By Dan O'Shea δημοσιεύτηκε 28 Σεπτεμβρίου 2022
Τους τελευταίους μήνες υπάρχει μια αυξανόμενη αίσθηση επείγουσας ανάγκης στις ΗΠΑ σχετικά με την μετακβαντική κρυπτογραφία (PQC), με τον Λευκό Οίκο Μπάιντεν και ομάδες όπως η Εθνική Υπηρεσία Ασφαλείας (NSA) και η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) να ζητούν από την κυβέρνηση φορείς και άλλους οργανισμούς να προετοιμαστούν για να προστατευθούν από τις απειλές ασφαλείας που θέτουν οι κβαντικοί υπολογιστές.
Σε αυτό το περιβάλλον η NSA εξέδωσε πρόσφατα μια συμβουλευτική, το Εμπορικός Αλγόριθμος Εθνικής Ασφάλειας 2.0 (CNSA 2.0), αυτό θα μπορούσε να φαινόταν σαν ένα τρελό στην αρχή. Περιλάμβανε, μεταξύ άλλων απαιτήσεων προετοιμασίας, ένα χρονοδιάγραμμα για την ολοκλήρωση της μετάβασης στο PQC για τα «εθνικά συστήματα ασφαλείας (ΕΣΥ) και συναφή περιουσιακά στοιχεία» έως το 2035. Ο καθορισμός προθεσμίας για περισσότερα από 12 χρόνια μπορεί να φαίνεται σαν το αντίθετο του επείγοντος (και αρχικά μερικοί παρατηρητές του κλάδου εξέφρασαν ιδιωτικά την έκπληξή τους στο IQT σχετικά με αυτή τη συγκεκριμένη λεπτομέρεια). Ωστόσο, τις εβδομάδες μετά την ανακοίνωση της NSA στις αρχές Σεπτεμβρίου, η IQT μίλησε με εμπειρογνώμονες ασφαλείας σε πολλές εταιρείες που ανέφεραν ότι το χρονοδιάγραμμα είναι απολύτως κατάλληλο, δεδομένου του όγκου της δουλειάς που περιμένει για μια σωστή μετάβαση από την κρυπτογράφηση παλαιού τύπου, και δεδομένου ότι το νέο Η ανάπτυξη τεχνολογίας από κυβερνητικούς φορείς σπάνια κινείται γρήγορα.
«Είναι κατανοητό ότι η κυβέρνηση των ΗΠΑ έχει θεσπίσει τόσο μεγάλα χρονοδιαγράμματα για μετάβαση στο PQC γιατί είναι από τα μεγαλύτερα και πιο σύνθετα οργανισμούς στον κόσμο με περίπλοκες διαδικασίες για τον καθορισμό των στρατηγικών τους, προϋπολογισμούς, απαιτήσεις και προτεραιότητες», δήλωσε η Jen Sovada, Πρόεδρος του Δημόσιου Τομέα στο SandboxAQ, και επίσης συνταξιούχος συνταγματάρχης της Πολεμικής Αεροπορίας των ΗΠΑ. «Έχουν επίσης μερικά από τα πιο περίπλοκα και διασυνδεδεμένα παγκόσμια δίκτυα που πρέπει να είναι συνεχώς διαθέσιμα. Παρά με το εκτεταμένο χρονοδιάγραμμα υιοθεσίας, η κυβέρνηση των ΗΠΑ αρχίζει να μεταβαίνει τώρα στην PQC για άμυνα έναντι εκστρατειών catch and exploit, γνωστές και ως store now αποκρυπτογραφήστε τις μεταγενέστερες επιθέσεις, έτσι ώστε ως κβαντικοί υπολογιστές με ανοχή σε σφάλματα και διορθωμένα σφάλματα εμφανιστούν, θα προστατεύονται».
Πρόσθεσε ότι το έγγραφο της NSA CSNA 2.0 δεν έχει επιβραδύνει τις υπηρεσίες της ομοσπονδιακής κυβέρνησης που ήδη εργάζονταν για να υιοθετήσουν πρώιμα το PQC. «Δουλεύουμε ήδη με πολλούς χρήστες που υιοθέτησαν πρώιμα, ενώ παράλληλα βοηθάμε στην εκπαίδευση όσων δεν είναι εξοικειωμένοι με την τεχνολογία. Αν μη τι άλλο, το χρονοδιάγραμμα βοήθησε να ευθυγραμμίσουμε τις προτεραιότητές μας και να πιέσουμε για την έγκαιρη υιοθέτησή τους
Στρατηγικές μετανάστευσης PQC σε όλη την ομοσπονδιακή κυβέρνηση».
Ο Ντάνκαν Τζόουνς, Επικεφαλής Κυβερνοασφάλειας στο Quantinuum, συμφώνησε, λέγοντας: «Δεν υπάρχουν μεγάλες εκπλήξεις εδώ. Σε γενικές γραμμές, η καθοδήγηση είναι λογική και συνάδει με παρόμοιες οδηγίες από την CISA και σχετικούς οργανισμούς. Η προθεσμία της NSA για το 2035 είναι σύμφωνη με τις απαιτήσεις στα υπομνήματα εθνικής ασφάλειας που εκδόθηκαν νωρίτερα φέτος».
Ο Τζόουνς πρόσθεσε ότι ακόμα κι αν το 2035 φαίνεται πολύ μακριά, τα πιο κρίσιμα περιουσιακά στοιχεία της NSS θα έχουν την υψηλότερη προτεραιότητα καθώς ξεκινούν οι προσπάθειες μετανάστευσης. «Μπορεί να ακούγονται πολλά δεκατρία χρόνια, αλλά θα έρθουν πολύ γρήγορα. Η μετεγκατάσταση δεν μπορεί να συμβεί ταυτόχρονα, επομένως τα κρίσιμα συστήματα θα πρέπει να μετεγκατασταθούν πολύ νωρίτερα από αυτήν την ημερομηνία. Εν ολίγοις, η προθεσμία του 2035 δεν θα επιβραδύνει την υιοθεσία».
Αντίθετα, το έγγραφο CNSA 2.0 και το δηλωμένο χρονοδιάγραμμά του θα πρέπει να επικεντρωθούν περισσότερο στην όλη προσπάθεια για τη μετάβαση των κυβερνητικών συστημάτων στο PQC και να τονίσουν την κρίσιμη ανάγκη για αυτό. Ο Skip Sanzeri, Ιδρυτής, Πρόεδρος, COO και Chief Revenue Officer της QuSecure, δήλωσε: «Το γεγονός ότι η NSA έχει πλέον ανακοινώσει την ημερομηνία σημαίνει ότι έχουν ισορροπήσει ανάμεσα σε κάτι πολύ σημαντικό που πρέπει να γίνει και τις δυνατότητες των ομοσπονδιακών υπηρεσιών να συμμορφωθούν .»
Εξήγησε, «Αυτό που εννοώ με αυτό είναι ότι μπορεί να χρειαστούν 10 χρόνια για πολλές από αυτές τις υπηρεσίες για να ολοκληρώσουν μια αναβάθμιση, επομένως είμαστε σίγουροι ότι η NSA θα ήθελε να ωθήσει τα πράγματα πιο γρήγορα, αλλά εάν μια υπηρεσία δεν είναι σε θέση να αναβαθμίσει πιο γρήγορα, τότε πρόκειται για το καλύτερο που μπορεί να γίνει». Ο Samzeri είπε ότι η NSA έχει ουσιαστικά εξουσιοδοτήσει την PQC και δήλωσε ότι η μετανάστευση θα πρέπει να προσεγγιστεί με μια αίσθηση επείγουσας ανάγκης, αλλά με την κατανόηση θα πρέπει να ολοκληρωθεί «το αργότερο έως το 2035. Η κρυπτογραφία είναι πολύπλοκη και πολλές εταιρείες δεν έχουν πλήρη απολογισμό όλης της κρυπτογραφίας που χρησιμοποιούν. Δέκα χρόνια είναι ο ελάχιστος χρόνος αναβάθμισης μιας μεγάλης κρατικής υπηρεσίας. Έτσι και πάλι, η NSA πραγματικά δεν μπορούσε να αναγκάσει τις ομοσπονδιακές υπηρεσίες να κινηθούν γρηγορότερα ακόμα κι αν το ήθελαν».
Εν τω μεταξύ, η Helena Handschuh, Fellow Τεχνολογίας Ασφαλείας, εξήγησε πώς η υπερβολική εστίαση στην προθεσμία του 2035 παραβλέπει τι θα συμβεί στην πραγματικότητα κατά τη διάρκεια της μετάβασης. Από νωρίς είναι πιθανό να υπάρχουν υβριδικές προσεγγίσεις – «ένας κανονικός αλγόριθμος σε συνδυασμό με έναν αλγόριθμο PQC», είπε, που κάνει τα συστήματα πιο ευέλικτα και τα φέρνει σε θέση να αλλάζουν τους αλγόριθμους που χρησιμοποιούν όταν χρειάζεται.
Κατά τα επόμενα 3-5 χρόνια, καθώς το NIST ολοκληρώνει τις εργασίες για το Τα αρχικά πρότυπα κρυπτογράφησης PQC και ψηφιακής υπογραφής ανακοίνωσε τον Ιούλιο, η εστίαση θα είναι στην επιλογή μιας λύσης PQC και στην έναρξη της μετανάστευσης, είπε ο Handschuh. «Για το υλικό, αυτό μπορεί να σημαίνει να αρχίσετε να εξετάζετε την επιλογή και την ενσωμάτωση IP τώρα, καθώς μπορεί να χρειαστούν μερικά χρόνια για να κατασκευαστεί νέο υλικό και να κυκλοφορήσει στην αγορά. Θα είναι σημαντικό να έχουμε μια στρατηγική κατάργησης για τους κανονικούς αλγόριθμους σε 5-7 χρόνια από τώρα και να αλλάξουμε εντελώς και να καταργήσουμε τους σημερινούς αλγόριθμους δημόσιου κλειδιού σε 7-10 χρόνια στο μέλλον. Η NSA έχει ένα τέτοιο χρονοδιάγραμμα και άλλες υπηρεσίες σε όλη την Ευρώπη και την Ασία έχουν παρόμοιες προσεγγίσεις και χρονοδιαγράμματα».
Κατέληξε στο συμπέρασμα ότι αυτό το χρονοδιάγραμμα θέτει «τον ορίζοντα για την απόρριψη των σημερινών αλγορίθμων δημόσιου κλειδιού… κάπου μεταξύ 2030 και 2035».
Είναι κατανοητό εάν οι κρατικοί φορείς και οι εταιρικές επιχειρήσεις παραμένουν αβέβαιοι για το πόσο γρήγορα θα προχωρήσουν στην υιοθέτηση του PQC, καθώς δεν υπάρχουν ακόμη πολλά δημόσια πρότυπα και μελέτες περιπτώσεων που να καλύπτουν επιτυχημένες εφαρμογές PQC. Στην πραγματικότητα, η ιστορία των μεταβάσεων τεχνολογίας ασφαλείας υποδηλώνει ότι μπορεί να χρειαστούν δεκαετίες και να εξακολουθούν να έχουν λιγότερη από τη συνολική μετανάστευση. Επίσης, το NIST θα συνεχίσει να οριστικοποιεί τα πρόσφατα επιλεγμένα πρότυπα για περίπου ακόμη ενάμιση έως δύο χρόνια, επομένως ενδέχεται να υπάρξουν αλλαγές ή ενημερώσεις σε αυτούς τους αλγόριθμους.
Ο Johannes Lintzen, Διευθύνων Σύμβουλος της Cryptomathic, σημείωσε, «Γενικά, το να βιαστείς να γίνεις πρόωρος υιοθετητής έχει τους κινδύνους του. Αλλά και η αδράνεια. Πολλοί οργανισμοί βρίσκονται σε αυτό το δύσκολο σταυροδρόμι. Για ένα, οι επιλεγμένοι αλγόριθμοι θα χρειαστούν άλλους 24 μήνες περίπου για να εφαρμοστούν πλήρως και να είναι διαθέσιμοι σε ευρείες εμπορικές εφαρμογές.»
Πρόσθεσε, «Επιπλέον, η κοινοτική αξιολόγηση και ανάλυση των επιλεγμένων κρυπτοσυστημάτων βρίσκεται σε εξέλιξη και είναι απολύτως πιθανό στον χρόνο που χρειάζεται για να οριστικοποιηθεί η διαδικασία τυποποίησης, να βρεθούν και να δημοσιευτούν από ερευνητές άλλες μέθοδοι διάσπασης των υποψηφίων αλγορίθμων. Λάβετε υπόψη ότι οι ενημερώσεις και οι αλλαγές στους αλγόριθμους και στον τρόπο υλοποίησης και χρήσης τους πραγματοποιούνται εδώ και πολύ καιρό. Πάρτε για παράδειγμα αλλαγές σε συμμετρικούς αλγόριθμους. Με την πάροδο του χρόνου ο κλάδος έχει μεταναστεύσει από το DES στο 3DES και τελικά στο AES. Υπάρχουν άλλα παραδείγματα στους αλγόριθμους κατακερματισμού καθώς και στους ασύμμετρους αλγόριθμους. Οι οργανισμοί στον τομέα των εμπορικά διαθέσιμων κρυπτογραφικών λύσεων είναι από καιρό σε θέση να παρέχουν εργαλεία για τη διαχείριση της διαδικασίας συνεχούς αναβάθμισης και διαχείρισης των εξελίξεων στην αλλαγή κρυπτογραφικού αλγορίθμου – ο όρος που χρησιμοποιείται ευρέως είναι «κρυπτογραφική ευελιξία». Αυτή η προσέγγιση θα βοηθήσει τους οργανισμούς να εξισορροπήσουν την ανάγκη για έγκαιρη δράση με τη δυνατότητα διατήρησης της ευελιξίας γύρω από τις αλλαγές όπως και όταν συμβαίνουν».
Ενώ η NSA ανέφερε μια προθεσμία για τη μετανάστευση του PQC που απέχει περισσότερο από χρόνια, φαίνεται ότι θα είναι πολυάσχολα και γεμάτα γεγονότα τα επόμενα 12 περίπου χρόνια.
Για περισσότερα σχόλια από αυτές τις πηγές και άλλες σχετικά με βασικά ζητήματα που σχετίζονται με τη μετάβαση PQC, παρακολουθήστε το επόμενο IQT Pro ιστορία στα μέσα Οκτωβρίου.
Ο Dan O'Shea έχει καλύψει τις τηλεπικοινωνίες και συναφή θέματα, όπως ημιαγωγούς, αισθητήρες, συστήματα λιανικής, ψηφιακές πληρωμές και κβαντικούς υπολογιστές/τεχνολογίες για περισσότερα από 25 χρόνια
