Kvanteteknologien rykker hurtigt i disse år. Siden februar er flere nye resultater blevet offentligjort som forbedrer de kvantealgoritmer der forudsiges at kunne bryde moderne kryptografi [1][2][3].
I lyset af denne udvikling har Google fremrykket deres migration til kvantesikker kryptografi og sigter nu på at komme i mål allerede i 2029 [4]. Det er tidligere end alle nationale og internationale guidelines, som f.eks. EU’s deadline for højrisikosystemer i 2030 [5]. Beslutningen afspejler både den store betydning, Google har for global it-sikkerhed og deres rolle som leverandør af de kvantesikre løsninger.
Også Cloudflare, der håndterer en stor del af den globale internettrafik, har fremrykket deres tidsplan og sigter nu efter at være i mål i 2029 [6]. Særligt pointerer de, at kvantetruslen nu er så aktuel, at autentifikation må rykke frem på dagsordenen.
Tidligere lå fokus primært på fortrolighed og risikoen for, at data opsnappes i dag og dekrypteres i fremtiden (“harvest now, decrypt later”). Men når truslen rykker tættere på, bør fokus flyttes til at sikre de mest kritiske systemer – ikke kun deres fortrolighed, men også adgangen til dem. Som Cloudflare formulerer det:
”An imminent Q-Day flips the script: data leaks are severe, but broken authentication is catastrophic. Any overlooked quantum-vulnerable remote-login key is an access point for an attacker to do as they wish […] Any automatic software-update mechanism becomes a remote code execution vector.”
Hos Alexandra Instituttet følger vi udviklingen tæt for at kunne rådgive om, hvordan organisationer rettidigt navigerer i denne transition.
[1] https://arxiv.org/abs/2602.11457
[2] https://arxiv.org/abs/2603.28627
[3] https://arxiv.org/abs/2603.28846
[4] https://blog.google/innovation-and-ai/technology/safety-security/cryptography-migration-timeline/
[5] https://digital-strategy.ec.europa.eu/en/library/coordinated-implementation-roadmap-transition-post-quantum-cryptography
[6] https://blog.cloudflare.com/post-quantum-roadmap/
Fakta: Forstå kvantetruslen mod vores digitale sikkerhed
Kvantetruslen dækker over risikoen for, at fremtidige kvantecomputere kan bryde de kryptografiske metoder, vi i dag bruger til at sikre alt fra bankoverførsler og personfølsomme data til adgangskontrol i kritiske systemer.
Hvorfor er det en trussel?
Moderne kryptering (som RSA og ECC) hviler på matematiske problemer, som det vil tage klassiske computere tusindvis af år at løse. En tilstrækkelig kraftfuld kvantecomputer vil potentielt kunne løse disse opgaver på få timer eller minutter.
“Harvest Now, Decrypt Later” (HNDL)
Truslen er aktuel allerede i dag. Cyberkriminelle og fremmede stater kan opsnappe og gemme krypteret kommunikation nu med det formål at dekryptere den i fremtiden, når teknologien er klar. Dette betyder at kvantesikring af langtidsholdbare data haster.
Fra fortrolighed til autentifikation
Udover at læse gemt data kan en kvantecomputer potentielt bryde de digitale signaturer, vi bruger til autentifikation. Hvis adgangen til kritiske systemer eller softwareopdateringer ikke er kvantesikret, kan en angriber overtage den fulde kontrol med systemerne.
Kvantesikker kryptografi
Løsningen er at migrere til kryptografiske algoritmer, der anses for sikre mod angreb fra både klassiske computere og kvantecomputere. De første globale standarder er klar, og mange moderne systemer kan opgraderes uden behov for ny hardware. I mange tilfælde vil disse opgraderinger ske som en integreret del af almindelige softwareopdateringer.
Hvornår rammer truslen?
Sikkerhedsmyndigheder som FE og tyske BSI peger på årene 2035-2040 som en mulig tidshorisont for, hvornår en kvantecomputer er kraftfuld nok til at bryde eksisterende kryptografi [1,2], men understreger at teknologiske gennembrud er svære at forudsige. Baseret på vurderinger som disse, har EU lagt en køreplan med deadline i 2030 for migration af højrisikosystemer og 2035 for øvrige systemer [3]. Selvom tidslinjerne i øjeblikket er vejledende, forventes bindende lovgivning at være på vej.
Første skridt
Da migrationsprocessen kan være omfattende, er det afgørende først at sikre forankring hos ledelsen, afsætte ressourcer og nedsætte en arbejdsgruppe. Deres vigtigste indledende opgaver er en kortlægning af kritiske systemer og deres nuværende kryptografi, og en risikoanalyse, der afklarer sårbarheder og konsekvenser. Baseret på dette kan migrationen planlægges. Over for eksterne leverandører bør man sikre, at deres tidsplaner for migration matcher organisationens behov. Derudover bør nye systemer designes krypto-agilt, så fremtidige algoritmeskift bliver mere gnidningsfrie.
Hos Alexandra Instituttet hjælper vi med alt fra den indledende kortlægning til den tekniske implementering.
[1] https://www.fe-ddis.dk/da/produkter/Risikovurdering/risikovurdering/udsyn-2025/
[2]
[3] https://digital-strategy.ec.europa.eu/en/library/coordinated-implementation-roadmap-transition-post-quantum-cryptography