By Ειδήσεις IQT δημοσιεύτηκε στις 12 Οκτωβρίου 2022
(Από την ομάδα Post-Quantum) Οι κβαντικοί υπολογιστές είναι η μεγαλύτερη υπαρξιακή απειλή για την ασφάλεια των πληροφοριών στον κόσμο. Μόλις εμφανιστεί ένα αρκετά ισχυρό μηχάνημα, τα πρότυπα κρυπτογράφησης δημόσιου κλειδιού (PKC) που προστατεύουν επί του παρόντος τον ψηφιακό κόσμο θα είναι παρωχημένα σε μια στιγμή, προκαλώντας ανυπολόγιστη ζημιά σε ολόκληρες βιομηχανίες – από την εθνική ασφάλεια, τις τράπεζες και τα δίκτυα κοινής ωφέλειας.
Αν και η ακριβής ημερομηνία κατά την οποία θα σπάσει το PKC είναι άγνωστη, η απειλή των αντιπάλων να συλλέγουν δεδομένα τώρα με σκοπό την αποκρυπτογράφηση τους όταν εμφανιστεί ένα αρκετά ισχυρό μηχάνημα (γνωστό και ως Harvest Now, Decrypt Later), είναι πραγματική και συμβαίνει σήμερα.
Δεδομένης της αμεσότητας του ζητήματος, οι κυβερνήσεις και οι ρυθμιστικοί φορείς έχουν αρχίσει να δρουν, ιδιαίτερα στις Ηνωμένες Πολιτείες (ΗΠΑ). Τι σημαίνουν όμως στην πράξη αυτές οι ενέργειες και ποια βήματα μπορούν να κάνουν αυτοί οι οργανισμοί που κινδυνεύουν περισσότερο για να προχωρήσουν;
Οι κυβερνήσεις επιβάλλουν δράση
Το 2022 υπήρξε ένα σημαντικό ορόσημο στο μέλλον της μετα-κβαντικής ασφάλειας.
Μετά από περισσότερα από έξι χρόνια διαβούλευσης, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας Η (NIST) παρουσίασε τις συστάσεις της για την τυποποίηση ενός νέου κβαντικού ανθεκτικού αλγόριθμου τον Ιούλιο. ΚΡΥΣΤΑΛΛΟΙ-Kyber επιλέχθηκε για γενική κρυπτογράφηση και ΚΡΥΣΤΑΛΛΟΙ-Διλίθιο, FALCON, να ΣΦΙΝΚΕΣ+ επιλέχθηκαν για ψηφιακές υπογραφές.
Το NIST έχει επίσης προωθήσει τέσσερις άλλους υποψηφίους για πρόσθετο έλεγχο, ένας από τους οποίους είναι το Classic McEliece, μια κοινή υποβολή από την ομάδα μας στο Post-Quantum. Ο εθνικός φορέας κυβερνοασφάλειας της Γερμανίας γνωστός ως BSI, και το Ολλανδικό αντίστοιχο, συνιστούν ήδη στις επιχειρήσεις να χρησιμοποιούν και να αναπτύσσουν το Classic McEliece λόγω των απαράμιλλων διαπιστευτηρίων ασφαλείας του.
Καθώς οι ευρωπαϊκές κυβερνήσεις αρχίζουν να αναλαμβάνουν δράση, το ίδιο έκαναν και οι ΗΠΑ Τον Μάιο, η κυβέρνηση Μπάιντεν εξέδωσε το Μνημόνιο Εθνικής Ασφάλειας 10. Μεταξύ άλλων, το υπόμνημα καθόριζε την κατεύθυνση που πρέπει να λάβουν οι κυβερνητικές υπηρεσίες των ΗΠΑ για τη μετανάστευση ευάλωτων κρυπτογραφικών συστημάτων σε κβαντικά ανθεκτικά κρυπτογράφηση.
Λίγους μήνες αργότερα, ο νόμος Quantum Computing Cybersecurity Preparedness ψηφίστηκε στη Βουλή μετά την εισαγωγή του τον Απρίλιο του 2022. Ομοίως με το υπόμνημα του Μπάιντεν, το νομοσχέδιο επιδιώκει να αντιμετωπίσει τη μετάβαση των συστημάτων πληροφοριών των εκτελεστικών φορέων στη μετακβαντική κρυπτογραφία (PQC). Προβλέπει ότι οι ομοσπονδιακές υπηρεσίες θα πρέπει να προετοιμάσουν έναν κατάλογο ειδών για τη μετάβαση στα νέα πρότυπα και το OBM (Γραφείο Προϋπολογισμού & Διαχείρισης) θα λάβει ένα χρόνο για να προετοιμάσει έναν προϋπολογισμό και μια στρατηγική για τη μετάβαση από την τρέχουσα κρυπτογραφική πρότυπα. Οι υπηρεσίες θα πρέπει επίσης να ενημερώνουν αυτά τα συστήματα ετησίως και το Κογκρέσο θα λαμβάνει ετήσια ενημέρωση για την κατάσταση.
Κατόπιν αυτού, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) δημοσίευσε ένα σύνολο κατευθυντήριων γραμμών για οργανισμούς υποδομής ζωτικής σημασίας με στόχο την ομαλή μετάβαση. Αν και το τελικό πρότυπο του NIST είναι απίθανο να επιβεβαιωθεί πριν από το 2024, η CISA δημοσίευσε ένα έγγραφο -Προετοιμασία κρίσιμης υποδομής για μετα-κβαντική κρυπτογραφία– τονίζοντας την ανάγκη για υποδομές ζωτικής σημασίας για να ξεκινήσει η μετανάστευση τώρα για να μετριαστούν οι κίνδυνοι κβαντικών υπολογιστών και επιθέσεων HNDL.
Είναι σημαντικό ότι η CISA δεν είναι μόνη στις προσπάθειες να τονίσει το πλεονέκτημα της έναρξης της μετανάστευσης τώρα. Το Υπουργείο Εσωτερικής Ασφάλειας (DHS) δημοσίευσε το δικό τουΟδικός χάρτης μετά την κβαντική κρυπτογραφίατονίζοντας την ανάγκη να αρχίσει να θέτει αμέσως τις βάσεις, και το Cloud Security Alliance (CSA) έχει ορίσει ως προθεσμία τον Απρίλιο του 2030 έως την οποία όλες οι επιχειρήσεις θα πρέπει να έχουν υλοποιήσει μετακβαντική υποδομή.
Επόμενα βήματα για ομοσπονδιακούς οργανισμούς και πέρα
Καθώς οι κυβερνήσεις και οι ρυθμιστικές αρχές αρχίζουν να απαιτούν δράση, ιδιαίτερα όταν πρόκειται για τη μετανάστευση υψηλού κινδύνου κυβερνητικών υπηρεσιών και βιομηχανιών, το κόστος της αδράνειας αυξάνεται.
Αλλά πέρα από τους οδικούς χάρτες και τη σαφή αρχική ανάγκη να κάνετε απολογισμό του πού χρησιμοποιείται το PKC σήμερα, τι άλλο πρέπει να σκεφτείτε;
- Δώστε προτεραιότητα στην κρυπτοευκινησία, τη διαλειτουργικότητα και τη συμβατότητα προς τα πίσω
Όταν σκέφτεστε τη μετάβαση, είναι σημαντικό να έχετε κατά νου τις ακόλουθες τρεις έννοιες για να διασφαλίσετε ότι εξισορροπείτε την ασφάλεια με την ευκινησία.
- Χρήση διαλειτουργικών λύσεων: ώστε να μπορείτε να δημιουργήσετε ασφαλείς επικοινωνίες με συνεργάτες ανεξάρτητα από τους αλγόριθμους κρυπτογράφησης που χρησιμοποιούν.
- Εξασφάλιση συμβατότητας προς τα πίσω: Έτσι, η κβαντικά ασφαλής κρυπτογράφηση μπορεί να εισαχθεί απρόσκοπτα στα υπάρχοντα συστήματα πληροφορικής σας.
- Εξάσκηση κρυπτο-ευκινησίας: ώστε να μπορείτε να χρησιμοποιήσετε οποιονδήποτε συνδυασμό μετα-κβαντικών αλγορίθμων του NIST ή παραδοσιακής κρυπτογράφησης
- Εισαγάγετε προϊόντα που αντικατοπτρίζουν αυτές τις έννοιες για να αποκτήσετε μεγαλύτερο επίπεδο ευελιξίας
Από τη στιγμή που έχει επιλεγεί ένας πάροχος λύσεων, είναι σημαντικό να εξετάσετε εάν τα προϊόντα που προσφέρουν έχουν ενσωματώσει αυτούς τους πυλώνες στο σχέδιο.
Ένα παράδειγμα εισαγωγικού βήματος στη μετακβαντική μετεγκατάσταση είναι η επιλογή ενός κβαντικού ασφαλούς Εικονικού Ιδιωτικού Δικτύου (VPN) για την ασφάλεια των ροών επικοινωνίας δεδομένων μέσω του δημόσιου δικτύου Διαδικτύου. Post-Quantum'sHybrid Post-Quantum VPNπρόσφατα δοκιμάστηκε με επιτυχία από το ΝΑΤΟ και συνδύασε νέους κβαντικούς ασφαλείς και παραδοσιακούς αλγόριθμους κρυπτογράφησης για να διατηρήσει ένα διαλειτουργικό σύστημα.
- Μην παραμελείτε την ταυτότητα – στην πραγματικότητα, θα πρέπει να ξεκινήσετε από αυτήν
Θα μπορούσατε να εξασφαλίσετε όλη την άλλη κρυπτογράφηση σας, αλλά εάν κάποιος μπορεί να έχει πρόσβαση στο σύστημα ταυτότητάς σας, τότε δεν έχει σημασία τι άλλο κάνετε – τα συστήματά σας θα πιστεύουν ότι είναι το σωστό άτομο, ώστε να αποκτήσουν «νόμιμη» πρόσβαση στα συστήματά σας και υποδομών.
Δηλαδή, δεν έχει νόημα να προστατεύσετε ολόκληρη την υποδομή σας, αν δεν έχετε σκεφτεί επίσης την ταυτότητα, και ξεκινώντας από το μπροστινό μέρος του οικοσυστήματος ασφάλειας πληροφοριών θα σας επιτρέψει επίσης να αντιμετωπίσετε ένα από τα πιο δύσκολα ιστορικά συστήματα για να αναβαθμίσει ένας οργανισμός ή αντικαταστήστε.
Στο μέλλον, θα χρειαστούμε όλη την ψηφιακή μας υποδομή να είναι κβαντική από άκρο σε άκρο, αλλά, εάν δεν είστε σίγουροι από πού να ξεκινήσετε, η ταυτότητα θα πρέπει να είναι το πιο σημαντικό ζήτημα τώρα, καθώς είναι το κλειδί για το κάστρο.
ΕΥΓΕΝΙΚΗ ΧΟΡΗΓΙΑ
Η Post-Quantum είναι ο Χορηγός Diamond στο μέλλον Εκδήλωση IQT Quantum Cybersecurity στη Νέα Υόρκη, 25-27 Οκτωβρίου 2022. Ο Διευθύνων Σύμβουλος Άντερσεν Τσανγκ θα δώσει την εναρκτήρια ομιλία.
