באופן מעשי, מחשבים קוונטיים עדיין נמצאים במרחק של שנים, אבל סוכנות הסייבר והתשתית האמריקאית עדיין ממליצה לארגונים להתחיל בהכנות לקראת הגירה לתקן ההצפנה הפוסט-קוונטי.
מחשבים קוונטיים משתמשים בסיביות קוונטיות (qubits) כדי לספק כוח ומהירות מחשוב גבוהים יותר, וצפויים להיות מסוגלים לשבור אלגוריתמים קריפטוגרפיים קיימים, כגון RSA והצפנה אליפטית. זה ישפיע על האבטחה של כל התקשורת המקוונת, כמו גם על סודיות הנתונים ושלמותם. מומחי אבטחה הזהירו שמחשבים קוונטיים מעשיים עשויים להיות אפשריים תוך פחות מעשר שנים.
המכון הלאומי לתקנים וטכנולוגיה הכריז על ארבעת האלגוריתמים הראשונים העמידים לקוונטים שיהפוך לחלק מהתקן הפוסט-קוונטי-הצפנה ביולי, אך התקן הסופי צפוי רק בשנת 2024. למרות זאת, CISA מעודדת מפעילי תשתית קריטיים להתחיל בהכנות שלהם מראש.
"בעוד שטכנולוגיית מחשוב קוונטי המסוגלת לשבור אלגוריתמי הצפנה של מפתח ציבורי בתקנים הנוכחיים עדיין לא קיימת, ישויות ממשלתיות ותשתיות קריטיות - כולל ארגונים ציבוריים ופרטיים כאחד - חייבים לעבוד יחד כדי להתכונן לתקן הצפנה פוסט-קוונטי חדש כדי להתגונן מפניו. איומים עתידיים", אומר CISA.
כדי לעזור לארגונים עם התוכניות שלהם, NIST והמשרד לביטחון פנים פיתחו את מפת הדרכים של קריפטוגרפיה פוסט-קוונטית. הצעד הראשון צריך להיות יצירת מלאי של מערכות תשתית קריטיות פגיעות, אמר CISA.
ארגונים צריכים לזהות היכן ולאיזו מטרה נעשה שימוש בהצפנת מפתח ציבורי, ולסמן את המערכות הללו כפגיעות לקוונטיות. זה כולל יצירת מלאי של מערכי הנתונים הרגישים והקריטיים ביותר שיש לאבטח אותם למשך זמן ממושך, וכל המערכות המשתמשות בטכנולוגיות הצפנה. רשימה של כל המערכות תקל על המעבר כשמגיעים זמנים לבצע את המעבר.
ארגונים יצטרכו גם להעריך את רמת העדיפות עבור כל מערכת. בעזרת המידע על המלאי והתעדוף, ארגונים יכולים לפתח תוכנית מעבר מערכות למועד פרסום התקן החדש.
מומחי אבטחה מוזמנים גם לזהות תקני רכישה, אבטחת סייבר ואבטחת נתונים שיש לעדכן כדי לשקף דרישות פוסט-קוונטיות. CISA מעודדת הגדלת מעורבות עם ארגונים המפתחים סטנדרטים פוסט-קוונטיים.
ההתמקדות של הסוכנות במלאי מהדהדת את ההמלצות של וולס פארגו בכנס RSA מוקדם יותר השנה. בפגישה שדנה במסע הקוונטי של הענקית הפיננסית, ריצ'רד טוהיי, אנליסט טכנולוגי בוולס פארגו, הציע לארגונים להתחיל את מלאי הקריפטו שלהם.
"גלה היכן יש לך מקרים של אלגוריתמים מסוימים או סוגים מסוימים של קריפטוגרפיה, כי כמה אנשים היו משתמש ב-Log4j ולא היה לי מושג כי זה היה קבור כל כך עמוק?" טוהיי אמר. "זו בקשה גדולה, לדעת כל סוג של קריפטוגרפיה המשמשת בכל העסק שלך עם כל הצדדים השלישיים שלך - זה לא טריוויאלי. זו עבודה רבה, וצריך להתחיל אותה עכשיו".
לוולס פארגו יש "מטרה אגרסיבית מאוד" להיות מוכן להריץ קריפטוגרפיה פוסט-קוונטית בעוד חמש שנים, לפי דייל מילר, האדריכל הראשי של ארכיטקטורת אבטחת המידע בוולס פארגו.
העברת מערכות בקרה תעשייתיות (ICS) להצפנה פוסט-קוונטית תהיה אתגר גדול עבור מפעילי תשתית קריטית, בעיקר בגלל שהציוד לרוב מפוזר גיאוגרפית, אמר CISA בהתראה. למרות זאת CISA דחקה בארגוני תשתית קריטית לכלול באסטרטגיות שלהם את הפעולות הדרושות לטיפול בסיכונים מיכולות מחשוב קוונטי.
CISA היא לא היחידה שמשמיעה אזעקה בנוגע לתחילת העבודה. במרץ קבעה קבוצת העבודה הקוונטית בטוחה של ברית האבטחה בענן (CSA) תאריך יעד של 14 באפריל 2030, לפיו חברות צריכות לקבל את התשתית הפוסט-קוואנטית שלהן.
"אל תחכו עד שהמחשבים הקוונטים יהיו בשימוש על ידי היריבים שלנו כדי לפעול. הכנות מוקדמות יבטיחו מעבר חלק לתקן ההצפנה הפוסט-קוונטי ברגע שהוא יהיה זמין", אמר CISA.
