Odnowienie certyfikatu to teraz decyzja kwantowa
Osoba odpowiedzialna za bezpieczenstwo, ktora odnawia partie certyfikatow TLS lub podpisuje obraz oprogramowania ukladowego, wykonuje rutynowe zadanie, ktore niesie teraz wybor z ery kwantowej. 9 lipca Cloudflare powiedzial jasno, ze nie bedzie czekac na lepsze podpisy postkwantowe i uzyje ML-DSA, algorytmu znormalizowanego w zeszlym roku. Firma chce byc w pelni zmigrowana do 2029 roku, przed krajowymi terminami przypadajacymi miedzy 2030 a 2035 rokiem.
Powodem jest harmonogram, nie preferencja. Sprzet kwantowy i otaczajace go oprogramowanie stale sie rozwijaja, a sama migracja zajmuje lata, by dotrzec do kazdego certyfikatu i urządzenia. Zbyt pozny start, a nie wybor zlego algorytmu, jest prawdziwa ekspozycja.
Postkwant ma latwa i trudna polowe
Najwiecej uwagi trafia do szyfrowania i groźby zbierania dzis, by odszyfrowac jutro, gdzie nowa wymiana kluczy o nazwie ML-KEM chroni dane w tranzycie. Ta polowa jest już mocno zaawansowana w przegladarkach i serwerach.
Podpisy to trudniejsza polowa. Uwierzytelniaja certyfikaty, kod, oprogramowanie ukladowe, dokumenty i tozsamosc, i zyja w lancuchach certyfikatow, urzadzeniach wbudowanych i dlugowiecznych korzeniach, ktorych nikt nie wymienia z dnia na dzien. Podpisy ML-DSA sa wieksze od tych, ktore zastepuja, a kazda warstwa - przegladarki, biblioteki, urzedy certyfikacji i sprzęt - musi dodac obsluge, zanim zmiana stanie sie realna.
Lepsze podpisy to runda NIST, nie produkt
NIST podniosl dziewieciu dodatkowych kandydatow na podpis - FAEST, HAWK, MAYO, MQOM, QR-UOV, SDitH, SNOVA, SQIsign i UOV - do trzeciej rundy oceny 14 maja 2026 roku, z ostatnimi poprawkami do 14 sierpnia 2026 roku. Kilka z nich jest na papierze mniejszych lub szybszych niz ML-DSA.
Ta runda to dwuletnie badanie bezpieczenstwa implementacji i atakow fizycznych. Gdy NIST ostatnio wybieral podpis, i tak zajelo okolo roku sporzadzenie normy, kolejny rok jej publikacja jako FIPS 204 i jeszcze jeden integracja z certyfikatami. Lepszy podpis jest wiec artefaktem na 2029 rok i pozniej, a nie wyborem na 2026 rok.
Co robi właściciel przed nastepnym audytem
Zacznij od inwentaryzacji, gdzie podpisujesz: certyfikaty TLS, podpisywanie kodu, lancuchy aktualizacji oprogramowania ukladowego oraz podpisy dokumentow i tozsamosci. W Europie ramy eIDAS i przyszly unijny portfel tozsamosci cyfrowej opieraja sie na tej warstwie podpisu, wiec powierzchnia jest szersza, niz zaklada wiele zespolow.
Nastepnie wdroz ML-DSA tam, gdzie kontrolujesz teraz punkty koncowe, poproś dostawcow i urzedy certyfikacji o datowana mape drogowa postkwantowa i traktuj zwinnosc kryptograficzna - zdolnosc pozniejszej zmiany algorytmu - jako produkt koncowy. NIS2 i DORA już oczekuja dokladnie tego zarzadzania ryzykiem.
Czytaj dalej: Pierwsza platforma agentów AI, którą CISA każe pilnie załatać | 430 000 zapór stało się linią zasilania ransomware



