应对量子威胁:分阶段实现加密敏捷性的关键策略

本文探讨了企业如何通过分阶段迁移策略应对量子计算对现有加密标准的威胁,重点介绍了后量子密码学(PQC)的实施挑战、NIST标准进展以及金融等行业在量子弹性建设中的实践经验。

应对量子威胁:分阶段实现加密敏捷性的关键策略

企业需要立即采取行动,应对未来量子计算进展对当前加密标准构成的威胁。但金融服务业高管建议,向后量子密码学(PQC)的过渡只能通过分阶段迁移实现,而非一次性全面升级。这些高管正致力于在其组织中建立量子弹性。

当前的量子计算机仍受高错误率限制,但最近的进展表明,大多数传统公钥密码学(PKC)算法可能很快容易受到攻击,可能在未来五年内。这包括RSA、Diffie-Hellman和其他依赖数学问题(如大数分解或计算离散对数)来加密数据的PKC方法。

敏感、长期存在的数据(金融、法律、健康、药物发现等)尤其脆弱,因为攻击者可能已经在收集加密数据,以便在量子计算技术成熟后破解,即所谓的“现在收集,以后解密”攻击。

分阶段迁移到PQC

为防御此类攻击,企业必须尽快过渡到后量子密码学(PQC)。2024年8月,美国国家标准与技术研究院(NIST)在经过多年广泛评估后,发布了前三个最终确定的PQC标准。NIST和其他机构(如英国国家网络安全中心)已发布了到2035年分阶段迁移到量子安全系统的路线图。

投资PQC准备既是一种安全必要,也越来越成为合规要求。花旗集团数据安全首席网络安全架构师兼CISO数据管理负责人Sudha E Iyer表示,金融弹性是银行的首要任务,该银行于2021年启动了PQC迁移项目。

“既然NIST已经给出了[ ratified ]标准,实施数学部分就容易多了,”Iyer在最近一次关于组织向PQC过渡的网络研讨会上表示。“但还有其他方面,如实施协议、PCI DSS和其他健康行业标准或低级标准的可用性。”

她补充道:“因此,我们期待这些标准出台和参考架构发布。一旦它们出来,实施起来就会更容易。”Fortanix首席AI官Richard Searle警告CISO不要推迟PQC策略。

“你不能将其作为一次性的大爆炸方法来完成,”他说。“如果你直到2028年才弄清楚哪些遗留系统无法支持该密码学或影响在哪里,那么到那些领导全球努力的监管机构设定的遗留密码学弃用日期时,过渡到PQC安全算法将非常困难。”

缺失的部分

DigiCert现场CTO Michael Smith指出,行业“尚未开发出完全PQC安全的TLS协议”。

“我们有用于加密和签名的算法,但TLS作为协议没有量子安全的会话密钥交换,我们仍在使用Diffie-Hellman变体,”Smith解释说。“这就是为什么美国政府在其最新的网络安全行政命令中要求政府机构转向TLS1.3,作为加密敏捷性措施,为协议升级做好准备,使其成为PQC安全。”

PenFed Credit Union身份访问管理总监David Chapman建议其他企业尽管当前技术发展存在差距,仍应规划PQC世界。

“这不是可以拖延到行业一切就绪、所有密码都出来、每个人都完全支持的事情,”Chapman在网络研讨会上建议。升级到量子安全密码学需要先清点所有密码资产——称为密码材料清单(CBOM)——以确定哪些最容易受到量子攻击。

企业应优先将关键资产升级到抗量子算法,在投入生产前在受控环境中测试更新系统。结合当前和PQC解决方案允许分阶段推出并降低操作风险。

“即使你不做后量子计算,你也需要一个良好的[密码]清单,因为CAB[认证机构浏览器论坛]最近发布消息称,到2029年3月,你的证书寿命将从397天逐步缩短到47天,”PenFed的Chapman指出。

实现加密敏捷性

桑坦德银行全球网络安全研究负责人Daniel Cuthbert告诉CSO:“我们需要更多供应商帮助我们了解其产品中当前的密码能力。这就是CBOM真正开始发光并显示其重要性的地方。”

就目前而言,密码发现过程仍然困难。

“有少数商业工具,非常昂贵,然后只有零星的开源工具,其中我和Mark Carney从桑坦德的角度开源了,”Cuthbert解释说。“直到我们使这些工具易于使用并可供所有人使用,这就是组织中出现一些挣扎的地方。”

后量子密码学供应商PQShield的CEO兼联合创始人、NIST标准架构师之一Ali El Kaafarani博士同意,从遗留系统升级到基于PQC的系统远非易事。

“PQC不是即插即用的;需要认真工作来识别脆弱密码学存在的地方、什么可以交换、什么需要更定制的解决方案来维持性能要求,”Kaafarani博士告诉CSO,并指出PQC比遗留加密技术需要更多计算资源和更多内存。

企业CISO还必须推动其供应商的PQC路线图。

“我相信绝大多数企业会发现其80%的密码学在其供应链中,这意味着许多现代化可以通过与供应商的对话实现,”Kaafarani博士补充道。PenFed的Chapman同意:“质疑你的硬件和软件供应商:你准备好PQC了吗?”

Hewlett Packard Enterprise(HPE) Labs副总裁Nigel Edwards表示,更多客户要求其产品提供PQC准备计划。

“我们需要解决[升级]处理器、GPU、存储控制器、网络控制器,”Edwards说。“一切加载固件的都需要迁移到使用PQC算法来验证固件及其加载的软件。这不能在发货后完成。”

CSO咨询的专家一致认为,早期采用PQC为企业提供了潜在的竞争优势,并有机会遵守日益增长的监管要求。

“欧盟设定了比美国激进得多的截止日期,但我认为这将推动整体更多采用,”Cuthbert告诉CSO。“组织将不得不采取行动,即使预算减少。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次