Αν κάτι χαρακτηρίζει την κβαντική μετάβαση δεν είναι η «μαγεία» της τεχνολογίας αλλά η αμείλικτη λογική του χρόνου. Τα δεδομένα που προστατεύουμε σήμερα με RSA και ECC μπορούν να υποκλαπούν τώρα και να αποκρυπτογραφηθούν αύριο – το harvest-now-decrypt-later δεν είναι σενάριο γραφείου, είναι επιχειρησιακή πρακτική επιτιθέμενων. Ταυτόχρονα, το κανονιστικό εκκρεμές έχει ήδη γείρει.
Για μια χώρα που στηρίζεται σε τομείς όπως η ναυτιλία, οι τράπεζες, οι τηλεπικοινωνίες και η ενέργεια, κάθε μήνας καθυστέρησης μεταφράζεται σε τεχνολογικό χρέος που θα πληρωθεί με τόκο.
Όποιος περιμένει το 2031 για να ξεκινήσει, έχει ήδη μείνει πίσω. Στις ΗΠΑ, το CNSA 2.0 της NSA βάζει επιθετικούς στόχους: «support and prefer» για CNSA 2.0 έως το 2025-2027 ανά domain και «exclusively use» μεταξύ 2030 και 2033 για υπογραφές λογισμικού, δίκτυα, λειτουργικά, browsers/servers και cloud. Με απλά λόγια, οι μεγάλοι προμηθευτές θα κλειδώσουν προϊόντα και πρωτόκολλα σε ρυθμούς που δεν θα συν διαπραγματευόμαστε από την Αθήνα. Θα ακολουθούμε. Αν οι ελληνικές κρίσιμες υποδομές δεν έχουν ήδη plan για hybrid ciphersuites σε TLS/IPsec, για code-signing με ML-DSA/SLH-DSA και για αλλαγές σε PKI/HSM, θα βρεθούν να αναβαθμίζουν «στον αέρα», με αυξημένο ρίσκο διακοπών και ασυμβατοτήτων.
Η Ευρωπαϊκή Επιτροπή δεν περιορίστηκε σε απλές συστάσεις. Με τη Σύσταση (ΕΕ) 2024/1101 ζήτησε ρητά από τα κράτη-μέλη έναν συντονισμένο PQC transition roadmap: εθνικά σχέδια, κοινά ορόσημα, διασυνοριακή διαλειτουργικότητα και επιλογή/υιοθέτηση ευρωπαϊκών αλγορίθμων ως προτύπων Ένωσης. Αυτό σημαίνει ότι η Ελλάδα δεν μπορεί να αρκεστεί σε «τεχνικά παραρτήματα» διαγωνισμών· χρειάζεται κρατικό σχέδιο μετάβασης με σαφείς ρόλους, προτεραιότητες και μετρικές, ώστε το Δημόσιο να μην αγοράζει σήμερα λύσεις που αύριο θα θεωρούνται non-compliant.
Τα πρότυπα υπάρχουν και μας δείχνουν πώς το QKD γίνεται παραγωγή: ETSI GS QKD 014 για REST-based key delivery API και ETSI GS QKD 015 για SDN-based διαχείριση/έλεγχο, μαζί με τη σειρά ISO/IEC 23837 που φέρνει αξιολόγηση ασφάλειας σε γλώσσα Common Criteria. Αυτό σημαίνει ότι οι ελληνικές αναθέτουσες αρχές μπορούν -και οφείλουν- να απαιτούν conformance και interoperability δοκιμές, ώστε να μην κλειδώνουν σε υλοποιήσεις χωρίς μέλλον. Η μόνη «καινοτομία» που δεν χρειαζόμαστε είναι άλλος ένας vendor-lock-in.
Η συγκυρία της δημόσιας διαβούλευσης για την Εθνική Στρατηγική Κυβερνοασφάλειας 2026-2030, με επίσημο ερωτηματολόγιο, είναι η στιγμή να χαράξουμε δεσμεύσεις: crypto-agility σε όλες τις δημόσιες προμήθειες, υποχρεωτικά PQC-ready stacks για νέες υλοποιήσεις, ρητής υιοθέτησης hybrid σουιτών σε TLS/IPsec, και πλάνο μετάβασης σε υπογραφές ML-DSA/SLH-DSA για code-signing και PKI.
Αν αυτό δεν αποτυπωθεί τώρα ως κρατική πολιτική, θα αποτυπωθεί αργότερα ως υποχρεωτική δαπάνη έκτακτης ανάγκης. Όσοι επιμένουν ότι «δεν υπάρχουν ακόμη μεγάλοι κβαντικοί υπολογιστές» χάνουν το δάσος. Το πρόβλημα δεν είναι τι μπορεί να «σπάσει» σήμερα· είναι τι θα αποκρυπτογραφηθεί αύριο από υλικό που διακινείται τώρα. Δεν χρειάζεται να πειστεί κανείς από τεχνικούς. Αρκεί να διαβάσει την προειδοποίηση της Europol-led Quantum Safe Financial Forum προς τον χρηματοπιστωτικό τομέα ότι το ρίσκο είναι εδώ, με ορίζοντα δεκαετίας και με πρακτικά μέτρα προετοιμασίας που πρέπει να ξεκινήσουν άμεσα. Αν οι ελληνικές τράπεζες, οι υποδομές πληρωμών και οι θεσμικοί επενδυτές δεν έχουν ήδη χαρτογραφήσει crypto-assets, αν δεν έχουν σχέδιο αναβάθμισης HSM και certificate lifecycles, αν δεν δοκιμάζουν TLS with ML-KEM στα κανάλια υψηλής αξίας, τότε δεν διαχειρίζονται κβαντικό ρίσκο – το αναβάλλουν.
Το δυσάρεστο είναι ότι οι τεχνικές λύσεις είναι το εύκολο μέρος. Το δύσκολο είναι η διοικητική βαρύτητα: προδιαγραφές διαγωνισμών που μιλούν τη γλώσσα των προτύπων και όχι του marketing, reference architectures ανά τομέα (finance, energy, health, transport) που να διασφαλίζουν αναβαθμίσεις χωρίς «σπάσιμο» υπηρεσιών, και interoperability tests με καθαρά κριτήρια επιτυχίας πριν την προμήθεια. Χωρίς αυτά, θα επαναλάβουμε το γνώριμο ελληνικό μοτίβο: πρώτα αγοράζουμε «κουτιά», μετά ψάχνουμε πώς θα δουλέψουν. Και κάπου εκεί, θα έρθει ο διεθνής εταίρος και θα μας ενημερώσει ότι το πρωτόκολλο CNSA 2.0 έγινε «exclusive use», ο browser έκοψε τα παλιά ciphers, το cloud γύρισε σε PQC-only για συγκεκριμένες κατηγορίες πελατών. Τότε δεν θα φταίει η τεχνολογία· θα φταίει ότι επιλέξαμε την αδράνεια ως πολιτική.
Ας είμαστε ειλικρινείς: η quantum security δεν είναι project ενός υπουργείου, ούτε επιδότηση για να «μπει μια κουκίδα στον χάρτη». Είναι οριζόντια επιλογή κυριαρχίας. Η Ελλάδα έχει ήδη μια υποδομή (HellasQCI) που μπορεί να γίνει πλεονέκτημα αν τη συνδέσουμε με μια σοβαρή ατζέντα PQC migration και με χρηματοδοτικά εργαλεία της ΕΕ (EuroQCI/IRIS²) που ζητούν ρητά πρότυπα και πιστοποίηση. Έχουμε επίσης θεσμικό παράθυρο – τη νέα Στρατηγική σε διαβούλευση. Αυτό που δεν έχουμε είναι η πολυτέλεια του χρόνου. Το κόστος δεν είναι ότι θα πληρώσουμε για αναβαθμίσεις· είναι ότι, αν αργήσουμε, θα πληρώσουμε δύο φορές: τώρα σε χαμένη προετοιμασία και αύριο σε βεβιασμένες μεταβάσεις συστημάτων, διακοπές υπηρεσιών και ρήγματα εμπιστοσύνης. Το ρολόι τρέχει. Το ερώτημα είναι αν θα κινηθούμε συντεταγμένα – ή αν θα περιμένουμε να μας τραβήξει ο υπόλοιπος κόσμος, παρασέρνοντας και την αξιοπιστία μας μαζί του.
Το άρθρο δημοσιεύθηκε στο περιοδικό InfoCom
Γράφει ο Αθανάσιος Στάβερης-Πολυκαλάς, AI & Cybersecurity Specialist
