תגובה פרגמטית לאיום הקוונטי

Unless you live under a rock, you’ll know that quantum computers will break the cryptography we use today in as little as 10 years. Unfortunately, most analysis on this topic is simplistic. The quantum threat is described as though a day will come where quantum is unleashed and all systems will be broken at once. This is far from the truth.

As a CISO, it’s important to develop a nuanced understanding of this critical topic. You certainly don’t need to panic, but you need to form a plan that’s based on your business, with all its idiosyncrasies. Your peers in other companies should be doing the same thing; however, their plans will look different. There is no generic answer to the quantum threat.

במציאות, האיום יתממש לאט. המכונות הראשונות שיכולות לפעול האלגוריתם של שור ייקח שבועות לשבור מפתח RSA. רק היעדים בעלי הערך הגבוה ביותר ייחשבו לתקיפה, לאור העלות העצומה הצפויה עבור כמות חישוב זו. עם הזמן, יותר מכונות יהיו מסוגלות לשבור מפתחות, והעלות והזמן הכרוכים במשימה יצטמצמו באופן דרמטי. בסופו של דבר, כל אחד יוכל לבצע את ההתקפה הזו תוך דקות בעלות מינימלית.

Your goal as a CISO is to assess your risk over this unknown time frame. Do you process data so sensitive that you’re likely to be among the first targets? Is some of your data more valuable than the rest? What about the lifetime of the data — how long does it need to remain secret? These are all questions to consider as you create a pragmatic plan to address the quantum threat.

הבן את הסטטוס קוו

At a recent conference, I heard a law firm describe its response to a major cyberattack. During the confusing first days, the company was desperate to assess whether its critical data was safe. Yet the respondents realized they weren’t sure what data mattered most. Eventually they concluded their client data was more important than the rest of the business combined. This shaped the firm’s subsequent decisions and accelerated its response time.

באופן אידיאלי, תגיע למסקנות האלה לפני פריצת סייבר גדולה. ובהחלט, עליך להבין את סדרי העדיפויות העסקיים שלך לפני שאתה מתכנן את תוכנית ההגירה הפוסט-קוונטית שלך. CISOs צריכים לפתח מלאי של כל מערכת המתאר:

• החשיבות העסקית של הנתונים.
• כיצד ההצפנה מגינה על הנתונים במצב מנוחה ובמעבר.
• כמה זמן הנתונים צריכים להישאר סודיים. 

If you already have this data in hand, congratulations — you’re unusually well-prepared. For most CISOs, however, this information is patchy, at best. Understanding the status quo is the critical first step in your migration.

תעדוף פרגמטית

Next comes the difficult piece. With your pragmatic hat on, you need to decide the order in which to migrate your systems to post-quantum algorithms. You can’t change everything at once, and it’s likely to be years between the time your first systems are migrated and the last.

Your highest priority should be long-term sensitive data that is transmitted across the Internet. This includes health data, government secrets, client data, and intellectual property. This data is especially vulnerable thanks to an attack sometimes known as “hack now, decrypt later,” in which attackers record encrypted transmissions to לפענח בעתיד באמצעות מחשב קוונטי.

אם החברה שלך מפתחת מכשירים פיזיים, כגון בתעשיית האינטרנט של הדברים (IoT), תצטרך לשים לב במיוחד להעברת שורשי אמון לעבר אלגוריתמים פוסט-קוונטיים. מכשירים שצפויים להישאר מאובטחים במשך 10 שנים או יותר נמצאים בהחלט בסיכון מקושחה הונאה ברגע שהאיום הקוונטי יגיע.

This is the hardest step in the migration process because it’s unique to your business. But it’s worth doing correctly so that you allocate resources appropriately. This process also highlights the vendors you need to work closely with, as they migrate their own systems to post-quantum protection.

התחל לבדוק

לאחר שתוכנית ההגירה שלך מוקמה, השלב הבא הוא לבצע בדיקות כדי להבין את ההשפעה של העברת המערכות שלך לכיוון אלגוריתמים פוסט-קוונטיים. The new post-quantum algorithms behave differently than the algorithms we use today, and it won’t always be a simple task to pull one algorithm out and replace it with another.

אפילו עם האחרון הודעת NIST מהראשונית שלו מועמדים לאלגוריתמים עמידים לקוונטים, אלגוריתמים פוסט-קוונטיים עדיין אינם מתוקננים, וייתכן שיעבור עד 2024 עד שזה יקרה. השתמש בזמן זה בחוכמה כדי להבין היכן עליך להשקיע משאבים נוספים כדי להתמודד עם השינויים שעומדים לפנינו.

נצל את ההזדמנות לבנות טוב יותר

בכל פעם שאני מדבר על קוונטי, אני מוצא שהשיחה גולשת במהירות לאיום הקוונטי. עם זאת, אני מעודד אנשים לחשוב בצורה חיובית על טכנולוגיה קוונטית ואפילו על האיום הקוונטי עצמו.

Responding to the threat will require an immense upheaval of systems, similar in scope to the Y2K challenge. This is a rare opportunity to touch each of our systems and change them for the better. It’s certain that this algorithm migration won’t be the last one we have to conduct. Let’s use this opportunity to build crypto agility into our systems, so the next migration is far less painful.

ובזמן שאנו בונים מחדש מערכות קריפטו, עלינו לחקור כיצד אנו יכולים לבנות על יסודות מוצקים יותר. זה המקום שבו לטכנולוגיה הקוונטית יש תפקיד. כאשר אנו מסתכלים לעתיד שבו לשחקני איומים יש מחשבים קוונטיים כנשק, עלינו לחפש להגן על עצמנו באותה כמות כוח. קוואנטום היא חרב פיפיות, ועלינו להבטיח כי כמגנים, אנו מוכנים להפעיל אותה גם להגנה.