By IQT nyheder offentliggjort 12. oktober 2022
(Af Team Post-Quantum) Kvantecomputere er den største eksistentielle trussel mod verdens informationssikkerhed. Når en tilstrækkeligt kraftfuld maskine dukker op, vil de offentlige nøglekryptering-standarder (PKC), der i øjeblikket beskytter den digitale verden, være forældede på et øjeblik, hvilket vil medføre umådelig skade på hele industrier – fra national sikkerhed, til bankvirksomhed, til forsyningsnetværk.
Selvom den præcise dato, hvornår PKC vil blive brudt, er ukendt, er truslen fra modstandere, der indsamler data nu med henblik på at dekryptere dem, når en tilstrækkeligt kraftfuld maskine dukker op (også kendt som Harvest Now, Decrypt Later), reel og sker i dag.
I betragtning af problemets umiddelbare karakter er regeringer og regulerende organer begyndt at handle, især i USA (USA). Men hvad betyder disse handlinger i praksis, og hvilke skridt kan de organisationer, der er mest udsatte, gøre for at komme videre?
Regeringerne kræver handling
2022 har været en vigtig milepæl i fremtiden for post-kvantesikkerhed.
Efter mere end seks års overvejelser blev National Institute of Standards and Technology (NIST) afslørede sine anbefalinger til standardisering af ny kvanteresistent algoritme i juli. KRYSTALER-Kyber blev valgt til generel kryptering, og KRYSTALER-Dilithium, FALKog SPHINCS+ blev udvalgt til digitale signaturer.
NIST har også avanceret fire andre kandidater til yderligere undersøgelse, hvoraf den ene er Classic McEliece, en fælles indsendelse fra vores team på Post-Quantum. Tysklands nationale cybersikkerhedsorgan kendt som BSI, og hollandsk ækvivalent, anbefaler allerede, at virksomheder bruger og implementerer Classic McEliece på grund af dets uovertrufne sikkerhedsoplysninger.
Efterhånden som europæiske regeringer begynder at skride til handling, har USA også. I maj udsendte Biden-administrationen National Security Memorandum 10. Notatet fastlagde blandt andet den retning, amerikanske regeringsagenturer skal tage for at migrere sårbare kryptografiske systemer til kvanteresistente kryptografi.
Et par måneder senere blev Quantum Computing Cybersecurity Preparedness Act vedtaget i huset efter dens indførelse i april 2022. På samme måde som Bidens notat søger lovforslaget at adressere migrationen af forvaltningsbureauers informationssystemer til post-kvantekryptografi (PQC). Den giver mandat til, at føderale agenturer skal udarbejde en opgørelse over varer til overgangen til de nye standarder, og OBM (Office of Budget & Management) vil få et år til at udarbejde et budget og en strategi for overgangen væk fra den nuværende kryptografiske standarder. Agenturer ville også være forpligtet til at opdatere disse systemer årligt, og Kongressen ville modtage en årlig statusbriefing.
Efter dette offentliggjorde Cybersecurity and Infrastructure Security Agency (CISA) et sæt retningslinjer for kritiske infrastrukturorganisationer, der sigter mod en glidende overgang. Selvom NIST's endelige standard sandsynligvis ikke vil blive bekræftet før 2024, udgav CISA et dokument - 'Forberedelse af kritisk infrastruktur til postkvantekryptering' – understreger behovet for kritisk infrastruktur for at begynde migrering nu for at mindske risikoen for kvantecomputere og HNDL-angreb.
Det er vigtigt, at CISA ikke er alene i bestræbelserne på at understrege fordelen ved at begynde migration nu. Department of Homeland Security (DHS) udgav deres egen 'Post-kvantekryptering køreplan' understreger behovet for at begynde at lægge grunden med det samme, og Cloud Security Alliance (CSA) har sat en deadline til april 2030, inden for hvilken alle virksomheder skal have implementeret post-kvanteinfrastruktur.
Næste trin for føderale agenturer og videre
Efterhånden som regeringer og regulatorer begynder at kræve handling, især når det kommer til at migrere højtstående offentlige agenturer og industrier, vokser omkostningerne ved passivitet.
Men ud over køreplanerne og det klare indledende behov for at gøre status over, hvor PKC bruges i dag, hvad skal du ellers overveje?
- Prioriter krypto-agilitet, interoperabilitet og bagudkompatibilitet
Når du tænker på overgangen, er det vigtigt at have følgende tre koncepter i tankerne for at sikre, at du balancerer sikkerhed med smidighed.
- Brug af interoperable løsninger: så du kan etablere sikker kommunikation med partnere, uanset hvilke krypteringsalgoritmer de bruger.
- Sikring af bagudkompatibilitet: så kvantesikker kryptering kan indføres problemfrit på tværs af dine eksisterende it-systemer.
- Øvelse af krypto-agility: så du kan bruge enhver kombination af NISTs post-kvantealgoritmer eller traditionelle kryptering
- Introducer produkter, der afspejler disse koncepter for at opnå en større grad af fleksibilitet
Når først en løsningsleverandør er valgt, er det vigtigt at overveje, om de produkter, de tilbyder, har disse søjler indbagt i designet.
Et eksempel på et indledende trin i post-kvantemigrering er at vælge et kvantesikkert virtuelt privat netværk (VPN) for at sikre datakommunikationsstrømme gennem det offentlige internetnetværk. Post-Quantum'sHybrid Post-Quantum VPN' blev for nylig med succes afprøvet af NATO og kombinerede nye kvantesikre og traditionelle krypteringsalgoritmer for at opretholde et interoperabelt system.
- Forsøm ikke identitet – faktisk bør du starte med den
Du kunne sikre al din anden kryptering, men hvis nogen kan få adgang til dit identitetssystem, så er det lige meget, hvad du ellers gør – dine systemer vil tro, de er den rigtige person, så de kan få 'legitim' adgang til dine systemer og infrastruktur.
Det vil sige, at der ikke er nogen mening i at sikre hele din infrastruktur, hvis du ikke også har overvejet identitet, og at starte ved frontenden af infosikkerhedsøkosystemet vil også give dig mulighed for at tackle et af de mest historisk udfordrende systemer for en organisation at opgradere eller udskift.
I fremtiden har vi brug for, at al vores digitale infrastruktur er kvantesikker end-to-end, men hvis du er usikker på, hvor du skal starte, bør identitet være den vigtigste overvejelse nu, da det er nøglen til slottet.
Sponsorerede
Post-Quantum er diamantsponsor ved det kommende IQT Quantum Cybersecurity-begivenhed i NYC, 25.-27. oktober 2022. Administrerende direktør Andersen Chang vil holde åbningskeynoten.
