Post-kvante kryptografi (PQC) | NIST FIPS 203, 204, 205

Hvorfor haster dette?

Harvest now, decrypt later: Angripere samler kryptert trafikk i dag og planlegger å dekryptere den når kvantedatamaskiner blir kraftige nok. Data med lang levetid (statshemmeligheter, helsejournaler, finansielle transaksjoner) er allerede i fare.

Dagens mest brukte kryptografi (RSA, ECDH, ECDSA) er sårbar overfor Shors algoritme kjørt på en stor nok kvantedatamaskin. Slike maskiner finnes ikke ennå, men overgangens tidslinje er:

Nå–2027: Kartlegg all kryptografi i organisasjonen. Identifiser systemer med lang levetid.
2025–2028: Implementer hybride løsninger (klassisk + PQC) i nye systemer.
2028–2030: Full overgang til PQC i kritiske systemer.
Etter 2030: Fase ut sårbar kryptografi helt.

De tre offisielle NIST PQC-standardene (2024)

FIPS 203 — ML-KEM

Tidligere kalt CRYSTALS-Kyber. Primær standard for nøkkelinnkapsling (Key Encapsulation Mechanism). Basert på gitter-matematikk (module lattice). Brukes til å erstatte ECDH/RSA i nøkkelutveksling.

FIPS 203 (NIST)

FIPS 204 — ML-DSA

Tidligere kalt CRYSTALS-Dilithium. Standard for digitale signaturer. Basert på module lattice, tilgjengelig i tre sikkerhetsnivåer (2, 3, 5). Anbefalt primærstandard for signaturer.

FIPS 204 (NIST)

FIPS 205 — SLH-DSA

Tidligere kalt SPHINCS+. Hash-baserte signaturer. Mer konservativ sikkerhetsantakelse enn ML-DSA (basert kun på hash-funksjonenes sikkerhet). Anbefalt som backup/spesialtiltak.

FIPS 205 (NIST)

NIST-portalen for PQC-prosjektet: csrc.nist.gov/projects/post-quantum-cryptography

En fjerde standard — FALCON (FN-DSA) — er under bearbeiding for tilfeller der kompaktere signaturer er kritisk.

Myndighetsanbefalinger: Norge og Europa

NSM — Nasjonal sikkerhetsmyndighet (Norge)
NSM anbefaler norske virksomheter å kartlegge kryptografisk eksponering og starte planlegging for PQC-overgang. Veiledning publisert via nsm.no.
nsm.no — kryptografi
ENISA (EU)
Har publisert detaljerte rapporter om PQC, hybrid-kryptografi og migrasjonsstrategier rettet mot europeiske virksomheter og myndigheter.
enisa.europa.eu — PQC-rapport
BSI (Bundesamt für Sicherheit in der Informationstechnik, Tyskland)
Detaljert teknisk veiledning for PQC-implementasjon. Anbefaler hybride moduser og har egne vurderinger av algoritmene.
BSI — Post-Quanten-Kryptografie
ANSSI (Frankrike)
Har publisert veiledning for overgangen og anbefalinger tilpasset NIS2-direktivet.
ANSSI PQC-anbefalinger
NCSC (Storbritannia)
Teknisk veiledning for offentlig sektor inkludert kryptografi-kartlegging og migreringsplan.
ncsc.gov.uk — PQC

Praktisk: hva bør virksomheter gjøre?

Kryptografiinventar: Finn alle steder dere bruker kryptografi — TLS-sertifikater, VPN, kodesignering, datasikkerhet i hvile, API-nøkler.
Risikovurdering: Identifiser data med lang levetid (≥10 år) og systemer som er vanskelige å oppgradere.
Hybridmodus: Nye systemer bør implementere hybrid PQC + klassisk (f.eks. ML-KEM + X25519), slik at sikkerheten ivaretas om én av dem viser seg sårbar.
Test og pilot: Bruk testmiljøer. Open Quantum Safe-prosjektet (OQS) tilbyr åpne biblioteker: openquantumsafe.org
Leverandørkrav: Inkluder PQC i innkjøpskrav og leverandørkontrakter allerede nå.
Følg standarder: Hold deg oppdatert via NIST, ENISA og NSM. Nye standarder og veiledninger vil komme løpende.

Ofte stilte spørsmål

Er alle dagens kryptografiske systemer sårbare?

Ikke alle. Symmetrisk kryptografi (AES-256) og hash-funksjoner (SHA-3) er fortsatt trygge mot kjente kvantealgoritmer, men Grovers algoritme halverer effektiv nøkkellengde. AES-256 vil fortsatt være tilstrekkelig.

Hva er en hybrid algoritme?

Hybrid PQC kombinerer en klassisk og en post-kvante algoritme parallelt. Sikkerheten ivaretas så lenge minst én av dem er sikker. Dette er anbefalt overgangsmodell.

Kan vi bruke de nye NIST-algoritmene i dag?

Ja. LibOQS og OpenSSL 3.x (med OQS-integrasjon) støtter allerede ML-KEM og ML-DSA. Chromium og Cloudflare har rullet ut ML-KEM i produksjon.