2024. október 15.
FinTechShow

EARLY BIRD JEGYEK 2024.04.30-IG!

Megnézem

2024. november 26.
BankTechShow

EARLY BIRD JEGYEK 2024.04.30-IG!

Megnézem

2024.04.12.

Hogyan lehet felkészülni a jövő technológiáival történő támadásra? Íme egy példa

Szerző: SZEGŐ DÁNIEL

Kategóriák:

BankTech | Összes hír

Az előző cikkünkben Szegő Dániel összefoglalta a lehetséges problémákat és kockázatokat, melyeket a kvantumszámítógépek okozhatnak a pénzügyi infrastruktúrában. Jelen cikkünkben egy rizikóanalízis keretrendszert javaslunk, melynek segítségével a kvantum rizikófaktorok szisztematikusan kiértékelhetőek.

A módszer a következő főbb lépésekre épül:

Támadási modell: a rendszer támadási modelljének felmérése.
Hatásanalízis: egy lehetséges kvantum támadás hatásainak felmérése.
Kvantum készültség: milyen messze van egy tényleges támadás lehetősége.
Megelőzési lehetőségek: létezik-e és ha igen, akkor milyen készültségűek a megelőzési lehetőségek.
A teljes rizikó kiértékelése: az előző pontok összegzése.

A továbbiakban az egyes lépéseket vizsgáljuk meg részleteiben.

Támadási modell

A rizikóanalízis első lépéseként érdemes az analizálandó rendszer támadási lehetőségeit felmérni.

A támadási modellek felmérésére többféle modell is létezik, de a legegyszerűbb esetben érdemes az infrastruktúránkban vagy alkalmazásunkban felhasznált kriptográfiai elemeket felmérni, mivel elsősorban ezekre jelenthetnek veszélyt a kvantumszámítógépek.

Ilyen kriptogátfiai elemek például:

digitális aláírás,
titkosítás,
kulcscsere protokollok,
kriptográfiai hash függvények,
egyéb kutatás-fejlesztés alatt álló kriptográfiai elemek, mint például nem feltáró bizonyítások, vagy secure multiparty computation.

Hatásanalízis

Második lépésként azt vizsgáljuk meg, hogy mit okozhat, milyen súlyos következményei lehetnek annak, ha egy konkrét kvantum támadás megvalósul az előzőekben felmért támadási pontok ellen.

Érdemes megjegyezni, hogy az egyes lehetséges kvantum támadásoknak nem ugyanolyan minőségű következménye lehet.

Elképzelhető, hogy egyes esetekben a rendszerben tárolt adatok titkossága kompromittálódik, mint például egy titkosító ellen indított támadás esetén, de az is lehet, hogy a rendszerben tárol adatok integrítása sérül.

Történhetnek megszemélyesítéses támadások, mint például egy digitális aláírás feltörésénél, de a szolgáltatás minőséget korlátozó (denial of service) támadások is. A legegyszerűbb esetben a hatásokat egyszerűen három kategóriába soroljuk, alacsony, közepes és kritikus hatású kvantum támadási lehetőségek.

Kvantum készültség

A második szempont, amit érdemes felmérni az a kvantum készültség. Természetesen a kvantumszámítógépek még gyerekcipőben járnak így nem feltétlen jelentenek valós kockázatot pillanatnyilag.

Ez azonban akár gyorsan, pár éven belül is megváltozhat. Éppen ezért érdemes itt is egyszerűsített módon három kategóriát felvenni:

10 éven belül lehetséges, 10 és 20 között valószínűsíthető és előreláthatóan több mint 20 múlva várható kvantum kockázatokról beszélni.

Megelőzési lehetőségek

Harmadik vizsgálandó szempont, hogy amennyiben az adott kvantum fenyegetés ténylegesen a közeljövőben reálissá válik, akkor létezik-e valamiféle megelőzési lehetőség.

Alapvetően a kulcs méret növelése, post-kvantum vagy kvantumkriptográfia jelenthet megoldást. Az utóbbi két említett terület azonban erősen kutatás-fejlesztés alatt áll, így gyakorlati alkalmazásukhoz szükség lehet még pár évre.

Az előzőekhez hasonlóan érdemes itt is három nagy kategóriát figyelembe venni.

A legkisebb rizikó az, hogy ha pontosan tudjuk és kipróbált megoldásunk van egy kvantum támadás megelőzésére. Ilyen például a szimetrikus titkosítások kulcs méretének megnövelése.

Kevéssé optimális, hogy ha van sejtésünk a megelőzésről, de ez még nem feltétlen kipróbált, például azért, mert kutatás-fejlesztés alatt áll. Erre példa a post-kvantum kriptográfia.

A legrizikósabb kategória, hogy ha nem igazán tudjuk, hogy mit csinálunk egy kvantum támadás esetén. Például a blockchainben a tranzakciókban található digitális aláírások nem változtatható módon tárolódnak, így ezeknek a kvantum rezisztenssé tétele nem feltétlen triviális.

A teljes rizikó kiértékelése

A kiértékelés utolsó lépéseként a rizikókat összesítjük. Ebben segít az alábbi táblázat.

Érdemes itt is három összesített kategóriát felvenni, úgy mint alacsony, közepes, és magas kockázatú kvantum támadás.

Jellemzően, ha egy kvantum támadás hatása kritikus, jó eséllyel bekövetkezik 10 éven belül és nem nagyon látunk megelőzési lehetőséget, akkor az egy magas kockázatú támadás.

A skála másik végén az olyan támadások állnak, melyekre ismert és kipróbált megelőzési módszerek léteznek és jó eséllyel a kvantumszámítógépek még 20 évig nem érik el a támadáshoz szükséges kapacitást.

Összességében elmondhatjuk, hogy a kvantum számítástechnika egy dinamikusan fejlődő terület. Habár a rendelkezésre álló hardver még nem érte el azt a szintet, hogy problémát okozzon, ez azonban 10 éven belül bekövetkezhet.

Mivel a pénzügyi infrastruktúra, akár centralizált, akár decentralizált, nem feltétlen változtatható nagyon gyorsan, így a terület kockázati tényezőit nem lehet elég hamar elkezdeni felmérni.

Kapcsolódó cikk:

A pénzügyi infrastruktúra kvantum biztonsága és kockázatai, 2024.03.28.

Címlapfotó: stock.adobe.com | Licenc: FinTech Group Kft.

Címkék:

banktech | kibervédelem | kvantum | kvantumszámítógép

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description

2024. október 15. FinTechShow

2024. november 26. BankTechShow