Praktiliselt on kvantarvutid veel aastate kaugusel, kuid USA küberjulgeoleku ja infrastruktuuri agentuur soovitab endiselt organisatsioonidel alustada ettevalmistusi. migratsioon postkvant-krüptograafilisele standardile.
Kvantarvutid kasutavad suurema arvutusvõimsuse ja -kiiruse tagamiseks kvantbitte (kubitte) ning eeldatavasti suudavad murda olemasolevaid krüptoalgoritme, nagu RSA ja elliptilise kõvera krüptograafia. See mõjutaks kogu võrgusuhtluse turvalisust ning andmete konfidentsiaalsust ja terviklikkust. Turvaeksperdid on hoiatanud, et praktilised kvantarvutid võivad olla võimalikud vähem kui kümne aasta pärast.
Riiklik Standardi- ja Tehnoloogiainstituut teatas neljast esimesest kvantkindlast algoritmist millest saab juulis osa postkvantkrüptograafilisest standardist, kuid lõplikku standardit oodatakse alles 2024. aastal. Sellegipoolest julgustab CISA kriitilise infrastruktuuri operaatoreid alustama ettevalmistusi eelnevalt.
"Kuigi praeguste standardite kohaselt ei ole veel olemas kvantarvutustehnoloogiat, mis suudaks murda avaliku võtme krüpteerimisalgoritme, peavad valitsus- ja kriitilise infrastruktuuri üksused, sealhulgas nii avalikud kui ka eraorganisatsioonid, tegema koostööd, et valmistuda uueks kvantkrüptograafiastandardiks, mille vastu kaitsta. tulevasi ohte, ”ütleb CISA.
Organisatsioonide abistamiseks nende plaanides töötasid NIST ja sisejulgeolekuministeerium välja Post-kvantkrüptograafia tegevuskava. Esimene samm peaks olema haavatavate kriitilise infrastruktuuri süsteemide loendi loomine, ütles CISA.
Organisatsioonid peaksid tuvastama, kus ja mis eesmärgil avaliku võtmega krüptograafiat kasutatakse, ning märkima need süsteemid kvanthaavatavateks. See hõlmab loendi loomist kõige tundlikumatest ja kriitilisematest andmekogumitest, mida tuleb pikema aja jooksul kaitsta, ja kõigist krüptotehnoloogiat kasutavatest süsteemidest. Kõigi süsteemide loendi olemasolu hõlbustaks üleminekut, kui tuleb aeg vahetada.
Organisatsioonid peavad hindama ka iga süsteemi prioriteetsuse taset. Inventari ja prioriteetide seadmise teavet kasutades saavad organisatsioonid seejärel uue standardi avaldamise ajaks välja töötada süsteemi üleminekuplaani.
Samuti julgustatakse turbespetsialiste tuvastama hankimise, küberturvalisuse ja andmeturbe standardid, mida tuleb ajakohastada, et need kajastaksid kvantijärgseid nõudeid. CISA julgustab suuremat seotust organisatsioonidega, kes arendavad kvantijärgseid standardeid.
Agentuuri keskendumine inventuurile kajastab esitatud soovitusi Wells Fargo RSA konverentsil varem sel aastal. Seansil, kus arutati finantshiiglase kvantteekonda, soovitas Wells Fargo tehnoloogiaanalüütik Richard Toohey organisatsioonidel alustada krüptovarude koostamist.
"Avastage, kus teil on teatud algoritmide või teatud tüüpi krüptograafia eksemplare, sest kui palju inimesi oli kasutades Log4j ja polnud aimugi sest see oli nii sügavale maetud?" ütles Toohey. "See on suur nõue, et teada saada igat tüüpi krüptograafiat, mida teie ettevõttes kõigi kolmandate osapooltega kasutatakse – see pole triviaalne. See on palju tööd ja sellega tuleb nüüd alustada.
Wells Fargo infoturbearhitektuuri peaarhitekti Dale Milleri sõnul on Wells Fargo "väga agressiivne eesmärk" olla viie aasta pärast valmis käivitama postkvantkrüptograafiat.
Tööstuslike juhtimissüsteemide (ICS) migreerimine postkvantkrüptograafiale on kriitilise infrastruktuuri operaatorite jaoks suur väljakutse, peamiselt seetõttu, et seadmed on sageli geograafiliselt hajutatud, ütles CISA hoiatuses. Sellegipoolest kutsus CISA kriitilise infrastruktuuri organisatsioone üles lisama oma strateegiatesse meetmed, mis on vajalikud kvantandmetöötluse võimalustest tulenevate riskide käsitlemiseks.
CISA pole ainus, kes alustamise pärast häirekella lööb. Märtsis määras Cloud Security Alliance'i (CSA) Quantum-Safe Working Group tähtajaks 14. aprill 2030, milleks peaksid ettevõtted olema oma kvantijärgse infrastruktuuri paigas.
„Ärge oodake, kuni meie vastased hakkavad tegutsema kvantarvuteid. Varajased ettevalmistused tagavad sujuva ülemineku kvantkrüptograafia standardile, kui see on saadaval,“ ütles CISA.
