Regeringen verplichten actie op post-kwantumgebied; wat moet je eraan doen? PlatoBlockchain-gegevensintelligentie. Verticaal zoeken. Ai.

Overheden verplichten tot actie op post-kwantumgebied; wat moet je eraan doen?

Tijdstempel: 12 oktober 2022 8:27 uur

By IQT-nieuws geplaatst op 12 okt 2022

(Door Team Post-Quantum) Kwantumcomputers vormen de grootste existentiële bedreiging voor de informatiebeveiliging van de wereld. Zodra er een voldoende krachtige machine verschijnt, zullen de openbare-sleutelcryptografiestandaarden (PKC) die momenteel de digitale wereld beschermen, in een oogwenk achterhaald zijn, wat onmetelijke schade zal toebrengen aan hele industrieën - van nationale veiligheid tot het bankwezen en nutsnetwerken.

Hoewel de precieze datum waarop PKC zal worden verbroken onbekend is, is de dreiging van kwaadwillenden die nu gegevens verzamelen om deze te decoderen wanneer er een voldoende krachtige machine verschijnt (ook bekend als Harvest Now, Decrypt Later), vandaag de dag reëel.

Gezien de urgentie van de kwestie zijn regeringen en regelgevende instanties in actie gekomen, met name in de Verenigde Staten (VS). Maar wat betekenen deze acties in de praktijk en welke stappen kunnen de organisaties die het meeste risico lopen, ondernemen om vooruit te komen?

Overheden verplichten tot actie

2022 was een belangrijke mijlpaal in de toekomst van post-kwantumbeveiliging.

Na meer dan zes jaar beraadslagingen heeft de Nationaal instituut voor normen en technologie (NIST) onthulde in juli zijn aanbevelingen voor de standaardisatie van een nieuw kwantumbestendig algoritme. KRISTALLEN-Kyber is geselecteerd voor algemene codering, en KRISTALLEN-Dilithium, FALCON en SPHINCS + werden geselecteerd voor digitale handtekeningen.

NIST heeft ook vier andere kandidaten naar voren geschoven voor aanvullend onderzoek, waaronder Classic McEliece, een gezamenlijke inzending van ons team bij Post-Quantum. De nationale cyberbeveiligingsinstantie van Duitsland, bekend als de BSIEn Nederlands equivalent, bevelen bedrijven al aan om Classic McEliece te gebruiken en te implementeren vanwege de ongeëvenaarde beveiligingsreferenties.

Nu de Europese regeringen actie beginnen te ondernemen, doet de VS dat ook. In mei bracht de regering Biden National Security Memorandum 10 uit. In de memo werd onder andere uiteengezet welke richting Amerikaanse overheidsinstanties moeten inslaan om kwetsbare cryptografische systemen te migreren naar kwantumbestendige systemen. cryptografie.

Een paar maanden later werd de Quantum Computing Cybersecurity Preparedness Act in het Huis aangenomen na de introductie ervan in april 2022. Net als Biden's memo probeert het wetsvoorstel de migratie van de informatiesystemen van uitvoerende agentschappen naar post-kwantumcryptografie (PQC) aan te pakken. Het schrijft voor dat federale agentschappen een inventaris moeten opstellen van items voor de overgang naar de nieuwe normen, en het OBM (Office of Budget & Management) zou een jaar de tijd krijgen om een ​​budget en een strategie op te stellen voor de overgang weg van de huidige cryptografische normen. Agentschappen zouden deze systemen ook jaarlijks moeten bijwerken en het Congres zou een jaarlijkse statusbriefing ontvangen.

Hierna publiceerde de Cybersecurity and Infrastructure Security Agency (CISA) een reeks richtlijnen voor kritieke infrastructuurorganisaties die streven naar een soepele overgang. Hoewel het onwaarschijnlijk is dat de definitieve standaard van NIST vóór 2024 zal worden bevestigd, heeft de CISA een document vrijgegeven - 'Voorbereiding van kritieke infrastructuur voor post-kwantumcryptografie' – benadrukkend dat kritieke infrastructuur nu moet worden gemigreerd om de risico's van kwantumcomputing en HNDL-aanvallen te beperken.

Belangrijk is dat de CISA niet de enige is die probeert het voordeel van nu beginnen met migratie te benadrukken. Het Department of Homeland Security (DHS) publiceerde hun eigen 'Roadmap voor post-kwantumcryptografie' benadrukkend de noodzaak om onmiddellijk te beginnen met het leggen van de basis, en de Alliantie voor cloudbeveiliging (CSA) heeft april 2030 als deadline gesteld waarop alle ondernemingen postkwantuminfrastructuur moeten hebben geïmplementeerd.

Volgende stappen voor federale agentschappen en daarbuiten

Naarmate regeringen en regelgevers actie beginnen te eisen, met name als het gaat om het migreren van overheidsinstanties en industrieën met een hoge inzet, nemen de kosten van inactiviteit toe.

Maar afgezien van de stappenplannen en de duidelijke eerste behoefte om te inventariseren waar PKC tegenwoordig wordt gebruikt, wat moet u nog meer overwegen?

  • Geef prioriteit aan crypto-flexibiliteit, interoperabiliteit en achterwaartse compatibiliteit

Wanneer u nadenkt over de transitie, is het belangrijk om de volgende drie concepten in gedachten te houden om ervoor te zorgen dat u een balans vindt tussen beveiliging en flexibiliteit.

  1. Interoperabele oplossingen gebruiken: zodat u veilige communicatie met partners tot stand kunt brengen, ongeacht de versleutelingsalgoritmen die zij gebruiken.
  2. Zorgen voor achterwaartse compatibiliteit: zodat kwantumveilige encryptie naadloos kan worden ingevoerd in uw bestaande IT-systemen.
  3. Crypto-behendigheid oefenen: dus je kunt elke combinatie van NIST's post-kwantumalgoritmen of traditionele encryptie gebruiken
  • Introduceer producten die deze concepten weerspiegelen om meer flexibiliteit te verkrijgen

Zodra een leverancier van oplossingen is geselecteerd, is het belangrijk om te overwegen of de producten die zij aanbieden deze pijlers in het ontwerp hebben ingebakken.

Een voorbeeld van een inleidende stap in post-kwantummigratie is het selecteren van een kwantumveilig Virtual Private Network (VPN) om datacommunicatiestromen via het openbare internetnetwerk te beveiligen. Post-Quantum's 'Hybride Post-Quantum VPN' werd onlangs met succes uitgeprobeerd door de NAVO en combineerde nieuwe kwantumveilige en traditionele versleutelingsalgoritmen om een ​​interoperabel systeem te behouden.

  • Negeer identiteit niet - sterker nog, u zou ermee moeten beginnen

Je zou al je andere encryptie kunnen beveiligen, maar als iemand toegang heeft tot je identiteitssysteem, dan maakt het niet uit wat je nog meer doet – je systemen zullen denken dat ze de juiste persoon zijn, zodat ze 'legitieme' toegang tot je systemen kunnen krijgen en infrastructuur.

Dat wil zeggen, het heeft weinig zin om je hele infrastructuur te beveiligen als je niet ook aan identiteit hebt gedacht, en door aan de voorkant van het ecosysteem voor informatiebeveiliging te beginnen, kun je ook een van de historisch meest uitdagende systemen voor een organisatie aanpakken om te upgraden of vervangen.

In de toekomst zullen we al onze digitale infrastructuur nodig hebben om end-to-end quantum-proof te zijn, maar als je niet zeker weet waar je moet beginnen, zou identiteit nu de belangrijkste overweging moeten zijn, aangezien het de sleutel tot het kasteel is.

SPONSORED

Post-Quantum is de Diamond Sponsor in aantocht IQT Quantum Cybersecurity-evenement in NYC, 25-27 oktober 2022. CEO Andersen Chang zal de openingstoespraak houden.

Tijdstempel:

Meer van Binnen Quantum Technologie

Quantum News Briefs: 21 februari 2024: PASQAL, Universiteit van Calgary en Quantum City starten nieuw Quantum Computing-partnerschap; ORCA Computing en Riverlane werken samen met de Digital Catapult om een ​​uniek Quantum Technology Access Program te lanceren; Zapata AI, Insilico Medicine, de Universiteit van Toronto en St. Jude Children's Research Hospitals gebruiken Quantum-Enhanced Genative AI om levensvatbare kankermedicijnkandidaten te genereren; NEC en D-Wave introduceren nieuw Quantum-aanbod op de Australische markt; Pioniers op het gebied van kwantumcomputers sluiten zich aan bij de nieuw opgerichte adviesraad van Alice & Bob; en meer! – Inside Quantum-technologie

Broncluster:
Bronknooppunt: 1950080
Tijdstempel: Februari 21, 2024