By Notizie IQT pubblicato il 12 ottobre 2022
(A cura del Team Post-Quantum) I computer quantistici rappresentano la più grande minaccia esistenziale alla sicurezza informatica mondiale. Una volta che emergerà una macchina sufficientemente potente, gli standard di crittografia a chiave pubblica (PKC) che attualmente salvaguardano il mondo digitale diventeranno obsoleti in un istante, causando danni incommensurabili a interi settori: dalla sicurezza nazionale, alle banche, alle reti di servizi pubblici.
Anche se non si conosce la data precisa in cui il PKC verrà violato, la minaccia che gli avversari raccolgano i dati adesso con l'obiettivo di decriptarli quando emerge una macchina sufficientemente potente (nota anche come Harvest Now, Decrypt Later), è reale e accade oggi.
Data l’urgenza della questione, i governi e gli organismi di regolamentazione hanno iniziato ad agire, in particolare negli Stati Uniti (USA). Ma cosa significano in pratica queste azioni e quali misure possono intraprendere le organizzazioni più a rischio per andare avanti?
I governi impongono azioni
Il 2022 rappresenta una pietra miliare importante nel futuro della sicurezza post-quantistica.
Dopo più di sei anni di deliberazione, il Istituto Nazionale di Standard e Tecnologie (NIST) ha presentato a luglio le sue raccomandazioni per la standardizzazione di un nuovo algoritmo resistente ai quanti. CRISTALLI-Kyber è stato selezionato per la crittografia generale e CRISTALLI-Dilitio, FALCONe SPHINCS + sono stati selezionati per le firme digitali.
Il NIST ha anche avanzato altri quattro candidati per un ulteriore esame, uno dei quali è Classic McEliece, una presentazione congiunta del nostro team di Post-Quantum. L'ente nazionale tedesco per la sicurezza informatica, noto come BSI, e il Equivalente olandese, stanno già consigliando alle aziende di utilizzare e implementare Classic McEliece per le sue credenziali di sicurezza senza eguali.
Mentre i governi europei iniziano ad agire, lo stesso fanno anche gli Stati Uniti. A maggio, l'amministrazione Biden ha emesso il Memorandum 10 sulla sicurezza nazionale. Tra le altre cose, il memorandum definisce la direzione che le agenzie governative statunitensi devono prendere per migrare i sistemi crittografici vulnerabili verso sistemi resistenti ai quantistici. crittografia.
Pochi mesi dopo, il Quantum Computing Cybersecurity Preparedness Act è stato approvato alla Camera dopo la sua introduzione nell'aprile 2022. Analogamente alla nota di Biden, il disegno di legge cerca di affrontare la migrazione dei sistemi informativi delle agenzie esecutive alla crittografia post-quantistica (PQC). Si prevede che le agenzie federali debbano preparare un inventario degli elementi per la transizione ai nuovi standard e che all'OBM (Office of Budget & Management) venga concesso un anno per preparare un budget e una strategia per la transizione dall'attuale crittografia crittografica. standard. Alle agenzie verrebbe inoltre richiesto di aggiornare questi sistemi ogni anno e il Congresso riceverebbe un briefing annuale sullo stato.
Successivamente, la Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato una serie di linee guida per le organizzazioni di infrastrutture critiche che mirano a una transizione graduale. Sebbene sia improbabile che lo standard finale del NIST venga confermato prima del 2024, la CISA ha pubblicato un documento: "Preparazione dell'infrastruttura critica per la crittografia post-quantistica' – sottolineando la necessità che le infrastrutture critiche inizino subito la migrazione per mitigare i rischi dell'informatica quantistica e degli attacchi HNDL.
È importante sottolineare che la CISA non è la sola a impegnarsi per sottolineare il vantaggio di iniziare subito la migrazione. Il Dipartimento per la Sicurezza Nazionale (DHS) ha pubblicato il proprio 'Roadmap della crittografia post-quantistica' sottolineando la necessità di iniziare immediatamente a gettare le basi, e il Alleanza per la sicurezza nel cloud (CSA) ha fissato una scadenza di aprile 2030 entro la quale tutte le imprese dovrebbero aver implementato le infrastrutture post-quantistiche.
Prossimi passi per le agenzie federali e oltre
Mentre i governi e le autorità di regolamentazione cominciano a chiedere azioni, in particolare quando si tratta di migrare agenzie governative e industrie ad alto rischio, il costo dell’inazione sta crescendo.
Ma al di là delle tabelle di marcia e della chiara necessità iniziale di fare il punto su dove viene utilizzata oggi la PKC, cos’altro dovresti considerare?
- Dai priorità alla cripto-agilità, all'interoperabilità e alla compatibilità con le versioni precedenti
Quando si pensa alla transizione, è importante tenere a mente i seguenti tre concetti per assicurarsi di bilanciare sicurezza e agilità.
- Utilizzando soluzioni interoperabili: in questo modo puoi stabilire comunicazioni sicure con i partner indipendentemente dagli algoritmi di crittografia che utilizzano.
- Garantire la compatibilità con le versioni precedenti: in questo modo la crittografia quantistica sicura può essere introdotta senza problemi nei sistemi IT esistenti.
- Praticare la cripto-agilità: quindi puoi utilizzare qualsiasi combinazione di algoritmi post-quantistici del NIST o crittografia tradizionale
- Introduci prodotti che riflettono questi concetti per ottenere un maggiore livello di flessibilità
Una volta selezionato un fornitore di soluzioni, è importante considerare se i prodotti offerti integrano questi pilastri nella progettazione.
Un esempio di passo introduttivo nella migrazione post-quantistica è la selezione di una rete privata virtuale (VPN) quantistica per proteggere i flussi di comunicazione dei dati attraverso la rete Internet pubblica. "Post-quantistico"VPN ibrida post-quantisticaè stato recentemente sperimentato con successo dalla NATO e ha combinato nuovi algoritmi di crittografia quantistici e tradizionali per mantenere un sistema interoperabile.
- Non trascurare l'identità: anzi, dovresti iniziare da essa
Potresti proteggere tutte le altre crittografie, ma se qualcuno può accedere al tuo sistema di identità, non importa cos'altro fai: i tuoi sistemi penseranno di essere la persona giusta, quindi potranno ottenere un accesso "legittimo" ai tuoi sistemi e infrastrutture.
Cioè, non ha molto senso proteggere l'intera infrastruttura se non si tiene conto anche dell'identità, e iniziare dal front-end dell'ecosistema di sicurezza informatica ti consentirà anche di affrontare uno dei sistemi storicamente più impegnativi da aggiornare per un'organizzazione. o sostituire.
In futuro, avremo bisogno che tutta la nostra infrastruttura digitale sia a prova di quantistica end-to-end ma, se non sei sicuro da dove iniziare, l’identità dovrebbe essere la considerazione più importante ora poiché è la chiave del castello.
SPONSORED
Post-Quantum sarà il Diamond Sponsor del prossimo evento Evento IQT Quantum Cybersecurity a New York, 25-27 ottobre 2022. Il CEO Andersen Chang terrà il discorso di apertura.
