By 댄 오셔 게시일 28년 2022월 XNUMX일
최근 몇 달 동안 미국에서는 바이든 백악관과 국가안보국(NSA), 사이버보안 및 기반시설 보안국(CISA) 등이 정부에 촉구하는 등 포스트양자암호(PQC)에 대한 긴박감이 커지고 있다. 기관 및 기타 조직은 양자 컴퓨터로 인한 보안 위협으로부터 자신을 보호하기 위해 준비합니다.
이러한 환경에 대해 NSA는 최근 다음과 같은 권고를 발표했습니다. 상업용 국가 보안 알고리즘 2.0 (CNSA 2.0), 처음에는 머리를 긁는 것처럼 보였을 수도 있습니다. 여기에는 다른 준비 요구 사항 중에서도 2035년까지 "국가 보안 시스템(NSS) 및 관련 자산"에 대한 PQC 전환을 완료하기 위한 일정이 포함되어 있습니다. 12년 이상 시한을 설정하는 것은 긴급함과는 반대되는 것처럼 보일 수 있습니다. 처음에는 몇몇 업계 관찰자들이 이 특정 세부 사항에 관해 IQT에 개인적으로 놀라움을 표했습니다. 그러나 XNUMX월 초 NSA 발표 이후 몇 주 동안 IQT는 여러 회사의 보안 전문가와 대화를 나눴으며 레거시 암호화에서 적절한 마이그레이션을 위해 앞으로 필요한 작업량과 새로운 기능을 고려할 때 일정이 전적으로 적절하다고 밝혔습니다. 정부 기관의 기술 배포가 신속하게 진행되는 경우는 거의 없습니다.
“미국 정부가 이렇게 긴 시한을 설정한 것은 이해할 만하다. PQC로 전환하는 것은 가장 크고 가장 복잡한 것 중 하나이기 때문입니다. 전략을 정의하는 정교한 프로세스를 갖춘 전 세계 조직, 예산, 요구 사항 및 우선 순위가 중요합니다.”라고 SandboxAQ의 공공 부문 사장이자 퇴역한 미 공군 대령인 Jen Sovada가 말했습니다. “또한 그들은 지속적으로 사용할 수 있어야 하는 가장 복잡하고 상호 연결된 글로벌 네트워크를 보유하고 있습니다. 에도 불구하고 채택 일정이 연장됨에 따라 미국 정부는 이제 전환을 시작하고 있습니다. 지금 저장이라고도 알려진 캐치 앤 익스플로잇 캠페인을 방어하기 위해 PQC에 나중에 공격을 해독하여 내결함성, 오류 수정 양자 컴퓨터로 사용할 수 있습니다. 등장하면 보호받을 것입니다.”
그녀는 NSA CSNA 2.0 문서가 이미 PQC의 얼리 어답터가 되기 위해 노력하고 있는 연방 정부 기관의 속도를 늦추지 않았다고 덧붙였습니다. “우리는 이미 많은 얼리 어답터들과 협력하고 있으며 기술에 익숙하지 않은 사람들을 교육하는 데도 도움을 주고 있습니다. 오히려 타임라인은 우리의 우선순위를 조정하고 다음 사항의 조기 채택을 추진하는 데 도움이 되었습니다.
연방 정부 전반에 걸친 PQC 마이그레이션 전략.”
Quantinuum의 사이버 보안 책임자인 Duncan Jones는 “여기서 크게 놀랄 일은 없습니다. 전반적으로 이 지침은 합리적이며 CISA 및 관련 기관의 유사한 지침을 따릅니다. NSA의 2035년 기한은 올해 초 발행된 국가 안보 메모의 요구 사항과 일치합니다.”
Jones는 2035년이 멀게 느껴지더라도 마이그레이션 노력이 시작되면 가장 중요한 NSS 자산이 가장 높은 우선순위를 갖게 될 것이라고 덧붙였습니다. “2035년은 긴 시간처럼 들릴 수도 있지만 매우 빠르게 다가올 것입니다. 마이그레이션은 한꺼번에 이루어질 수 없으므로 중요한 시스템은 해당 날짜보다 훨씬 앞서 마이그레이션해야 합니다. 간단히 말해서, XNUMX년 기한이 채택을 늦추지는 않을 것입니다.”
대신, CNSA 2.0 문서와 명시된 일정은 정부 시스템을 PQC로 마이그레이션하려는 전체 노력에 더 많은 초점을 맞추고 이에 대한 중요한 필요성을 강조해야 합니다. QuSecure의 설립자, 회장, COO 및 최고 수익 책임자인 Skip Sanzeri는 다음과 같이 말했습니다. “NSA가 이제 날짜를 선언했다는 사실은 완료해야 할 매우 중요한 일과 이를 준수할 연방 기관의 역량 사이에서 균형을 이루었음을 의미합니다. .”
그는 "내가 의미하는 바는 이러한 기관 중 다수가 업그레이드를 완료하는 데 10년이 걸릴 수 있으므로 NSA가 일을 더 빨리 추진하고 싶었을 것이라고 확신하지만 기관이 더 빨리 업그레이드할 수 없다면 이것이 할 수 있는 최선의 방법입니다.” Samzeri는 NSA가 본질적으로 PQC를 의무화했으며 마이그레이션은 긴급하게 접근해야 하지만 이해를 바탕으로 늦어도 2035년까지 완료되어야 한다고 말했습니다. 암호화는 복잡하며 많은 기관에서는 사용 중인 모든 암호화에 대한 포괄적인 설명을 갖고 있지 않습니다. XNUMX년은 대규모 정부 기관이 업그레이드하는 데 최소한의 시간입니다. 따라서 NSA는 원하더라도 연방 기관이 더 빨리 움직이도록 강요할 수는 없습니다.”
한편, 보안 기술 연구원인 Helena Handschuh는 2035년 기한에 너무 많은 초점을 맞추면 전환 중에 실제로 일어날 일을 간과하게 된다고 설명했습니다. 초기에는 "하나의 PQC 알고리즘과 결합된 하나의 일반 알고리즘"이라는 하이브리드 접근 방식이 있을 가능성이 높습니다. 이는 시스템을 더욱 민첩하게 만들고 필요할 때 사용하는 알고리즘을 전환할 수 있는 위치에 있게 합니다.
향후 3~5년 동안 NIST가 XNUMX월에 발표한 초기 PQC 암호화 및 디지털 서명 표준, Handschuh는 PQC 솔루션을 선택하고 마이그레이션을 시작하는 데 중점을 둘 것이라고 말했습니다. “하드웨어의 경우 이는 새로운 하드웨어를 구축하고 시장에 출시하는 데 몇 년이 걸릴 수 있으므로 지금 IP 선택 및 통합을 검토하기 시작한다는 의미일 수 있습니다. 앞으로 5~7년 안에 일반 알고리즘에 대한 지원 중단 전략을 마련하고, 앞으로 7~10년 안에 현재의 공개 키 알고리즘을 완전히 전환하고 제거하는 것이 핵심이 될 것입니다. NSA에는 그러한 일정이 있으며 유럽과 아시아 전역의 다른 기관도 비슷한 접근 방식과 일정을 가지고 있습니다.”
그녀는 이 타임라인이 "오늘날의 공개 키 알고리즘을 폐기하는 시점은… 2030년에서 2035년 사이"라고 결론지었습니다.
성공적인 PQC 구현을 다루는 공개적으로 유명한 역할 모델과 사례 연구가 아직 많지 않기 때문에 정부 기관과 기업이 PQC 채택을 얼마나 빨리 진행해야 할지 확신하지 못하는 것은 이해할 수 있습니다. 실제로 보안 기술 전환의 역사를 보면 수십 년이 걸릴 수 있으며 여전히 전체 마이그레이션보다 적은 시간이 소요될 수 있습니다. 또한 NIST는 최근 선택한 표준을 약 XNUMX년 반에서 XNUMX년 정도 최종 마무리할 예정이므로 해당 알고리즘에 대한 변경이나 업데이트가 여전히 있을 수 있습니다.
Cryptomathic의 전무이사인 Johannes Lintzen은 다음과 같이 말했습니다. “일반적으로 말해서, 얼리 어답터가 되기 위해 서두르는 것은 위험이 따릅니다. 그러나 무활동도 마찬가지다. 많은 조직이 이러한 어려운 교차로에 직면해 있습니다. 우선, 선택된 알고리즘이 완전히 구현되어 광범위한 상용 애플리케이션에서 사용 가능하려면 약 24개월이 더 걸릴 것입니다.”
그는 “게다가 선택한 암호 시스템에 대한 커뮤니티 평가 및 분석이 진행 중이며 표준화 프로세스를 마무리하는 데 걸리는 시간에 연구자가 후보 알고리즘을 깨는 다른 방법을 찾아 발표할 가능성이 전적으로 있습니다. 알고리즘에 대한 업데이트와 변경, 그리고 알고리즘의 구현 및 사용 방식이 오랫동안 진행되어 왔다는 점을 명심하세요. 대칭 알고리즘에 대한 변경 사항을 예로 들어 보겠습니다. 시간이 지나면서 업계는 DES에서 3DES로, 결국에는 AES로 마이그레이션했습니다. 해싱 알고리즘과 비대칭 알고리즘에는 다른 예가 있습니다. 상업적으로 이용 가능한 암호화 솔루션 분야의 조직은 암호화 알고리즘 변경의 진화를 지속적으로 업그레이드하고 관리하는 프로세스를 관리하는 도구를 오랫동안 제공할 수 있었습니다. 널리 사용되는 용어는 '암호화 민첩성'입니다. 변화가 발생할 때 유연성을 유지할 수 있도록 조기 조치를 취하세요.”
NSA가 PQC 마이그레이션 마감일을 몇 년 이상 연기한다고 언급했지만 앞으로 12년 정도는 바쁘고 다사다난한 시간이 될 것으로 보입니다.
PQC 전환과 관련된 주요 문제에 대한 이러한 소스 및 기타 소스의 추가 논평을 보려면 다음을 시청하세요. IQT 프로 XNUMX월 중순의 이야기.
Dan O'Shea는 25년 넘게 반도체, 센서, 소매 시스템, 디지털 결제, 양자 컴퓨팅/기술을 포함한 통신 및 관련 주제를 다루었습니다.
