By IQT Nyheter lagt ut 12. oktober 2022
(Av Team Post-Quantum) Kvantedatamaskiner er den største eksistensielle trusselen mot verdens informasjonssikkerhet. Når en tilstrekkelig kraftig maskin dukker opp, vil standardene for offentlig nøkkelkryptering (PKC) som for øyeblikket ivaretar den digitale verden, være foreldet på et øyeblikk, og bringe umålelig skade på hele bransjer – fra nasjonal sikkerhet, til bank, til forsyningsnettverk.
Selv om den nøyaktige datoen når PKC vil bli brutt er ukjent, er trusselen om at motstandere samler inn data nå med sikte på å dekryptere den når en tilstrekkelig kraftig maskin dukker opp (også kjent som Harvest Now, Decrypt Later), og skjer i dag.
Gitt at problemet er umiddelbart, har regjeringer og reguleringsorganer begynt å handle, spesielt i USA (USA). Men hva betyr disse handlingene i praksis, og hvilke skritt kan de mest utsatte organisasjonene gjøre for å komme videre?
Regjeringene krever handling
2022 har vært en viktig milepæl i fremtiden for post-kvantesikkerhet.
Etter mer enn seks års overveielse har Nasjonalt institutt for standarder og teknologi (NIST) avduket sine anbefalinger for standardisering av ny kvantebestandig algoritme i juli. KRYSTALER-Kyber ble valgt for generell kryptering, og KRYSTALER-Dilitium, FALKog SPHINCS + ble valgt ut for digitale signaturer.
NIST har også fremmet fire andre kandidater for ytterligere gransking, en av dem er Classic McEliece, en felles innsending fra vårt team på Post-Quantum. Tysklands nasjonale cybersikkerhetsorgan kjent som BSI, og nederlandsk tilsvarende, anbefaler allerede at bedrifter bruker og distribuerer Classic McEliece på grunn av dens enestående sikkerhetslegitimasjon.
Etter hvert som europeiske myndigheter begynner å iverksette tiltak, har også USA. I mai utstedte Biden-administrasjonen National Security Memorandum 10. Notatet angir blant annet retningen amerikanske myndigheter må ta for å migrere sårbare kryptografiske systemer til kvanteresistente kryptografi.
Noen måneder senere vedtok Quantum Computing Cybersecurity Preparedness Act i huset etter introduksjonen i april 2022. I likhet med Bidens notat, søker lovforslaget å adressere migreringen av utøvende byråers informasjonssystemer til post-kvantekryptografi (PQC). Den gir mandat at føderale byråer må utarbeide en oversikt over varer for overgangen til de nye standardene, og OBM (Office of Budget & Management) vil få et år til å utarbeide et budsjett og en strategi for overgangen bort fra gjeldende kryptografisk standarder. Byråer vil også bli pålagt å oppdatere disse systemene årlig, og kongressen vil motta en årlig statusbriefing.
Etter dette publiserte Cybersecurity and Infrastructure Security Agency (CISA) et sett med retningslinjer for kritiske infrastrukturorganisasjoner som tar sikte på en jevn overgang. Selv om NISTs endelige standard neppe vil bli bekreftet før 2024, ga CISA ut et dokument - 'Forbereder kritisk infrastruktur for postkvantekryptering' – understreker behovet for kritisk infrastruktur for å begynne migrering nå for å redusere risikoen for kvantedatabehandling og HNDL-angrep.
Viktigere er at CISA ikke er alene i arbeidet med å understreke fordelen med å begynne migrasjon nå. Department of Homeland Security (DHS) publiserte sine egne 'Veikart for postkvantekrypteringunderstreker behovet for å begynne å legge grunnlaget umiddelbart, og Cloud Security Alliance (CSA) har satt en frist til april 2030 der alle virksomheter skal ha implementert post-kvanteinfrastruktur.
Neste trinn for føderale byråer og utover
Etter hvert som regjeringer og regulatorer begynner å kreve handling, spesielt når det gjelder å migrere statlige etater og industrier med høy innsats, øker kostnadene ved passivitet.
Men utover veikartene og det klare første behovet for å gjøre oversikt over hvor PKC brukes i dag, hva annet bør du vurdere?
- Prioriter krypto-agilitet, interoperabilitet og bakoverkompatibilitet
Når du tenker på overgangen, er det viktig å huske på følgende tre konsepter for å sikre at du balanserer sikkerhet med smidighet.
- Bruk av interoperable løsninger: slik at du kan etablere sikker kommunikasjon med partnere uavhengig av krypteringsalgoritmene de bruker.
- Sikre bakoverkompatibilitet: slik at kvantesikker kryptering kan introduseres sømløst på tvers av eksisterende IT-systemer.
- Øve på krypto-agility: slik at du kan bruke hvilken som helst kombinasjon av NISTs post-kvantealgoritmer eller tradisjonell kryptering
- Introduser produkter som reflekterer disse konseptene for å få et større nivå av fleksibilitet
Når en løsningsleverandør er valgt, er det viktig å vurdere om produktene de tilbyr har disse pilarene bakt inn i designet.
Et eksempel på et innledende trinn i postkvantemigrering er å velge et kvantesikkert virtuelt privat nettverk (VPN) for å sikre datakommunikasjonsstrømmer gjennom det offentlige internettnettverket. Post-Quantums 'Hybrid Post-Quantum VPN' ble nylig utprøvd av NATO, og kombinerte nye kvantesikre og tradisjonelle krypteringsalgoritmer for å opprettholde et interoperabelt system.
- Ikke forsøm identiteten – faktisk bør du begynne med den
Du kan sikre all din andre kryptering, men hvis noen kan få tilgang til identitetssystemet ditt, spiller det ingen rolle hva annet du gjør – systemene dine vil tro at de er den rette personen, slik at de kan få "legitim" tilgang til systemene dine og infrastruktur.
Det vil si at det er liten vits i å sikre hele infrastrukturen din hvis du ikke også har vurdert identitet, og å starte ved frontenden av infosikkerhetsøkosystemet vil også tillate deg å takle et av de mest historisk utfordrende systemene for en organisasjon å oppgradere eller erstatte.
I fremtiden vil vi trenge at all vår digitale infrastruktur skal være kvantesikker ende-til-ende, men hvis du er usikker på hvor du skal begynne, bør identitet være det viktigste hensynet nå, siden det er nøkkelen til slottet.
SPONSORED
Post-Quantum er Diamond Sponsor ved kommende IQT Quantum Cybersecurity-arrangement i NYC, 25.–27. oktober 2022. Administrerende direktør Andersen Chang vil holde åpningstalen.
