Gyakorlatilag a kvantumszámítógépek még évekre vannak hátra, de az Egyesült Államok Kiberbiztonsági és Infrastruktúra Ügynöksége továbbra is azt javasolja a szervezeteknek, hogy kezdjék meg a felkészülést a migráció a kvantum utáni kriptográfiai szabványra.
A kvantumszámítógépek kvantumbiteket (qubit) használnak a nagyobb számítási teljesítmény és sebesség biztosítására, és várhatóan képesek megtörni a meglévő kriptográfiai algoritmusokat, például az RSA-t és az elliptikus görbék kriptográfiáját. Ez hatással lenne minden online kommunikáció biztonságára, valamint az adatok bizalmas kezelésére és integritására. Biztonsági szakértők arra figyelmeztettek, hogy a gyakorlati kvantumszámítógépek kevesebb mint tíz éven belül megvalósíthatók.
A Nemzeti Szabványügyi és Technológiai Intézet bejelentette az első négy kvantumrezisztens algoritmust amely júliusban a kvantum-kriptográfiai szabvány részévé válik, de a végleges szabvány csak 2024-ben várható. A CISA ennek ellenére arra ösztönzi a kritikus infrastruktúrák üzemeltetőit, hogy kezdjék meg a felkészülést.
„Míg a jelenlegi szabványok szerinti nyilvános kulcsú titkosítási algoritmusokat feltörni képes kvantumszámítási technológia még nem létezik, a kormányzatnak és a kritikus infrastruktúrával foglalkozó szervezeteknek – beleértve az állami és a magánszervezeteket is – együtt kell dolgozniuk, hogy felkészüljenek egy új, kvantum utáni kriptográfiai szabványra, amely ellen védekezhet. jövőbeli fenyegetések” – mondja a CISA.
Hogy segítse a szervezeteket terveik megvalósításában, a NIST és a Nemzetbiztonsági Minisztérium kidolgozta a Poszt-kvantum kriptográfiai ütemterv. Az első lépés a sérülékeny kritikus infrastruktúra-rendszerek leltárának létrehozása, mondta a CISA.
A szervezeteknek azonosítaniuk kell, hogy hol és milyen célból használják a nyilvános kulcsú kriptográfiát, és meg kell jelölniük ezeket a rendszereket kvantum-sebezhetőként. Ez magában foglalja a legérzékenyebb és legkritikusabb adatkészletek leltárának létrehozását, amelyeket hosszabb ideig biztosítani kell, és minden kriptográfiai technológiát használó rendszert. Az összes rendszer listája megkönnyítené az átállást, amikor eljön a váltás ideje.
A szervezeteknek fel kell mérniük az egyes rendszerek prioritási szintjét is. A leltári és rangsorolási információk felhasználásával a szervezetek rendszerátállási tervet dolgozhatnak ki az új szabvány közzétételére.
A biztonsági szakembereket arra is ösztönzik, hogy azonosítsák azokat a beszerzési, kiberbiztonsági és adatbiztonsági szabványokat, amelyeket frissíteni kell, hogy tükrözzék a kvantum utáni követelményeket. A CISA ösztönzi a poszt-kvantum szabványokat kidolgozó szervezetekkel való fokozottabb együttműködést.
Az, hogy az ügynökség a leltárra összpontosít, megegyezik az általa megfogalmazott ajánlásokkal Wells Fargo az RSA konferencián korábban ebben az évben. A pénzügyi óriás kvantumútjáról tárgyaló ülésen Richard Toohey, a Wells Fargo technológiai elemzője azt javasolta, hogy a szervezetek kezdjék meg kriptoleltárukat.
„Fedezze fel, hol vannak példányai bizonyos algoritmusoknak vagy bizonyos típusú titkosításoknak, mert hány ember volt Log4j-t használva, és fogalmam sem volt mert olyan mélyre volt temetve?” - mondta Toohey. „Ez egy nagy kérés, hogy ismerje a vállalkozása során használt összes titkosítási típust az összes harmadik féllel együtt – ez nem triviális. Ez rengeteg munka, és most el kell kezdeni.”
Dale Miller, a Wells Fargo információbiztonsági architektúrájának főtervezője szerint a Wells Fargo „nagyon agresszív célja”, hogy készen álljon a kvantum utáni kriptográfia futtatására öt éven belül.
Az ipari vezérlőrendszerek (ICS-ek) átállása a poszt-kvantum kriptográfiára komoly kihívást jelent majd a kritikus infrastruktúrák üzemeltetői számára, főként azért, mert a berendezések földrajzilag gyakran szétszórtak – áll a CISA riasztásában. Ennek ellenére a CISA sürgette a kritikus infrastruktúrával foglalkozó szervezeteket, hogy stratégiájukba foglalják bele a kvantumszámítási képességekből származó kockázatok kezeléséhez szükséges intézkedéseket.
Nem a CISA az egyetlen, aki riadót fúj az indulásról. Márciusban a Cloud Security Alliance (CSA) Quantum-Safe Munkacsoportja 14. április 2030-ig tűzte ki a határidőt, ameddig a vállalatoknak létre kell hozniuk posztkvantum infrastruktúrájukat.
„Ne várja meg, amíg a kvantumszámítógépeket az ellenfeleink használják a cselekvéshez. A korai előkészületek biztosítják a zökkenőmentes átállást a posztkvantum kriptográfiai szabványra, amint az elérhető lesz” – mondta a CISA.
