ממשלות מחייבות פעולה בנושא פוסט-קוונטי; מה אתה צריך לעשות בנידון

(על ידי צוות Post-Quantum) מחשבים קוונטיים הם האיום הקיומי הגדול ביותר על אבטחת המידע בעולם. ברגע שתופיע מכונה חזקה מספיק, תקני הצפנת המפתחות הציבוריים (PKC) שמגנים כיום על העולם הדיגיטלי יהיו מיושנים ברגע, ויגרמו נזק לאין שיעור לתעשיות שלמות - מביטחון לאומי, דרך בנקאות ועד לרשתות שירות.

למרות שהתאריך המדויק שבו PKC יישבר אינו ידוע, האיום של יריבים שיאספו נתונים כעת במטרה לפענח אותם כאשר תופיע מכונה חזקה מספיק (הידועה גם בשם Harvest Now, Decrypt Later), הוא אמיתי ומתרחש היום.

לאור מיידיות הנושא, ממשלות וגופים רגולטוריים החלו לפעול, במיוחד בארצות הברית (ארה"ב). אבל מה המשמעות של פעולות אלה בפועל, ואילו צעדים יכולים אותם ארגונים בסיכון לעשות כדי להתקדם?

ממשלות מחייבות פעולה

2022 הייתה אבן דרך חשובה בעתיד של אבטחה פוסט-קוונטית.

לאחר יותר משש שנים של התלבטות, ה המכון הלאומי לתקנים וטכנולוגיה (NIST) חשפה את המלצותיה לסטנדרטיזציה של אלגוריתם עמיד קוונטי חדש ביולי. קריסטלים-קיבר נבחר להצפנה כללית, ו קריסטלים-דיליתיום, פלקון, ו ספינקס + נבחרו עבור חתימות דיגיטליות.

NIST גם קידמה ארבעה מועמדים נוספים לבדיקה נוספת, אחד מהם הוא Classic McEliece, הגשה משותפת מהצוות שלנו ב-Post-Quantum. גוף אבטחת הסייבר הלאומי של גרמניה הידוע בשם BSI, וה מקבילה הולנדית, כבר ממליצים לארגונים להשתמש ולפרוס את Classic McEliece בשל אישורי האבטחה שאין שני להם.

כאשר ממשלות אירופה מתחילות לנקוט בפעולה, כך גם ארה"ב במאי, ממשל ביידן פרסם את מזכר ביטחון לאומי 10. בין היתר, התזכיר קבע את הכיוון שסוכנויות ממשלת ארה"ב צריכות לנקוט כדי להעביר מערכות קריפטוגרפיות פגיעות לעמידות קוונטים קריפטוגרפיה.

מספר חודשים לאחר מכן, חוק ההיערכות בתחום אבטחת הסייבר המחשוב הקוונטי עבר בבית בעקבות הצגתו באפריל 2022. בדומה לתזכיר של ביידן, הצעת החוק מבקשת לטפל בהגירה של מערכות המידע של סוכנויות ביצועיות להצפנה פוסט-קוונטית (PQC). הוא קובע שסוכנויות פדרליות יצטרכו להכין מלאי של פריטים למעבר לסטנדרטים החדשים, ול-OBM (משרד לתקציב וניהול) תינתן שנה להכין תקציב ואסטרטגיה למעבר הרחק מהקריפטוגרפיה הנוכחית. תקנים. גם סוכנויות יידרשו לעדכן את המערכות הללו מדי שנה, והקונגרס יקבל תדרוך סטטוס שנתי.

בעקבות זאת, סוכנות הסייבר לאבטחת תשתיות (CISA) פרסמה סדרה של קווים מנחים לארגוני תשתית קריטיים השואפים למעבר חלק. למרות שסביר להניח שהתקן הסופי של NIST לא יאושר לפני 2024, ה-CISA פרסם מסמך - 'הכנת תשתית קריטית לקריפטוגרפיה פוסט-קוונטית' - מדגיש את הצורך בתשתית קריטית כדי להתחיל בהגירה כעת כדי להפחית את הסיכונים של מחשוב קוונטי והתקפות HNDL.

חשוב לציין, ה-CISA לא לבד במאמצים להדגיש את היתרון של תחילת הגירה עכשיו. המחלקה לביטחון המולדת (DHS) פרסמה "מפת הדרכים של קריפטוגרפיה פוסט-קוונטיתמדגישים את הצורך להתחיל בהנחת היסוד באופן מיידי, ואת הברית לביטחון ענן (CSA) קבעה מועד אחרון לאפריל 2030 שלפיו כל הארגונים היו צריכים ליישם תשתית פוסט-קוונטית.

השלבים הבאים עבור סוכנויות פדרליות ומעבר לכך

כאשר ממשלות ורגולטורים מתחילים לדרוש פעולה, במיוחד כשמדובר בהגירת סוכנויות ותעשיות ממשלתיות בעלי חשיבות גבוהה, העלות של אי-פעולה גדלה.

אבל מעבר למפות הדרכים והצורך הראשוני הברור לעשות חשבון נפש לגבי היכן משתמשים ב-PKC כיום, מה עוד כדאי לשקול?

• תעדוף זריזות קריפטו, יכולת פעולה הדדית ותאימות לאחור

כשחושבים על המעבר, חשוב לזכור את שלושת המושגים הבאים כדי להבטיח שאתה מאזן בין אבטחה לגמישות.

1. שימוש בפתרונות הדדיים: כך שתוכל ליצור תקשורת מאובטחת עם שותפים ללא קשר לאלגוריתמי ההצפנה שבהם הם משתמשים.
2. הבטחת תאימות לאחור: כך שניתן להכניס הצפנה בטוחה לקוונטית בצורה חלקה במערכות ה-IT הקיימות שלך.
3. תרגול זריזות קריפטו: כך שאתה יכול להשתמש בכל שילוב של אלגוריתמים פוסט-קוונטיים של NIST או הצפנה מסורתית

• הצג מוצרים המשקפים את המושגים הללו כדי להשיג רמה גבוהה יותר של גמישות

לאחר שנבחר ספק פתרונות, חשוב לשקול האם המוצרים שהם מציעים מכילים את העמודים הללו בעיצוב.

דוגמה לשלב היכרות בהגירה פוסט-קוונטית היא בחירת רשת פרטית וירטואלית בטוחה בקוונטים (VPN) כדי לאבטח זרימת תקשורת נתונים דרך רשת האינטרנט הציבורית. פוסט-קוואנטום'VPN פוסט-קוונטי היברידי' נוסה לאחרונה בהצלחה על ידי נאט"ו, ושילב אלגוריתמי הצפנה חדשים מאובטחים קוונטיים ואלגוריתמי הצפנה מסורתיים כדי לשמור על מערכת הדדית.

• אל תזניח את הזהות - למעשה, אתה צריך להתחיל עם זה

אתה יכול לאבטח את כל ההצפנה האחרת שלך, אבל אם מישהו יכול לגשת למערכת הזהות שלך, אז זה לא משנה מה עוד אתה עושה - המערכות שלך יחשבו שהם האדם הנכון, כך שהם יכולים לקבל גישה 'לגיטימית' למערכות שלך ותשתיות.

כלומר, אין טעם לאבטח את כל התשתית שלך אם לא שקלת גם זהות, והחל מהקצה הקדמי של אקוסיסטם אבטחת המידע יאפשר לך להתמודד גם עם אחת המערכות המאתגרות ביותר מבחינה היסטורית עבור שדרוג של ארגון. או להחליף.

בעתיד, נצטרך שכל התשתית הדיגיטלית שלנו תהיה מקצה לקצה חסינה קוונטית, אבל אם אינך בטוח היכן להתחיל, זהות צריכה להיות השיקול החשוב ביותר כעת, מכיוון שהיא המפתח לטירה.

ספונסורד

Post-Quantum הוא חסות היהלומים בבואנו אירוע IQT Quantum Cybersecurity בניו יורק, 25-27 באוקטובר, 2022. המנכ"ל אנדרסן צ'אנג יעביר את נאום הפתיחה.