA, SQIsign i UOV - do trzeciej rundy oceny 14 maja 2026 roku, z ostatnimi poprawkami do 14 sierpnia 2026 roku. Kilka z nich jest na papierze mniejszych lub szybszych niz ML-DSA.

Ta runda to dwuletnie badanie bezpieczenstwa implementacji i atakow fizycznych. Gdy NIST ostatnio wybieral podpis, i tak zajelo okolo roku sporzadzenie normy, kolejny rok jej publikacja jako FIPS 204 i jeszcze jeden integracja z certyfikatami. Lepszy podpis jest wiec artefaktem na 2029 rok i pozniej, a nie wyborem na 2026 rok.

Co robi właściciel przed nastepnym audytem

Zacznij od inwentaryzacji, gdzie podpisujesz: certyfikaty TLS, podpisywanie kodu, lancuchy aktualizacji oprogramowania ukladowego oraz podpisy dokumentow i tozsamosci. W Europie ramy eIDAS i przyszly unijny portfel tozsamosci cyfrowej opieraja sie na tej warstwie podpisu, wiec powierzchnia jest szersza, niz zaklada wiele zespolow.

Nastepnie wdroz ML-DSA tam, gdzie kontrolujesz teraz punkty koncowe, poproś dostawcow i urzedy certyfikacji o datowana mape drogowa postkwantowa i traktuj zwinnosc kryptograficzna - zdolnosc pozniejszej zmiany algorytmu - jako produkt koncowy. NIS2 i DORA już oczekuja dokladnie tego zarzadzania ryzykiem.